Политика конфиденциальности - VAI — Чат-бот нового поколения для Instagram и сайта

Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика общества с ограниченной ответственностью «СОФТДЕВ» (далее – Общество) устанавливает порядок обработки информации, относящейся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (далее – персональные данные), а также меры, принимаемые Обществом для обеспечения безопасности персональных данных.1.2. Настоящая Политика разработана в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон о персональных данных), а также иными законодательными актами Республики Беларусь.
1.2.1. Настоящая Политика также учитывает положения Регламента (ЕС) 2016/679 Европейского парламента и Совета (Общий регламент по защите данных – GDPR), применимые к пользователям, находящимся на территории Европейского Союза.1.3. Общество принимает технические и организационно-правовые меры для обеспечения защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.1.4. Настоящая Политика применяется ко всем персональным данным, обрабатываемым Обществом, за исключением обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур (в отношении работников и бывших работников), а также обработки файлов cookie.Политика распространяется, в том числе, на обработку данных пользователей сайта https://vai-chat.by (далее — Сайт), клиентов, контрагентов-физлиц, соискателей, представителей юридических лиц и иных лиц, взаимодействующих с Обществом.1.5. Термины, используемые в настоящей Политике, имеют значения, установленные действующим законодательством Республики Беларусь.

2. Принципы, цели и правила обработки персональных данных, перечень обрабатываемых персональных данных и сроки их обработки

2.1. Целями обработки персональных данных являются:
2.1.1. Обеспечение соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, а также локальных правовых актов Общества;
2.1.2. Выполнение функций, полномочий и обязанностей, возложенных на Общество законодательством Республики Беларусь, включая предоставление персональных данных органам государственной власти, Фонду социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также иным государственным органам;
2.1.3. Ведение делопроизводства по обращениям граждан, поступающим в Общество в соответствии с Законом Республики Беларусь от 18 июля 2011 г. № 300-З «Об обращениях граждан и юридических лиц»;
2.1.4. Идентификация физических лиц, с которыми Общество вступает в договорные отношения;
2.1.5. Подготовка, заключение, исполнение и прекращение договоров с контрагентами;
2.1.6. Формирование справочных материалов для внутреннего информационного обеспечения деятельности Общества;
2.1.7. Исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
2.1.8. Осуществление прав и законных интересов Общества в рамках финансово-хозяйственной деятельности или достижения общественно значимых целей;
2.1.9. Иные законные цели.
2.1.10. Обеспечение функционирования программных сервисов, ИИ-сервисов и цифровых платформ, используемых пользователями, в том числе через API сторонних сервисов (например, Instagram, Meta, Telegram и др.).
2.2. Обработка персональных данных Обществом основывается на принципах законности, уважения прав и интересов физических лиц, а также неприкосновенности их частной жизни.
2.3. Общество обрабатывает следующие персональные данные субъектов: фамилия, имя, отчество (при наличии); контактные данные (номер телефона, факса, адрес электронной почты); фотографии; дата рождения; место жительства или адрес для корреспонденции; сведения о документах, удостоверяющих личность (серия, номер, дата выдачи); номер свидетельства социального страхования; адрес места жительства или местонахождения.
На официальном сайте Общества в глобальной компьютерной сети Интернет осуществляется сбор и обработка обезличенных данных о посетителях (включая файлы «cookie»).
2.3.1. При наличии законных оснований могут обрабатываться специальные персональные данные, включая биометрические.
2.3.2. Пользовательский контент: В рамках использования платформы пользователи могут вводить текстовые инструкции (промты) и другие данные для настройки работы виртуального ассистента. Указанные данные обрабатываются Обществом исключительно с целью предоставления сервиса, технической поддержки, а также для мониторинга соблюдения условий использования. Администрация сервиса оставляет за собой право в случае выявления нарушений приостановить доступ к учетной записи пользователя.
2.3.3. Персональные данные, собранные через интеграцию с платформами Meta (например, сообщения в Instagram, данные профиля), обрабатываются исключительно для предоставления функциональности ИИ-ассистента, включая ответы на запросы и персонализацию, в соответствии с требованиями GDPR и политиками Meta.
2.4. Общество обеспечивает хранение персональных данных в форме, позволяющей идентифицировать субъекта, не дольше, чем это требуется в соответствии с законодательными актами и заявленными целями обработки персональных данных.
2.5. Оператор обеспечивает безопасность персональных данных, применяя шифрование (например, AES-256 для хранения, HTTPS для передачи), ограничение доступа, регулярные аудиты безопасности и другие технические и организационные меры в соответствии с Article 32 GDPR, чтобы предотвратить несанкционированный доступ к персональным данным.
2.6. Сроки хранения персональных данных субъектов определяются в соответствии с законодательством об архивном деле и делопроизводстве.
2.7. Общество хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
2.8. Все персональные данные хранятся в месте, недоступном для неуполномоченных лиц – в сейфах или иных запирающихся шкафах и помещениях с ограниченным доступом.
2.9. По достижении целей обработки Общество уничтожает персональные данные, за исключением тех, которые должны храниться в течение более длительного времени в силу требований нормативных правовых актов.

3. Порядок и условия обработки персональных данных
3.1. Сбор персональных данных осуществляется с согласия физического лица, чьи персональные данные обрабатываются Обществом (далее – субъект), за исключением случаев, предусмотренных Законом о персональных данных.
3.2. Согласие субъекта представляет собой свободное, однозначное и информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
3.3. Согласие субъекта может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.
3.3.1. Согласие может быть выражено в электронной форме, включая отметку в интерфейсе сайта (чекбокс), при условии информированного волеизъявления.
3.4. Субъекты персональных данных имеют следующие права, предусмотренные действующим законодательством и статьями 12–23 GDPR (в случае применения):
3.4.1. Отозвать согласие на обработку персональных данных;
3.4.2. Получить информацию об обработке своих персональных данных и запросить внесение изменений в свои персональные данные;
3.4.3. Требовать прекращения обработки персональных данных и/или их удаления;
3.4.4. Обжаловать действия (бездействие) и решения Общества, связанные с обработкой персональных данных;
3.4.5. Получить доступ к своим персональным данным;
3.4.6. Ограничить обработку в случае возникновения спора;
3.4.7. Уведомить всех лиц, которым ранее были переданы их неточные или неполные персональные данные, о внесенных исправлениях или дополнениях;
3.4.8. Дополнить свои персональные данные заявлением, выражающим собственную точку зрения (в случае обработки данных оценочного характера);
3.4.9. На перенос данных (право на data portability) в машиночитаемом формате, если применимо.
3.5. Персональные данные обрабатываются Обществом для достижения целей обработки персональных данных.
3.6. Обработка персональных данных, поступивших в Общество, осуществляется в соответствии с законодательными актами и локальными правовыми актами Общества.
3.7. Персональные данные, поступившие в Общество, не передаются третьим лицам и не подлежат распространению, за исключением случаев, связанных с выполнением Обществом требований законодательства.

4. Уполномоченные лица. Трансграничная передача персональных данных
4.1. Общество может привлекать уполномоченных третьих лиц к обработке персональных данных.
4.2. Уполномоченные лица осуществляют обработку на основании соглашения с Обществом.
4.2.1. Уполномоченные лица обеспечивают соответствие требованиям GDPR в случаях обработки данных граждан ЕС.
4.2.2. При передаче данных Meta Platforms Inc. (1601 Willow Road, Menlo Park, CA 94025, США) для использования API платформ Meta (например, Instagram, Facebook), Общество заключает соглашения, обеспечивающие соответствие требованиям GDPR и политикам Meta, включая защиту данных и конфиденциальность.
4.3. Трансграничная передача допускается при наличии соответствующих правовых оснований.
4.4. Передача может осуществляться при наличии согласия субъекта, исполнения договора, либо выполнения обязанностей.
4.5. При передаче данных за пределы Республики Беларусь Общество обеспечивает применение адекватных правовых механизмов, включая стандартные договорные положения (SCC) или получение явного согласия субъекта.

5. Права и обязанности субъектов персональных данных
5.1. Субъекты персональных данных имеют право:
5.1.1. На полную информацию о своих персональных данных, обрабатываемых Обществом;
5.1.2. На доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством;
5.1.3. На уточнение, блокирование или удаление своих персональных данных, если данные являются неполными, устаревшими, неточными, незаконно полученными или не требуются для заявленной цели обработки;
5.1.4. На дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения;
5.1.5. На уведомление всех лиц, которым ранее были переданы их неточные или неполные персональные данные, о внесенных исправлениях или дополнениях;
5.1.6. На отзыв согласия на обработку своих персональных данных;
5.1.7. На обжалование в соответствии с законодательством действий или бездействия Общества, связанных с обработкой персональных данных;
5.1.8. На осуществление иных прав, предусмотренных законодательством.
5.2. Субъекты персональных данных обязаны:
5.2.1. Предоставлять Обществу достоверные персональные данные;
5.2.2. Своевременно информировать Общество об изменениях или дополнениях своих персональных данных;
5.2.3. Осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных;
5.2.4. Выполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных.
5.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие не требуется в случаях, предусмотренных Законом о персональных данных, включая, но не ограничиваясь:
5.3.1. Когда специальные персональные данные были сделаны общедоступными самим субъектом персональных данных;
5.3.2. При оформлении трудовых (служебных) отношений и в процессе трудовой (служебной) деятельности субъекта в случаях, предусмотренных законодательством;
5.3.3. В целях назначения и выплаты пенсий или ежемесячного денежного содержания отдельным категориям государственных служащих;
5.3.4. Для осуществления правосудия, исполнения судебных решений и иных исполнительных документов, совершения нотариальных действий и оформления наследственных прав;
5.3.5. Для осуществления административных процедур;
5.3.6. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или других лиц, если получение согласия невозможно;
5.3.7. Когда обработка специальных персональных данных необходима для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
5.3.8. Для организации и проведения государственных статистических наблюдений и формирования официальной статистической информации;
5.3.9. Когда Законом о персональных данных и иными законодательными актами прямо предусмотрена обработка специальных персональных данных без согласия субъекта;
5.3.10. Для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, включая профессиональное пенсионное страхование;
5.3.11. В научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;
5.3.12. При обработке персональных данных, указанных в документе, адресованном Обществу и подписанном субъектом персональных данных, в соответствии с содержанием такого документа. Обработка специальных персональных данных без согласия субъекта запрещена, за исключением случаев, предусмотренных Законом о персональных данных, включая, но не ограничиваясь:
5.3.13. Для осуществления административных процедур;
5.3.14. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или других лиц, если получение согласия невозможно.
5.4. Согласие на обработку персональных данных может быть получено Обществом в письменной форме, в виде электронного документа или в иной электронной форме, соответствующей требованиям действующего законодательства.
5.5. Субъект персональных данных вправе в любое время без указания причин отозвать свое согласие на обработку персональных данных, направив соответствующее заявление в Общество. Заявление об отзыве согласия должно соответствовать действующему законодательству и включать:
5.5.1. Фамилию, имя, отчество (при наличии) субъекта и адрес его места жительства (или места пребывания);
5.5.2. Дату рождения субъекта;
5.5.3. Идентификационный номер субъекта или, при его отсутствии, номер документа, удостоверяющего личность, если такая информация предоставлялась при даче согласия Обществу или обработка осуществляется без согласия;
5.5.4. Явное указание на отзыв согласия на обработку персональных данных;
5.5.5. Личную подпись или электронную цифровую подпись субъекта персональных данных.
5.6. При получении заявления субъекта персональных данных об отзыве согласия такое заявление передается должностному лицу Общества, ответственному за внутренний контроль обработки персональных данных, назначенному приказом Общества.
Уполномоченное должностное лицо обязано в течение пятнадцати дней рассмотреть заявление, прекратить обработку персональных данных, удалить их и уведомить субъекта, если отсутствуют иные законные основания для таких действий в соответствии с законодательством Республики Беларусь. Если техническое удаление персональных данных невозможно, Общество обязано принять меры для предотвращения дальнейшей обработки, включая блокирование данных, и уведомить субъекта в тот же срок. Для вопросов, связанных с обработкой персональных данных в соответствии с GDPR, субъект может обратиться к ответственному лицу по защите данных (Data Protection Officer) по адресу vaichat.by@gmail.com или через форму обратной связи на https://vai-chat.by.

6. Заключительные положения
6.1. Безопасность персональных данных, обрабатываемых Обществом, обеспечивается путем реализации правовых, организационных и технических мер для защиты персональных данных от несанкционированного или случайного доступа, изменения, блокирования, копирования, распространения, предоставления, удаления или иных неправомерных действий в отношении персональных данных.
6.2. Контроль за соблюдением Обществом законодательства Республики Беларусь и локальных правовых актов Общества в области персональных данных, включая требования к их защите, осуществляется для проверки соответствия обработки персональных данных законодательству Республики Беларусь и локальным правовым актам Общества, а также для оценки мер, направленных на предотвращение и выявление нарушений законодательства в области персональных данных, выявление возможного несанкционированного доступа к персональным данным и устранение последствий таких нарушений.
6.3. Внутренний контроль за соблюдением Обществом законодательства Республики Беларусь и локальных правовых актов в области персональных данных, включая требования к их защите, осуществляется лицом, ответственным за организацию обработки персональных данных в Обществе.
6.4. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных актов Общества в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных возлагается на лицо, ответственное за организацию обработки персональных данных в Обществе.
6.5. Внутренний контроль включает периодическую проверку соответствия локальных процедур требованиям законодательства и международных стандартов, включая GDPR.
6.6. Настоящая Политика обработки персональных данных является общедоступной, размещается на официальном сайте Общества и вступает в силу с даты утверждения руководством Общества.
6.7. Общество вправе вносить изменения и/или дополнения в настоящую Политику для обеспечения актуальности и полноты информации о процедурах сбора и обработки персональных данных, а также о правах и обязанностях сторон.
6.8. Общество обязуется информировать субъектов персональных данных о любых изменениях в настоящей Политике путем публикации обновленной версии на официальном сайте Общества и/или иными способами по своему усмотрению. Для пользователей из Европейского Союза уведомление о существенных изменениях в Политике будет направляться по электронной почте или через интерфейс сервиса в соответствии с требованиями GDPR (Articles 13-14).
6.9: В случаях, когда обработка персональных данных, включая биометрические данные или профилирование в рамках ИИ-ассистента, может представлять высокий риск для прав и свобод субъектов, Общество проводит оценку воздействия на защиту данных (Data Protection Impact Assessment, DPIA) в соответствии с Article 35 GDPR.