Все документы
Документ: privacy / Версия: v1

Политика конфиденциальности и обработки персональных данных

1. НАЗНАЧЕНИЕ И ОБЛАСТЬ ДЕЙСТВИЯ

1.1. Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных Индивидуальным предпринимателем Саутиным Глебом Максимовичем (далее – Оператор). Политика является общедоступным документом оператора и предусматривает возможность ознакомления с ней любых лиц. Действие данной политики распространяется на пользователей программы для ЭВМ "Просто учет" - система для самостоятельного ведения бухгалтерского и управленческого учета ИП или ООО. Доступ к программе осуществляется через сайт Оператора prosto-accounting.ru 1.2. Политика действует бессрочно после публикации на сайте prosto-accounting.ru/legal/privacy и до ее замены новой версией. 1.3. В политике используются термины и определения в соответствии с их значениями:

  • Аккаунт (учетная запись) — это персональная страница пользователя или личный кабинет, который создается после регистрации на сайте оператора.
  • Веб-сайт (Сайт)  – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу prosto-accounting.ru (включая любые его поддомены).
  • Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному пользователю или иному субъекту персональных данных.
  • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных.
  • Оператор – ИП Саутин Глеб Максимович, осуществляющий, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  • Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю Сервиса Просто учет.
  • Пользователь – любое физическое лицо, создающее аккаунт и получающее доступ к личному кабинету Сервиса Просто учет, либо посещающее Сервис Просто учет на сайте prosto-accounting.ru (включая любые его поддомены).
  • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
  • Просто учет (Сервис) - результат интеллектуальной деятельности - программа для ЭВМ "Просто учет" - система для самостоятельного ведения бухгалтерского и управленческого учета ИП или ООО. Исключительные права на сервис Просто учет принадлежат Оператору - ИП Саутину Глебу Максимовичу. Доступ к программе осуществляется через сайт prosto-accounting.ru
  • Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
  • Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных. 1.4. Политика распространяется на всех пользователей Сервиса оператора, а также на посетителей сайта оператора которые уже заключили договор (prosto-accounting.ru/legal/offer), а также которые ставят своей целью его заключить для получения доступа к Сервису оператора. А также на информацию, которую сайт оператора, расположенный на доменном имени prosto-accounting.ru (включая любые его поддомены), может получить от пользователей во время использования указанного сайта. Требования политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

2. СВЕДЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных оператором ведется смешанным способом: с использованием средств автоматизации и без. 2.2. Действия с персональными данными характеризуются определением обработка персональных данных, которое включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных. 2.3. Пользователь соглашается с тем, что персональные данные могут быть переданы уполномоченным органам государственной власти Российской Федерации по основаниям и в порядке, установленным законодательством Российской Федерации. 2.4. Обработка персональных данных осуществляется оператором на законной и справедливой основе, правовыми основаниями для обработки являются:

  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
  • Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
  • Лицензионное соглашение (публичная оферта) ИП Саутина Глеба Максимовича prosto-accounting.ru/legal/offer. 2.5.  Персональные данные обрабатываются исключительно в следующих целях:
  • идентификации пользователя для заключения договора на основе Лицензионного соглашения (prosto-accounting.ru/legal/offer);
  • регистрация пользователя на сайте и создание учетной записи для предоставления пользователю доступа к Сервису Просто учет;
  • установления с пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта и Сервиса Просто учет, обработки запросов и заявок от пользователя;
  • подтверждения достоверности и полноты персональных данных, предоставленных пользователем;
  • предоставление пользователю полного функционала Сервиса Просто учет;
  • осуществления иных обязательств, обусловленных Лицензионным соглашением (prosto-accounting.ru/legal/offer);
  • предоставления пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием сайта.
  • информирования пользователя с его согласия о специальных предложениях, ценах, новинках и т.п.;
  • осуществления рекламной деятельности с согласия пользователя.

2.6. К основным категориям субъектов персональных данных, чьи данные обрабатываются оператором, относятся:

  • физические лица, состоящие в гражданско-правовых отношениях с оператором;
  • физические лица, зашедшие в Сервис Просто учет через сайт prosto-accounting.ru (включая любые его поддомены);
  • физические лица, зарегистрированные на Сайте и в Сервисе оператора prosto-accounting.ru (включая любые его поддомены);

2.7.  Для указанных категорий субъектов могут обрабатываться только персональные данные пользователя, входящие в следующий перечень:

  • фамилия, имя, отчество;
  • контактная информация (номер мобильного телефона, адрес электронной почты),
  • данные о компаниях или индивидуальных предпринимателях, в интересах которых действует субъект персональных данных (Полное название компании или ФИО ИП, ИНН, ОГРН/ОГРНИП, ОКПО, ОКТМО, Система налогообложения, Код и наименование Налогового органа, Данные о расчетных счетах (включая данные о его реквизитах, остатке баланса, движении денежных средств), данных об операциях совершаемых организацией (дата; номер; наименование документа, подтверждающего операцию; сумма операции; применяемая ставка НДС и сумма НДС; код вида операции; информация о счете фактуре; наименование и реквизиты покупателей и посредников)) Указанные категории данных могут обрабатываться только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте prosto-accounting.ru (включая любые его поддомены) (включая отправку файлов и документов); направленные Оператору посредством электронной почты; полученные оператором из государственных реестров (с согласия пользователя путем выбора опций автозаполнения данных в специальных формах); полученные оператором от иных организаций по средствам api (в случае самостоятельного подключения пользователем api интеграций со сторонними сервисами через Личный кабинет в Сервисе).

2.8 Пользователь вправе передавать Оператору персональные данные третьих лиц, а также сведения о юридических лицах и индивидуальных предпринимателях, только в случае, если Пользователь обладает достаточным объёмом прав и законных оснований для такой передачи (включая доверенность, договор, согласие субъектов персональных данных или иное предусмотренное законодательством разрешение). Оператор не осуществляет активную проверку наличия у Пользователя соответствующих прав и оснований и исходит из того, что при использовании Сервиса Пользователь действует добросовестно и в рамках законодательства Российской Федерации, настоящей Политики и Лицензионного соглашения. Пользователь несёт самостоятельную ответственность за законность передачи таких данных Оператору, а также за последствия передачи персональных данных третьих лиц без надлежащего юридического основания. Оператор ответственности за такие действия Пользователя не несёт.

2.9 Правила обработки файлов cookie регулируются отдельным документом, расположенным по адресу prosto-accounting.ru/legal/cookie.

2.10. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация. При этом Оператор не осуществляет предварительную проверку достоверности персональных данных, предоставленных пользователями на сайте, но исходит из их добросовестности. В случае несогласия с условиями настоящей политики обработки персональных данных пользователь должен прекратить использование Сайта и Сервиса.

2.11. Пользователь несёт ответственность за предоставление оператору достоверных и актуальных персональных данных. В случае изменения персональных данных пользователь обязуется своевременно уведомлять оператора об их уточнении (обновлении, изменении).
Оператор не осуществляет активную проверку достоверности персональных данных, предоставленных пользователем, однако при обращении субъекта персональных данных либо его законного представителя оператор обязан уточнить, актуализировать, заблокировать либо удалить персональные данные в порядке и сроки, предусмотренные Федеральным законом «О персональных данных» и настоящей Политикой. При выявлении оператором факта предоставления пользователем недостоверных либо неполных персональных данных оператор вправе потребовать их уточнения либо ограничить функциональность сервиса до момента устранения нарушений. Лица, предоставившие оператору заведомо недостоверные сведения, несут ответственность в соответствии с законодательством Российской Федерации.

2.12. Оператор осуществляет обработку персональных данных в информационной системе персональных данных, относящейся к четвёртому уровню защищённости в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Для информационной системы, соответствующей указанному уровню защищённости, Оператор реализует организационные и технические меры безопасности, предусмотренные применимыми нормами законодательства Российской Федерации, включая меры, установленные приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также внутренними регламентами и процедурами Оператора.

2.13. Обработка и хранение персональных данных Пользователей осуществляются Оператором исключительно на серверах, технически расположенных на территории Российской Федерации, в соответствии с требованиями статьи 18.1 Федерального закона № 152-ФЗ «О персональных данных».
Персональные данные Пользователей не передаются на серверы, расположенные за пределами Российской Федерации, и не обрабатываются на технических средствах, находящихся вне территории Российской Федерации. Трансграничная передача персональных данных за пределы Российской Федерации Оператором не осуществляется.

2.14. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность. Оператор принимает необходимые организационные и технические меры для защиты персональной информации пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц. Оператор применяет организационные и технические меры безопасности, предусмотренные законодательством РФ (в том числе Постановлением Правительства РФ от 01.11.2012 № 1119 и Приказом ФСТЭК России от 18.02.2013 № 21), включая антивирусную защиту, контроль доступа, шифрование, резервное копирование, использование защищённых соединений (HTTPS), журналирование действий и др.

2.15. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки. Персональные данные пользователя хранятся до момента наступления одного из условий уничтожения или обезличивания персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующих условий:

  • достижение целей обработки персональных данных - в течение 10 календарных дней;
  • утрата необходимости в достижении целей обработки персональных данных - в течение 10 календарных дней;
  • обнаружение недостоверности или неточности в предоставленных персональных данных - в течение 10 календарных дней;
  • удаление пользователем личного аккаунта на сайте оператора – в течение 10 календарных дней;
  • отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных – с момента получения отзыва;
  • ликвидация оператора.

2.16. Персональные данные в составе документов бухгалтерского учета хранятся в сроки, установленные ФЗ-402.

2.17. Согласие на обработку персональных данных путем проставления отметки в поле «Согласен с правилами лицензионного соглашения и политики конфиденциальности и обработки персональных данных», при прохождении процедуры регистрации в сервисе Просто учет.

2.18. Оператор осуществляет регулярное резервное копирование персональных данных и иных пользовательских данных (в том числе содержащих персональные данные), размещённых в Сервисе, с периодичностью один раз в сутки. Резервные копии используются исключительно для обеспечения безопасности, сохранности и восстановления данных в случае технических сбоев или иных внештатных ситуаций.
Резервные копии хранятся в условиях, обеспечивающих их защиту от неправомерного доступа и утраты, и подлежат уничтожению или обезличиванию наравне с остальными персональными данными при наступлении любого из оснований, предусмотренных настоящей Политикой для уничтожения или прекращения обработки персональных данных.

3. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

3.1. Оператор имеет право:

  • получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
  • в случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
  • самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

3.2. Оператор обязан:

  • предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
  • организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
  • отвечать на обращения и запросы субъектов персональных данных и их законных представителей в течение 10 рабочих дней;
  • сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;
  • публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
  • принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • прекратить обработку персональных данных и уничтожить или обезличить персональные данные в порядке и случаях, предусмотренных данной Политикой и Законом о персональных данных;
  • исполнять иные обязанности, предусмотренные Законом о персональных данных.

4. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Субъекты персональных данных имеют право:

  • получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
  • требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • на отзыв согласия на обработку персональных данных;
  • обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие оператора при обработке его персональных данных;
  • на осуществление иных прав, предусмотренных законодательством РФ.

4.2. Субъекты персональных данных обязаны:

  • предоставлять оператору достоверные персональные данные;
  • сообщать оператору об уточнении (обновлении, изменении) своих персональных данных.
  • передавать Оператору персональные данные третьих лиц, а также данные организаций или индивидуальных предпринимателей, только при наличии законных оснований и в рамках предоставленных ему полномочий. Пользователь самостоятельно несёт ответственность за получение необходимых согласий, доверенностей и иных документов, подтверждающих его право на передачу таких данных. В случае нарушения указанного требования, а также в случае передачи Оператору любых данных третьих лиц без достаточного юридического основания, ответственность за такие действия несёт исключительно Пользователь в соответствии с законодательством Российской Федерации. Оператор ответственности за действия Пользователя в подобных случаях не несёт.

4.3. Лица, передавшие оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

5. Порядок действий при инцидентах безопасности персональных данных

5.1. В случае выявления инцидента информационной безопасности, затрагивающего персональные данные (включая случаи несанкционированного доступа, утраты, искажения, блокирования или распространения персональных данных), Оператор действует в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», Указом Президента РФ от 01.05.2019 № 187 и иными нормативными актами Российской Федерации.

5.2. Оператор обеспечивает выполнение следующих действий:

  • Немедленное реагирование (фиксация инцидента; локализация угрозы; принятие мер по предотвращению дальнейшего распространения последствий)
  • Установление причин и оценка ущерба (проведение анализа причин инцидента; оценка масштаба затрагиваемых данных; определение субъектов, чьи данные могли быть затронуты)
  • Восстановление работоспособности (восстановление данных из резервных копий (если требуется); восстановление корректной работы информационной системы)
  • Информирование уполномоченных органов и субъектов персональных данных (направление уведомления в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) в случаях и порядке, предусмотренных законодательством Российской Федерации; уведомление субъектов персональных данных, если инцидент затрагивает их права и законные интересы)
  • Принятие мер по предотвращению повторных инцидентов (корректировка организационных и технических мер защиты; усиление контроля доступа, протоколов безопасности, процедур администрирования)

5.3. Оператор фиксирует инциденты информационной безопасности в соответствии с внутренними регламентами и обеспечивает документирование всех действий, предпринятых при их устранении.

  1. РОЛИ И ОТВЕТСТВЕННОСТЬ

6.1. Оператор, не исполнивший свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 2.3. и 6.2. настоящей Политики конфиденциальности.

6.2. В случае утраты или разглашения персональных данных Оператор не несёт ответственность, если данная информация:

  • стала публичным достоянием до её утраты или разглашения;
  • была получена от третьей стороны до момента её получения Оператором;
  • была разглашена с согласия Пользователя.

6.3. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

6.4. Оператор вправе вносить изменения в настоящую политику обработки персональных данных без согласия субъекта персональных данных.

6.5. Актуальная версия политики в свободном доступе расположена в сети интернет по адресу prosto-accounting.ru/legal/privacy

6.6. Предложения и замечания для внесения изменений в политику следует направлять по адресу электронной почты “customers@prosto-accounting.ru