Обработка и защита персональных данных
В статье отвечаем на вопросы о положениях обработки персональных данных
Обязанность по уведомлению Роскомнадзора
Оператор персональных данных (Пользователи сервиса Сейлбот: юридические лица, ИП, самозанятые) до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (согласно п. 1 ст. 22 ФЗ 152).
Сейлбот предупреждает, что перед фактическим осуществлением деятельности на платформе с вашими клиентами необходимо уведомить Роскомнадзор, поскольку деятельность с клиентами предполагает сбор и обработку персональных данных.
Уведомление должно соответствовать требованиям, установленным п. 3 ст. 22 ФЗ № 152.
Для операторов обработки персональных данных
Общие сведения об операторе "Сейлбот"
Общество с ограниченной ответственностью "Сейлбот", ИНН: 5834128222,
Юридический адрес: 440013, г. Пенза, ул Светлая, Д. 46, офис 3,
Почта: [email protected].
ООО "Сейлбот" включено в реестр операторов обработки персональных на основании Приказа Роскомнадзора № 119 от 18.10.2024 г. (регистрационный номер 58-24-007538)
Оператор обработки персональных данных ООО "Сейлбот" обращает внимание пользователей, что обработка персональных данных (за исключением персональных данных, вводимых клиентами и пользователями для осуществления платежей в платежных формах, где обработка осуществляется соответственно платежным оператором, платежным агрегатором или иным платежным сервисом*) осуществляется на территории Российской Федерации.
Для клиентов, фактически регистрирующихся на сервисе Сейлбот, Оператор обработки персональных данных "Сейлбот" является поверенным по обработке персональных данных, что предусмотрено п. 10.(1) Публичной оферты.
ВАЖНО!
Сейлбот НЕ осуществляет трансграничную передачу данных!
Сейлбот не передает персональные данные третьим лицам!
Администрирование и техническая поддержка осуществляется сотрудниками Сейлбот.
Адреса ЦОД
Для развертывания сервера Оператора используется платформа Yandex Cloud, которая размещается в дата-центрах (ЦОД) ООО “Яндекс.Облако”, расположенных во Владимирской, Рязанской и Московской областях. Адреса данных дата-центров:
В городе Мытищи — г. Мытищи, ул. Силикатная 19;
Владимирская область — г. Владимир, ул. Энергетиков 37, корп. 2;
Рязанская область — г. Сасово, ул. Пушкина 21;
Калужская область — г. Калуга, 1-й Автомобильный пр-д 8.
Меры защиты
Перечисленный перечень организационных мер не является исчерпывающим. Сотрудники Организации, в том числе Генеральный директор Организации, как лицо ответственное за защиту и безопасность персональных данных субъектов персональных данных, вправе принимать и иные организационные меры, которые в должном объеме и степени обеспечивают защиту и безопасность персональных данных субъектов персональных данных.
Технические меры защиты
К техническим мерам защиты персональных данных относятся:
фаервол (cloudflare), запрещающий доступ к базе данных и программе извне, – система, которая предотвращает несанкционированный доступ в информационно-телекоммуникационной сети “Интернет”;
ограничение доступа средствами аутентификации в базе данных с использованием программных средств и методов;
ограничение доступа к серверу средствами ОС Linux, включающая настройку параметров безопасности конфигурационных файлов: пользователей, групп пользователей и процессов с помощью встроенных системных разрешений, групп пользователей;
работа с базой данной с использованием ORM;
ограничение доступа по IP;
разработанная система доступа к аккаунту пользователя – двухфакторная аутентификация;
валидация логинов, паролей, адресов электронной почты, вводимых при регистрации и аутентификации;
проверка адресов электронной почты на спам с помощью спам-фильтров и на иные подозрительные действия, осуществляемые с данным адресом электронной почты;
использование защищенных хостинг сервисов (YandexCloud), в котором обеспечивается: а) блокирование версии объекта (object lock); б) шифрование объектов (object storage), обеспечивающее недопущение случайной или преднамеренной публикации содержимого в информационно-телекоммуникационной сети “Интернет”. в) протокол TLS, обеспечивающее защищенную передачу данных. г) политика доступа для защищенного управления доступом к ресурсам; д) установление ключей доступа; е) другие.
Организационные меры защиты
К организационным мерам защиты персональных данных относятся:
издание локальных актов организации, касающихся обработки персональных данных и их защиты, и ознакомление сотрудников для осуществления трудовой функции и исполнению обязанностей, установленных должностным регламентом и (или) трудовым договором.
определение объема и перечня персональных данных;
создание и применение в деятельности организации Политики обработки персональных данных.
определение правил доступа и учет доступов к административной части программы для ЭВМ “Сейлбот”.
организация мероприятий по поиску и выявлению уязвимостей программы техническими работниками организации, имеющие специализированные знания, навыки.
установление способов профилактики несанкционированного доступа и комплекса мер по предупреждению инцидентов безопасности.
информирование пользователей: - направление рекомендаций к установлению уровня сложности паролей, установлению двухфакторной аутентификации; - напоминание пользователям программы для ЭВМ “Сейлбот” об исключении случаев передачи паролей и доступов к собственным аккаунтам программы для ЭВМ “Сейлбот” третьим лицам; - предупреждение пользователей путем информирования в документации о возможных угрозах при передаче доступов к аккаунту третьим лицам. Указанные рекомендации расположены в общем доступе на сайте с документацией (подробнее здесь).
проведение инструктажей сотрудников организации по обеспечению защиты и безопасности персональных данных при эксплуатации программы для ЭВМ “Сейлбот”.
установление правил и требований для аварийного восстановления системы программы для ЭВМ “Сейлбот”, для резервного копирования системы программы для ЭВМ “Сейлбот”.
обеспечение передачи закрывающих документов (УПД), актов и счетов на оплату, иных платежных поручений и документов, содержащие сведения о персональных данных субъектов персональных данных, а также хранение электронных документов, содержащих персональные данные и переданных на обработку персональных данных, с помощью защищенного канала оператора ЭДО.
Важно!
СКЗИ не применяются, в связи с чем сертификация ФСБ/ФСТЭК также не применялась.
Типы персональных данных
В целях, установленных Политикой ОПД и публичной офертой, Оператор Сейлбот обрабатывает следующие категории персональных данных с согласия субъектов персональных данных (персональные данные Пользователей):
Пользователи сервиса: а) фамилия, имя, отчество; б) мобильный телефон; в) электронная почта.
Участники Партнерской программы (ИП и самозанятые): а) фамилия, имя, отчество; б) мобильный телефон; в) электронная почта; г) платежные реквизиты; д) сведения о документе, удостоверяющем личность; д) сведения о постановке на учет в качестве плательщика налога на профессиональный доход для лиц, имеющие статус плательщика налога на профессиональный доход, или сведения о постановке на учет в качестве индивидуального предпринимателя (номер ОГРНИП и дата постановки) для лиц, зарегистрированных в качестве индивидуальных предпринимателей;
Представители ю/л, участвующего в партнерской программе: а) государственный регистрационный номер о создании юридического лица (ОГРН); б) фамилия, имя, отчество представителя (сотрудника), от имени которого юридическое лицо осуществляет участие в партнерской программе; в) должность представителя (сотрудника) юридического лица, от имени которого юридическое лицо осуществляет участие в Партнерской программе; г) сведения о документе, удостоверяющем личность; д) мобильный телефон; е) электронная почта; ж) платежные реквизиты.
Иные типы данных, обрабатываемых Оператором Сейлбот, указаны в пункте 6 Политики обработки персональных данных.
Поручение по обработке персональных данных
Право Пользователей, как Операторов ОПД, на поручение обработки персональных данных возникает на основании п. 3 ст. 6 ФЗ № 152.
Регистрируясь на сервисе Сейлбот, Пользователи принимают все условия публичной оферты, в том числе по передаче поручения обработки персональных данных клиентов.
П. 10.(1).1 Публичной оферты
"Оператор "Сейлбот" по условиям публичной оферты <...> принимает на себя статус Поверенного по обработке персональных данных, а в таком случае Пользователь поручает обработку персональных данных Оператору "Сейлбот", при этом Пользователь приобретает статус Доверителя — фактического оператора обработки персональных данных."
ВАЖНО!
Оператор (Пользователь) обязан собирать согласия на обработку персональных данных с клиентов (субъектов персональных данных).
Согласие в том числе должно предусматривать согласие клиента на поручение обработки оператором Сейлбот (п. 3 ст. 6 ФЗ № 152).
ВАЖНО!
Перечень персональных данных, обработка которых поручена Пользователем Сейлботу, установлена в публичной оферте!
Пункт 10.(1).11. Публичной оферты, перечень персональных данных, которые может обрабатывать Сейлбот по поручению Пользователя:
"<...>
фамилия, имя, отчество;
дата, месяц и год рождения;
адрес электронной почты;
номер телефона;
место проживания;
Персональные данные также могут содержаться в смс-сообщениях, голосовых сообщениях и иных видах сообщений, которые фактически обрабатываются Поверенным. В связи с чем перечень персональных данных может быть расширен только по согласию с субъектом персональных данных, а также в иных установленных законодательством РФ случаях."
Last updated
Was this helpful?