Обработка и защита персональных данных

В статье отвечаем на вопросы о положениях обработки персональных данных

Обязанность по уведомлению Роскомнадзора

Оператор персональных данных (Пользователи сервиса Сейлбот: юридические лица, ИП, самозанятые) до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (согласно п. 1 ст. 22 ФЗ 152).

Уведомление должно соответствовать требованиям, установленным п. 3 ст. 22 ФЗ № 152.

Для операторов обработки персональных данных

Общие сведения об операторе "Сейлбот"

  1. Общество с ограниченной ответственностью "Сейлбот", ИНН: 5834128222,

  2. Юридический адрес: 440013, г. Пенза, ул Светлая, Д. 46, офис 3,

  3. Почта: [email protected].

ООО "Сейлбот" включено в реестр операторов обработки персональных на основании Приказа Роскомнадзора № 119 от 18.10.2024 г. (регистрационный номер 58-24-007538)

Оператор обработки персональных данных ООО "Сейлбот" обращает внимание пользователей, что обработка персональных данных (за исключением персональных данных, вводимых клиентами и пользователями для осуществления платежей в платежных формах, где обработка осуществляется соответственно платежным оператором, платежным агрегатором или иным платежным сервисом*) осуществляется на территории Российской Федерации.

Для клиентов, фактически регистрирующихся на сервисе Сейлбот, Оператор обработки персональных данных "Сейлбот" является поверенным по обработке персональных данных, что предусмотрено п. 10.(1) Публичной оферты.

*об обработке персональных данных клиентов в платежных сервисах можно уточнять у соответствующих сервисов.

Документация:

Инструкция (регламент) защиты персональных данных осуществляется по запросу.

Адреса ЦОД

Для развертывания сервера Оператора используется платформа Yandex Cloud, которая размещается в дата-центрах (ЦОД) ООО “Яндекс.Облако”, расположенных во Владимирской, Рязанской и Московской областях. Адреса данных дата-центров:

  1. В городе Мытищи — г. Мытищи, ул. Силикатная 19;

  2. Владимирская область — г. Владимир, ул. Энергетиков 37, корп. 2;

  3. Рязанская область — г. Сасово, ул. Пушкина 21;

  4. Калужская область — г. Калуга, 1-й Автомобильный пр-д 8.

Меры защиты

Перечисленный перечень организационных мер не является исчерпывающим. Сотрудники Организации, в том числе Генеральный директор Организации, как лицо ответственное за защиту и безопасность персональных данных субъектов персональных данных, вправе принимать и иные организационные меры, которые в должном объеме и степени обеспечивают защиту и безопасность персональных данных субъектов персональных данных.

Технические меры защиты

К техническим мерам защиты персональных данных относятся:

  1. фаервол (cloudflare), запрещающий доступ к базе данных и программе извне, – система, которая предотвращает несанкционированный доступ в информационно-телекоммуникационной сети “Интернет”;

  2. ограничение доступа средствами аутентификации в базе данных с использованием программных средств и методов;

  3. ограничение доступа к серверу средствами ОС Linux, включающая настройку параметров безопасности конфигурационных файлов: пользователей, групп пользователей и процессов с помощью встроенных системных разрешений, групп пользователей;

  4. работа с базой данной с использованием ORM;

  5. ограничение доступа по IP;

  6. разработанная система доступа к аккаунту пользователя – двухфакторная аутентификация;

  7. валидация логинов, паролей, адресов электронной почты, вводимых при регистрации и аутентификации;

  8. проверка адресов электронной почты на спам с помощью спам-фильтров и на иные подозрительные действия, осуществляемые с данным адресом электронной почты;

  9. использование защищенных хостинг сервисов (YandexCloud), в котором обеспечивается: а) блокирование версии объекта (object lock); б) шифрование объектов (object storage), обеспечивающее недопущение случайной или преднамеренной публикации содержимого в информационно-телекоммуникационной сети “Интернет”. в) протокол TLS, обеспечивающее защищенную передачу данных. г) политика доступа для защищенного управления доступом к ресурсам; д) установление ключей доступа; е) другие.

Организационные меры защиты

К организационным мерам защиты персональных данных относятся:

  1. издание локальных актов организации, касающихся обработки персональных данных и их защиты, и ознакомление сотрудников для осуществления трудовой функции и исполнению обязанностей, установленных должностным регламентом и (или) трудовым договором.

  2. определение объема и перечня персональных данных;

  3. создание и применение в деятельности организации Политики обработки персональных данных.

  1. определение правил доступа и учет доступов к административной части программы для ЭВМ “Сейлбот”.

  2. организация мероприятий по поиску и выявлению уязвимостей программы техническими работниками организации, имеющие специализированные знания, навыки.

  3. установление способов профилактики несанкционированного доступа и комплекса мер по предупреждению инцидентов безопасности.

  4. информирование пользователей: - направление рекомендаций к установлению уровня сложности паролей, установлению двухфакторной аутентификации; - напоминание пользователям программы для ЭВМ “Сейлбот” об исключении случаев передачи паролей и доступов к собственным аккаунтам программы для ЭВМ “Сейлбот” третьим лицам; - предупреждение пользователей путем информирования в документации о возможных угрозах при передаче доступов к аккаунту третьим лицам. Указанные рекомендации расположены в общем доступе на сайте с документацией (подробнее здесь).

  5. проведение инструктажей сотрудников организации по обеспечению защиты и безопасности персональных данных при эксплуатации программы для ЭВМ “Сейлбот”.

  6. установление правил и требований для аварийного восстановления системы программы для ЭВМ “Сейлбот”, для резервного копирования системы программы для ЭВМ “Сейлбот”.

  7. обеспечение передачи закрывающих документов (УПД), актов и счетов на оплату, иных платежных поручений и документов, содержащие сведения о персональных данных субъектов персональных данных, а также хранение электронных документов, содержащих персональные данные и переданных на обработку персональных данных, с помощью защищенного канала оператора ЭДО.

Типы персональных данных

В целях, установленных Политикой ОПД и публичной офертой, Оператор Сейлбот обрабатывает следующие категории персональных данных с согласия субъектов персональных данных (персональные данные Пользователей):

  1. Пользователи сервиса: а) фамилия, имя, отчество; б) мобильный телефон; в) электронная почта.

  2. Участники Партнерской программы (ИП и самозанятые): а) фамилия, имя, отчество; б) мобильный телефон; в) электронная почта; г) платежные реквизиты; д) сведения о документе, удостоверяющем личность; д) сведения о постановке на учет в качестве плательщика налога на профессиональный доход для лиц, имеющие статус плательщика налога на профессиональный доход, или сведения о постановке на учет в качестве индивидуального предпринимателя (номер ОГРНИП и дата постановки) для лиц, зарегистрированных в качестве индивидуальных предпринимателей;

  3. Представители ю/л, участвующего в партнерской программе: а) государственный регистрационный номер о создании юридического лица (ОГРН); б) фамилия, имя, отчество представителя (сотрудника), от имени которого юридическое лицо осуществляет участие в партнерской программе; в) должность представителя (сотрудника) юридического лица, от имени которого юридическое лицо осуществляет участие в Партнерской программе; г) сведения о документе, удостоверяющем личность; д) мобильный телефон; е) электронная почта; ж) платежные реквизиты.

Иные типы данных, обрабатываемых Оператором Сейлбот, указаны в пункте 6 Политики обработки персональных данных.

Поручение по обработке персональных данных

Регистрируясь на сервисе Сейлбот, Пользователи принимают все условия публичной оферты, в том числе по передаче поручения обработки персональных данных клиентов.

П. 10.(1).1 Публичной оферты

"Оператор "Сейлбот" по условиям публичной оферты <...> принимает на себя статус Поверенного по обработке персональных данных, а в таком случае Пользователь поручает обработку персональных данных Оператору "Сейлбот", при этом Пользователь приобретает статус Доверителя — фактического оператора обработки персональных данных."

Пункт 10.(1).11. Публичной оферты, перечень персональных данных, которые может обрабатывать Сейлбот по поручению Пользователя:

"<...>

  • фамилия, имя, отчество;

  • дата, месяц и год рождения;

  • адрес электронной почты;

  • номер телефона;

  • место проживания;

Персональные данные также могут содержаться в смс-сообщениях, голосовых сообщениях и иных видах сообщений, которые фактически обрабатываются Поверенным. В связи с чем перечень персональных данных может быть расширен только по согласию с субъектом персональных данных, а также в иных установленных законодательством РФ случаях."

Last updated

Was this helpful?