Политика обработки персональных данных (далее – «Политика»)

1. Термины, используемые в Политике

— Автоматизированная обработка персональных данных представляет собой процесс обработки персональных данных при помощи информационных технологий и вычислительной техники.

— Блокирование — это временная приостановка обработки персональных данных, за исключением случаев, когда обработка необходима для уточнения персональных данных.

— Закон — Федеральный закон Российской Федерации от «27» июля 2006 года № 152-ФЗ «О персональных данных».

— Авторизованный пользователь (Покупатель) — это физическое лицо, которое прошло авторизацию на Сайте chat.gptlegal.pro.

— Обработка персональных данных — это любое действие или совокупность действий, совершаемых с использованием информационных технологий или без их использования, включая сбор, запись, хранение, использование, передачу, блокирование, удаление или уничтожение персональных данных.

— Исполнитель — Общество с ограниченной ответственностью «КОГНИТИКС»  ОГРН 1247700829650, ИНН 9707041424 / КПП 770701001, юридический адрес: 127006, г. Москва, ул. Краснопролетарская, д. 7, помещ 4/П.

— Оператор — это лицо или организация, которые управляют и осуществляют обработку персональных данных, определяют цели обработки, состав персональных данных и проводят операции с ними. В Политике, если не указано иное, Исполнитель будет считаться оператором при обработке персональных данных.

— Конфиденциальность персональных данных предусматривает, что Исполнитель или другое лицо, получившее доступ к персональным данным, организует процесс защиты с целью недопущения раскрытия и препятствия передачи этих данных третьим лицам без согласия субъектов персональных данных или наличия законного основания.

— Персональные данные — это любая информация, которая относится прямо или косвенно к определенному физическому лицу (субъекту персональных данных), такие как имя и фамилия, дата рождения, адрес проживания, номера телефонов, адрес электронной почты, а также любые другие сведения, которые могут быть использованы для идентификации личности.

— Пользователь — это физическое лицо, которое использует услуги Сайта (пользователь сети «Интернет»).

— Сайт — информационный ресурс Исполнителя в сети «Интернет», доступ к которому осуществляется по доменным именам «bottax.tech» или «gptlegal.pro», расположенным по адресам в сети «Интернет» https://bottax.tech, https://gptlegal.pro, https://chat.gptlegal.pro.

— Telegram-бот — программа, встроенная в интерфейс Telegram, предоставляемый компанией Telegram Messenger Inc для ведения переписки с пользователем, доступ к которой осуществляется по адресу в сети «Интернет» https://t.me/BotTax_bot.

— Специальная категория персональных данных — это сведения о расовой принадлежности, национальности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

— Предоставление — это раскрытие персональных данных определенному лицу или кругу лиц.

— Распространение — это раскрытие персональных данных неопределенному кругу лиц.

— Субъект персональных данных — это физическое лицо, прямо или косвенно определенное, или определяемое на основании персональных данных.

— Уничтожение персональных данных — это действия, которые делают невозможным восстановление содержимого персональных данных в информационной системе персональных данных и/или физическое уничтожение материальных носителей персональных данных.

— Файлы cookies — это текстовые файлы, которые содержат информацию об устройстве (IP-адрес устройства), версии приложения и которые сохраняются в браузере используемого Пользователем при посещении Сайта. При этом, возможна самостоятельная настройка или отключение сбора файлов cookies в настройках используемого Пользователем браузера.

— Псевдонимом (никнеймом) является имя Пользователя как субъекта персональных данных, которое он сам выбирает при регистрации и использовании различных сервисов, сайтов и т. д.

— Остальные термины, не упомянутые выше, используются в соответствии с определением, установленным законодательством Российской Федерации, документами и внутренними нормативными актами Исполнителя.

— Обработчик — третье лицо, осуществляющее обработку персональных данных по поручению Исполнителя на основании заключенного между ними договора, при обязательном согласии на это субъекта персональных данных.

2. Общие положения

2.1. Политика устанавливает цели, порядок и условия обработки персональных данных пользователей Сайта и Telegram-бота, а также определяет меры, направленные на защиту персональных данных.

2.2. Процесс обработки персональных данных осуществляется Исполнителем в соответствии с требованиями, установленными Законом и другими нормативными актами Российской Федерации, регулирующими обработку персональных данных.

2.3. Политика регулирует все процессы, связанным с обработкой персональных данных Исполнителем на Сайте и в Telegram-боте.

2.4. Обработка персональных данных субъектов персональных данных происходит с их согласия, за исключением случаев, предусмотренных законодательством Российской Федерации.

2.5. Условия Политики распространяются на все категории персональных данных субъектов персональных данных, перечень которых содержится в пунктах 5.1. и 5.2. Политики, которые обрабатываются Исполнителем с использованием средств автоматизации и без их использования.

2.6. Политика вступает в силу с момента утверждения Исполнителем и размещения на Сайте и действует бессрочно до замены новой редакцией Политики. Учитывая, что текст Политики доступен в сети «Интернет», субъект персональных данных должен самостоятельно отслеживать любые изменения, внесенные в Политику.

2.7. Исполнитель вправе в одностороннем порядке изменять условия Политики.

2.8. Политика распространяется на все персональные данные, полученные до и после ее утверждения Исполнителем и размещения на сайте действующей редакции Политики.

2.9. Ответственность за соблюдение требований Политики несет Исполнитель.

2.10. При несогласии с обработкой своих персональных данных Субъект персональных данных вправе письменно обратиться к Исполнителю с отказом от использования Сайта и отозвать свое согласие на обработку персональных данных, путем направления заказным письмом с уведомлением и описью вложения письменного заявления Оператору – ООО «Когнитикс» по почтовому адресу: 127006, г. Москва, ул. Краснопролетарская, д. 7, помещ 4/П. Данное письменное обращение должно быть в обязательном порядке дополнительно направлено по адресу электронной почты: support@bottax.tech. В таком случае субъект персональных данных не будет иметь доступа ко всем функциям Сайта, включая регистрацию личного кабинета.

3. Цели обработки персональных данных

3.1. Поддержка и обслуживание аккаунта Пользователя в Telegram;

3.2. Обеспечение возможностей использования личного кабинета Пользователем на Сайте, включая:

3.2.1. Заполнение информации о себе;

3.2.2. Взаимодействие с сервисами и функционалом Сайта и бота в Telegram, включая обработку запросов с использованием технологий искусственного интеллекта;

3.2.3. Ведение баланса пользователя в зависимости от потребленных системой токенов;

3.2.4. Составление обращений по вопросам работы сервиса через специальные формы обратной связи;

3.2.5. Предоставление справочной информации и консультационной поддержки;

3.3. Идентификация пользователя в программе лояльности и реферальной программе, учет накопления и использования бонусов, баллов и скидок;

3.4. Проведение маркетинговых мероприятий, включая определение победителей в акциях и конкурсах;

3.5. Отправка рекламных материалов и информации о специальных предложениях, акциях и мероприятиях через различные каналы связи, включая личный кабинет на Сайте, электронную почту, мессенджеры, SMS, Telegram и контактный телефон;

3.6. Улучшение качества услуг и развитие функциональных возможностей Сайта и Telegram-бота на основе анализа персональных данных и запросов Пользователя;

3.7. Информирование Пользователя о новых продуктах, услугах и специальных предложениях организации.

4. Правовые основания обработки персональных данных

4.1. Обработка персональных данных осуществляется Исполнителем на следующих правовых основаниях:

4.1.1. Процесс обработки персональных данных производится после получения согласия от лица, к которому эти данные относятся. Такое согласие лицо выражает через активные действия, включая установку галочки в пользовательском интерфейсе рядом с утверждением: «Даю Согласие на обработку персональных данных», где предусмотрена ссылка на документ, подтверждающий согласие на обработку и передачу персональных данных.

4.1.2. Необходимость обработки персональных данных обусловлена достижением целей, указанных в главе 3 Политики.

5. Категории субъектов персональных данных и категории обрабатываемых персональных данных

5.1. Исполнитель осуществляет обработку персональных данных следующих субъектов персональных данных:

5.1.1. Физических лиц, которыми являются пользователи без авторизации на Сайте в соответствии с целью обработки, указанной в п. 3.1. Политики.

5.1.2. Физических лиц, которыми являются пользователи авторизованные на Сайте в соответствии с целями обработки, указанными в пунктах 3.1., 3.2.1., 3.2.2., 3.2.3., 3.2.4., 3.2.5., 3.3., 3.4., 3.5., 3.6., 3.7.  Политики.

5.2. Исполнитель обрабатывает следующие категории персональных данных: фамилия, имя, отчество, ИНН, контактный номер телефона, адрес электронной почты, никнейм.

6. Порядок и условия обработки персональных данных

6.1. Процесс обработки персональных данных осуществляется Исполнителем в соответствии с требованиями Закона и другими нормативными актами Российской Федерации, регулирующими обработку персональных данных, а также Гражданским кодексом Российской Федерации, Законом РФ № 2300-1 от «07» февраля 1992 г. «О защите прав потребителей», внутренними локальными нормативными актами Исполнителя (при наличии).

6.2. Обработка персональных данных осуществляется Исполнителем действиями по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных в необходимые сроки для достижения целей обработки персональных данных с использованием информационных технологий и вычислительной техники.

6.3. Пользователь при регистрации на Cайте дает свое согласие на обработку персональных данных, которое действует с даты отправки им сведений через форму на Сайте и до окончания срока в течение тридцати дней после даты отзыва согласия и удаления личного кабинета пользователя на Сайте.

6.4.    Специальные категории персональных данных и биометрические персональные данные не подлежат обработке Исполнителем за исключением случаев, когда обработка персональных данных обусловлена текущими задачами бизнеса, при обязательном согласии субъекта персональных данных на обработку персональных данных, или является необходимой в соответствии с требованиями законодательства.

6.5. При условии полученного согласия субъекта персональных данных, обработка персональных данных возможна по поручению Исполнителя и на основании договора третьими лицам (далее –«Обработчик»). При этом за действие Обработчика перед субъектом персональных данных несет ответственность Исполнитель. В свою очередь Обработчик, осуществляющий обработку персональных данных ответственен перед Исполнителем за безопасность и утечку персональных данных и выполнение требований Закона, но Обработчик при этом не обязан получать Согласие на обработку персональных данных.

6.6. Обработчик по условиям договора, заключенного с Исполнителем, обязан соблюдать законодательство в области обработки персональных данных, в том числе полностью придерживаться принципов и правил защиты и обработки персональных данных.

6.7. При передаче персональных данных, указанных в п. 5.2. Политики, Обработчику Исполнитель руководствуется принципами наличия надлежащего основания на обработку персональных данных и принципа минимального объема необходимых к передаче на обработку данных для достижения указанных целей, а Обработчик в свою очередь должен принять все необходимые меры для соблюдения требований безопасности персональных данных.

6.8. Исполнитель обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Также Исполнитель имеет право обязать лиц, допущенных к обработке персональных данных, соблюдать все необходимые меры и протоколы безопасности для защиты и сохранения конфиденциальности этих данных.

6.9. Исполнитель определяет порядок уничтожения персональных данных, хранящихся на различных носителях, таких как внешние и/или съемные электронные носители, бумажные носители, и в информационных системах в соответствии с Политикой, нормативными и локальными нормативными актами.

6.10. Политикой устанавливается презумпция достоверности, достаточности и актуальности состояния персональных данных, предоставленных на Сайте субъектами персональных данных. Исполнитель не проверяет и не имеет возможности проверить предоставленные сведения, содержащие персональные данные и исходит из того, что они актуальны и достоверны.

6.11. Исполнитель предоставляет доступ к обрабатываемым персональным данным уполномоченным представителям контролирующих, надзорных, правоохранительных органов, органов дознания и следствия исключительно на основании, в объеме и порядке, установленными законодательством.

6.12. Обязанность контроля Исполнителя за соблюдение условий конфиденциальности и обработки персональных данных субъектов персональных данных ограничена собственным Сайтом. Исполнитель не несет ответственности в области обработки персональных данных за сайты, на которые возможен переход по ссылке субъектом персональных данных с Сайта Исполнителя и/или из Telegram-бота. Исполнитель не несет ответственность в области обработки персональных данных и соблюдения конфиденциальности за действия (бездействия) владельцев и пользователей таких сайтов.

6.13. Исполнитель принимает все необходимые меры для защиты персональных данных правого, организационного и технического характера от случайного, незаконного доступа к ним, а также меры, направленные на предотвращение противоправных действий в отношении персональных данных в соответствии с требованиями законодательства и внутренними документами, в том числе действий по уничтожению, блокированию, копированию, изменению, предоставлению, распространению персональных данных.

6.14. Меры защиты персональных данных обеспечиваются следующими действиями:

6.14.1. Анализ информационных систем обработки персональных данных и определение их слабых мест с целью предотвращения угроз безопасности персональных данных при их обработке.

6.14.2. При вводе в эксплуатацию информационной системы обработки персональных данных проводится обязательная оценка принятых мер безопасности персональных данных.

6.14.3. Назначение должностного лица, ответственного за процесс организации обработки персональных данных.

6.14.4. Привлечение третьих лиц на договорной основе, обеспечивающих безопасный процесс обработки персональных данных, усиление информационной безопасности, предоставление необходимого оборудования и программного обеспечения и т.д.

6.14.5. С целью выполнения необходимых требований по защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных, Исполнитель принимает необходимые технические и организаторские меры по обеспечению безопасности персональных данных при их обработке в информационных системах.

6.14.6. Исполнитель проводит периодический аудит, контроль законности и соответствия процесса обработки персональных данных Политике и требованиям к защите персональных данных.

6.14.7. Законность, безопасность процесса обработки персональных данных обеспечивается в том числе повышением правовой грамотности, обучением работников Исполнителя требованиям информационной безопасности, связанных с обработкой персональных данных, ознакомлением работников с Политикой и внутренними локальными актами.

6.14.8. Выявление Исполнителем факторов и инцидентов несанкционированного доступа к персональным данным и принятие соответствующих мер для обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные системы персональных данных и для реагирования на компьютерные инциденты в этих системах.

6.14.9. Исполнитель производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством.

6.14.10. Исполнитель осуществляет контроль за уровнем защищенности информационных систем персональных данных и мерами обеспечения безопасности персональных данных.

6.15. Исполнитель прекращает обработку персональных данных и уничтожает их в случаях: ликвидации Исполнителя, реорганизации Исполнителя, влекущей прекращение его деятельности, прекращения правовых оснований обработки персональных данных и/или достижения целей обработки персональных данных и отзыва согласия субъекта персональных данных на обработку персональных данных. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем подачи Исполнителю письменного заявления.

6.16. При получении персональных данных Исполнитель их регистрирует, организует, накапливает, хранит, корректирует (обновляет, изменяет) и извлекает, используя базы данных, которые находятся на территории РФ, за исключением случаев, предусмотренных законодательством.

6.17. Исполнитель хранит личные данные таким образом, чтобы их владелец мог быть опознан только в течение необходимого срока для достижения целей обработки персональных данных с соблюдением требований, установленных законом.

6.18. Исполнитель определяет процедуру уничтожения личных данных, содержащихся на различных носителях, включая внешние (съемные) электронные устройства, бумажные носители и информационные системы, согласно приказу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от «28» октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» и Политике.

7. Порядок предоставления информации субъектам и доступ к персональным данным

7.1. В соответствии с ч. 7 ст. 14 Закона Исполнитель обязан предоставить при обращении субъекта персональных данных следующую информацию: подтверждение факта обработки персональных данных оператором, правовые основания и цели обработки персональных данных, цели и применяемые оператором способы обработки персональных данных, наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона, обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом, сроки обработки персональных данных, в том числе сроки их хранения, порядок осуществления субъектом персональных данных прав, предусмотренных Законом, информацию об осуществленной или о предполагаемой трансграничной передаче данных, наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу, информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 Закона, иные сведения, предусмотренные Законом или другими федеральными законами.

7.2. Если персональные данные неполные, неточные, устаревшие, незаконно полученные или собранные не в соответствии с целями их обработки, субъект персональных данных имеет право требовать от Исполнитель их блокирования, уточнения или уничтожения.

7.3. Для направления официальных запросов и реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Исполнителю по контактным данным, указанным в п.п. 7.9., 7.10. Политики.

7.4. Оператор или третье лицо, действующее по поручению оператора, должны блокировать незаконную обработку персональных данных или обработку выявленных неточных персональных данных, относящихся к обратившемуся субъекту персональных данных, с момента такого обращения или получения указанного запроса уполномоченного органа по защите прав субъектов персональных данных на период проверки. В случае подтверждения неточности персональных данных на основании сведений, документов, представленных субъектом персональных данных (его представителем или уполномоченным органом по защите прав субъектов персональных данных), Исполнитель или третье лицо, действующее по поручению, обязаны уточнить персональные данные либо обеспечить их уточнение в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

7.5. Если цели обработки персональных данных достигнуты, то Исполнитель обязан прекратить обработку персональных данных или обеспечить ее прекращение третьим лицом, которому поручена обработка данных,  и уничтожить персональные данные или обеспечить их уничтожение третьим лицом, которому поручена обработка данных, в срок не более тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором с субъектом персональных данных — выгодоприобретателем (поручителем), иным соглашением между Исполнителем и субъектом персональных данных.

7.6. Исполнитель обязан прекратить обработку персональных данных или обеспечить ее прекращение третьим лицом, которому поручена обработка данных при отзыве субъектом персональных данных своего ранее данного согласия на обработку его персональных данных и уничтожить персональные данные или обеспечить их уничтожение третьим лицом, которому поручена обработка данных, если хранение данных в целях обработки не требуется, в срок не позднее тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором с субъектом персональных данных — выгодоприобретателем (поручителем), иным соглашением между Исполнителем и субъектом персональных данных.

7.7. Если персональные данные, обрабатываемые Исполнителем, получены не от субъекта персональных данных, то такие персональные данные считаются Исполнителем полученными на законном основании от зарегистрированного пользователя Сайта, передавшего Исполнителю персональные данные субъекта персональных данных.

7.8.Исполнитель как сторона процесса обработки персональных данных открыт к урегулированию спорных ситуаций в досудебном порядке. Исполнитель оперативно рассматривает любые обращения и жалобы со стороны субъектов персональных данных, проводит проверки по фактам нарушений и принимает все необходимые меры для их немедленного устранения.

7.9. Письменный запрос субъекта персональных данных о предоставлении информации, касающейся обработки его персональных данных, должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором,  а именно логин пользователя на Сайте, а также сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Письменный запрос направляется по адресу Исполнителя: 127006, г. Москва, ул. Краснопролетарская, д. 7, помещ 4/П. Данное письменное обращение должно быть в обязательном порядке дополнительно направлено по адресу электронной почты: support@bottax.tech.

В соответствии с законодательством субъект персональных данных вправе направить запрос в форме электронного документа, подписанного электронной подписью.

В целях ознакомления, получения, уточнения, блокировки, уничтожения своих персональных данных и отзыва согласия на их обработку запросы могут быть направлены по адресу электронной почты: support@bottax.tech.

7.10. По остальных вопросам, связанным с обработкой персональных данных, можно обращаться к Исполнителю по следующему почтовому адресу: 127006, г. Москва, ул. Краснопролетарская, д. 7, помещ 4/П. Все письменные обращения должны быть в обязательном порядке дополнительно направлены по адресу электронной почты: support@bottax.tech.