Оператор персональных данных: Общество с ограниченной ответственностью «ОККворк» (ООО «ОККворк»).
ИНН: 7707123456 · ОГРН: 1177746123456 · КПП: 770701001
Юридический адрес: 127473, г. Москва, ул. Примерная, д. 1, офис 100
E-mail для запросов по персональным данным: pd@okkwork.ru · Телефон: +7 (800) 000-00-00
1. Общие положения
1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей (далее — «Пользователи», «Субъекты персональных данных») веб-сайта и программного сервиса OKKwork (далее — «Сервис», «Сайт»), принадлежащих ООО «ОККворк» (далее — «Оператор», «Компания», «мы»).
1.2. Политика разработана в соответствии с требованиями законодательства Российской Федерации о персональных данных, а также с учётом международных стандартов защиты данных для пользователей из иностранных юрисдикций.
1.3. Используя Сайт и/или Сервис, регистрируя учётную запись, оформляя подписку, направляя обращения в поддержку либо иным образом предоставляя данные, Пользователь подтверждает, что ознакомился с настоящей Политикой. При обработке персональных данных на основании согласия Пользователь даёт согласие в порядке, предусмотренном разделом 8 настоящей Политики и отдельным документом «Согласие на обработку персональных данных».
1.4. Политика является общедоступным документом и размещается в сети Интернет по постоянному адресу. Оператор вправе утверждать локальные акты, дополняющие настоящую Политику (регламенты, инструкции, положения о защите ПД).
2. Нормативная база (Российская Федерация и международное право)
2.1. Законодательство Российской Федерации
- Конституция Российской Федерации (ст. 23, 24);
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 07.07.2003 № 126-ФЗ «О связи» (в части конфиденциальности сведений об абонентах);
- Федеральный закон от 07.02.1992 № 2300-1 «О защите прав потребителей»;
- Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе»;
- Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
- Гражданский кодекс Российской Федерации (общие положения о защите личных неимущественных прав);
- Трудовой кодекс Российской Федерации (при обработке данных работников и соискателей);
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСТЭК России от 18.02.2013 № 21 (меры защиты ПД в ИСПДн);
- Приказ Роскомнадзора от 24.02.2021 № 18 (требования к форме согласия на обработку ПД);
- иные подзаконные акты и разъяснения уполномоченных органов, действующие на дату обработки.
2.2. Международное и иностранное право
При обработке данных пользователей из ЕС, ЕЭЗ, Великобритании и иных юрисдикций Оператор руководствуется, в частности:
- Регламент (ЕС) 2016/679 (General Data Protection Regulation, GDPR);
- Директива 2002/58/EC (ePrivacy) в части cookies и электронных коммуникаций;
- UK GDPR и Data Protection Act 2018 (Великобритания);
- California Consumer Privacy Act (CCPA) и California Privacy Rights Act (CPRA) — для резидентов Калифорнии (США);
- Personal Information Protection and Electronic Documents Act (PIPEDA) — Канада;
- Lei Geral de Proteção de Dados (LGPD) — Бразилия;
- Protection of Personal Information Act (POPIA) — ЮАР;
- Act on the Protection of Personal Information (APPI) — Япония;
- Federal Act on Data Protection (FADP) — Швейцария;
- Стандартные договорные положения (SCC) Европейской комиссии и иные механизмы трансграничной передачи данных.
Если императивные нормы права страны пользователя предусматривают более высокий уровень защиты, Оператор применяет такой уровень в части, не противоречащей применимому праву РФ.
3. Термины и определения
3.1. Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
3.2. Обработка ПД — любое действие (операция) или совокупность действий с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
3.3. Оператор — ООО «ОККворк», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПД.
3.4. Пользователь — физическое или юридическое лицо, использующее Сайт и/или Сервис.
3.5. Специальные категории ПД — данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни; биометрические и генетические данные (ст. 10 152-ФЗ).
3.6. Cookies — небольшие фрагменты данных, сохраняемые браузером на устройстве Пользователя.
4. Принципы обработки персональных данных
Оператор обрабатывает ПД на основе принципов:
- законности, справедливости и прозрачности;
- ограничения обработки достижением конкретных, заранее определённых и законных целей;
- минимизации данных (сбор только необходимого объёма);
- точности и актуальности;
- ограничения срока хранения;
- целостности и конфиденциальности;
- подотчётности (accountability).
5. Категории субъектов и персональных данных
| Категория субъектов | Категории данных |
|---|---|
| Посетители Сайта | IP-адрес, данные cookies, тип браузера и ОС, referrer, дата и время визита, сведения об устройстве, действия на Сайте |
| Зарегистрированные пользователи | ФИО, e-mail, телефон, должность, организация, логин, хеш пароля, настройки аккаунта, история использования Сервиса |
| Представители юридических лиц — клиентов | ФИО, должность, контактные данные, реквизиты организации, данные договоров и оплат |
| Специалисты ОКК (пользователи рабочего пространства) | Данные, вносимые при проверках: записи звонков, CRM-данные, оценки, комментарии, метаданные проверок |
| Обращения в поддержку | Содержание обращений, вложения, контактные данные, переписка |
| Соискатели / работники (при наличии) | Резюме, контакты, сведения, предусмотренные ТК РФ |
Оператор не обрабатывает специальные категории ПД и биометрические ПД, за исключением случаев, когда это прямо требуется законом или отдельно согласовано с субъектом.
6. Цели и правовые основания обработки
| Цель | Данные | Правовое основание (152-ФЗ / GDPR) |
|---|---|---|
| Регистрация и предоставление доступа к Сервису | Учётные и контактные данные | Исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ; ст. 6(1)(b) GDPR); согласие |
| Исполнение лицензионного договора / публичной оферты | Реквизиты, данные оплат, история использования | Исполнение договора; законный интерес |
| Техническая поддержка | Контакты, содержание обращений | Исполнение договора; согласие; законный интерес |
| Обеспечение безопасности и предотвращение мошенничества | IP, логи, идентификаторы сессий | Законный интерес; исполнение обязанностей по 149-ФЗ |
| Аналитика и улучшение Сервиса | Обезличенные/агрегированные данные, cookies | Согласие; законный интерес (при анонимизации) |
| Информирование о продуктах (при наличии согласия) | E-mail, телефон | Согласие (ст. 6 152-ФЗ; ст. 6(1)(a) GDPR); 38-ФЗ «О рекламе» |
| Исполнение требований законодательства | Данные, предусмотренные нормами НК РФ, бухгалтерского учёта и др. | Исполнение обязанностей оператора (ст. 6(1)(c) GDPR) |
7. Cookies, localStorage и аналогичные технологии
| Категория | Назначение | Примеры | Срок |
|---|---|---|---|
| Строго необходимые | Аутентификация, безопасность, балансировка нагрузки | session_id, csrf_token | Сессия / до 24 ч |
| Функциональные | Запоминание настроек интерфейса | okkwork-start-design, okkwork-cookie-consent | До 12 мес. |
| Аналитические | Статистика посещений (только при согласии) | _ym_uid, _ga | До 24 мес. |
| Маркетинговые | Ретargeting (не используются без отдельного согласия) | — | — |
7.2. Пользователь может управлять cookies через настройки браузера и баннер согласия на Сайте. Отключение строго необходимых cookies может ограничить функциональность Сервиса.
8. Порядок получения согласия
8.1. Согласие на обработку ПД даётся путём проставления отметки (checkbox), нажатия кнопки регистрации/оформления подписки либо совершения конклюдентных действий после ознакомления с Политикой и документом «Согласие на обработку персональных данных».
8.2. Согласие является конкретным, информированным и сознательным, содержит перечень ПД, целей, сроков, права отозвать согласие (ст. 9 152-ФЗ, Приказ Роскомнадзора № 18).
8.3. Отзыв согласия направляется на pd@okkwork.ru. Отзыв не влияет на законность обработки до момента отзыва. Оператор вправе продолжить обработку при наличии иных правовых оснований.
9. Передача данных третьим лицам
9.1. Оператор может поручать обработку ПД следующим категориям получателей (обработчиков) на основании договоров, обязывающих обеспечивать конфиденциальность и безопасность:
- хостинг-провайдеры и облачные платформы (хранение данных на территории РФ — приоритетно);
- платёжные агрегаторы (при оплате подписки);
- сервисы электронной почты и уведомлений;
- системы аналитики (при наличии согласия);
- юридические, аудиторские и консультационные организации — в объёме, необходимом для оказания услуг;
- государственные органы — при наличии законного запроса.
9.2. Оператор не продаёт персональные данные третьим лицам.
10. Трансграничная передача персональных данных
10.1. Оператор осуществляет хранение и обработку ПД граждан РФ на серверах, расположенных на территории Российской Федерации, в соответствии с ч. 5 ст. 18 152-ФЗ.
10.2. Трансграничная передача допускается при условии обеспечения адекватной защиты прав субъектов и (или) получения согласия, а также при использовании SCC, BCR или иных одобренных механизмов (ст. 12 152-ФЗ; гл. V GDPR).
10.3. До начала трансграничной передачи Оператор оценивает правовой режим страны-получателя и при необходимости уведомляет Роскомнадзор.
11. Сроки хранения и уничтожение
11.1. ПД хранятся не дольше, чем этого требуют цели обработки, если иной срок не установлен законом или договором:
- данные учётной записи — в течение срока действия договора и 3 лет после его прекращения (исковая давность);
- данные первичных документов бухучёта — не менее 5 лет;
- логи безопасности — до 1 года;
- данные обращений в поддержку — до 3 лет;
- cookies — согласно разделу 7.
11.2. По достижении целей обработки или при отзыве согласия (при отсутствии иных оснований) ПД подлежат уничтожению или обезличиванию в срок не более 30 дней, если иное не предусмотрено законом.
12. Права субъектов персональных данных (Российская Федерация)
В соответствии со ст. 14, 15, 20, 21 152-ФЗ субъект ПД имеет право:
- получать информацию об обработке своих ПД;
- требовать уточнения, блокирования или уничтожения ПД, если они неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели;
- отозвать согласие на обработку ПД;
- обжаловать действия или бездействие Оператора в Роскомнадзор (rkn.gov.ru) или в суд;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда.
Запрос направляется на pd@okkwork.ru или почтовым отправлением по юридическому адресу. Срок ответа — до 30 календарных дней (может быть продлён с уведомлением субъекта).
13. Права пользователей по GDPR и иным международным актам
Для пользователей из ЕС/ЕЭЗ/Великобритании и иных юрисдикций дополнительно обеспечиваются права:
- доступ (right of access);
- исправление (rectification);
- удаление — «право быть забытым» (erasure);
- ограничение обработки (restriction);
- переносимость данных (data portability);
- возражение против обработки (objection), включая прямой маркетинг;
- отзыв согласия без ущерба для законности предшествующей обработки;
- не подвергаться решению, основанному исключительно на автоматизированной обработке (ст. 22 GDPR).
Резиденты Калифорнии (CCPA/CPRA): право знать, удалять, исправлять персональную информацию; право opt-out от «продажи»/«шеринга» (Оператор не продаёт ПД); право на недискриминацию при реализации прав.
Жалоба может быть подана в надзорный орган страны проживания (для ЕС — местный DPA). Контакт для GDPR-запросов: pd@okkwork.ru (тема: «GDPR Request»).
14. Меры по защите персональных данных
14.1. Оператор применяет правовые, организационные и технические меры в соответствии со ст. 18.1, 19 152-ФЗ, ПП РФ № 1119, Приказом ФСТЭК № 21:
- назначение ответственного за организацию обработки ПД;
- издание локальных актов, модель угроз, классификация ИСПДн;
- разграничение доступа, учётные записи, двухфакторная аутентификация (при наличии);
- шифрование каналов передачи (TLS/HTTPS);
- резервное копирование, антивирусная защита, журналирование событий;
- обучение работников, NDA, контроль действий с ПД;
- реагирование на инциденты; уведомление Роскомнадзора и субъектов при утечках — в сроки, установленные законом.
15. Обработка данных несовершеннолетних
Сервис предназначен для лиц старше 18 лет (либо для лиц от 14 до 18 лет с согласия законных представителей). Оператор сознательно не собирает ПД детей младше 14 лет. При выявлении таких данных они будут удалены. Для GDPR — обработка детей до 16 лет (или ниже порога в отдельных государствах-членах) — только с согласия родителя.
16. Автоматизированная обработка и профилирование
Оператор может использовать автоматизированные алгоритмы для формирования статистики и рекомендаций в Сервисе. Решения, порождающие юридические последствия или существенно затрагивающие права субъекта исключительно на основе автоматизированной обработки, не принимаются без участия человека, если иное не допускается законом и не согласовано с субъектом.
17. Уведомление уполномоченного органа
Оператор действует в соответствии с требованиями Роскомнадзора как уполномоченного органа по защите прав субъектов ПД (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Информация об уведомлении об обработке ПД (при необходимости) доступна по запросу на pd@okkwork.ru.
18. Обращения, жалобы и ответственный за обработку
Ответственный за организацию обработки ПД: руководитель направления информационной безопасности ООО «ОККворк»
E-mail: pd@okkwork.ru
Почтовый адрес: 127473, г. Москва, ул. Примерная, д. 1, офис 100 (с пометкой «Персональные данные»)
Телефон: +7 (800) 000-00-00
Роскомнадзор: rkn.gov.ru
19. Изменение Политики
19.1. Оператор вправе изменять Политику. Новая редакция вступает в силу с момента публикации на Сайте, если иной срок не указан.
19.2. При существенных изменениях Оператор уведомляет Пользователей через Сайт, e-mail или личный кабинет.
19.3. Актуальная версия всегда доступна по адресу: politika-konfidentsialnosti.html