Политика обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение Политики

1.1.1. Настоящая Политика в отношении обработки персональных данных (далее — «Политика») разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон № 152-ФЗ») и определяет:

• цели, правовые основания, способы и сроки обработки персональных данных;
• категории субъектов и состав обрабатываемых персональных данных;
• права субъектов персональных данных и порядок их реализации;
• меры, принимаемые Оператором для защиты персональных данных;
• порядок взаимодействия с субъектами персональных данных и уполномоченным органом.

1.1.2. Политика устанавливает обязательные для исполнения всеми работниками и привлечёнными лицами Оператора правила обработки персональных данных.

1.1.3. Политика является общедоступным документом. Действующая редакция Политики размещается в свободном доступе на официальном сайте Оператора, адрес которого указан в разделе 2 настоящей Политики (часть 2 статьи 18.1 Закона № 152-ФЗ).

1.1.4. Настоящая Политика устанавливает категории, принципы и общие правила обработки персональных данных. Конкретные перечни (перечень обработчиков, перечень информационных систем персональных данных, перечень мест хранения, перечень лиц, имеющих доступ к персональным данным) ведутся Оператором в отдельных документах, утверждаемых приказами генерального директора. Это позволяет оперативно актуализировать данные перечни без переутверждения настоящей Политики при подключении новых обработчиков, изменении состава информационных систем или иных операционных изменениях.

1.2. Применяемое законодательство

При разработке настоящей Политики и осуществлении обработки персональных данных Оператор руководствуется следующими нормативными правовыми актами:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе» (в части регулирования маркетинговых коммуникаций);
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — «ПП-1119»);
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее — «Приказ ФСТЭК № 21»);
• Приказ ФСБ России от 10.07.2014 № 378 (в части применения средств криптографической защиты);
• Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешённых субъектом для распространения»;
• иные нормативные правовые акты Российской Федерации в области персональных данных.

1.3. Термины и определения

В целях настоящей Политики применяются следующие термины:

• Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных) — статья 3 Закона № 152-ФЗ.
• Оператор — Общество с ограниченной ответственностью «ВЕРКТ», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, определяющее цели обработки, состав персональных данных и действия (операции), совершаемые с ними.
• Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без таковых, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
• Субъект ПД — физическое лицо, к которому относятся персональные данные.
• Согласие на обработку ПД — свободное, конкретное, информированное и сознательное волеизъявление субъекта на обработку его персональных данных (статья 9 Закона № 152-ФЗ).
• Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
• Уровень защищённости ПД (УЗ) — комплексный показатель, характеризующий требования к защите персональных данных при их обработке в ИСПДн (определяется в соответствии с ПП-1119).
• Поручение обработки — передача Оператором обработки персональных данных другому лицу с согласия субъекта ПД (если иное не предусмотрено законом) на основании договора (часть 3 статьи 6 Закона № 152-ФЗ).
• Обработчик (sub-processor) — лицо, осуществляющее обработку персональных данных по поручению Оператора.
• Заказчик — юридическое лицо, индивидуальный предприниматель или физическое лицо, заключившее с Оператором договор на выполнение работ (оказание услуг) по разработке программного обеспечения, технической поддержке, консалтингу.
• Cookies (файлы cookie) — небольшие текстовые файлы, размещаемые на устройстве пользователя при посещении веб-ресурсов Оператора (если применимо).
• Сайт — официальный сайт Оператора в сети «Интернет», адрес которого указан в разделе 2 настоящей Политики.
• Собственные программные продукты (издаваемые продукты) — программное обеспечение (мобильные, веб-, десктоп-приложения, библиотеки, сервисы), которое Оператор разрабатывает за свой счёт и под своим именем, публикует, распространяет или предоставляет в пользование третьим лицам.
• Магазин приложений — площадка распространения мобильных и иных приложений, в том числе Apple App Store (Apple Inc.), Google Play (Google LLC), RuStore (АО «РуСтор»), Huawei AppGallery (Huawei Technologies), иные аналогичные площадки.
• SaaS-сервис — программное обеспечение, предоставляемое Оператором в качестве услуги по подписной модели через сеть «Интернет», без передачи копии программы пользователю.
• Лицензиат — физическое или юридическое лицо, которому Оператор предоставил право использования собственного программного продукта на основании лицензионного договора или договора присоединения (в том числе через магазины приложений).
• Подписчик SaaS — физическое или юридическое лицо (а в случае юридического лица — его представитель — пользователь), оформившее доступ к SaaS-сервису Оператора на условиях оферты или иного договора.
• Конечный пользователь — физическое лицо, фактически использующее собственное приложение, программный продукт или SaaS-сервис Оператора независимо от того, заключал ли это лицо договор непосредственно с Оператором.
• Бета-тестировщик — физическое лицо, привлекаемое к закрытому или открытому тестированию программного продукта Оператора (в том числе через TestFlight, Google Play Internal/Closed/Open Testing, RuStore тестирование, иные платформы) на этапе разработки или предрелизного тестирования.
• Участник обучающей программы — физическое лицо, проходящее у Оператора или с участием Оператора обучение, тренинг, семинар, мастер-класс, курс, в том числе в дистанционном формате.
• Связанная компания (компания группы) — юридическое лицо, находящееся под общим контролем (в том числе через состав участников или органов управления) с Оператором, либо иным образом признаваемое связанным в соответствии с применимым корпоративным или налоговым законодательством.
• APNs (Apple Push Notification service) — служба push-уведомлений Apple Inc., используемая для отправки уведомлений на устройства под управлением iOS, iPadOS, macOS.
• FCM (Firebase Cloud Messaging) — служба push-уведомлений Google LLC, используемая для отправки уведомлений на устройства под управлением Android и иные платформы.
• Device token / push-токен — технический идентификатор экземпляра приложения, установленного на конкретном устройстве, используемый для адресации push-уведомлений; самостоятельно не идентифицирует субъекта персональных данных.

1.4. Сфера действия Политики

1.4.1. Политика распространяется на отношения по обработке Оператором всех персональных данных, обрабатываемых им как с использованием средств автоматизации, так и без использования таких средств.

1.4.2. Настоящая Политика регулирует обработку персональных данных Оператором в двух различных ролях:

(а) в качестве самостоятельного оператора — в отношении персональных данных представителей Заказчиков и иных контрагентов, привлечённых исполнителей (ИП, самозанятые, фрилансеры), соискателей, работников Оператора, посетителей Сайта Оператора, подписчиков рассылок, конечных пользователей собственных программных продуктов и SaaS-сервисов Оператора, лицензиатов, участников обучающих программ, бета-тестировщиков и иных лиц, перечисленных в разделе 4;

(б) в качестве лица, осуществляющего обработку по поручению Заказчика — в отношении персональных данных, обработка которых осуществляется в рамках разработки, сопровождения, хостинга, технической поддержки, аудита, консалтинга, миграции или системной интеграции в интересах Заказчика, если такая деятельность предполагает работу с реальными персональными данными конечных пользователей Заказчика.

Особенности обработки в роли (б) определены в разделе 7 настоящей Политики. Распределение ролей по видам деятельности приведено в подразделе 1.5.

1.5. Виды деятельности Оператора и роли в обработке персональных данных

1.5.1. Оператор осуществляет деятельность в области информационных технологий в пределах кодов ОКВЭД, заявленных в Едином государственном реестре юридических лиц, в том числе: 62.01 «Разработка компьютерного программного обеспечения» (основной), 58.29 «Издание прочих программных продуктов», 62.02 «Деятельность консультативная и работы в области компьютерных технологий», 62.09 «Деятельность, связанная с использованием вычислительной техники и информационных технологий, прочая». В рамках указанных видов деятельности Оператор вправе оказывать полный спектр услуг в области ИТ и осуществлять, в том числе, следующие сценарии деятельности:

(1) Разработка программного обеспечения на заказ (заказная разработка) — выполнение работ по созданию, доработке, модификации программного обеспечения по техническому заданию Заказчика; (2) Издание собственных программных продуктов — публикация под своим именем мобильных, веб- и десктоп-приложений, библиотек и иных программных продуктов, предоставление лицензий на их использование конечным пользователям; (3) Публикация мобильных и иных приложений в магазинах приложений — размещение собственных приложений в Apple App Store, Google Play, RuStore, Huawei AppGallery и иных аналогичных площадках в качестве разработчика/издателя; (4) Хостинг и сопровождение разработанных систем — managed-hosting, эксплуатация и сопровождение информационных систем, разработанных Оператором или иными лицами, в инфраструктуре Оператора или иной инфраструктуре в интересах Заказчика; (5) Предоставление SaaS-услуг и собственных веб-сервисов — оказание услуг по подписной (или иной) модели через веб-интерфейс, без передачи копии программного обеспечения пользователю; (6) ИТ-консалтинг и аудит — анализ существующих систем Заказчика, аудит безопасности, оценка соответствия требованиям, подготовка рекомендаций по архитектуре и иные консультативные услуги; (7) Техническая поддержка пользователей — приём, обработка и разрешение обращений конечных пользователей по продуктам Оператора и (или) Заказчиков, как от имени Заказчика, так и от своего имени; (8) Обучение и тренинги — корпоративное и индивидуальное обучение разработчиков и иных специалистов, проведение тренингов, мастер-классов, семинаров, курсов, в том числе в дистанционном формате; (9) Системная интеграция — интеграция информационных систем Заказчика между собой и со сторонними системами, миграция данных между системами; (10) Кастомизация и доработка готового программного обеспечения — настройка, локализация и адаптация существующих программных продуктов под потребности Заказчика; (11) Внутригрупповая разработка и сопровождение — выполнение работ и оказание услуг для связанных компаний (компаний группы) на основании внутригрупповых соглашений (см. подраздел 7.6); (12) Прочая деятельность в области информационных технологий, не противоречащая законодательству Российской Федерации и не требующая отдельного лицензирования.

1.5.2. В зависимости от характера конкретного сценария Оператор выступает либо самостоятельным оператором персональных данных, либо лицом, осуществляющим обработку по поручению Заказчика, либо (по согласованию с Заказчиком) участником совместной обработки. Базовое распределение ролей приведено в нижеследующей таблице.

1.5.3. При совмещении нескольких ролей в рамках одного проекта Оператор обеспечивает разграничение обработки персональных данных по целям, основаниям и наборам данных и не допускает объединения баз данных с несовместимыми целями обработки (часть 3 статьи 5 Закона № 152-ФЗ).

1.5.4. Конкретное распределение ролей по конкретному Заказчику или продукту фиксируется договором, поручением обработки и (или) соглашением о совместной обработке, оформляемыми в соответствии с разделом 7 настоящей Политики.

2. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ

3. ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Цели обработки

В соответствии с пунктом 2 части 1 статьи 5 Закона № 152-ФЗ обработка персональных данных Оператором ограничивается достижением конкретных, заранее определённых и законных целей. Оператор обрабатывает персональные данные в следующих целях:

3.1.1. Заключение и исполнение договоров с Заказчиками, контрагентами, исполнителями:

• преддоговорная переписка, переговоры, согласование коммерческих и технических условий;
• заключение и исполнение договоров на разработку программного обеспечения по заказу (заказная разработка);
• сопровождение, техническая поддержка и модификация разработанного программного обеспечения;
• консалтинг и иные сопутствующие услуги в области информационных технологий;
• подписание соглашений о неразглашении (NDA), дополнительных соглашений, технических заданий, актов;
• субподряд и привлечение исполнителей.

3.1.2. Связь и коммуникация с субъектами по любым каналам — телефон, email, мессенджеры (Telegram, WhatsApp и иные), видеосвязь, формы обратной связи, системы совместной работы (системы управления проектами).

3.1.3. Маркетинговая коммуникация — направление информационных и рекламных сообщений о продуктах и услугах Оператора (email-рассылки, сообщения в мессенджерах, при необходимости — SMS) — только при наличии согласия субъекта (см. раздел 3.4).

3.1.4. Обмен документами с контрагентами, включая выставление счетов, подписание актов выполненных работ, обмен закрывающими документами, технической документацией.

3.1.5. Веб-аналитика и улучшение пользовательского опыта — на официальном сайте Оператора возможно использование cookies и метрик для анализа поведения посетителей (см. раздел 3.5 о cookies).

3.1.6. Поддержка и обработка обращений — приём и обработка обращений и запросов через email, мессенджеры, формы обратной связи.

3.1.6.1. Сбор персональных данных через формы обратной связи на Сайте (если/когда они будут размещены — контактная форма, форма для расчёта проекта, форма заявки на консультацию) — приём от субъекта имени, адреса электронной почты, номера телефона и текста обращения в целях: ответа на обращение; обработки заявки на расчёт проекта; информирования о статусе обработки обращения; направления коммерческого предложения; преддоговорной работы.

3.1.7. Привлечение и сопровождение подрядчиков, фрилансеров, самозанятых — заключение и исполнение гражданско-правовых договоров с привлечёнными исполнителями, выплата вознаграждений, обмен отчётностью и техническими артефактами.

3.1.8. Бухгалтерский и налоговый учёт, расчёты с контрагентами — выставление и оплата счетов, формирование платежей, учёт в бухгалтерских системах, формирование отчётности.

3.1.9. Подбор и трудоустройство персонала — приём и рассмотрение откликов на вакансии, проведение собеседований, оформление трудовых отношений (по мере появления работников и потребности в найме).

3.1.10. Обучение и развитие работников — внутреннее обучение, повышение квалификации, аттестация.

3.1.11. Кадровый учёт и исполнение обязанностей работодателя — заключение, изменение, прекращение трудовых договоров; начисление и выплата заработной платы; ведение кадровой документации.

3.1.12. Проведение опросов, исследований, оценок удовлетворённости — для Заказчиков и привлечённых исполнителей; сбор обратной связи о качестве работ и сотрудничества.

3.1.13. Безопасность информационных систем Оператора — логирование действий, разграничение доступа к репозиториям кода и проектным средам, обнаружение и предотвращение неправомерного доступа.

3.1.14. Выполнение требований законодательства и обязательств перед государственными органами — представление сведений по запросам Роскомнадзора, ФНС, ФСБ, СФР, органов следствия, суда; выполнение обязанностей IT-аккредитованной организации (при наличии аккредитации).

3.1.15. Защита прав и законных интересов Оператора — досудебное и судебное взыскание задолженности, защита в спорах, обеспечение исполнения обязательств.

3.1.16. Обработка персональных данных по поручению Заказчика — в случаях, когда это предусмотрено договором на разработку, сопровождение, хостинг, техническую поддержку, аудит, консалтинг, миграцию или системную интеграцию (см. раздел 7).

3.1.17. Издание, распространение и сопровождение собственных программных продуктов:

• регистрация и ведение учётных записей пользователей собственных приложений и сервисов;
• предоставление пользователю права использования программного продукта на основании лицензионного договора (в том числе договора присоединения);
• продажа лицензий и выпуск обновлений;
• информирование пользователей о существенных условиях использования, об обновлениях, о критических уязвимостях и о прекращении поддержки;
• обеспечение работоспособности и сопровождение собственных программных продуктов.

3.1.18. Предоставление SaaS-услуг (собственных веб-сервисов) Оператором:

• регистрация и аутентификация пользователей сервиса;
• обеспечение работоспособности сервиса и доступности функционала, предусмотренного тарифом;
• обработка операций (биллинг, выставление счетов, проведение платежей через привлечённых платёжных провайдеров);
• предоставление пользователю отчётов и аналитики о его собственной активности в сервисе;
• информирование пользователя о статусе сервиса, плановых работах, инцидентах, изменениях условий использования.

3.1.19. Публикация собственных приложений в магазинах приложений (Apple App Store, Google Play, RuStore, Huawei AppGallery, иные аналогичные площадки):

• соблюдение требований магазинов приложений к разработчикам, в том числе требований по раскрытию правил обработки данных (privacy nutrition labels, Data safety form и аналогичных);
• идентификация устройств пользователей для целей доставки приложения, обновлений и push-уведомлений;
• получение и обработка обратной связи, оценок и отзывов через магазины приложений.

3.1.20. Отправка push-уведомлений и иных служебных уведомлений пользователям собственных приложений и сервисов — в порядке, установленном подразделом 3.6 настоящей Политики.

3.1.21. Оказание услуг хостинга и managed services в интересах Заказчика:

• размещение и эксплуатация информационных систем Заказчика;
• обеспечение работоспособности, отказоустойчивости и резервного копирования;
• мониторинг работоспособности и реагирование на инциденты в системах Заказчика;
• администрирование инфраструктуры в объёме, согласованном с Заказчиком.

3.1.22. ИТ-консалтинг, аудит, оценка соответствия:

• анализ существующих информационных систем Заказчика;
• проведение аудита безопасности, оценки рисков, оценки соответствия требованиям (в том числе требованиям к защите персональных данных);
• подготовка отчётов, рекомендаций и заключений;
• сопровождение внедрения рекомендованных изменений.

3.1.23. Системная интеграция и миграция данных — выполнение работ по интеграции информационных систем Заказчика между собой и со сторонними системами, миграция данных между системами, включая возможную обработку реальных персональных данных конечных пользователей Заказчика по его поручению.

3.1.24. Кастомизация и доработка готового программного обеспечения — настройка, локализация, адаптация и сопровождение программных продуктов под потребности Заказчика, включая возможную работу с реальными данными в средах Заказчика.

3.1.25. Техническая поддержка пользователей собственных продуктов и продуктов Заказчиков:

• приём, регистрация, классификация и разрешение обращений пользователей;
• сбор диагностической информации (в том числе технических журналов, скриншотов, видеозаписей экрана, при предоставлении субъектом) для воспроизведения и устранения неисправностей;
• информирование пользователей о статусе обращений и о результатах их рассмотрения.

3.1.26. Организация и проведение обучающих программ, тренингов, семинаров, мастер-классов и курсов:

• регистрация участников и формирование групп;
• организация дистанционного или очного участия;
• проведение занятий, контроля знаний, выдача удостоверений (сертификатов) о прохождении обучения (если применимо);
• последующее информирование участников о новых программах и материалах (при наличии согласия — см. подраздел 3.4).

3.1.27. Проведение бета-тестирования собственных продуктов — привлечение бета-тестировщиков, получение обратной связи, диагностика, доработка по результатам тестирования (см. подраздел 3.7).

3.1.28. Внутригрупповая деятельность — разработка, сопровождение, консалтинг, обучение и иные услуги, оказываемые связанным компаниям на основании внутригрупповых соглашений (см. подраздел 7.6).

3.2. Правовые основания обработки

В соответствии с частью 1 статьи 6 Закона № 152-ФЗ Оператор обрабатывает персональные данные на одном или нескольких из следующих правовых оснований:

3.2.1. Необходимость исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных (пункт 5 части 1 статьи 6 Закона № 152-ФЗ), — для обработки данных Заказчиков, представителей контрагентов, привлечённых исполнителей.

3.2.2. Согласие субъекта на обработку его персональных данных (пункт 1 части 1 статьи 6, статья 9 Закона № 152-ФЗ) — например, при обработке данных представителей контрагентов сверх объёма, необходимого для исполнения договора (маркетинговые рассылки, информирование о новых услугах), при использовании cookies на Сайте сверх технически необходимых, а также при заполнении и отправке форм обратной связи на Сайте. При отправке формы обратной связи согласие выражается субъектом путём проставления отметки в чекбоксе согласия на обработку персональных данных, размещённом непосредственно в форме до момента отправки. Без проставления указанной отметки отправка формы технически невозможна. Факт получения согласия фиксируется Оператором с указанием даты и времени, IP-адреса субъекта и редакции (версии) настоящей Политики, действовавшей на момент согласия.

3.2.3. Поручение обработки Заказчиком, действующим в роли оператора (часть 3 статьи 6 Закона № 152-ФЗ) — для обработки данных в рамках разработки или сопровождения программного обеспечения для Заказчика. Подробнее — раздел 7.

3.2.4. Исполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей (пункт 2 части 1 статьи 6 Закона № 152-ФЗ) — для целей налогового, бухгалтерского, кадрового учёта.

3.2.5. Осуществление прав и законных интересов Оператора или третьих лиц, при условии, что при этом не нарушаются права и свободы субъекта (пункт 7 части 1 статьи 6 Закона № 152-ФЗ).

3.2.6. Трудовой кодекс Российской Федерации — для обработки персональных данных работников Оператора (глава 14 ТК РФ).

3.2.7. Обработка для исполнения договора с пользователем услуг информационного общества (пункт 5 части 1 статьи 6 Закона № 152-ФЗ) — для технически необходимых файлов cookie и аналогичных идентификаторов, обеспечивающих базовую работу Сайта Оператора, а также для исполнения лицензионного договора (в том числе договора присоединения) и (или) договора оказания SaaS-услуг с пользователем собственного программного продукта или сервиса Оператора.

3.2.8. Согласие субъекта, выраженное через настройки операционной системы и (или) приложения — для отправки push-уведомлений на устройство пользователя (см. подраздел 3.6).

3.2.9. Согласие субъекта, выраженное через участие в магазине приложений (принятие условий магазина при загрузке приложения, использование функций оценки, отзывов, обратной связи) — в части обработки данных, передаваемых магазином приложений Оператору как разработчику/издателю.

3.2.10. Внутригрупповое соглашение и (или) поручение обработки от связанной компании (часть 3 статьи 6 Закона № 152-ФЗ) — для обработки персональных данных, передаваемых Оператору связанной компанией в рамках внутригрупповой деятельности (см. подраздел 7.6).

3.3. Принципы обработки

При обработке персональных данных Оператор руководствуется принципами, установленными статьёй 5 Закона № 152-ФЗ: законность и справедливая основа; ограничение обработки достижением конкретных, заранее определённых и законных целей; недопущение объединения баз данных с несовместимыми целями; обработка только тех данных, которые отвечают целям; соответствие содержания и объёма обрабатываемых данных заявленным целям; точность и достаточность данных; уничтожение или обезличивание по достижении целей.

3.4. Маркетинговые коммуникации

3.4.1. Под маркетинговой коммуникацией понимается направление субъекту сообщений рекламного, информационного и иного некоммерческого характера, не связанных непосредственно с исполнением договора (анонсы услуг Оператора, кейсы, отраслевые материалы, приглашения на мероприятия).

3.4.2. Маркетинговая коммуникация осуществляется по каналам: электронная почта (email-рассылки), сообщения в мессенджерах, при необходимости — SMS-сообщения и телефонные звонки.

3.4.3. Маркетинговая коммуникация осуществляется только при наличии явного согласия субъекта, выраженного одним из следующих способов:

• проставление отметки в чекбоксе на Сайте при оформлении подписки;
• активная подписка на рассылку через специальную форму подписки;
• устное согласие при первичном телефонном или личном контакте — с фиксацией Оператором;
• согласие, выраженное по иным каналам (email, мессенджеры) и зафиксированное Оператором.

3.4.4. Каждое маркетинговое сообщение содержит возможность отказа от дальнейшего получения коммуникаций: ссылку «Отписаться» (unsubscribe) в email-рассылках, команду «STOP» в SMS-сообщениях, возможность отказа в сообщении мессенджера.

3.4.5. Отзыв согласия на получение маркетинговой коммуникации (отписка) исполняется Оператором в течение одного рабочего дня с момента получения заявления об отказе. После отписки Оператор прекращает направление маркетинговых сообщений соответствующему субъекту.

3.5. Cookies и веб-трекеры

3.5.1. На официальном сайте Оператора возможно использование файлов cookie и аналогичных технологий (локальное хранилище браузера, идентификаторы сессий, веб-маяки).

3.5.2. Что такое cookies. Cookies — небольшие текстовые файлы, которые Сайт сохраняет в браузере посетителя. Они позволяют запоминать настройки, обеспечивать работу авторизации (если применимо), собирать статистику посещений и улучшать пользовательский опыт.

3.5.3. На Сайте Оператора могут использоваться cookies следующих категорий:

(а) Технические (строго необходимые) cookies — обеспечивают базовую работоспособность Сайта (сохранение сессии, безопасность, языковые настройки). Обрабатываются без отдельного согласия, поскольку являются необходимыми для предоставления услуги, запрошенной самим пользователем (пункт 5 части 1 статьи 6 Закона № 152-ФЗ).

(б) Аналитические cookies — собирают обезличенную статистику посещений: какие страницы открыты, продолжительность сессий, источники трафика. Используются для улучшения Сайта. Обрабатываются только с согласия пользователя, выраженного через баннер согласия на cookies при первом посещении.

(в) Маркетинговые (рекламные) cookies — используются для показа релевантной рекламы, ретаргетинга, оценки эффективности рекламных кампаний. Обрабатываются только с согласия пользователя, выраженного через баннер согласия.

3.5.4. Право пользователя. Пользователь имеет право отказаться от установки аналитических и маркетинговых cookies — либо через баннер согласия при посещении Сайта, либо настройками браузера. Отказ от технических cookies может ограничить функциональность Сайта.

3.5.5. Способы управления cookies:

• настройки баннера согласия при первом посещении Сайта (включая возможность изменения настроек впоследствии);
• настройки браузера (блокировка cookies, удаление сохранённых cookies);
• использование режима «инкогнито» / приватного просмотра.

3.5.6. Сроки хранения cookies — определяются типом файла: сессионные cookies удаляются после закрытия браузера; постоянные cookies хранятся в течение указанного срока (как правило, от 30 дней до 13 месяцев).

3.5.7. Конкретный перечень cookie-сервисов и сторонних трекеров, используемых Оператором на Сайте, будет публиковаться в разделе «Cookies» на Сайте и поддерживаться в составе Перечня обработчиков.

3.5.8. Использование сервиса «Яндекс.Метрика». На Сайте Оператора установлен и используется сервис веб-аналитики «Яндекс.Метрика», правообладателем которого является ООО «ЯНДЕКС» (ИНН 7736207543, юридический адрес: 119021, г. Москва, ул. Льва Толстого, д. 16).

3.5.8.1. Яндекс.Метрика собирает обезличенные данные о посещениях Сайта, в том числе: IP-адрес посетителя, тип и параметры устройства (модель, операционная система, версия браузера, user-agent), разрешение экрана, язык интерфейса, длительность сессии, источник перехода на Сайт (referrer, рекламные метки), просмотренные страницы и действия пользователя на Сайте (клики, прокрутка, заполнение форм с маскированием значений), геолокацию на уровне города (определяется по IP-адресу).

3.5.8.2. Указанные данные обрабатываются ООО «ЯНДЕКС» в соответствии с Политикой конфиденциальности Яндекса (доступна по адресу https://yandex.ru/legal/confidential/) и Условиями использования сервиса Яндекс.Метрика (доступны по адресу https://yandex.ru/legal/metrica_termsofuse/). Серверы Яндекс.Метрики расположены на территории Российской Федерации.

3.5.8.3. Cookies Яндекс.Метрики относятся к категории аналитических (подпункт «б» пункта 3.5.3 настоящей Политики) и устанавливаются только при наличии согласия пользователя, выраженного через баннер согласия на cookies при первом посещении Сайта. До получения такого согласия счётчик Яндекс.Метрики не инициализируется.

3.5.8.4. Способы отключения Яндекс.Метрики. Пользователь вправе в любой момент отказаться от сбора данных Яндекс.Метрикой следующими способами:

• через настройки баннера согласия cookies при посещении Сайта (выбор варианта «Только необходимые»);
• через настройки браузера (блокировка cookies для домена mc.yandex.ru, удаление сохранённых cookies, режим инкогнито);
• через установку официального дополнения «Яндекс.Метрика — блокировщик» (Yandex Metrica Opt-out), доступного для основных браузеров;
• через настройки кук в личном аккаунте на Yandex.ru.

3.6. Push-уведомления собственных приложений и сервисов

3.6.1. При публикации собственных мобильных и веб-приложений Оператор вправе использовать службы push-уведомлений соответствующих платформ, в том числе Apple Push Notification service (APNs) правообладателя Apple Inc. (для устройств под управлением iOS, iPadOS, macOS), Firebase Cloud Messaging (FCM) правообладателя Google LLC (для устройств под управлением Android и иных поддерживаемых платформ), Web Push (для веб-приложений), а также аналогичные службы, доступные для соответствующих магазинов приложений (например, RuStore Notifications).

3.6.2. Для адресации push-уведомления конкретному экземпляру приложения, установленному на конкретном устройстве, Оператор передаёт указанным службам технический идентификатор устройства / экземпляра приложения (device token, push-token, FCM registration token и аналогичные), который не идентифицирует субъекта персональных данных самостоятельно и без сопоставления с иной информацией, находящейся под контролем Оператора, не позволяет установить личность пользователя.

3.6.3. Содержимое push-уведомления формируется Оператором и может включать в себя текст уведомления, обращение к пользователю по имени или иному идентификатору учётной записи, ссылки на разделы приложения. Оператор минимизирует объём персональных данных, включаемых в содержимое push-уведомления, и не включает в него специальных категорий персональных данных, биометрических данных, платёжных реквизитов и иных данных повышенной чувствительности.

3.6.4. Правовая квалификация передачи push-токенов. Согласно сложившейся правоприменительной практике передача технического push-токена в адрес APNs, FCM и аналогичных служб для целей доставки уведомления может не рассматриваться в качестве трансграничной передачи персональных данных в смысле статьи 12 Закона № 152-ФЗ, поскольку push-токен сам по себе не относится к информации, прямо или косвенно идентифицирующей субъекта. В случае изменения правоприменительной практики или позиции Роскомнадзора Оператор обеспечивает соблюдение требований к трансграничной передаче в порядке, установленном подразделом 7.5 настоящей Политики.

3.6.5. Согласие пользователя. Push-уведомления отправляются только тем пользователям, которые выразили на это согласие одним или несколькими из следующих способов:

• предоставлением разрешения через системный диалог операционной системы устройства при первом запуске приложения или впервые при попытке отправить push-уведомление;
• активацией соответствующей настройки в самом приложении;
• подпиской на push-уведомления в веб-приложении через системный диалог браузера.

3.6.6. Отзыв согласия и отказ от push-уведомлений. Пользователь вправе в любой момент отказаться от получения push-уведомлений следующими способами:

• через настройки операционной системы устройства (отключение уведомлений для приложения);
• через настройки самого приложения (отключение отдельных категорий уведомлений);
• через настройки браузера (для веб-приложений);
• удалением приложения с устройства.

3.6.7. Сервисные (транзакционные) push-уведомления, направление которых необходимо для исполнения договора с пользователем (подтверждение операций, уведомление о критических событиях безопасности, инцидентах в работе сервиса, окончании подписки), могут направляться на основании пункта 5 части 1 статьи 6 Закона № 152-ФЗ без отдельного согласия на маркетинговые коммуникации; такие уведомления отделяются от маркетинговых push-уведомлений в составе настроек приложения.

3.6.8. Перечень конкретных служб push-уведомлений, используемых Оператором, ведётся в Реестре обработчиков (см. подпункт «п» пункта 7.1.1 и пункт 7.1.3).

3.7. Бета-тестирование собственных продуктов

3.7.1. В рамках разработки и предрелизной подготовки собственных программных продуктов Оператор вправе проводить закрытое или открытое бета-тестирование, в том числе с использованием платформ распространения тестовых сборок:

• TestFlight (Apple Inc.) — для приложений под iOS, iPadOS, macOS;
• Google Play Internal / Closed / Open Testing (Google LLC) — для приложений под Android;
• RuStore тестирование (АО «РуСтор») и аналогичные площадки;
• собственные средства распространения тестовых сборок (в том числе сборки для веб-приложений и десктоп-приложений).

3.7.2. В рамках бета-тестирования Оператор обрабатывает персональные данные бета-тестировщиков, в том числе: фамилию, имя (отчество — при наличии и предоставлении), адрес электронной почты, при необходимости — номер телефона, идентификатор учётной записи в магазине приложений (Apple ID, Google Account, иной идентификатор), сведения об устройстве и операционной системе, содержание обратной связи и сообщений о неисправностях (включая снимки экрана, видеозаписи, журналы, при предоставлении субъектом).

3.7.3. Правовое основание обработки персональных данных бета-тестировщиков — согласие субъекта (пункт 1 части 1 статьи 6, статья 9 Закона № 152-ФЗ), выраженное одним из следующих способов:

• принятие условий участия в бета-тестировании при регистрации в программе тестирования (на Сайте Оператора, в самом приложении, в форме приглашения);
• принятие условий соответствующей платформы распространения тестовых сборок (TestFlight, Google Play Testing и аналогичных) и приглашения, направленного Оператором;
• подписание отдельного соглашения участника бета-тестирования (для закрытого тестирования с расширенным NDA).

3.7.4. Условия бета-тестирования (правила участия, объём собираемых данных, обязательства о конфиденциальности, отказ от ответственности за нестабильность тестовой сборки) доводятся Оператором до бета-тестировщика до начала тестирования.

3.7.5. Срок хранения персональных данных бета-тестировщиков — до завершения соответствующего этапа бета-тестирования и в течение 6 месяцев после его завершения (для последующей коммуникации по результатам тестирования, для повторного приглашения в новые этапы — при отдельном согласии, для разбора инцидентов). По окончании указанного срока персональные данные подлежат удалению или обезличиванию, за исключением случаев, когда участник дал отдельное согласие на дальнейшее участие в программе бета-тестирования и (или) хранение в составе сообщества бета-тестировщиков.

3.7.6. Привлечение третьих лиц (в том числе платформ распространения тестовых сборок) к обработке персональных данных бета-тестировщиков отражается в Реестре обработчиков.

4. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор обрабатывает или может обрабатывать персональные данные следующих категорий субъектов:

4.1. Представители Заказчиков и иных контрагентов — физические лица, действующие от имени юридических лиц или индивидуальных предпринимателей, заключающих с Оператором гражданско-правовые договоры (генеральные директора, уполномоченные представители, контактные лица по договору, менеджеры проектов, технические специалисты, сотрудники бухгалтерии).

4.2. Заказчики — индивидуальные предприниматели и физические лица — в случаях, когда стороной договора с Оператором выступает ИП или физическое лицо.

4.3. Привлечённые исполнители — физические лица, индивидуальные предприниматели и самозанятые, привлекаемые Оператором по гражданско-правовым договорам для выполнения отдельных работ или оказания услуг (фрилансеры-разработчики, дизайнеры, тестировщики, консультанты, иные специалисты).

4.4. Стажёры, практиканты — физические лица, проходящие у Оператора стажировку или практику на основании соответствующих договоров (при возникновении такой потребности).

4.5. Соискатели (кандидаты на трудоустройство) — физические лица, направившие отклик на вакансию или резюме, в том числе через сторонние сервисы подбора персонала, проходящие отбор и собеседования.

4.6. Работники Оператора — текущие и бывшие лица, состоящие в трудовых отношениях с Оператором (по мере появления работников).

4.7. Посетители Сайта — физические лица, осуществляющие доступ к Сайту Оператора, в том числе анонимные посетители (для которых обрабатываются технические и cookie-данные), и лица, оставляющие данные через формы обратной связи.

4.8. Подписчики рассылок и каналов — физические лица, оформившие подписку на email-рассылки или подписавшиеся на официальные каналы Оператора в социальных сетях и мессенджерах.

4.9. Получатели коммерческих предложений — физические лица, которым Оператор направляет коммерческие предложения на основании их обращения, рекомендации или ранее заключённого договора.

4.10. Участники мероприятий, опросов, исследований — физические лица, добровольно принимающие участие в проводимых Оператором или с участием Оператора вебинарах, конференциях, опросах, отраслевых мероприятиях.

4.11. Авторы обращений, жалоб, претензий — физические лица, направляющие в адрес Оператора обращения, жалобы или претензии по любым каналам связи.

4.12. Конечные пользователи разрабатываемых решений — в случаях, когда в рамках исполнения договора с Заказчиком Оператор обрабатывает персональные данные этих лиц по поручению Заказчика (см. раздел 7). В отношении данной категории Оператор выступает не как самостоятельный оператор, а как лицо, осуществляющее обработку по поручению.

4.13. Иные лица, обращающиеся к Оператору через любые доступные каналы (телефон, email, мессенджеры, формы обратной связи, социальные сети).

4.14. Конечные пользователи собственных приложений и сервисов Оператора — физические лица, использующие мобильные, веб-, десктоп-приложения и иные программные продукты, опубликованные Оператором под своим именем, в том числе через магазины приложений, а также пользователи собственных SaaS-сервисов Оператора.

4.15. Лицензиаты собственных программных продуктов — физические лица, приобретающие у Оператора (непосредственно или через магазины приложений) права использования собственных программных продуктов на основании лицензионного договора (в том числе договора присоединения).

4.16. Подписчики SaaS-сервисов Оператора — физические лица, оформившие подписку на собственный SaaS-сервис Оператора, а также представители (пользователи), которым подписчик-юридическое лицо предоставил доступ к сервису в рамках своей подписки.

4.17. Участники обучающих программ, тренингов, семинаров, мастер-классов и курсов Оператора — физические лица, регистрирующиеся для участия и (или) принимающие участие в образовательных мероприятиях Оператора (как очных, так и дистанционных).

4.18. Пользователи систем технической поддержки — физические лица, обращающиеся за технической поддержкой по собственным продуктам Оператора либо по продуктам Заказчиков (если техническая поддержка оказывается Оператором от своего имени или от имени Заказчика).

4.19. Бета-тестировщики — физические лица, привлекаемые Оператором к закрытому или открытому бета-тестированию собственных программных продуктов (см. подраздел 3.7).

4.20. Конечные пользователи систем и продуктов Заказчиков, размещаемых и (или) сопровождаемых Оператором — физические лица, чьи персональные данные обрабатываются Оператором в рамках хостинга, managed services, системной интеграции, миграции, кастомизации и иных услуг, оказываемых по поручению Заказчика; в отношении данной категории Оператор выступает не как самостоятельный оператор, а как лицо, осуществляющее обработку по поручению (см. раздел 7).

4.21. Представители и сотрудники связанных компаний (компаний группы) — физические лица, чьи персональные данные обрабатываются Оператором в рамках внутригрупповой деятельности (см. подраздел 7.6).

4.22. Оператор не осуществляет обработку персональных данных несовершеннолетних в возрасте до 14 лет в качестве самостоятельного оператора. Обработка ПД несовершеннолетних в составе обработки по поручению Заказчиков допускается только при условии, что согласие на обработку получено Заказчиком от законных представителей в соответствии с законодательством. В отношении собственных продуктов и SaaS-сервисов Оператор реализует меры по недопущению регистрации лиц в возрасте до 14 лет (в том числе предупреждение при регистрации, требование подтверждения возраста).

5. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Категории персональных данных

Оператор обрабатывает следующие категории персональных данных (без поимённой фиксации конкретных полей, перечисляются категории):

5.1.1. Идентификационные данные: фамилия, имя, отчество; дата и место рождения (для работников и при необходимости); гражданство; реквизиты документа, удостоверяющего личность (паспортные данные) — в объёме, необходимом для исполнения договора или требований законодательства; СНИЛС; ИНН.

5.1.2. Контактные данные: номера телефонов (мобильный, рабочий); адреса электронной почты; почтовые адреса (юридический, фактический, для корреспонденции); идентификаторы в мессенджерах (Telegram, WhatsApp и иных); аккаунты и идентификаторы в социальных сетях и профессиональных сетях.

5.1.3. Социально-демографические данные (если применимо к цели): пол; возраст; семейное положение (для работников и в иных случаях, прямо предусмотренных законодательством или трудовыми отношениями).

5.1.4. Профессиональные данные: должность; наименование организации-работодателя; сведения об образовании, опыте работы, квалификации; портфолио; ссылки на репозитории кода с публично размещённым кодом исполнителя; уровень дохода (для соискателей и работников — в объёме, предусмотренном трудовыми отношениями).

5.1.5. Финансовые данные: банковские реквизиты (для расчётов с контрагентами, исполнителями, работниками); реквизиты счетов; история транзакций — в объёме, необходимом для исполнения договоров и ведения бухгалтерского учёта.

5.1.6. Данные о статусе налогоплательщика: сведения о статусе индивидуального предпринимателя (ОГРНИП), плательщика налога на профессиональный доход (самозанятого), о применяемом налоговом режиме — для целей правильного оформления договоров и расчётов с исполнителями.

5.1.7. Технические и поведенческие данные: IP-адреса; идентификаторы устройств; данные о браузере (user-agent); файлы cookie и аналогичные идентификаторы; данные о действиях в рабочих и проектных системах Оператора (журналы входов в репозитории, системы управления проектами, среды разработки); метаданные сессий.

5.1.8. Данные о коммуникациях: содержание обращений, жалоб, претензий; история переписки по проектам; записи онлайн-встреч (только при наличии предварительного предупреждения и согласия всех участников).

5.1.9. Данные представителей контрагентов в проектной работе: ФИО, должность, организация, контактные данные, доступы к проектным системам, разграничения прав в рабочих средах.

5.1.10. Данные конечных пользователей разрабатываемых решений (обрабатываются по поручению Заказчика): состав и категории определяются договором с Заказчиком и поручением обработки; Оператор по возможности предпочитает работу с обезличенными или синтетическими данными.

5.1.11. Данные, передаваемые субъектом через формы обратной связи на Сайте: имя (либо ФИО); адрес электронной почты; номер телефона (при предоставлении субъектом); содержание (текст) обращения; IP-адрес субъекта на момент отправки формы; дата и время отправки; идентификатор браузера (user-agent); страница, с которой выполнена отправка; редакция (версия) Политики, действовавшая на момент получения согласия; технические метаданные сессии.

5.1.12. Данные пользователей собственных приложений, сервисов и SaaS-продуктов Оператора:

• идентификатор учётной записи и логин;
• адрес электронной почты, номер телефона (если используются для аутентификации, восстановления доступа или связи);
• отображаемое имя, аватар, иные данные профиля, заполняемые пользователем добровольно;
• технические идентификаторы устройств (в том числе device token / push-token APNs и FCM, IDFA, GAID — при наличии и в пределах, разрешённых платформой), идентификатор сессии;
• сведения об устройстве, операционной системе, версии приложения, языковых и региональных настройках;
• история и журнал использования сервиса (действия пользователя в приложении, посещаемые разделы, использованные функции);
• технические журналы и диагностические данные (журналы ошибок, отчёты о сбоях, трассировки);
• сведения, добровольно вводимые пользователем в процессе использования продукта (в объёме, обусловленном функционалом продукта);
• IP-адрес обращения к сервису, геолокация на уровне города (определяемая по IP), временные метки.

5.1.13. Данные лицензиатов и подписчиков SaaS:

• данные учётной записи (как указано в пункте 5.1.12);
• сведения о тарифе, периоде подписки, истории продлений и оплат;
• идентификаторы операций (транзакций) у привлечённого платёжного сервиса и (или) магазина приложений;
• реквизиты для выставления счетов и закрывающих документов (в том числе при подписке юридического лица — данные представителя);
• история коммуникаций с пользователем в рамках исполнения договора.

5.1.14. Финансовые и платёжные данные лицензиатов и подписчиков: реквизиты для выставления счетов и проведения платежей. Реквизиты платёжных карт в инфраструктуре Оператора не хранятся; приём платёжных операций осуществляется через привлечённые платёжные сервисы, магазины приложений и (или) кредитные организации, которые самостоятельно являются операторами в отношении соответствующих данных платёжных инструментов.

5.1.15. Данные участников обучающих программ, тренингов, семинаров, курсов:

• ФИО (для оформления удостоверений и сертификатов);
• наименование организации-работодателя и должность (если применимо к программе);
• адрес электронной почты, номер телефона;
• сведения об уровне подготовки, заявленные участником;
• результаты обучения, оценки, тестирования (если применимо);
• факт и дата выдачи удостоверения (сертификата);
• технические данные дистанционного участия (идентификатор сессии в системе обучения, журнал участия);
• содержание вопросов и обратной связи участника.

5.1.16. Данные обращений в техническую поддержку:

• идентификатор обращения (тикета);
• идентификатор учётной записи и контактные данные обратившегося;
• содержание (текст) обращения, переписка по обращению;
• диагностические данные (журналы работы продукта, скриншоты, видеозаписи экрана, отчёты о сбоях, сведения об устройстве и версии продукта) — при предоставлении субъектом или при их сборе встроенными средствами продукта с уведомлением пользователя;
• история взаимодействия с поддержкой, статус обращения, оценка качества обслуживания (при её предоставлении).

5.1.17. Данные бета-тестировщиков — в составе, указанном в пункте 3.7.2.

5.1.18. Данные, передаваемые магазинами приложений Оператору как разработчику/издателю в составе агрегированной и неагрегированной аналитики, отзывов и оценок, в том числе: идентификаторы транзакций, обезличенные сведения об установках, удалениях, обновлениях, страновых и языковых сегментах, отзывы пользователей с указанием отображаемого имени и (при наличии) аватара.

5.2. Категории, которые Оператор не обрабатывает

В соответствии со статьями 10 и 11 Закона № 152-ФЗ Оператор не обрабатывает следующие категории персональных данных в качестве самостоятельного оператора:

5.2.1. Биометрические персональные данные (статья 11 Закона № 152-ФЗ) — сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность, кроме случаев, прямо предусмотренных законодательством (например, в кадровом учёте при обработке фотографии работника для пропуска).

5.2.2. Специальные категории персональных данных (статья 10 Закона № 152-ФЗ): данные о расовой и национальной принадлежности; политические взгляды; религиозные и философские убеждения; состояние здоровья; интимная жизнь; сведения о судимости. Обработка специальных категорий допускается только в случаях, прямо предусмотренных частью 2 статьи 10 Закона № 152-ФЗ (например, в рамках трудовых отношений в объёме, установленном законодательством).

5.2.3. Персональные данные несовершеннолетних в возрасте до 14 лет — Оператор не обрабатывает их как самостоятельный оператор.

5.2.4. Персональные данные, разрешённые субъектом для распространения (статья 10.1 Закона № 152-ФЗ) — за исключением случаев, прямо предусмотренных отдельным согласием, оформленным по форме, установленной Приказом Роскомнадзора от 24.02.2021 № 18.

5.2.5. При выполнении договоров на разработку Оператор по поручению Заказчика-оператора может обрабатывать персональные данные иных категорий — в этом случае состав обработки определяется отдельным поручением и (или) договором с Заказчиком и регулируется разделом 7 настоящей Политики.

5.3. Источники получения персональных данных

5.3.1. Персональные данные предоставляются:

• непосредственно субъектами — при заключении договоров, направлении резюме, обращений, оформлении подписки;
• лицами, имеющими полномочия их предоставить (например, контрагент предоставляет данные своих представителей в рамках заключения и исполнения договора);
• от Заказчиков — в составе тестовых наборов данных, данных миграции, в рамках поручения обработки;
• из общедоступных источников (с соблюдением требований статьи 8 Закона № 152-ФЗ) — например, профессиональные сети, общедоступные репозитории кода;
• от государственных органов и иных операторов — в случаях, предусмотренных законодательством;
• автоматически — при использовании Сайта Оператора и рабочих систем (cookies, технические данные, журналы).

6. СПОСОБЫ И СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Способы обработки

6.1.1. Обработка персональных данных осуществляется как с использованием средств автоматизации (в информационных системах Оператора и используемых им сервисах), так и без использования таких средств (в бумажных документах — договорах, актах, заявлениях).

6.1.2. К действиям с персональными данными относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

6.1.3. Принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия для субъекта (статья 16 Закона № 152-ФЗ), Оператором не осуществляется.

6.2. Локализация баз данных

6.2.1. В соответствии с частью 5 статьи 18 Закона № 152-ФЗ запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации.

6.2.2. Для хранения и обработки персональных данных Оператор использует инфраструктуру, размещённую на территории Российской Федерации. Конкретные обработчики приведены в Перечне обработчиков, упоминаемом в разделе 7.

6.3. Сроки обработки и хранения

6.3.1. Срок обработки персональных данных определяется достижением целей обработки или их утратой, истечением срока действия согласия, отзывом согласия субъекта, а также сроками, установленными законодательством и договорами:

• персональные данные представителей контрагентов и Заказчиков — физических лиц — в течение срока действия договора и 5 лет после его прекращения (с учётом срока исковой давности и сроков хранения бухгалтерских и налоговых документов);
• персональные данные привлечённых исполнителей — в течение срока действия гражданско-правового договора и 5 лет после его прекращения;
• персональные данные, получаемые в ходе преддоговорной переписки и не повлёкшие заключения договора, — не более 1 года;
• персональные данные подписчиков рассылок — до момента отписки от рассылки и в течение 6 месяцев после для подтверждения факта отписки;
• персональные данные посетителей Сайта, переданные через формы обратной связи, — до достижения цели обращения, но не более 1 года;
• cookie и иные технические данные — в пределах сроков, установленных типом cookie (как правило, от сессии до 13 месяцев);
• персональные данные соискателей — не более 6 месяцев с момента получения отклика, при отсутствии трудоустройства; при согласии соискателя на дальнейшее хранение в кадровом резерве — до 3 лет;
• персональные данные работников — в течение срока действия трудового договора и в течение сроков, установленных законодательством об архивном деле (как правило, 50 либо 75 лет в зависимости от даты возникновения трудовых отношений);
• персональные данные авторов обращений и жалоб — в течение срока рассмотрения и 3 года после (с учётом срока исковой давности);
• персональные данные, обрабатываемые по поручению Заказчика, — в течение срока, установленного договором с Заказчиком; по прекращении договора — возвращаются Заказчику и (или) удаляются в порядке, определённом договором;
• персональные данные конечных пользователей собственных приложений и сервисов Оператора — в течение срока, пока учётная запись пользователя активна, и в течение 1 года после её удаления (для обработки обращений, разрешения возможных споров, защиты прав Оператора и пользователей);
• персональные данные лицензиатов собственных программных продуктов — в течение срока действия лицензии и в течение 5 лет после её прекращения (с учётом срока исковой давности, сроков хранения бухгалтерских и налоговых документов);
• персональные данные подписчиков SaaS-сервисов Оператора — в течение срока действия подписки и в течение 3 лет после её прекращения (с учётом срока исковой давности по спорам, связанным с исполнением договора);
• персональные данные участников обучающих программ — в течение срока проведения программы и в течение 3 лет после её завершения (для подтверждения факта прохождения, повторных приглашений, статистики); сведения о выданных удостоверениях (сертификатах) — в течение срока, обусловленного характером программы, но не менее 5 лет;
• персональные данные обратившихся в техническую поддержку — в течение срока разрешения обращения и в течение 3 лет после его закрытия (с учётом срока исковой давности); диагностические данные (журналы, скриншоты), переданные в рамках обращения, — не более 1 года после закрытия обращения, если иное не требуется для разрешения связанных инцидентов;
• персональные данные бета-тестировщиков — в течение срока проведения соответствующего этапа бета-тестирования и в течение 6 месяцев после его завершения (см. пункт 3.7.5);
• технические идентификаторы устройств (device token / push-token) — в течение срока, пока устройство связано с активной учётной записью пользователя, либо до получения от платформы (APNs, FCM) сведений о недействительности токена; недействительные токены удаляются в течение 30 дней с момента получения соответствующих сведений;
• данные журналов и технических логов собственных приложений и сервисов — в течение срока, необходимого для обеспечения безопасности, диагностики и расследования инцидентов, как правило не более 1 года с момента события (если иное не требуется законодательством или для расследования инцидента).

6.3.2. По истечении сроков обработки и хранения персональные данные подлежат уничтожению или обезличиванию (часть 4 статьи 21 Закона № 152-ФЗ). Уничтожение оформляется актом.

6.3.3. В отношении персональных данных, обрабатываемых Оператором в качестве самостоятельного оператора в собственных приложениях, сервисах и SaaS-продуктах, Оператор обеспечивает пользователю функциональную возможность удалить учётную запись (а при отсутствии такой функции в продукте — направить соответствующее обращение в порядке раздела 13). После удаления учётной записи обработка персональных данных пользователя прекращается, за исключением случаев, когда сохранение отдельных данных требуется законодательством, для исполнения уже возникших обязательств, для разрешения споров или для защиты прав и законных интересов Оператора и третьих лиц.

7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ. ОБРАБОТКА ПО ПОРУЧЕНИЮ

7.1. Обработчики (лица, действующие по поручению Оператора)

7.1.1. В целях исполнения договоров и обеспечения хозяйственной деятельности Оператор может поручать обработку персональных данных следующим категориям лиц (часть 3 статьи 6 Закона № 152-ФЗ):

(а) Облачные провайдеры (хранение, вычисления) — для размещения корпоративных и проектных систем, баз данных, резервных копий. Оператор использует провайдеров, размещённых на территории Российской Федерации.

(б) Провайдеры сервисов корпоративной электронной почты и облачного хранения документов на территории Российской Федерации — для ведения деловой переписки и проектных артефактов.

(в) Сервисы управления исходным кодом и совместной работы команд разработчиков — размещённые на территории Российской Федерации, либо используемые в обезличенном режиме (без передачи реальных персональных данных), либо в режиме self-hosted.

(г) Системы управления проектами и задачами (issue trackers, kanban-доски) — для ведения проектной работы.

(д) Провайдеры систем электронного документооборота (ЭДО) — для обмена закрывающими документами с контрагентами.

(е) Провайдеры коммуникационных услуг — сервисы email-рассылок, телефонии, видеоконференций.

(ж) Провайдеры аналитики и метрик — сервисы веб-аналитики, мониторинга работоспособности.

(з) Провайдеры средств защиты информации — антивирусная защита, обнаружение вторжений, защита от DDoS, средства разграничения доступа.

(и) Бухгалтерские, юридические и аудиторские организации, привлекаемые на основании отдельных договоров.

(к) Кредитные организации (банки) — для расчётов с контрагентами, исполнителями, работниками.

(л) Привлечённые исполнители — индивидуальные предприниматели, самозанятые, юридические лица, привлекаемые для выполнения работ и оказания услуг (в части доступа к проектным системам и данным Заказчиков — на основании отдельных соглашений о конфиденциальности).

(м) Платёжные сервисы и эквайринговые провайдеры — при необходимости приёма платежей.

(н) Государственные органы — когда это предусмотрено законом (см. раздел 7.4).

(о) Магазины приложений (Apple App Store — Apple Inc., Google Play — Google LLC, RuStore — АО «РуСтор», Huawei AppGallery — Huawei Technologies, иные аналогичные площадки) — как площадки распространения собственных приложений Оператора. В части обработки данных конечных пользователей магазинами приложений возможна квалификация отношений в качестве совместной обработки Оператора и магазина приложений: магазин самостоятельно определяет существенный объём обработки (доставка приложения, обновлений, обработка платежей, учётная запись пользователя в магазине), а Оператор — обработку в составе собственного приложения. При наличии оснований полагать, что отношения должны быть квалифицированы как совместная обработка персональных данных в смысле части 1 статьи 5 Закона № 152-ФЗ, Оператор обеспечивает соблюдение соответствующих требований.

(п) Службы доставки push-уведомлений — Apple Push Notification service (APNs) правообладателя Apple Inc., Firebase Cloud Messaging (FCM) правообладателя Google LLC, аналогичные службы магазинов приложений (включая RuStore) и иные сервисы push-уведомлений, привлекаемые Оператором для отправки уведомлений пользователям собственных приложений и сервисов (см. подраздел 3.6).

(р) Сервисы биллинга и лицензирования — сервисы, обеспечивающие управление подписками, продажу лицензий, выставление счетов и приём платежей по собственным продуктам Оператора, ведение учёта активаций лицензий и продлений подписки.

(с) Сети доставки контента (CDN) и провайдеры доставки программных продуктов — для распространения программных продуктов, обновлений, дистрибутивов и иного цифрового контента собственных продуктов Оператора.

(т) Сервисы клиентской поддержки (help desk, тикет-системы, базы знаний) — для приёма, регистрации и обработки обращений пользователей собственных продуктов и пользователей продуктов Заказчиков (если поддержка оказывается Оператором).

(у) Сервисы рассылок и транзакционных коммуникаций (email, SMS, мессенджеры) — для направления служебных, транзакционных и (при наличии согласия) маркетинговых уведомлений пользователям собственных продуктов и SaaS-сервисов.

(ф) Системы дистанционного обучения (LMS) и иные платформы проведения онлайн-обучения и вебинаров — для регистрации участников, проведения занятий, выдачи удостоверений (сертификатов), хранения учебных материалов и результатов обучения.

(х) Сервисы видеосвязи и онлайн-встреч — для проведения собеседований, консультаций, обучения, согласований с Заказчиками и привлечёнными исполнителями.

(ц) Сервисы сбора отзывов, отчётов о сбоях и пользовательской аналитики собственных приложений (crash reporting, product analytics) — для диагностики и улучшения собственных продуктов Оператора, с использованием обезличенных или минимально достаточных данных.

(ч) Сервисы антифрод-контроля и противодействия злоупотреблениям — для защиты собственных приложений и SaaS-сервисов от автоматических атак, фрода и иных злоупотреблений.

(ш) Связанные компании (компании группы) Оператора — в случаях оказания услуг друг другу на основании внутригрупповых соглашений (см. подраздел 7.6).

7.1.2. Передача персональных данных обработчикам осуществляется на основании договоров (соглашений об обработке), содержащих все существенные условия, установленные частью 3 статьи 6 Закона № 152-ФЗ:

• перечень действий с персональными данными;
• цели обработки;
• обязанность обработчика соблюдать конфиденциальность и обеспечивать безопасность;
• требования к защите персональных данных в соответствии со статьёй 19 Закона № 152-ФЗ.

7.1.3. Актуальный перечень обработчиков, привлечённых Оператором, ведётся в Реестре обработчиков персональных данных, утверждаемом отдельным приказом генерального директора ООО «ВЕРКТ» и поддерживаемом в актуальном состоянии. Указанный перечень доступен по письменному запросу субъекта персональных данных или Заказчика. Подключение нового обработчика и исключение существующего из перечня производятся приказом генерального директора и не требуют переутверждения настоящей Политики.

7.1.4. Полный поимённый перечень привлечённых обработчиков с указанием категории передаваемых данных, расположения серверов и правового основания передачи ведётся в Реестре обработчиков, упомянутом в пункте 7.1.3 настоящей Политики, и предоставляется по письменному запросу субъекта персональных данных.

7.2. Особенности обработки по поручению Заказчиков (Оператор как обработчик)

7.2.1. При выполнении договоров на разработку, сопровождение или модификацию программного обеспечения возможны случаи, когда Заказчик передаёт Оператору персональные данные конечных пользователей разрабатываемого решения (для целей тестирования, миграции данных, технической поддержки, доработки функционала). В отношении таких персональных данных оператором является Заказчик, а ООО «ВЕРКТ» осуществляет обработку по поручению Заказчика на основании заключённого с ним договора и (или) отдельного соглашения о поручении обработки (часть 3 статьи 6 Закона № 152-ФЗ).

7.2.2. В рамках обработки по поручению Заказчика Оператор:

• действует строго в пределах указаний Заказчика и условий договора;
• соблюдает конфиденциальность персональных данных и обеспечивает их безопасность в соответствии со статьёй 19 Закона № 152-ФЗ;
• не определяет цели обработки этих персональных данных;
• не получает согласий субъектов и не уведомляет их об обработке (эти обязанности несёт Заказчик как оператор);
• по требованию Заказчика прекращает обработку, удаляет, блокирует или возвращает персональные данные;
• по запросам субъектов, поступающим непосредственно к Оператору, перенаправляет такие запросы Заказчику.

7.2.3. Оператор по возможности предпочитает работу с обезличенными или тестовыми (синтетическими) данными. Передача реальных персональных данных Оператору осуществляется только в случаях, когда это объективно необходимо для исполнения договора, и закрепляется отдельным поручением обработки.

7.2.4. Привлечение субподрядчиков и фрилансеров к работе с персональными данными Заказчика производится только с согласия Заказчика, оформленного в порядке, установленном договором с Заказчиком (часть 5 статьи 6 Закона № 152-ФЗ). С каждым таким исполнителем заключается соглашение о конфиденциальности и обязательство о неразглашении персональных данных.

7.3. Социальные сети и публичные коммуникации

7.3.1. Оператор может вести официальные страницы, сообщества и каналы в социальных сетях и мессенджерах (например, Telegram, ВКонтакте, профессиональные сети), а также официальные аккаунты, через которые осуществляется коммуникация с пользователями и потенциальными Заказчиками.

7.3.2. Персональные данные подписчиков и читателей официальных страниц Оператора обрабатываются в объёме, предоставляемом соответствующей социальной сетью или мессенджером (отображаемое имя, аватар, никнейм, идентификатор аккаунта, иные общедоступные данные).

7.3.3. Оператор не контролирует обработку персональных данных самой социальной сетью или мессенджером. Каждый пользователь самостоятельно соглашается с политикой соответствующей социальной сети при регистрации.

7.3.4. Обращения через социальные сети и мессенджеры могут приниматься Оператором к рассмотрению, однако для официальных обращений по реализации прав, предусмотренных Законом № 152-ФЗ, рекомендуется направлять обращения официальными каналами (email, почтовое отправление).

7.4. Передача государственным органам

7.4.1. Персональные данные могут быть переданы государственным органам в случаях и в порядке, установленных законодательством Российской Федерации (в том числе по запросам Роскомнадзора, ФНС России, ФСБ России, СФР, органов следствия и суда, иных уполномоченных органов), без согласия субъекта.

7.5. Трансграничная передача персональных данных

7.5.1. В настоящее время трансграничная передача персональных данных Оператором не осуществляется (статья 12 Закона № 152-ФЗ). Все обработчики, осуществляющие хранение и первичную обработку персональных данных по поручению Оператора, находятся на территории Российской Федерации.

7.5.2. В случае возникновения необходимости в трансграничной передаче персональных данных в будущем (например, при работе с иностранными Заказчиками, использовании сервисов разработчиков с серверами за пределами Российской Федерации, ином сценарии) Оператор:

• предварительно направит уведомление в Роскомнадзор в порядке, установленном частью 3 статьи 12 Закона № 152-ФЗ, до начала такой передачи;
• удостоверится, что иностранное государство, на территорию которого предполагается осуществлять передачу, обеспечивает адекватный уровень защиты прав субъектов персональных данных (перечень таких государств утверждён Приказом Роскомнадзора);
• в случае передачи в государство, не обеспечивающее адекватный уровень защиты, — получит согласие субъекта персональных данных в порядке части 4 статьи 12 Закона № 152-ФЗ;
• заключит с иностранным получателем соглашение о защите персональных данных с условиями, обеспечивающими защиту не ниже уровня, предусмотренного законодательством Российской Федерации;
• внесёт соответствующие изменения в настоящую Политику и Реестр обработчиков.

7.6. Внутригрупповая деятельность и взаимодействие со связанными компаниями

7.6.1. Оператор вправе оказывать услуги по разработке, сопровождению, технической поддержке, хостингу, консалтингу, обучению и иные услуги в области информационных технологий связанным компаниям (компаниям группы) — юридическим лицам, находящимся под общим контролем с Оператором (в том числе через состав участников или органов управления), либо иным образом признаваемым связанными в соответствии с применимым законодательством.

7.6.2. В рамках такого взаимодействия может осуществляться обработка персональных данных, передаваемых связанной компанией Оператору. Правовые основания, цели обработки, состав передаваемых данных, срок обработки и распределение ролей определяются внутригрупповым соглашением (договором об оказании услуг, поручением обработки, соглашением о совместной обработке) с учётом фактического распределения определения целей и средств обработки.

7.6.3. По общему правилу при оказании услуг разработки, сопровождения, хостинга, технической поддержки, миграции и системной интеграции для связанной компании Оператор выступает в роли лица, осуществляющего обработку по поручению связанной компании (часть 3 статьи 6 Закона № 152-ФЗ). В этом случае к отношениям применяются положения подраздела 7.2 настоящей Политики.

7.6.4. В отдельных случаях, когда Оператор и связанная компания совместно определяют цели и (или) средства обработки персональных данных (например, при ведении общей клиентской базы группы, проведении совместных программ или мероприятий, использовании общей платформы для конечных пользователей), отношения могут быть оформлены как совместная обработка с распределением обязанностей в письменном соглашении в соответствии с применимым законодательством о персональных данных.

7.6.5. При взаимодействии Оператора со связанными компаниями обеспечиваются те же требования к защите персональных данных, что и при работе с внешними Заказчиками, в том числе:

• передача данных оформляется письменным внутригрупповым соглашением, содержащим существенные условия, установленные частью 3 статьи 6 Закона № 152-ФЗ;
• доступ работников и привлечённых исполнителей к данным связанной компании предоставляется по принципу минимально необходимого и разграничивается ролями;
• работники и привлечённые исполнители, получающие доступ к данным, подписывают обязательства о неразглашении;
• ведётся отдельный учёт операций по обработке данных, переданных каждой из связанных компаний.

7.6.6. Передача персональных данных от Оператора связанной компании для целей, не связанных с оказанием услуг по внутригрупповому соглашению (в том числе для самостоятельной обработки связанной компанией в её собственных целях), осуществляется только при наличии правового основания, предусмотренного статьёй 6 Закона № 152-ФЗ, в том числе при наличии согласия субъекта персональных данных, если иные основания отсутствуют.

7.6.7. Связанные компании, привлекаемые Оператором к обработке персональных данных, включаются в Реестр обработчиков (см. подпункт «ш» пункта 7.1.1 и пункт 7.1.3).

8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПОРЯДОК ИХ РЕАЛИЗАЦИИ

В соответствии со статьями 14–25 Закона № 152-ФЗ субъект персональных данных имеет права, описанные ниже.

8.1. Право на получение информации, касающейся обработки персональных данных

8.1.1. Субъект ПД имеет право получить от Оператора информацию, касающуюся обработки его персональных данных, в том числе содержащую (часть 7 статьи 14 Закона № 152-ФЗ):

• подтверждение факта обработки;
• правовые основания и цели обработки;
• цели и применяемые Оператором способы обработки;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные;
• обрабатываемые персональные данные, относящиеся к субъекту, источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом прав, предусмотренных Законом № 152-ФЗ.

8.2. Право на уточнение, блокирование и уничтожение персональных данных

8.2.1. Субъект ПД вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (часть 1 статьи 14 Закона № 152-ФЗ).

8.3. Право отозвать согласие на обработку персональных данных

8.3.1. Если обработка осуществляется на основании согласия — субъект ПД вправе отозвать такое согласие в любой момент (часть 2 статьи 9 Закона № 152-ФЗ).

8.3.2. По получении отзыва согласия Оператор прекращает обработку либо обеспечивает её прекращение лицом, действующим по поручению Оператора, и уничтожает персональные данные в срок, не превышающий 30 дней с момента получения отзыва, если иное не предусмотрено законом (часть 5 статьи 21 Закона № 152-ФЗ).

8.3.3. Оператор вправе продолжить обработку при наличии оснований, предусмотренных пунктами 2–11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона № 152-ФЗ (например, для исполнения договора или закона).

8.3.4. Отзыв согласия на маркетинговую коммуникацию (отписка от рассылок) исполняется в течение одного рабочего дня с момента получения соответствующего заявления (см. раздел 3.4).

8.4. Право на обжалование действий или бездействия Оператора

8.4.1. Если субъект ПД считает, что Оператор нарушает его права, он вправе:

• обратиться с жалобой к Оператору;
• обратиться в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), сайт: https://rkn.gov.ru, либо через портал персональных данных: https://pd.rkn.gov.ru (часть 2 статьи 17 Закона № 152-ФЗ);
• обратиться в суд в порядке, установленном законодательством Российской Федерации.

8.5. Право на возмещение убытков и компенсацию морального вреда

8.5.1. В случае нарушения требований Закона № 152-ФЗ субъект имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке (части 2 и 3 статьи 17 Закона № 152-ФЗ).

9. МЕРЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В целях обеспечения безопасности персональных данных, защиты их от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий, Оператор принимает правовые, организационные и технические меры в соответствии со статьёй 19 Закона № 152-ФЗ, ПП-1119 и Приказом ФСТЭК № 21.

9.1. Правовые и организационные меры

• назначение лица, ответственного за организацию обработки персональных данных (статья 22.1 Закона № 152-ФЗ) — Приказом № 8 от 01.06.2026 г.;
• разработка и утверждение настоящей Политики и комплекта локальных актов по обработке и защите персональных данных (Положение об обработке ПД, Инструкции, Перечень ПД, Перечень ИСПДн, Перечень обработчиков, Перечень лиц с доступом к ПД, Перечень мест хранения, формы согласий и обращений);
• ознакомление работников и иных лиц, осуществляющих обработку, с положениями законодательства и локальных актов; обучение и контроль соблюдения;
• получение от работников, привлечённых исполнителей (фрилансеров, ИП, самозанятых) и иных лиц, имеющих доступ к персональным данным, обязательств о неразглашении и соблюдении конфиденциальности (NDA);
• определение угроз безопасности персональных данных и уровня защищённости ИСПДн (см. раздел 10);
• ограничение круга лиц, допущенных к обработке, оформление допуска приказом; ведение Перечня лиц, имеющих доступ к ПД;
• ведение учёта обращений субъектов ПД и реагирование на них;
• регистрация и учёт инцидентов, связанных с обработкой персональных данных;
• проведение внутреннего контроля и (или) аудита соответствия обработки требованиям законодательства не реже одного раза в год (пункт 4 части 1 статьи 18.1 Закона № 152-ФЗ);
• работа с реальными персональными данными Заказчиков по поручению — на основании отдельного поручения обработки и в минимальном необходимом объёме; предпочтение обезличенным и синтетическим данным;
• разграничение доступа к репозиториям кода и проектным средам с реальными ПД от иных сред разработки;
• осуществление обработки персональных данных, отделённой от иных операций (по возможности), и недопущение объединения баз данных с несовместимыми целями обработки.

9.2. Технические меры

Оператор применяет следующие технические меры в соответствии с Приказом ФСТЭК № 21 (для УЗ-3):

• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа (разграничение доступа по ролям);
• ограничение программной среды;
• защита машинных носителей информации;
• регистрация событий безопасности (журналирование);
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищённости персональных данных;
• защита среды виртуализации (при использовании облачной инфраструктуры);
• защита технических средств;
• защита информационной системы, её средств, систем связи и передачи данных (шифрование трафика по TLS, использование протоколов HTTPS);
• выявление инцидентов и реагирование на них;
• управление конфигурацией информационной системы и системы защиты персональных данных;
• резервное копирование персональных данных и обеспечение возможности их восстановления;
• использование сертифицированных средств защиты информации — в случаях, когда это требуется законодательством или договором с Заказчиком.

9.3. Контроль защиты

9.3.1. Контроль и оценка эффективности применяемых мер по защите персональных данных осуществляются лицом, ответственным за организацию обработки персональных данных, не реже одного раза в 3 года (часть 8 статьи 19 Закона № 152-ФЗ).

9.4. Обработка ПД работниками и привлечёнными исполнителями

9.4.1. Оператор обрабатывает персональные данные работников в соответствии с главой 14 Трудового кодекса Российской Федерации и локальными актами по защите ПД работников (при появлении работников).

9.4.2. ПД соискателей обрабатываются с момента получения резюме до 6 месяцев после принятия решения об отказе в трудоустройстве (при отсутствии отдельного согласия на дальнейшее хранение в кадровом резерве).

9.4.3. При привлечении ИП, самозанятых, юридических лиц-исполнителей Оператор обрабатывает персональные данные представителей этих лиц в объёме, необходимом для заключения и исполнения договора.

9.4.4. Все привлечённые лица (фрилансеры, ИП, самозанятые, субподрядчики), имеющие доступ к персональным данным (как Оператора, так и Заказчиков, обрабатываемым по поручению), подписывают обязательства о неразглашении персональных данных (соглашение о конфиденциальности, NDA), доступ к которым они получают в рамках выполнения работ или оказания услуг.

10. УРОВЕНЬ ЗАЩИЩЁННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Информационные системы персональных данных

10.1.1. Оператор эксплуатирует информационные системы персональных данных, перечень которых ведётся в Перечне информационных систем персональных данных, утверждаемом отдельным приказом генерального директора. На дату утверждения настоящей Политики основная ИСПДн:

10.1.2. Перечень ИСПДн поддерживается в актуальном состоянии и обновляется при вводе в эксплуатацию новых систем без переутверждения настоящей Политики.

10.2. Обоснование уровня защищённости

10.2.1. В соответствии с пунктом 13 Постановления Правительства РФ от 01.11.2012 № 1119 для информационных систем Оператора при существующих параметрах обработки (иные категории ПД лиц, не являющихся сотрудниками Оператора, в объёме менее 100 000 субъектов, при актуальных угрозах 3-го типа) базовым уровнем защищённости является четвёртый уровень (УЗ-4).

10.2.2. Вместе с тем Оператор принял решение об установлении повышенного третьего уровня защищённости (УЗ-3) в качестве добровольной меры в связи со следующими обстоятельствами:

• возможной обработкой ПД по поручению Заказчиков, в том числе работающих в регулируемых отраслях;
• стратегическим планом расширения деятельности и ростом объёма обрабатываемых данных;
• стремлением обеспечить соответствие лучшим практикам отрасли и упростить интеграцию с Заказчиками, применяющими более строгие требования.

10.2.3. Применение УЗ-3 не освобождает Оператора от выполнения требований ПП-1119 для соответствующего уровня и реализуется через комплекс организационных и технических мер, перечисленных в разделе 9 настоящей Политики.

10.2.4. Состав и содержание организационных и технических мер по обеспечению УЗ-3 определены Приказом ФСТЭК № 21 и реализуются Оператором в соответствии с разделом 9 настоящей Политики.

10.2.5. При изменении категории, объёма ПД или модели угроз — уровень защищённости пересматривается. В случае заключения договора с Заказчиком, требующим более высокого уровня защищённости, для соответствующего проекта могут быть установлены повышенные требования в рамках отдельного поручения обработки.

11. ОТВЕТСТВЕННЫЙ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. В соответствии со статьёй 22.1 Закона № 152-ФЗ Оператор назначил лицо, ответственное за организацию обработки персональных данных:

• Иванов Даниил Сергеевич, генеральный директор ООО «ВЕРКТ»;
• основание назначения: Приказ ООО «ВЕРКТ» № 8 от 01.06.2026 г.;
• контактные данные: адрес электронной почты и почтовый адрес Оператора, указанные в разделе 2 настоящей Политики.

11.2. Ответственный за организацию обработки персональных данных:

• осуществляет внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
• доводит до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов;
• организует приём и обработку обращений и запросов субъектов персональных данных;
• взаимодействует с Роскомнадзором по вопросам обработки персональных данных.

12. ПОРЯДОК РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ

12.1. Оператор обеспечивает учёт и реагирование на инциденты, связанные с нарушением безопасности персональных данных, в порядке, установленном статьёй 21 Закона № 152-ФЗ.

12.2. В случае выявления неправомерной или случайной передачи персональных данных, повлёкшей нарушение прав субъектов, Оператор обязан (часть 3.1 статьи 21 Закона № 152-ФЗ):

12.2.1. В течение 24 часов уведомить Роскомнадзор о произошедшем инциденте, предполагаемых причинах, предполагаемом вреде, принятых мерах по устранению последствий, а также предоставить сведения о лице, уполномоченном на взаимодействие с Роскомнадзором.

12.2.2. В течение 72 часов уведомить Роскомнадзор о результатах внутреннего расследования инцидента и о лицах, действия которых стали причиной выявленного инцидента (при наличии).

12.3. Канал направления уведомлений — портал Роскомнадзора pd.rkn.gov.ru.

12.4. По факту каждого инцидента Оператор:

• проводит внутреннее расследование;
• определяет причины и последствия;
• принимает меры по устранению последствий и недопущению повторения;
• документирует инцидент в журнале учёта инцидентов;
• при необходимости информирует затронутых субъектов персональных данных и (или) Заказчика, выступающего оператором обрабатываемых по поручению ПД.

13. ПОРЯДОК ОБРАЩЕНИЯ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Способы направления обращения

13.1.1. Субъект ПД (или его представитель) вправе направить обращение в адрес Оператора одним из следующих способов:

• по электронной почте — на адрес электронной почты Оператора, указанный в разделе 2 настоящей Политики;
• почтовым отправлением — на почтовый адрес Оператора, указанный в разделе 2 настоящей Политики;
• через раздел «Контакты» Сайта Оператора.

13.2. Содержание обращения

13.2.1. В соответствии с частью 3 статьи 14 Закона № 152-ФЗ обращение должно содержать:

• номер основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта в отношениях с Оператором (номер договора, дата заключения, иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта или его представителя.

13.2.2. Обращение может быть направлено в форме электронного документа и подписано электронной подписью в соответствии с законодательством Российской Федерации.

13.3. Сроки рассмотрения

13.3.1. Оператор предоставляет ответ на обращение в течение 10 рабочих дней со дня его получения. Указанный срок может быть продлён, но не более чем на 5 рабочих дней, в случае направления Оператором в адрес субъекта мотивированного уведомления о необходимости такого продления (часть 1 статьи 20 Закона № 152-ФЗ).

13.3.2. В случае отказа в предоставлении информации Оператор направляет субъекту мотивированный ответ в письменной форме в течение 10 рабочих дней (часть 2 статьи 20 Закона № 152-ФЗ).

13.3.3. Если обращение касается персональных данных, обрабатываемых Оператором по поручению Заказчика, Оператор перенаправляет такое обращение Заказчику-оператору и (или) даёт ответ по согласованию с Заказчиком в порядке, определённом договором.

14. ИЗМЕНЕНИЯ ПОЛИТИКИ

14.1. Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке. Изменения вступают в силу с момента их утверждения приказом генерального директора и размещения новой редакции на сайте, если иной срок не предусмотрен новой редакцией.

14.2. Изменения вносятся в случаях:

• изменения законодательства Российской Федерации в области персональных данных;
• изменения целей, способов или принципов обработки;
• изменения категорий субъектов или категорий обрабатываемых ПД;
• по результатам внутреннего контроля или предписаний уполномоченных органов;
• запуска официального сайта Оператора и (или) появления работников;
• иных существенных изменений деятельности Оператора.

14.3. При существенных изменениях (изменение целей обработки, изменение категорий субъектов или категорий ПД, изменение модели обработчиков, иные существенные изменения, затрагивающие права субъектов) — Оператор уведомляет известных ему субъектов через основные каналы коммуникации (Сайт после его запуска, электронная почта) не менее чем за 30 календарных дней до вступления изменений в силу.

14.4. Если субъект не согласен с новой редакцией Политики — он вправе отозвать ранее данное согласие на обработку и потребовать прекращения обработки в порядке, установленном разделом 8 настоящей Политики.

14.5. Изменения, не являющиеся существенными (уточнения формулировок, технические правки, обновления реквизитов, обновления отдельных Перечней — обработчиков, ИСПДн, мест хранения), могут вступать в силу с момента утверждения соответствующим приказом без предварительного уведомления.

14.6. Действующая редакция Политики предоставляется по письменному запросу субъекта ПД или контрагента; размещается на нём в свободном доступе. Предыдущие редакции хранятся у Оператора и могут быть предоставлены по письменному запросу.

15. ПРИЛОЖЕНИЯ И СВЯЗАННЫЕ ДОКУМЕНТЫ

15.1. Конкретный перечень обработчиков, перечень информационных систем персональных данных, перечень мест хранения персональных данных и перечень лиц, имеющих доступ к персональным данным, ведутся Оператором в отдельных документах, утверждаемых соответствующими приказами генерального директора ООО «ВЕРКТ». Указанные документы доступны по запросу субъекта персональных данных в порядке, установленном настоящей Политикой.

15.2. К связанным документам, образующим вместе с настоящей Политикой комплект локальных актов по обработке и защите персональных данных, относятся в том числе:

• Перечень обработчиков персональных данных (Реестр обработчиков) — поимённый перечень лиц, привлекаемых Оператором на основании договоров поручения обработки;
• Перечень информационных систем персональных данных (ИСПДн) — состав эксплуатируемых ИСПДн с указанием уровней защищённости;
• Перечень мест хранения персональных данных — физических и логических мест хранения (включая облачные ресурсы, серверы, рабочие места, репозитории кода, бумажные носители);
• Перечень лиц, имеющих доступ к персональным данным — работников и привлечённых исполнителей (фрилансеров, ИП, самозанятых), допущенных к обработке;
• Перечень персональных данных, обрабатываемых Оператором — детализация состава ПД по категориям субъектов;
• Положение об обработке персональных данных — детализированные процедуры обработки;
• Инструкции — для работников и привлечённых исполнителей, осуществляющих обработку, и администратора безопасности;
• Формы согласий субъекта на обработку ПД (включая отдельные формы для маркетинговых коммуникаций, для соискателей);
• Форма обращения субъекта персональных данных к Оператору;
• Типовые соглашения о конфиденциальности (NDA) с привлечёнными исполнителями и сотрудниками Заказчиков;
• Политика cookies — отдельный документ или раздел на Сайте.

15.3. Приведённые документы могут актуализироваться, дополняться и переутверждаться приказами генерального директора Оператора без переутверждения настоящей Политики, если изменения не затрагивают принципов и категорий, установленных настоящей Политикой.