Вычту.ру

Политика обработки персональных данных

Политика обработки персональных данных

Сервис «Вычту» (vichtu.ru)

Редакция от: [● дата]

Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и определяет порядок обработки персональных данных и меры по обеспечению их безопасности в [● организационно-правовая форма и наименование, например: Обществе с ограниченной ответственностью «[●]»] (далее — «Оператор»).

Политика применяется ко всем персональным данным, которые Оператор обрабатывает в связи с работой сервиса «Вычту», доступного на сайте vichtu.ru, в мобильном приложении и в формате PWA (далее — «Сервис»).

Использование Сервиса означает согласие пользователя с настоящей Политикой. В случае несогласия пользователь обязан воздержаться от использования Сервиса.

1. Оператор персональных данных

Оператор: [● Общество с ограниченной ответственностью «[●]»]

ИНН: [●]

ОГРН: [●]

Адрес: [●]

Электронная почта по вопросам обработки персональных данных: [● например: privacy@vichtu.ru]

Ответственный за организацию обработки персональных данных (статья 22.1 152-ФЗ): [● должность, Ф. И. О. либо контактный адрес].

2. Основные понятия

Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).

Специальная категория ПДн — данные, касающиеся, в частности, состояния здоровья субъекта (статья 10 152-ФЗ).

Субъект ПДн — пользователь Сервиса (физическое лицо), персональные данные которого обрабатываются.

Обработка ПДн — любое действие или совокупность действий с персональными данными (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение).

Обработка с использованием средств автоматизации — обработка с помощью средств вычислительной техники.

3. Категории субъектов и состав обрабатываемых персональных данных

Оператор обрабатывает персональные данные следующих категорий субъектов: пользователи Сервиса (физические лица, которым Оператор помогает в подготовке документов для получения налоговых вычетов).

3.1. Общие категории персональных данных

  • фамилия, имя, отчество;
  • дата рождения;
  • паспортные данные (серия, номер, кем и когда выдан, код подразделения, адрес регистрации);
  • ИНН;
  • номер телефона, адрес электронной почты;
  • сведения о доходах и удержанном НДФЛ (из справок о доходах, формы 2-НДФЛ и аналогичных);
  • банковские реквизиты (для указания счёта возврата налога — счёт принадлежит самому субъекту);
  • сведения о членах семьи и иждивенцах в объёме, необходимом для отдельных вычетов (например, данные ребёнка при вычете на обучение или лечение ребёнка);
  • сведения о расходах, дающих право на вычет (договоры, чеки, квитанции об обучении, лечении, приобретении жилья, уплате процентов и т. п.);
  • технические данные: IP-адрес, сведения об устройстве и браузере, данные cookie, журналы действий в Сервисе.

3.2. Специальная категория персональных данных — данные о здоровье

Для подготовки документов на социальный налоговый вычет на лечение Оператор обрабатывает специальную категорию персональных данных — данные о здоровье субъекта (и (или) членов его семьи, в отношении которых заявляется вычет), а именно сведения, содержащиеся в:

  • справке об оплате медицинских услуг для представления в налоговый орган (форма по КНД 1151156), включая код услуги (код «1» — обычное лечение, код «2» — дорогостоящее лечение), сумму и сведения о пациенте;
  • иных медицинских документах, которые субъект самостоятельно загружает в Сервис (рецептурные бланки, договоры с медицинскими организациями, выписки, заключения), в части, относящейся к состоянию здоровья.

> Сам факт обращения за медицинской помощью и оплаты лечения относится к сведениям о состоянии здоровья и обрабатывается Оператором в режиме специальной категории персональных данных, даже если конкретный документ не содержит диагноза (диагноз относится к врачебной тайне и в справку об оплате медицинских услуг не включается).

Обработка данных о здоровье осуществляется исключительно при наличии отдельного письменного согласия субъекта и только в целях, указанных в таком согласии (раздел 5).

4. Цели обработки персональных данных

Оператор обрабатывает персональные данные в следующих целях:

1. регистрация и идентификация пользователя в Сервисе, предоставление доступа к Личному кабинету;

2. оказание услуг по подготовке документов и сведений, необходимых для получения налоговых вычетов по НДФЛ (определение доступных вычетов, формирование перечня документов, помощь в подготовке проекта декларации 3-НДФЛ и заявлений);

3. подготовка документов для получения социального налогового вычета на лечение — для этой цели обрабатываются данные о здоровье (пункт 3.2);

4. распознавание и хранение загруженных пользователем документов;

5. информирование пользователя о статусе услуги, направление напоминаний и уведомлений;

6. приём и обработка платежей за услуги;

7. рассмотрение обращений и претензий пользователей, поддержка;

8. исполнение требований законодательства Российской Федерации (бухгалтерский и налоговый учёт деятельности самого Оператора).

Оператор не обрабатывает персональные данные в целях, несовместимых с указанными выше.

5. Правовые основания обработки

Обработка персональных данных осуществляется на следующих правовых основаниях:

  • согласие субъекта персональных данных на обработку его персональных данных (статья 6 часть 1 пункт 1 152-ФЗ) — предоставляется при регистрации и (или) оформлении услуги;
  • исполнение договора, стороной которого является субъект (публичная оферта о возмездном оказании услуг), — статья 6 часть 1 пункт 5 152-ФЗ;
  • для специальной категории персональных данных (данные о здоровье)отдельное согласие субъекта в письменной форме (статья 10 часть 2 пункт 1 152-ФЗ). Иные основания обработки специальной категории (в том числе медико-профилактические цели) к Оператору не применяются, поскольку Оператор не осуществляет медицинскую деятельность;
  • исполнение возложенных на Оператора законом обязанностей (статья 6 часть 1 пункт 2 152-ФЗ) — в части налогового и бухгалтерского учёта самого Оператора.

Согласие может быть отозвано субъектом в любой момент (раздел 9).

6. Перечень действий с персональными данными и способы обработки

Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (в случаях, предусмотренных разделом 8), обезличивание, блокирование, удаление и уничтожение персональных данных.

Обработка осуществляется как с использованием средств автоматизации, так и без них. Оператор не принимает решений, порождающих юридические последствия для субъекта, исключительно на основании автоматизированной обработки персональных данных.

7. Локализация баз данных на территории Российской Федерации

В соответствии с частью 5 статьи 18 152-ФЗ при сборе персональных данных, в том числе посредством сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Серверы и базы данных, в которых хранятся персональные данные пользователей, размещены в дата-центрах на территории Российской Федерации. Передача персональных данных в иностранные облачные хранилища для целей первичного хранения не осуществляется.

8. Передача персональных данных третьим лицам

8.1. Оператор не передаёт персональные данные пользователей в Федеральную налоговую службу. Декларацию 3-НДФЛ и заявление на возврат пользователь подаёт самостоятельно через свой Личный кабинет налогоплательщика; Оператор лишь помогает подготовить документы. Доверенность Оператору не выдаётся.

8.2. Оператор вправе поручить обработку персональных данных третьим лицам (на основании договора, содержащего условие о конфиденциальности и безопасности) в объёме, необходимом для функционирования Сервиса, в частности:

  • провайдеру хостинга/дата-центра (хранение данных на территории Российской Федерации);
  • платёжному провайдеру (приём оплаты услуг) — без передачи ему медицинских данных;
  • подрядчику, обеспечивающему распознавание (OCR) и обработку загруженных документов, при условии размещения инфраструктуры в Российской Федерации.

8.3. Передача персональных данных государственным органам осуществляется только в случаях и в порядке, прямо предусмотренных законодательством Российской Федерации (например, по мотивированному запросу уполномоченного органа).

8.4. Оператор не осуществляет трансграничную передачу персональных данных. В случае возникновения такой необходимости Оператор будет действовать в порядке, установленном статьёй 12 152-ФЗ, с предварительным уведомлением уполномоченного органа.

8.5. Оператор не продаёт персональные данные и не передаёт их третьим лицам в рекламных целях без отдельного согласия субъекта.

9. Права субъекта персональных данных

Субъект персональных данных имеет право:

  • на доступ к своим персональным данным и информацию об их обработке (сведения, предусмотренные статьёй 14 152-ФЗ);
  • требовать уточнения (исправления) неточных или неполных персональных данных;
  • требовать удаления (уничтожения) персональных данных, если они обрабатываются незаконно, более не нужны для целей обработки либо при отзыве согласия (с учётом сроков, установленных законом);
  • отозвать согласие на обработку персональных данных, в том числе отдельное согласие на обработку данных о здоровье, в любой момент;
  • на блокирование персональных данных при выявлении их недостоверности или неправомерной обработки;
  • обжаловать действия Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.

Для реализации прав субъект направляет обращение на адрес электронной почты [● privacy@vichtu.ru] либо почтовый адрес Оператора. Оператор рассматривает обращение в сроки, установленные 152-ФЗ.

Отзыв согласия влечёт прекращение обработки соответствующих персональных данных и их уничтожение, если их сохранение не требуется для иных предусмотренных законом целей. При отзыве согласия на обработку данных о здоровье Оператор прекращает оказание услуг в части, для которой такие данные необходимы.

10. Сроки хранения и уничтожение персональных данных

10.1. Оператор хранит персональные данные не дольше, чем этого требуют цели обработки, если иной срок не установлен законом или договором.

10.2. Данные о здоровье (специальная категория ПДн) хранятся только до достижения цели их обработки — подготовки документов для получения социального налогового вычета на лечение. После достижения этой цели (но не позднее срока, указанного в согласии) такие данные уничтожаются или обезличиваются. Оператор стремится к минимизации хранения медицинских данных и не хранит их бессрочно.

10.3. Иные персональные данные хранятся в течение срока действия учётной записи пользователя и в течение срока, необходимого для исполнения договора и требований законодательства (в том числе сроков, установленных законодательством о бухгалтерском учёте, для документов, связанных с расчётами).

10.4. По достижении целей обработки, при отзыве согласия (если отсутствуют иные правовые основания обработки) либо по истечении срока хранения персональные данные подлежат уничтожению. Уничтожение производится способом, исключающим возможность дальнейшего восстановления, с фиксацией факта уничтожения.

11. Меры по обеспечению безопасности персональных данных

Учитывая обработку специальной категории персональных данных, Оператор принимает необходимые правовые, организационные и технические меры защиты в соответствии со статьёй 19 152-ФЗ, постановлением Правительства РФ № 1119 (уровни защищённости информационных систем персональных данных) и требованиями ФСТЭК России (приказ № 21), в том числе:

  • назначение ответственного за организацию обработки персональных данных и ответственного за обеспечение безопасности;
  • определение уровня защищённости информационной системы и разработка модели угроз;
  • разграничение и учёт доступа к персональным данным, ведение журналов доступа;
  • шифрование персональных данных при передаче (TLS) и защита чувствительных документов (сканов) при хранении;
  • защита от несанкционированного доступа, резервное копирование;
  • утверждение внутренних документов, регламентирующих обработку и защиту персональных данных;
  • минимизация состава и сроков хранения персональных данных, своевременное уничтожение данных о здоровье после достижения цели.

12. Cookie и аналогичные технологии

Сервис использует файлы cookie и аналогичные технологии для обеспечения работы Сервиса, аутентификации, аналитики и улучшения пользовательского опыта. Пользователь может ограничить использование cookie в настройках браузера; при этом часть функций Сервиса может работать некорректно.

13. Уведомление уполномоченного органа

Оператор осуществляет автоматизированную обработку персональных данных и направляет уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) в порядке, установленном статьёй 22 152-ФЗ; сведения об Операторе включаются в реестр операторов, осуществляющих обработку персональных данных.

14. Заключительные положения

14.1. Оператор вправе вносить изменения в настоящую Политику. Действующая редакция размещается в Сервисе по адресу [● ссылка: vichtu.ru/legal/politika-pdn].

14.2. Новая редакция вступает в силу с момента её размещения, если иное не предусмотрено новой редакцией.

14.3. По всем вопросам, связанным с обработкой персональных данных, субъект может обратиться к Оператору по адресу: [● privacy@vichtu.ru].

*Редакция утверждена «[● дата]».*