Политика обработки персональных данных
Разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1. Оператор персональных данных
Оператором персональных данных, обрабатываемых при использовании настоящего сервиса, является:
- Наименование: __ЗАПОЛНИТ ОПЕРАТОР__
- ИНН/ОГРН(ИП): __ЗАПОЛНИТ ОПЕРАТОР__
- Адрес местонахождения: __ЗАПОЛНИТ ОПЕРАТОР__
- Контактный email для обращений субъектов ПДн: __ЗАПОЛНИТ ОПЕРАТОР__
2. Цели обработки персональных данных
- заключение и исполнение договора оказания услуг между клиентом и специалистом, использующим сервис;
- идентификация клиента при подписании документов простой электронной подписью (ФЗ-63 ст.9 ч.2);
- формирование и хранение юридически значимых документов (договор, приложения, протокол подписания);
- администрирование деятельности сервиса, ведение журнала действий с персональными данными;
- исполнение требований законодательства (в том числе хранение документов в течение срока исковой давности).
3. Категории субъектов и персональных данных
Обрабатываются персональные данные клиентов специалистов, использующих сервис для подписания документов, а именно:
- фамилия, имя, отчество;
- паспортные данные (серия, номер, дата выдачи, орган выдачи);
- адрес регистрации;
- номер мобильного телефона;
- адрес электронной почты;
- изображение графического начертания подписи, поставленной в интерфейсе сервиса;
- технические данные, сопутствующие подписанию (IP-адрес, отметки времени, идентификатор устройства/браузера) — фиксируются как часть протокола подписания.
4. Правовые основания обработки
- согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ) — с момента предоставления клиентом своих данных и до момента идентификации/подписания документов;
- исполнение договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 152-ФЗ, ст. 9 ч. 2 ФЗ-63 «Об электронной подписи») — с момента подтверждения личности клиента (идентификации) и подписания документов; на этом основании данные хранятся в течение срока исковой давности независимо от последующего отзыва согласия.
5. Перечень действий с персональными данными
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение — как с использованием средств автоматизации, так и без их использования.
6. Место хранения и сроки обработки
Персональные данные обрабатываются и хранятся на серверах, расположенных на территории Российской Федерации (152-ФЗ ст.18 ч.5) — см. также «Требование локализации» в docs/compliance/data-localization.md.
- если сессия подписания не завершена подписанием (клиент не подтвердил личность/не подписал документы) — данные удаляются не позднее 30 дней с момента создания сессии или сразу по отзыву согласия;
- если документы подписаны — данные хранятся в течение 3 лет (срок исковой давности по ст. 196 ГК РФ) с момента подписания, после чего подлежат удалению;
- демонстрационные (тестовые) сессии — данные удаляются по истечении срока действия демонстрационной ссылки.
7. Права субъекта персональных данных
Субъект персональных данных вправе:
- получать информацию, касающуюся обработки его персональных данных;
- требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать согласие на обработку персональных данных;
- обжаловать действия или бездействие оператора в Роскомнадзор или в судебном порядке.
Порядок отзыва согласия. До момента идентификации клиента и подписания документов согласие можно отозвать самостоятельно по ссылке на подписание — кнопкой «Отозвать согласие на обработку персональных данных»; в этом случае персональные данные удаляются немедленно, а сессия подписания отменяется (см. страницу «Согласие на обработку персональных данных»). После идентификации/подписания документов обработка ведётся на основании исполнения договора — отзыв согласия в этом случае не влечёт удаление данных до истечения срока хранения (см. раздел 6); для иных обращений (уточнение данных, вопросы о хранении) следует обратиться к специалисту, оформившему сессию, либо к оператору по контактам из раздела 1.
8. Меры по обеспечению безопасности
- шифрование персональных данных при хранении (AES-256-GCM) — открытым текстом персональные данные в базе данных не хранятся;
- разграничение доступа: каждый специалист (арендатор сервиса) видит только свои сессии и данные своих клиентов;
- журналирование действий с персональными данными (доступ, отзыв согласия, удаление) без хранения самих персональных данных в журнале;
- ограниченный срок действия и однократное использование ссылок на подписание;
- удаление персональных данных по истечении сроков хранения либо по отзыву согласия.
Настоящая Политика может быть изменена оператором. Актуальная версия всегда доступна по адресу /legal/privacy.