Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных Пользователей платформы tutkontrol.ru Обществом с ограниченной ответственностью «АВГУСТ» (далее — «Оператор»), ОГРН 1267700144656, ИНН 9709134554, юридический адрес: 109004, г. Москва, Муниципальный округ Таганский, ул. Александра Солженицына, д. 11, стр. 1.
Политика является общедоступным документом и размещается по адресу tutkontrol.ru/privacy. Использование Платформы означает безоговорочное согласие с положениями настоящей Политики.
1. Общие положения
1.1. Обработка персональных данных Пользователей осуществляется Оператором на основании следующих правовых актов: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; Приказ ФСТЭК России от 18.02.2013 № 21.
1.2. Политика распространяется на всех Пользователей Платформы — физических лиц (Специалистов, Соискателей), юридических лиц и индивидуальных предпринимателей (Организаций), а также на любых иных лиц, персональные данные которых обрабатываются Оператором в связи с функционированием Платформы.
1.3. Оператор вправе в одностороннем порядке изменять настоящую Политику. Актуальная редакция всегда доступна на tutkontrol.ru/privacy. Продолжение использования Платформы после публикации изменений означает согласие с новой редакцией Политики.
1.4. Ответственный за организацию обработки персональных данных в ООО «АВГУСТ» — лицо, назначенное приказом Генерального директора. Контактный адрес для обращений по вопросам обработки персональных данных: privacy@tutkontrol.ru.
2. Категории обрабатываемых персональных данных
2.1. Оператор обрабатывает следующие категории персональных данных Пользователей.
2.2. Персональные данные, предоставляемые всеми Пользователями при регистрации и использовании Платформы:
- идентификатор и данные внешней системы авторизации (VK ID, Яндекс ID, СНИЛС — через Госуслуги / ЕСИА, СберID, Альфа-ID) — в объеме, предоставляемом соответствующим сервисом;
- номер телефона;
- адрес электронной почты;
- имя пользователя (отображаемое в профиле);
- технические данные: IP-адрес, тип и версия браузера, операционная система, тип и идентификатор устройства, файлы cookie, данные о действиях на Платформе (просмотры, поисковые запросы, клики).
2.3. Персональные данные, предоставляемые Специалистами дополнительно при заполнении Профиля:
- фамилия, имя, отчество;
- профессиональная специализация, описание опыта и навыков;
- сведения о документах, подтверждающих квалификацию: номера сертификатов, дипломов, аттестатов; наименования выдавших организаций; даты выдачи и истечения срока действия;
- фотография (аватар);
- портфолио (тексты, изображения, ссылки);
- контактные данные в объёме, предусмотренном тарифным планом;
- ИИН;
- банковские реквизиты;
- рейтинг и полученные отзывы.
2.4. Персональные данные, предоставляемые Организациями дополнительно:
- полное официальное наименование и организационно-правовая форма / фамилия, имя, отчество индивидуального предпринимателя;
- ИНН, ОГРН (ОГРНИП);
- юридический и фактический адреса;
- фамилия, имя, отчество и должность уполномоченного представителя;
- контактные данные представителя (телефон, адрес электронной почты);
- банковские реквизиты — при использовании платных услуг и выставлении закрывающих документов.
2.5. Оператор не обрабатывает специальные категории персональных данных, указанные в статье 10 ФЗ № 152-ФЗ (сведения о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни), за исключением случаев, когда их предоставление обусловлено законодательством или явным волеизъявлением субъекта.
2.6. Биометрические персональные данные Оператором не обрабатываются.
3. Цели и правовые основания обработки
3.1. Оператор обрабатывает персональные данные исключительно для достижения конкретных, заранее определённых и законных целей. Обработка персональных данных, несовместимая с целями их сбора, не допускается.
3.2. Цели обработки и соответствующие им правовые основания:
- регистрация, идентификация и аутентификация Пользователя на Платформе — исполнение договора (пункт 5 части 1 статьи 6 ФЗ № 152-ФЗ);
- формирование и отображение публичного Профиля Пользователя — исполнение договора; согласие субъекта;
- верификация квалификации Специалиста, в том числе посредством запроса в учебное заведение или орган по сертификации, — согласие субъекта (пункт 1 части 1 статьи 6 ФЗ № 152-ФЗ);
- оказание Платных услуг, проведение расчётов, выставление закрывающих документов — исполнение договора; соблюдение требований налогового и бухгалтерского законодательства (статья 23 НК РФ, Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»);
- направление сервисных уведомлений, связанных с работой Аккаунта, — исполнение договора;
- направление маркетинговых и информационных рассылок — согласие субъекта;
- обработка обращений, жалоб и претензий Пользователей — исполнение договора; законный интерес Оператора (пункт 6 части 1 статьи 6 ФЗ № 152-ФЗ);
- обеспечение безопасности Платформы, предотвращение мошенничества и несанкционированного доступа — законный интерес Оператора;
- анализ использования Платформы, улучшение функциональности и пользовательского опыта — законный интерес Оператора; согласие субъекта (в части cookie-трекеров);
- исполнение обязательств и требований, установленных законодательством Российской Федерации, — выполнение требований закона (пункт 2 части 1 статьи 6 ФЗ № 152-ФЗ).
3.3. Оператор не принимает на основании исключительно автоматизированной обработки персональных данных решений, влекущих юридические последствия для субъектов персональных данных или иным образом затрагивающих их права и законные интересы, без участия человека.
4. Сроки хранения персональных данных
4.1. Персональные данные хранятся не дольше, чем этого требуют цели их обработки, если иное не предусмотрено законодательством Российской Федерации.
4.2. Сроки хранения персональных данных по категориям:
- данные, обрабатываемые на основании согласия субъекта, — до момента отзыва согласия или истечения трёх лет с последней активности Пользователя на Платформе, в зависимости от того, что наступит раньше;
- данные, обрабатываемые в связи с исполнением договора, — в течение срока исполнения договора и трёх лет после его прекращения;
- данные, необходимые для исполнения требований налогового и бухгалтерского законодательства (документы о платёжных операциях), — пять лет с момента совершения соответствующей операции;
- технические данные (IP-адреса, логи действий) — не более одного года;
- данные, необходимые для рассмотрения претензий и судебных споров, — до истечения срока исковой давности или вступления в законную силу судебного акта, завершающего производство по делу.
4.3. По истечении установленных сроков персональные данные уничтожаются или обезличиваются в порядке, установленном внутренними регламентами Оператора и требованиями законодательства.
5. Передача персональных данных третьим лицам
5.1. Оператор не продаёт, не раскрывает и не передаёт персональные данные Пользователей третьим лицам в коммерческих целях, не связанных с оказанием услуг Пользователям.
5.2. Передача персональных данных третьим лицам допускается в следующих случаях:
- системам внешней авторизации (ПАО «ВКонтакте», ООО «Яндекс», Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации — оператор ЕСИА, ПАО «Сбербанк», АО «Альфа-Банк») — в объёме, необходимом для аутентификации Пользователя;
- учебным заведениям и органам по сертификации и аттестации — исключительно при наличии явного согласия Пользователя, оформленного в соответствии с требованиями ФЗ № 152-ФЗ, для целей верификации квалификации;
- платёжным операторам и эквайерам — в объёме, необходимом для проведения расчетов; при этом обработка платёжных данных осуществляется непосредственно платежным оператором в соответствии с его собственной политикой конфиденциальности и требованиями стандарта PCI DSS; Оператор не хранит данные банковских карт Пользователей;
- облачным провайдерам, провайдерам хостинга, CDN, почтовых и SMS-сервисов — на основании договоров об обработке персональных данных, содержащих требования о конфиденциальности и безопасности данных;
- уполномоченным государственным органам — по обоснованным запросам в соответствии с применимым законодательством Российской Федерации (Роскомнадзор, органы прокуратуры, следственные органы, суды); Оператор вправе уведомить Пользователя о соответствующем запросе, если это не противоречит требованиям закона или решению государственного органа.
5.3. Все получатели персональных данных принимают на себя обязательства по соблюдению требований ФЗ № 152-ФЗ в части конфиденциальности и безопасности персональных данных. Договоры с обработчиками персональных данных содержат условия об ответственности за нарушение указанных требований.
5.4. При привлечении к обработке персональных данных обработчиков, действующих от имени Оператора, последний несёт ответственность за действия обработчика перед субъектами персональных данных в пределах, установленных ФЗ № 152-ФЗ.
6. Трансграничная передача персональных данных
6.1. Оператор принимает меры к тому, чтобы первичная запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществлялись с использованием баз данных, расположенных на территории Российской Федерации, в соответствии с частью 5 статьи 18 ФЗ № 152-ФЗ.
6.2. Трансграничная передача персональных данных допускается исключительно в государства, обеспечивающие адекватную защиту прав субъектов персональных данных (статья 12 ФЗ № 152-ФЗ), либо при условии получения предварительного письменного согласия субъекта персональных данных на такую передачу, либо при наличии иного правового основания, предусмотренного ФЗ № 152-ФЗ.
6.3. Перечень иностранных государств, в которые может осуществляться трансграничная передача персональных данных, а также правовые основания такой передачи определяются внутренними регламентами Оператора и актуализируются по мере необходимости.
7. Меры защиты персональных данных
7.1. Оператор принимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий.
7.2. Технические меры защиты включают:
- шифрование данных при передаче с использованием протокола TLS (HTTPS) версии не ниже 1.2;
- шифрование критически важных данных при хранении;
- разграничение прав доступа сотрудников Оператора к персональным данным на основе принципа минимальных привилегий;
- использование сертифицированных средств защиты информации (при необходимости);
- регулярные проверки защищённости информационных систем и проведение оценки угроз;
- ведение журналов доступа к персональным данным.
7.3. Организационные меры защиты включают:
- назначение ответственного за организацию обработки персональных данных;
- обучение сотрудников, осуществляющих обработку персональных данных, требованиям ФЗ № 152-ФЗ;
- разработку и актуализацию внутренних регламентов по защите персональных данных;
- контроль за выполнением мер по защите персональных данных.
7.4. В случае выявления инцидента, связанного с нарушением безопасности персональных данных, Оператор обязуется в течение 24 часов уведомить об этом Роскомнадзор в порядке, предусмотренном статьёй 21 ФЗ № 152-ФЗ, а также в разумный срок уведомить затронутых Пользователей.
8. Права субъектов персональных данных
8.1. В соответствии со статьями 14–17 ФЗ № 152-ФЗ Пользователь как субъект персональных данных имеет следующие права:
- право на получение информации об обработке персональных данных, в том числе о составе обрабатываемых данных, целях обработки, сроках хранения, получателях данных;
- право на уточнение персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- право на блокирование персональных данных на период проверки в случае выявления указанных обстоятельств;
- право на уничтожение персональных данных в случаях, предусмотренных ФЗ № 152-ФЗ;
- право на отзыв согласия на обработку персональных данных, если обработка осуществлялась на основании согласия субъекта; при этом отзыв не влияет на законность обработки, осуществлённой до его получения Оператором;
- право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
8.2. Для реализации прав, указанных в пункте 8.1, Пользователь направляет письменный запрос по адресу: privacy@tutkontrol.ru. Запрос должен содержать: фамилию, имя, отчество субъекта персональных данных; номер документа, удостоверяющего личность, или иной идентифицирующий признак; сведения о представителе субъекта и документ, подтверждающий его полномочия (при подаче запроса через представителя); подпись субъекта персональных данных или его представителя.
8.3. Оператор рассматривает запрос в течение 30 (тридцати) рабочих дней с даты его получения и направляет мотивированный ответ. Срок рассмотрения может быть продлён Оператором на 30 рабочих дней при наличии обоснованных причин, о чём Пользователь уведомляется.
8.4. Оператор вправе отказать в удовлетворении запроса, если его исполнение противоречит требованиям законодательства, включая случаи, когда хранение или обработка персональных данных необходимы для исполнения требований закона, защиты прав Оператора или третьих лиц.
9. Файлы cookie и автоматически собираемые данные
9.1. Платформа использует файлы cookie и аналогичные технологии для обеспечения функциональности, сбора аналитики и персонализации. Порядок использования файлов cookie определяется Политикой использования файлов cookie, размещённой по адресу tutkontrol.ru/cookies, которая является частью настоящей Политики.
9.2. Файлы cookie, необходимые для технического функционирования Платформы, устанавливаются автоматически на основании законного интереса Оператора. Использование аналитических и маркетинговых cookie осуществляется исключительно при наличии согласия Пользователя, выраженного через инструмент управления настройками cookie.
9.3. Оператор вправе использовать обезличенные и агрегированные данные о поведении Пользователей на Платформе для улучшения функциональности, разработки новых функций и маркетинговых коммуникаций без ограничений, поскольку такие данные не позволяют идентифицировать конкретного Пользователя.
10. Маркетинговые коммуникации
10.1. Оператор вправе направлять Пользователю маркетинговые и информационные рассылки (по электронной почте, в push-уведомлениях) при условии получения явного согласия Пользователя в момент регистрации или при последующей подписке.
10.2. Пользователь вправе в любое время отказаться от маркетинговых рассылок, нажав кнопку «Отписаться» в полученном письме или обратившись по адресу privacy@tutkontrol.ru. Отказ от маркетинговых рассылок не влечёт прекращения направления Пользователю сервисных уведомлений, связанных с работой его Аккаунта.
11. Обращения и жалобы
11.1. По всем вопросам, связанным с обработкой персональных данных, Пользователь вправе обратиться к Оператору:
- по электронной почте: privacy@tutkontrol.ru;
- почтовым отправлением по юридическому адресу Оператора: 109004, г. Москва, Муниципальный округ Таганский, ул. Александра Солженицына, д. 11, стр. 1 (с пометкой «Персональные данные»).
11.2. Пользователь вправе обратиться с жалобой на действия (бездействие) Оператора в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): www.rkn.gov.ru, тел.: 8-800-222-15-00.
12. Заключительные положения
12.1. Настоящая Политика составлена на русском языке и регулируется законодательством Российской Федерации. При наличии версий Политики на иных языках русскоязычная версия имеет приоритет.
12.2. Если какое-либо положение настоящей Политики будет признано недействительным или неприменимым, это не влечёт недействительности иных её положений.
12.3. Настоящая Политика вступает в силу с момента её публикации на tutkontrol.ru/privacy и действует до принятия новой редакции.
Реквизиты оператора
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «АВГУСТ»
ОГРН: 1267700144656
ИНН / КПП: 9709134554 / 770901001
Юридический адрес: 109004, г. Москва, Муниципальный округ Таганский, ул. Александра Солженицына, д. 11, стр. 1
E-mail (ПД): privacy@tutkontrol.ru
Сайт: tutkontrol.ru