Политика конфиденциальности и обработки персональных данных

1.1. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и определяет порядок обработки персональных данных (далее — «ПДн») и меры по обеспечению их безопасности, предпринимаемые оператором сервиса «СВОД.ДОК» (далее — «Оператор»).

1.2. Использование сервиса означает безоговорочное согласие Пользователя с настоящей Политикой и условиями обработки его ПДн. В случае несогласия с условиями — Пользователь должен воздержаться от использования сервиса.

2.1. Оператор обрабатывает следующие категории ПДн:

О Пользователе (владельце аккаунта)

• фамилия, имя, отчество;
• email, телефон;
• хеш пароля (сам пароль Оператор не хранит);
• дата и время регистрации, последнего входа;
• IP-адрес для защиты от перебора паролей.

О сотрудниках Пользователя

• фамилия, имя, отчество;
• email, телефон (при наличии);
• роль и график работы;
• хеш пароля.

О клиентах Пользователя

• фамилия, имя, отчество (или название организации);
• контактные телефоны и email (по желанию Пользователя);
• тип клиента, скидочные параметры;
• история заказов и платежей;
• для юридических лиц — реквизиты (ИНН, КПП, ОГРН, адрес, банковские реквизиты).

3.1. Оператор обрабатывает ПДн исключительно для целей:

• предоставления Пользователю функций сервиса согласно подписке;
• аутентификации и контроля доступа;
• исполнения обязательств перед Пользователем по соглашению;
• ведения учёта операций Пользователя в его собственной хозяйственной деятельности;
• формирования печатных документов (товарных чеков, счетов, актов, УПД, договоров) для Пользователя;
• технической поддержки и оперативной связи с Пользователем по вопросам работы сервиса.

4.1. Обработка ПДн осуществляется на основании ст. 6 152-ФЗ: согласие субъекта ПДн, договор с субъектом, исполнение обязанностей возложенных законодательством, а также на основании настоящей Политики.

4.2. Регистрируясь в сервисе, Пользователь даёт согласие на обработку своих ПДн в указанных целях.

4.3. Передавая в систему данные клиентов и сотрудников, Пользователь подтверждает наличие у него правовых оснований для такой передачи (согласие субъектов, договорные отношения и т.п.). Пользователь самостоятельно несёт ответственность за получение таких согласий от своих клиентов и сотрудников.

5.1. ПДн обрабатываются в течение всего срока действия подписки Пользователя.

5.2. Первичные документы (счета, акты, УПД, журнал кассовых операций) хранятся в течение 5 (пяти) лет согласно Приказу Росархива № 236 от 20.12.2019.

5.3. После расторжения подписки данные хранятся в течение 30 (тридцати) дней (для возможности восстановления), после чего подлежат безвозвратному удалению, за исключением случаев, предусмотренных законодательством РФ.

6.1. Оператор применяет следующие технические и организационные меры для защиты ПДн:

• хранение паролей в виде безотзывного криптографического хеша (bcrypt, cost = 12);
• передача данных по защищённому каналу с использованием шифрования TLS 1.2+;
• строгое разграничение доступа по ролям внутри компании Пользователя (OWNER / EMPLOYEE / ACCOUNTANT);
• изоляция данных разных компаний на уровне базы данных (multi-tenant);
• журнал всех значимых действий пользователей (аудит-лог), защищённый от изменения и удаления;
• защита от перебора паролей (ограничение числа попыток входа);
• двухфакторная аутентификация (2FA) для входа по паролю — по желанию Пользователя;
• шифрование чувствительных секретов (например, ключей двухфакторной аутентификации) стойким алгоритмом AES-256;
• шифрование серверных автоматических резервных копий базы данных в производственном окружении (AES-256);
• обновление программного обеспечения и зависимостей с целью устранения известных уязвимостей.

6.2. При выявлении инцидента (утечки) персональных данных Оператор уведомляет уполномоченный орган (Роскомнадзор) в установленные законом сроки: в течение 24 часов — о факте инцидента, в течение 72 часов — о результатах внутреннего расследования (ч. 3.1 ст. 21 152-ФЗ).

6.3. За организацию обработки персональных данных отвечает Оператор (индивидуальный предприниматель — владелец сервиса; ст. 22.1 152-ФЗ). Контакт для обращений указан в разделе 8.

7.1. Оператор не передаёт ПДн третьим лицам, за исключением случаев, прямо предусмотренных законодательством РФ (по запросу уполномоченных государственных органов).

7.2. Для оказания услуг могут привлекаться субподрядчики (обработчики по поручению Оператора): провайдер облачной инфраструктуры (Yandex Cloud), провайдер email-рассылок (для писем о сбросе пароля и приглашениях), а также — при наличии вашего согласия — сервис веб-аналитики «Яндекс.Метрика» (ООО «ЯНДЕКС»). Данные передаются им исключительно в объёме, необходимом для оказания соответствующих услуг. Подробнее об аналитике — в разделе 9 настоящей Политики.

7.3. Локализация. Все ПДн обрабатываются и хранятся на серверах, расположенных на территории Российской Федерации — первичная запись, систематизация и хранение данных граждан РФ выполняются в РФ (требование ч. 5 ст. 18 152-ФЗ).

7.4. Трансграничная передача не осуществляется. Все привлекаемые обработчики (облачная инфраструктура, email, веб-аналитика) расположены на территории Российской Федерации. Передача ПДн за пределы РФ не производится. Если в будущем такая передача потребуется — Оператор уведомит уполномоченный орган до её начала (ст. 12 152-ФЗ) и обновит настоящую Политику.

8.1. Субъект ПДн имеет право:

• получать сведения о наличии у Оператора ПДн, относящихся к субъекту;
• требовать уточнения, блокирования или уничтожения своих ПДн;
• отзывать согласие на обработку ПДн (это влечёт прекращение предоставления сервиса);
• осуществлять иные права, предусмотренные ст. 14–17 152-ФЗ (в том числе получать сведения о трансграничной передаче ПДн и обжаловать действия или бездействие Оператора);
• обращаться в уполномоченный орган (Роскомнадзор) или в суд.

8.2. Запросы по реализации указанных прав направляются Оператору по адресу [email Оператора — см. раздел «Оператор персональных данных»]. Сведения о наличии и составе ПДн предоставляются в течение 10 (десяти) рабочих дней с момента запроса (с возможностью продления не более чем на 5 рабочих дней, ст. 20 152-ФЗ). Уничтожение ПДн при отзыве согласия производится в течение 30 (тридцати) дней, если нет иных законных оснований для обработки (ч. 5 ст. 21 152-ФЗ).

9.1. Сервис использует технические cookies, необходимые для работы функции аутентификации (запоминания сессии вошедшего пользователя). Без этих cookies сервис работать не будет. Технические cookies устанавливаются без отдельного согласия, так как без них сервис не функционирует.

9.2. Для сбора обезличенной статистики использования сервиса (посещаемость, переходы между разделами) Оператор может применять сервис веб-аналитики «Яндекс.Метрика». Аналитика подключается ТОЛЬКО при наличии вашего согласия, которое вы даёте, нажав «Принять» в баннере cookie. До получения согласия аналитика не загружается и данные в неё не передаются.

9.3. При работе «Яндекс.Метрики» данные (обезличенные сведения о посещениях, IP-адрес, cookie-идентификатор) могут передаваться ООО «ЯНДЕКС» (адрес: 119021, г. Москва, ул. Льва Толстого, д. 16), которое действует как обработчик по поручению Оператора. Передача осуществляется в объёме, необходимом для сбора статистики, без записи содержимого экрана. Условия обработки описаны в документах Яндекса по адресу yandex.ru/legal/confidential.

9.4. Согласие на аналитические cookies можно отозвать в любой момент, нажав «Отклонить» в баннере cookie либо очистив cookies и данные сайта в настройках браузера. После отзыва согласия аналитика перестаёт загружаться.

10.1. Политика может пересматриваться. Актуальная редакция всегда доступна по адресу /privacy. О существенных изменениях Оператор уведомляет Пользователя по email не менее чем за 14 дней до вступления изменений в силу.