Политика конфиденциальности

О продукте

Как работает

Для кого

FAQ

Записаться на демо

Войти

Политика
в отношении обработки персональных данных

Редакция от 20.06.2026

1. Термины и определения

1.1. Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу - субъекту персональных данных.
1.2. Субъект персональных данных - физическое лицо, к которому прямо или косвенно относятся обрабатываемые персональные данные.
1.3. Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия, совершаемые с персональными данными.
1.4. Обработка персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:

сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение, в том числе обновление и изменение;
извлечение;
использование;
передачу, включая распространение, предоставление и доступ;
обезличивание;
блокирование;
удаление;
уничтожение персональных данных.

1.5. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
1.6. Обработка персональных данных без использования средств автоматизации - обработка персональных данных, при которой действия с персональными данными осуществляются при непосредственном участии человека без применения средств вычислительной техники либо при таком их использовании, которое не позволяет осуществлять обработку персональных данных по заданному алгоритму без непосредственного участия человека.
1.7. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.8. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.9. Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных посредством отдельного согласия, оформленного в порядке, предусмотренном законодательством Российской Федерации.
1.10. Блокирование персональных данных - временное прекращение обработки персональных данных, кроме случаев, когда обработка необходима для их уточнения.
1.11. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
1.12. Обезличивание персональных данных - действия, в результате которых без использования дополнительной информации становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных.
1.13. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.14. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.15. Лицо, осуществляющее обработку персональных данных по поручению оператора - лицо, которое на основании договора, иного соглашения или предусмотренного законодательством акта осуществляет обработку персональных данных в пределах определенных оператором целей, перечня данных, действий и документированных указаний.
1.16. Специальные категории персональных данных - персональные данные, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни физического лица.
1.17. Биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Само по себе изображение человека, голосовая запись или видеозапись не считаются в рамках настоящей Политики биометрическими персональными данными, если Оператор не использует их для установления личности физического лица по его физиологическим или биологическим особенностям.
1.18. Политика - настоящий общедоступный документ, определяющий политику Оператора в отношении обработки персональных данных и содержащий сведения о реализуемых требованиях к их защите.
1.19. Сайт - совокупность веб-страниц, размещенных под доменным именем twims.io, включая используемые Оператором поддомены и иные администрируемые им сетевые адреса, посредством которых предоставляется информация о Сервисе, осуществляется сбор персональных данных и обеспечивается доступ к отдельным функциям Сервиса.
1.20. Сервис Twims, или Сервис - совокупность программы для электронных вычислительных машин «Twims», баз данных, пользовательских веб-интерфейсов, программных модулей и технической инфраструктуры, предназначенная для управления задачами, товарами, единицами их учета, рабочими процессами, файлами, аналитическими сведениями, взаимодействием участников команды и Интеграциями.
Доступ к функциональным возможностям Сервиса предоставляется удаленно через сеть Интернет по модели «программное обеспечение как услуга» (SaaS).
1.21. Личный кабинет - персонализированный раздел Сервиса, доступ к которому предоставляется Пользователю после регистрации и аутентификации, в том числе по адресу app.twims.io, используемый для управления Учетной записью, Рабочими пространствами, Пользователями, настройками и иными функциями Сервиса.
1.22. Учетная запись - совокупность сведений о Пользователе, создаваемая в Сервисе и используемая для его идентификации, аутентификации, разграничения прав и предоставления доступа к Личному кабинету.
1.23. Заказчик - юридическое лицо, индивидуальный предприниматель либо дееспособное физическое лицо, использующее Сервис в связи с предпринимательской, профессиональной или иной приносящей доход деятельностью, от имени которого заключен договор о предоставлении доступа к Сервису.
1.24. Пользователь - физическое лицо, непосредственно использующее Сервис посредством индивидуальной Учетной записи, включая Заказчика, его представителя, работника, исполнителя по гражданско-правовому договору либо иное уполномоченное Заказчиком лицо.
1.25. Рабочее пространство - обособленная учетная среда внутри Сервиса, создаваемая для индивидуальной или совместной работы Заказчика и Пользователей. В интерфейсе Сервиса Рабочее пространство может также обозначаться словом «Организация».
1.26. Персональные данные Заказчика - персональные данные, содержащиеся в размещенных или импортированных Заказчиком и Пользователями задачах, комментариях, файлах, справочниках, данных Интеграций и иных материалах Рабочего пространства, цели и правовые основания обработки которых определяет Заказчик.
1.27. Контент Заказчика - сведения, данные, документы, файлы, изображения, сообщения и иные материалы, которые Заказчик или Пользователи размещают, загружают, создают либо импортируют в Сервис, включая содержащиеся в них Персональные данные Заказчика.
1.28. Внешняя информационная система - не принадлежащая Оператору информационная система, электронная торговая площадка, маркетплейс, платежная, рекламная, аналитическая, коммуникационная или иная цифровая платформа, с которой Сервис осуществляет информационное взаимодействие.
1.29. Интеграция - предусмотренное Сервисом техническое взаимодействие с Внешней информационной системой, обеспечивающее получение, передачу, синхронизацию, отображение или иную обработку данных в пределах предоставленных полномочий и доступных функций.
1.30. Данные доступа к программному интерфейсу - ключ, маркер доступа, токен, идентификатор клиента, секретный код или иные сведения, используемые для аутентификации и авторизации при подключении к программному интерфейсу Внешней информационной системы.
1.31. Привлеченное лицо - третье лицо, которому Оператор на основании договора поручает выполнение отдельных операций с персональными данными либо предоставляет минимально необходимый доступ к ним для обеспечения размещения и работы Сервиса, хранения данных, резервного копирования, проведения расчетов, доставки сообщений, технической поддержки, мониторинга или информационной безопасности.
1.32. Платежный провайдер - кредитная организация, оператор по переводу денежных средств, платежный агрегатор, оператор платежной системы или иное лицо, привлекаемое для приема, обработки и подтверждения платежей.
1.33. Канал связи - предусмотренный Сервисом способ направления Пользователю сообщений и уведомлений, включая Личный кабинет, электронную почту, сообщения на абонентский номер, Telegram и иные подключенные Пользователем средства связи.
1.34. Файлы cookie (технические файлы браузера) - небольшие фрагменты данных, которые Сайт или используемый на нем технический сервис сохраняет на устройстве посетителя либо получает с такого устройства для обеспечения работы Сайта, сохранения настроек, безопасности, анализа использования и иных целей, предусмотренных настоящей Политикой.
Файлы cookie и связанные с ними технические идентификаторы обрабатываются как персональные данные, если прямо или косвенно позволяют определить физическое лицо либо связаны с определяемым Пользователем или посетителем Сайта.
1.35. Технические данные - сведения, автоматически формируемые при посещении Сайта или использовании Сервиса, включая сетевой адрес устройства, дату и время обращения, сведения о браузере, операционной системе, устройстве, авторизованной сессии, источнике перехода, совершенных действиях и технических ошибках.
1.36. Функция искусственного интеллекта, или ИИ-функция - функция Сервиса, основанная на технологиях искусственного интеллекта, машинного обучения, автоматизированного анализа данных или обработки естественного языка и используемая для формирования ответов, черновиков, классификаций, аналитических материалов и иных вспомогательных результатов.
1.37. Программа рекомендаций - предусмотренная Сервисом программа поощрения, в рамках которой Пользователям и Заказчикам могут предоставляться скидки и иные предусмотренные условиями программы преимущества за привлечение новых Заказчиков.
1.38. Telegram - внешняя информационная система обмена сообщениями, которая может использоваться как добровольно подключаемый Канал связи посредством программы-бота Оператора.
1.39. Роль доступа - установленный в Сервисе набор функциональных возможностей и полномочий Пользователя в конкретном Рабочем пространстве.
1.40. Уполномоченный пользователь - Пользователь, которому Заказчик, Владелец Рабочего пространства либо Администратор Рабочего пространства предоставил доступ к соответствующему Рабочему пространству и назначил Роль доступа.
1.41. Иные термины, написанные в Политике с заглавной буквы и прямо в ней не определенные, применяются в значении, установленном Публичной офертой о предоставлении доступа к программному сервису Twims и права использования его программной части, размещенной на Сайте. Такое использование терминов необходимо исключительно для единообразного описания функциональности и не означает, что настоящая Политика является согласием субъекта персональных данных или заменяет условия поручения на обработку персональных данных.

2. Общие положения

2.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) определяет принципы, цели, правовые основания и порядок обработки персональных данных, категории обрабатываемых персональных данных и субъектов персональных данных, права субъектов персональных данных, а также реализуемые меры по обеспечению безопасности персональных данных.
2.2. Оператором персональных данных является:
Индивидуальный предприниматель Чугин Роман Сергеевич
ОГРНИП: 321190000001932
ИНН: 190309113560
Адрес регистрации: 358000, Республика Калмыкия, г. Элиста, ул. Губаревича, д. 4
Адрес электронной почты для обращений по вопросам обработки персональных данных: roman@twims.io
далее - Оператор.
В Публичной оферте о предоставлении доступа к программному сервису Twims и права использования его программной части это же лицо именуется Исполнителем. Использование в настоящей Политике термина «Оператор» обусловлено специальным правовым статусом, установленным законодательством Российской Федерации о персональных данных, и не изменяет наименование стороны договора.
2.3. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации в области обработки и защиты персональных данных.
При обработке персональных данных в целях заключения и исполнения договоров, проведения расчетов, ведения бухгалтерского и налогового учета, направления рекламы и предоставления электронных сервисов Оператор также учитывает требования гражданского, налогового, бухгалтерского законодательства, законодательства о применении контрольно-кассовой техники, об информации и о рекламе в применимой части.
2.4. Политика применяется к обработке персональных данных, осуществляемой Оператором:

при посещении сайта под доменным именем twims.io, включая его страницы и поддомены;
при использовании программного сервиса Twims, включая Личный кабинет, расположенный в том числе по адресу app.twims.io;
при регистрации, идентификации и аутентификации Пользователей;
при создании и ведении Учетных записей и Рабочих пространств;
при заключении, исполнении, изменении и прекращении договоров;
при выборе Тарифного плана, использовании Пробного периода, оформлении и оплате Подписки, проведении возвратов и формировании расчетных документов;
при заполнении форм обратной связи, заявок на демонстрацию Сервиса и иных форм на Сайте;
при обращении в службу технической поддержки, направлении претензий, запросов и иных сообщений;
при участии в Программе рекомендаций, начислении и использовании Бонусов;
при обеспечении безопасности Сайта и Сервиса, предотвращении мошенничества и ведении технических журналов;
при подключении Telegram и иных Каналов связи;
при использовании файлов cookie и иных технических средств, предусмотренных настоящей Политикой;
при подключении Интеграций с Внешними информационными системами в той части, в которой Оператор самостоятельно определяет цели обработки персональных данных;
при использовании функций искусственного интеллекта в той части, в которой Оператор самостоятельно определяет цели обработки персональных данных;
в иных случаях, когда Оператор самостоятельно определяет цели обработки, состав обрабатываемых персональных данных и совершаемые с ними действия.

2.5. Политика распространяется на персональные данные:

посетителей Сайта;
Пользователей Сервиса;
Заказчиков, являющихся физическими лицами или индивидуальными предпринимателями;
представителей, работников, исполнителей и иных уполномоченных лиц Заказчиков;
лиц, направивших заявки, обращения, запросы, претензии и иные сообщения Оператору;
участников Программы рекомендаций и приглашенных ими лиц;
иных физических лиц, персональные данные которых Оператор обрабатывает как самостоятельный оператор.

2.6. В отношении Персональных данных Заказчика, размещенных или импортированных Заказчиком и Пользователями в Рабочее пространство, включая сведения, содержащиеся в задачах, карточках товаров, файлах, комментариях, справочниках, переписке и данных Интеграций:

цели и правовые основания обработки определяет Заказчик;
Заказчик выступает оператором соответствующих персональных данных;
Оператор осуществляет обработку таких данных как лицо, действующее по поручению Заказчика;
условия такого поручения определяются Публичной офертой и являющимся ее неотъемлемой частью Поручением на обработку персональных данных Twims; условия отдельного двустороннего соглашения с конкретным Заказчиком применяются в части прямо согласованных отличий.

Настоящая Политика применяется к Персональным данным Заказчика только в той части, в которой Оператор самостоятельно определяет цели их обработки, в частности для обеспечения информационной безопасности, ведения технических журналов, исполнения требований законодательства, рассмотрения обращений и защиты своих законных прав и интересов.
2.7. Политика не регулирует обработку персональных данных, самостоятельно осуществляемую:

Заказчиками и Пользователями вне информационных систем Оператора;
владельцами Внешних информационных систем;
Платежными провайдерами;
операторами связи и внешними сервисами обмена сообщениями;
владельцами сторонних сайтов и приложений, переход на которые возможен по размещенным на Сайте или в Сервисе ссылкам.

Такие лица самостоятельно определяют цели и порядок обработки персональных данных в соответствии с применимым законодательством и собственными документами.
Оператор отвечает за собственные действия по выбору и привлечению лиц, которым он поручает обработку персональных данных, в пределах обязанностей, возложенных на него законодательством и заключенными договорами.
2.8. Настоящая Политика не является согласием субъекта персональных данных на обработку его персональных данных и сама по себе не создает нового правового основания обработки.
Если в соответствии с законодательством обработка требует согласия субъекта персональных данных, такое согласие запрашивается и оформляется отдельно от настоящей Политики, Публичной оферты, иной информации и документов, которые подтверждает или подписывает субъект персональных данных.
Ознакомление с Политикой подтверждает только факт предоставления субъекту персональных данных информации о порядке обработки его персональных данных.
2.9. Оператор обрабатывает персональные данные исключительно при наличии предусмотренного законодательством правового основания и в объеме, необходимом для достижения конкретных, заранее определенных и законных целей.
Оператор не вправе требовать предоставления персональных данных, не связанных с заявленной целью обработки, и не вправе обуславливать предоставление основной функциональности Сервиса согласием на обработку персональных данных для необязательных или несовместимых целей.
2.10. Обработка специальных категорий персональных данных, биометрических персональных данных, сведений о судимости и персональных данных несовершеннолетних не входит в обычную деятельность Оператора и стандартную функциональность Сервиса, если иное прямо не предусмотрено отдельной функцией, законодательством и специально оформленными документами.
Заказчикам и Пользователям запрещается размещать такие сведения в Сервисе, если их обработка не была предварительно письменно согласована с Оператором и не обеспечены необходимые правовые основания и меры защиты.
2.11. Оператор не осуществляет распространение персональных данных, то есть их раскрытие неопределенному кругу лиц, без отдельного предусмотренного законодательством основания.
Размещение персональных данных в общедоступной части Сайта, публикация отзывов, сведений о представителях Заказчиков, изображений, наименований проектов и иных материалов, позволяющих определить физическое лицо, допускаются только при наличии соответствующего законного основания, а когда требуется - отдельного согласия на обработку персональных данных, разрешенных субъектом для распространения.
2.12. Политика является общедоступным документом и размещается в сети Интернет по адресу:
https://twims.io/privacy-policy
Доступ к Политике должен быть обеспечен на страницах Сайта и в интерфейсах Сервиса, посредством которых осуществляется сбор персональных данных, в том числе рядом с формами регистрации, обратной связи, заявки на демонстрацию, подключения дополнительной функции и иными формами сбора данных.
2.13. Политика действует с даты, указанной в ее заголовке, до замены новой редакцией.
Оператор обеспечивает идентификацию редакции Политики по дате ее вступления в силу и хранение предыдущих редакций в течение срока, необходимого для подтверждения условий обработки персональных данных в соответствующий период.
Изменение Политики не заменяет получение нового или дополнительного согласия субъекта персональных данных, если изменение целей, состава данных или иных условий обработки требует такого согласия в соответствии с законодательством.

3. Роли Оператора при обработке персональных данных

3.1. В зависимости от целей, обстоятельств и фактического порядка обработки персональных данных Индивидуальный предприниматель Чугин Роман Сергеевич выступает:

самостоятельным оператором персональных данных;
лицом, осуществляющим обработку персональных данных по поручению Заказчика.

В Публичной оферте о предоставлении доступа к программному сервису Twims и права использования его программной части Индивидуальный предприниматель Чугин Роман Сергеевич именуется «Исполнителем». Использование в настоящей Политике термина «Оператор» обусловлено его специальным правовым значением, установленным законодательством Российской Федерации о персональных данных.
3.2. Оператор самостоятельно определяет цели обработки, состав обрабатываемых персональных данных и совершаемые с ними действия, в частности, при обработке данных:

посетителей Сайта;
лиц, направляющих заявки на демонстрацию Сервиса, обратную связь или иные обращения;
Пользователей, создающих и использующих Учетные записи;
Заказчиков - физических лиц и индивидуальных предпринимателей;
представителей, работников и иных уполномоченных лиц Заказчиков;
плательщиков и лиц, получающих расчетные документы;
участников Программы рекомендаций;
лиц, подключающих Telegram и иные Каналы связи;
лиц, обращающихся в службу технической поддержки либо направляющих претензии и иные юридически значимые сообщения.

3.3. Как самостоятельный оператор персональных данных Оператор осуществляет обработку, в частности, для следующих целей:

прием и обработка заявок на демонстрацию Сервиса и иных обращений;
регистрация, идентификация и аутентификация Пользователей;
создание и ведение Учетных записей и Рабочих пространств;
заключение, исполнение, изменение и прекращение договоров;
подтверждение полномочий представителей Заказчиков;
предоставление доступа к Сервису и управление Ролями доступа;
предоставление Пробного периода и Тарифных планов;
проведение расчетов, возвратов и зачетов;
формирование и направление счетов, кассовых чеков, актов, универсальных передаточных документов и иных расчетных и первичных документов;
ведение бухгалтерского и налогового учета;
предоставление технической поддержки и рассмотрение обращений;
направление сервисных, технических и юридически значимых сообщений;
обеспечение работоспособности и информационной безопасности Сайта и Сервиса;
выявление и предотвращение неправомерного доступа, мошенничества и иных злоупотреблений;
ведение технических журналов и подтверждение электронных действий;
организация Программы рекомендаций, предоставление скидок и начисление Бонусов;
подключение Telegram и иных добровольно выбранных Каналов связи;
предоставление активированных Пользователем функций искусственного интеллекта в той части, в которой цели обработки определяет Оператор;
направление рекламных и маркетинговых сообщений при наличии предусмотренного законодательством предварительного согласия;
исполнение требований законодательства, судебных актов и законных требований государственных органов;
предъявление, рассмотрение и защита правовых требований.

Конкретные цели, категории субъектов, состав персональных данных, правовые основания и сроки обработки определяются соответствующими разделами настоящей Политики.
3.4. В отношении Персональных данных Заказчика, содержащихся в Рабочих пространствах, задачах, карточках товаров, комментариях, файлах, справочниках, переписке, данных Интеграций и иных материалах, Оператор осуществляет обработку по поручению Заказчика, если:

цели обработки соответствующих данных определяет Заказчик;
состав данных определяется Заказчиком, Пользователями либо подключенной Заказчиком Внешней информационной системой;
обработка необходима для предоставления выбранных Заказчиком функций Сервиса;
Оператор не использует такие данные для самостоятельных целей.

В указанной части Заказчик является оператором персональных данных, а Оператор является лицом, осуществляющим обработку персональных данных по поручению Заказчика.
3.5. Поручение Заказчика на обработку персональных данных оформляется Публичной офертой и являющимся ее неотъемлемой частью Поручением на обработку персональных данных Twims.
При наличии отдельного двустороннего соглашения с конкретным Заказчиком его условия применяются в части прямо согласованных отличий.
Настройки и функции Сервиса, активированные Заказчиком или Уполномоченным пользователем, а также действия Пользователей в пределах назначенных им Ролей доступа признаются документированными техническими указаниями Заказчика только в пределах предмета, целей, перечня персональных данных, операций и условий обработки, определенных соответствующим поручением.
Такие настройки и действия не могут самостоятельно расширять цели обработки, состав персональных данных или перечень допустимых операций за пределы поручения, Публичной оферты и назначения Сервиса.
Оператор исполняет только законные, определенные и технически осуществимые указания Заказчика.
3.6. В рамках обработки по поручению Заказчика Оператор вправе совершать действия, необходимые для функционирования Сервиса, включая:

получение;
запись;
систематизацию;
накопление;
хранение;
уточнение, обновление и изменение;
извлечение;
использование;
поиск, сортировку, фильтрацию и структурирование;
предоставление доступа Уполномоченным пользователям;
передачу между техническими компонентами Сервиса;
передачу подключенным Заказчиком Внешним информационным системам;
резервное копирование и восстановление;
блокирование;
обезличивание;
удаление;
уничтожение;
иные технические действия, непосредственно необходимые для исполнения поручения Заказчика.

3.7. Оператор не вправе использовать Персональные данные Заказчика:

для самостоятельного продвижения товаров, работ или услуг;
для формирования рекламных профилей субъектов персональных данных;
для продажи или предоставления третьим лицам в самостоятельных целях;
для обучения моделей искусственного интеллекта общего назначения или моделей, предназначенных для неопределенного круга пользователей;
в иных целях, не связанных с исполнением документированных указаний Заказчика,

если соответствующая обработка не предусмотрена отдельным соглашением с Заказчиком и для нее отсутствует самостоятельное правовое основание, предусмотренное законодательством Российской Федерации. Когда для такой обработки требуется согласие субъекта персональных данных, согласие Заказчика не заменяет отдельного согласия соответствующего субъекта.
3.8. Один и тот же набор персональных данных может обрабатываться Оператором в разных правовых ролях для различных целей.
Например, содержание рабочего файла может обрабатываться по поручению Заказчика, а сведения о дате его загрузки, Пользователе, авторизованной сессии и событии информационной безопасности - Оператором самостоятельно для ведения технических журналов, предотвращения неправомерного доступа и защиты законных прав.
Правовая роль определяется не местом хранения данных и не названием информационной системы, а фактически определяемой целью соответствующей обработки.
3.9. Заказчик как оператор Персональных данных Заказчика самостоятельно:

определяет цели и правовые основания обработки;
обеспечивает законность получения персональных данных;
предоставляет субъектам необходимую информацию об обработке;
получает согласия, если они требуются законодательством;
обеспечивает правомерность передачи данных Оператору;
определяет состав Пользователей и объем их доступа;
предоставляет Оператору только законные, определенные и исполнимые указания;
исполняет требования субъектов персональных данных и государственных органов в пределах своей компетенции.

3.10. Заказчик как оператор персональных данных несет перед субъектами ответственность за правомерность определенных им целей, оснований и состава обработки Персональных данных Заказчика.
Оператор несет перед Заказчиком ответственность за соблюдение обязанностей лица, осуществляющего обработку по поручению, в пределах законодательства и заключенного договора.
Положения настоящего пункта не освобождают Оператора от самостоятельной административной, гражданско-правовой и иной ответственности за собственные неправомерные действия или бездействие.
3.11. При передаче персональных данных третьему лицу правовой статус такого лица определяется характером соответствующего взаимодействия:

Привлеченное лицо, обрабатывающее персональные данные исключительно по поручению Оператора, действует в пределах заключенного с ним договора и не вправе самостоятельно изменять цели обработки;
Платежный провайдер, оператор фискальных данных, кредитная организация, владелец Внешней информационной системы либо иной получатель может самостоятельно выступать оператором персональных данных, если он определяет собственные цели и порядок обработки в соответствии с законодательством и своими документами;
если третье лицо одновременно обрабатывает часть сведений по поручению и часть - для собственных законных целей, его правовой статус определяется отдельно применительно к каждой цели обработки.

3.12. Оператор не принимает на себя функции Заказчика как оператора Персональных данных Заказчика и не осуществляет от имени Заказчика правовую оценку:

законности первоначального получения данных;
достаточности предоставленной субъекту информации;
наличия и содержания полученных Заказчиком согласий;
правомерности внутренних бизнес-процессов Заказчика;
правомерности предоставления конкретному Пользователю доступа к данным,

если иное прямо не предусмотрено отдельным письменным соглашением.

4. Категории субъектов и перечень обрабатываемых персональных данных

4.1. Состав фактически обрабатываемых персональных данных зависит от:

категории субъекта персональных данных;
используемых функций Сайта и Сервиса;
содержания обращения или договора;
выбранного Тарифного плана;
подключенных Интеграций и Каналов связи;
добровольно предоставленных субъектом сведений;
требований законодательства.

Оператор обрабатывает только персональные данные, необходимые и достаточные для достижения соответствующих целей, указанных в настоящей Политике.
4.2. Посетители Сайта
В отношении посетителей Сайта могут обрабатываться:

сетевой адрес устройства (IP-адрес);
дата и время посещения;
адрес запрашиваемой страницы;
адрес страницы, с которой осуществлен переход;
сведения о браузере, операционной системе, типе и характеристиках устройства;
языковые и региональные настройки;
идентификатор сессии;
сведения о действиях на Сайте;
технические ошибки и диагностические сведения;
данные файлов cookie и аналогичных технических средств;
метки источников перехода, включая UTM-метки, если они используются;
приблизительный регион, определяемый по сетевому адресу, если такая функция используется;
выбор настроек файлов cookie и соответствующих согласий.

Перечень используемых файлов cookie, их назначение, поставщики и сроки хранения указываются в интерфейсе управления файлами cookie и, при наличии, в отдельной Политике использования файлов cookie, размещенной на Сайте.
4.3. Лица, направляющие заявки и обращения до регистрации
В отношении лиц, направляющих заявку на демонстрацию Сервиса, запрос на обратную связь или иное обращение, могут обрабатываться:

фамилия, имя, отчество;
адрес электронной почты;
номер телефона;
наименование организации или проекта;
должность или профессиональная роль;
адрес сайта либо ссылка на проект, если предоставлены субъектом;
предпочитаемый способ связи;
содержание обращения;
приложенные документы и файлы;
дата и время направления обращения;
сведения о согласиях на информационные и рекламные сообщения;
технические сведения о направлении формы.

4.4. Пользователи Сервиса и представители Заказчиков
В отношении Пользователей, представителей, работников и иных уполномоченных лиц Заказчиков могут обрабатываться:

фамилия, имя, отчество;
адрес электронной почты;
номер телефона;
уникальный идентификатор Пользователя;
логин;
хэш пароля;
сведения о подтверждении адреса электронной почты и номера телефона;
сведения о настройках многофакторной аутентификации;
фотография или изображение профиля, если добровольно загружено Пользователем;
наименование организации или сведения об индивидуальном предпринимателе;
ИНН, ОГРН или ОГРНИП в применимых случаях;
должность, подразделение и профессиональная роль;
назначенная Роль доступа;
сведения о членстве в Рабочем пространстве;
сведения о лице, направившем приглашение;
дата регистрации и дата последнего входа;
настройки профиля;
языковые настройки;
настройки уведомлений;
сведения о принятой редакции Публичной оферты;
дата, время, способ и технические сведения об Акцепте;
сведения о согласиях и отказах Пользователя;
история административных действий в пределах Рабочего пространства.

Оператор не хранит пароль Пользователя в открытом виде.
4.5. Заказчики, плательщики и лица, участвующие в расчетах
В отношении Заказчиков - физических лиц, индивидуальных предпринимателей, представителей юридических лиц, плательщиков и получателей расчетных документов могут обрабатываться:

фамилия, имя, отчество;
адрес электронной почты;
номер телефона;
наименование юридического лица или сведения об индивидуальном предпринимателе;
ИНН;
ОГРН или ОГРНИП;
адрес регистрации или адрес для направления документов;
должность и сведения о полномочиях представителя;
банковские реквизиты, необходимые для выставления счета или возврата денежных средств;
выбранный Тарифный план;
продолжительность Расчетного периода;
стоимость и валюта платежа;
дата и время платежа;
способ и статус платежа;
идентификатор заказа;
идентификатор платежной операции;
наименование Платежного провайдера;
маскированные сведения о платежном средстве;
платежный токен, если используется для Автоматического продления;
сведения о подключении и отключении Автоматического продления;
сведения о счете, кассовом чеке, акте, универсальном передаточном документе и ином расчетном документе;
сведения о возврате, отмене, оспаривании платежа или переплате;
содержание обращений по вопросам оплаты и возврата.

При оплате банковской картой полные реквизиты карты, включая ее полный номер, срок действия и защитный код CVC/CVV, вводятся Пользователем непосредственно в защищенном интерфейсе Платежного провайдера и не поступают в информационные системы Twims и не сохраняются Оператором. Оператор может получать идентификатор и статус платежной операции, маскированные сведения о платежном средстве и платежный токен, если он используется для Автоматического продления.
4.6. Лица, обращающиеся в техническую поддержку или направляющие претензии
Могут обрабатываться:

фамилия, имя, отчество;
адрес электронной почты;
номер телефона;
сведения о Заказчике и Рабочем пространстве;
идентификатор Учетной записи;
содержание обращения, претензии или запроса;
переписка с Оператором;
записи телефонных разговоров, если запись осуществляется после надлежащего уведомления;
снимки экрана;
технические журналы;
сведения о браузере, устройстве и программной среде;
идентификаторы ошибок;
приложенные файлы и документы;
сведения о способе и результатах рассмотрения обращения;
банковские реквизиты, если они необходимы для возврата денежных средств.

4.7. Участники Программы рекомендаций
В отношении Приглашающих пользователей и Приглашенных заказчиков могут обрабатываться:

идентификатор Пользователя;
индивидуальный реферальный код или ссылка;
сведения о реферальной связи;
дата перехода и регистрации;
дата и статус первого платежа;
сумма первого платежа;
сведения о предоставленной скидке;
размер, статус и история начисления Бонуса;
сведения об использовании или отмене Бонуса;
сведения о возврате или оспаривании платежа;
сведения о Рабочем пространстве, в котором используется Бонус;
сетевой адрес устройства, сведения об устройстве и сессии;
маскированный идентификатор платежного средства;
сведения о связанных Учетных записях;
результаты проверки возможного злоупотребления.

4.8. Данные для обеспечения безопасности и ведения технических журналов
В отношении посетителей Сайта и Пользователей Сервиса могут обрабатываться:

сетевой адрес устройства (IP-адрес);
дата, время и продолжительность сессии;
идентификатор Учетной записи и авторизованной сессии;
сведения об устройстве, браузере и операционной системе;
сведения об успешных и неуспешных попытках входа;
сведения о смене пароля и восстановлении доступа;
сведения об использовании многофакторной аутентификации;
дата, время и содержание электронного действия;
сведения о назначении и изменении Ролей доступа;
сведения о загрузке, изменении, экспорте и удалении Контента;
сведения о подключении и отключении Интеграций;
сведения о подключенных Данных доступа без фиксации и отображения их полного секретного значения;
коды ошибок и ответы Внешних информационных систем;
сведения о признаках автоматизированного, мошеннического или неправомерного использования;
сведения об инцидентах информационной безопасности и принятых мерах;
контрольная сумма и номер акцептованной редакции документа.

4.9. Пользователи Telegram и иных Каналов связи
При добровольном подключении Telegram могут обрабатываться:

уникальный идентификатор пользователя Telegram;
идентификатор чата с программой-ботом;
имя пользователя Telegram, если оно установлено;
отображаемое имя и фамилия;
языковые настройки, если они передаются Telegram;
дата и время подключения и отключения;
одноразовый код или параметр привязки;
команды и сообщения, направленные программе-боту;
сведения о доставке и статусе сообщений;
выбранные категории уведомлений.

Номер телефона обрабатывается через Telegram только в случае его отдельной передачи Пользователем либо если такая обработка необходима и правомерна для конкретной выбранной функции.
4.10. Пользователи функций искусственного интеллекта
При активации ИИ-функций могут обрабатываться:

идентификатор Пользователя и Рабочего пространства;
содержание запроса;
выбранные Пользователем данные, файлы или фрагменты Контента;
сформированный результат;
дата и время использования функции;
сведения об используемой модели или программном модуле;
технические параметры запроса;
сведения об ошибках;
оценка результата и обратная связь Пользователя;
сведения, необходимые для расследования инцидента или обращения в поддержку.

Персональные данные не включаются в наборы данных для обучения моделей искусственного интеллекта общего назначения без отдельного законного основания и предусмотренного законодательством согласия.
4.11. Персональные данные Заказчика, обрабатываемые по поручению
В составе задач, карточек товаров, файлов, документов, комментариев, сообщений, справочников, данных Интеграций и иных материалов Рабочего пространства могут обрабатываться персональные данные:

работников и бывших работников Заказчика;
кандидатов и соискателей;
исполнителей и подрядчиков;
представителей поставщиков и контрагентов;
клиентов и покупателей Заказчика;
индивидуальных предпринимателей и продавцов;
пользователей кабинетов электронных торговых площадок;
получателей заказов и участников возвратов;
иных физических лиц, сведения о которых правомерно размещены Заказчиком.

В зависимости от используемой функции могут обрабатываться:

фамилия, имя, отчество;
контактные сведения;
должность, подразделение и профессиональная роль;
сведения о полномочиях и доступе;
сведения о трудовой, договорной, проектной или хозяйственной деятельности;
сведения, содержащиеся в задачах и комментариях;
сведения о заказах, продажах, поставках и возвратах;
содержание документов, файлов и переписки;
сведения о действиях в Рабочем пространстве;
идентификаторы кабинетов и учетных записей;
иные персональные данные, фактически и правомерно переданные Заказчиком либо полученные через подключенную им Интеграцию.

Конкретный состав Персональных данных Заказчика определяется Заказчиком и используемой им функциональностью. Оператор не запрашивает у Заказчика данные, которые объективно не требуются для предоставления активированной функции.
4.12. Данные, получаемые через Интеграции
Через подключенные Заказчиком Внешние информационные системы могут обрабатываться:

сведения о продавце - физическом лице или индивидуальном предпринимателе;
идентификаторы магазина, кабинета и пользователя;
фамилия, имя и отчество пользователя кабинета;
контактные сведения;
должность, роль и права доступа;
сведения о заказах, поставках и возвратах;
содержание сообщений, отзывов и обращений, если соответствующая функция подключена;
сведения, содержащиеся в документах и отчетах;
история действий и изменений;
иные персональные данные, доступные через выбранные Заказчиком права и необходимые для предоставления активированной функции.

Сведения о товарах, ценах, остатках, рекламных показателях и иных хозяйственных операциях не являются персональными данными, если они не относятся прямо или косвенно к определенному или определяемому физическому лицу.
4.13. Специальные категории, биометрические данные и сведения о несовершеннолетних
Оператор не осуществляет самостоятельную обработку:

специальных категорий персональных данных;
биометрических персональных данных, используемых для установления личности;
сведений о судимости;
персональных данных несовершеннолетних,

если иное прямо не предусмотрено отдельной функцией, законом, специально оформленным согласием и соответствующими организационными и техническими мерами.
Стандартная функциональность Сервиса не предназначена для размещения таких сведений.
Фотография профиля, файл с изображением человека, видеозапись или голосовое сообщение не рассматриваются Оператором как биометрические персональные данные, если они не используются для установления личности по физиологическим или биологическим особенностям.
4.14. Источники получения персональных данных
Оператор может получать персональные данные:

непосредственно от субъекта персональных данных;
от Заказчика или Уполномоченного пользователя;
от представителя субъекта персональных данных;
автоматически при посещении Сайта или использовании Сервиса;
от Платежного провайдера, банка, оператора фискальных данных или системы электронного документооборота;
от подключенной Заказчиком Внешней информационной системы;
от Telegram и иных добровольно подключенных Каналов связи;
из государственных реестров и иных открытых источников, если получение и использование соответствующих сведений допускаются законодательством;
из документов, обращений и материалов, направленных субъектом, Заказчиком либо иным лицом при наличии законного основания.

4.15. Оператор не проверяет достоверность всех предоставленных субъектом или Заказчиком сведений, но вправе запросить уточнение либо подтверждающий документ, если это объективно необходимо для:

идентификации субъекта или Заказчика;
исполнения договора;
осуществления расчета или возврата;
восстановления доступа;
предотвращения мошенничества;
исполнения требования законодательства или государственного органа.

4.16. Если предоставление конкретных персональных данных является обязательным для использования определенной функции, Оператор сообщает субъекту об этом до начала их сбора.
Непредоставление обязательных данных может привести к невозможности регистрации, заключения договора, проведения расчета, направления кассового чека, восстановления доступа либо предоставления соответствующей функции.

5. Цели обработки персональных данных

5.1. Оператор обрабатывает персональные данные исключительно для достижения конкретных, заранее определенных и законных целей.
Не допускаются:

обработка персональных данных, несовместимая с целями их первоначального сбора;
объединение баз данных, обработка которых осуществляется в целях, несовместимых между собой;
обработка избыточного объема персональных данных;
использование персональных данных для новой цели без наличия соответствующего правового основания;
сохранение персональных данных дольше, чем этого требуют цели обработки, законодательство Российской Федерации или необходимость защиты законных прав и интересов Оператора и иных лиц.

5.2. Оператор самостоятельно обрабатывает персональные данные для следующих целей.
5.2.1. Обеспечение работы Сайта и его обязательных технических функций
Обработка осуществляется для:

предоставления доступа к страницам Сайта;
корректного отображения Сайта на устройстве посетителя;
поддержания пользовательской сессии;
сохранения технических настроек;
распределения нагрузки;
выявления и устранения технических ошибок;
предотвращения неправомерного и автоматизированного воздействия на Сайт;
обеспечения сетевой и информационной безопасности.

Для этой цели могут обрабатываться Технические данные и обязательные файлы cookie, указанные в пунктах 4.2 и 4.8 Политики.
5.2.2. Прием и обработка заявок на демонстрацию Сервиса, обратную связь и иные обращения
Обработка осуществляется для:

идентификации заявителя;
установления обратной связи;
уточнения содержания запроса;
организации демонстрации Сервиса;
подготовки ответа или предложения;
ведения истории обращений;
предотвращения злоупотреблений формами Сайта.

Для этой цели могут обрабатываться данные, указанные в пункте 4.3 Политики.
Направление заявки не означает автоматического согласия на получение рекламных сообщений.
5.2.3. Регистрация, идентификация и аутентификация Пользователей
Обработка осуществляется для:

создания Учетной записи;
подтверждения адреса электронной почты или номера телефона;
идентификации Пользователя;
проверки средств аутентификации;
восстановления доступа;
предоставления доступа к Личному кабинету;
разграничения прав Пользователей;
предотвращения создания фиктивных и неправомерно используемых Учетных записей.

Для этой цели могут обрабатываться данные, указанные в пунктах 4.4 и 4.8 Политики.
5.2.4. Создание и ведение Рабочих пространств
Обработка осуществляется для:

создания Рабочего пространства;
связывания Пользователя с соответствующим Заказчиком;
приглашения Уполномоченных пользователей;
назначения и изменения Ролей доступа;
управления Пользователями;
фиксации административных действий;
подтверждения полномочий лиц, управляющих Рабочим пространством.

Для этой цели могут обрабатываться данные, указанные в пунктах 4.4 и 4.8 настоящей Политики.
5.2.5. Заключение, исполнение, изменение и прекращение договора
Обработка осуществляется для:

определения Заказчика и его представителя;
совершения Акцепта Публичной оферты;
фиксации акцептованной редакции документов;
предоставления Пробного периода;
выбора и подключения Тарифного плана;
предоставления доступа к Сервису;
изменения и продления Подписки;
прекращения договора;
подтверждения исполнения обязательств Сторон;
направления связанных с договором сообщений.

Для этой цели могут обрабатываться данные, указанные в пунктах 4.4, 4.5 и 4.8 Политики.
5.2.6. Проведение расчетов и оформление расчетных документов
Обработка осуществляется для:

формирования заказа и счета;
приема и подтверждения платежа;
подключения и осуществления Автоматического продления при его отдельном и явном подключении Пользователем в интерфейсе Сервиса;
направления кассового чека;
оформления акта, универсального передаточного документа и иных первичных документов;
проведения возврата;
исправления ошибочного или повторного расчета;
учета скидок, переплат и задолженности;
взаимодействия с Платежным провайдером, банком, оператором фискальных данных и бухгалтерским сервисом.

Для этой цели могут обрабатываться данные, указанные в пункте 4.5 Политики.
Полные реквизиты банковских карт Оператором не запрашиваются и не сохраняются, если фактическая платежная архитектура предусматривает их ввод непосредственно в защищенном интерфейсе Платежного провайдера.
5.2.7. Ведение бухгалтерского и налогового учета
Обработка осуществляется для:

исполнения обязанностей, предусмотренных налоговым законодательством;
оформления и хранения первичных учетных документов;
подтверждения доходов, расходов и расчетов;
формирования кассовых и налоговых документов;
представления сведений государственным органам в предусмотренных законом случаях;
проведения внутреннего и внешнего учета.

Для этой цели могут обрабатываться данные, указанные в пункте 4.5 Политики, а также сведения, содержащиеся в расчетных, бухгалтерских и налоговых документах.
5.2.8. Предоставление технической поддержки и рассмотрение обращений
Обработка осуществляется для:

регистрации и классификации обращения;
идентификации заявителя;
диагностики ошибки;
воспроизведения технической проблемы;
восстановления доступа;
взаимодействия с Пользователем;
устранения ошибки или предоставления разъяснения;
оценки качества поддержки;
подтверждения содержания и результата рассмотрения обращения.

Для этой цели могут обрабатываться данные, указанные в пункте 4.6 Политики.
5.2.9. Направление сервисных, технических и юридически значимых сообщений
Обработка осуществляется для направления:

сообщений о регистрации и подтверждении Учетной записи;
уведомлений о событиях безопасности;
сообщений о восстановлении доступа;
уведомлений о действиях в Рабочем пространстве;
сообщений о состоянии Интеграции;
уведомлений о платежах, возвратах и Подписке;
уведомлений об изменении стоимости или существенных условий договора;
сообщений о технических работах и инцидентах;
ответов на обращения и претензии;
иных сообщений, непосредственно связанных с договором и выбранными функциями Сервиса.

Сервисное сообщение не используется для продвижения дополнительных товаров, работ или услуг без отдельного согласия на рекламу.
5.2.10. Обеспечение информационной безопасности
Обработка осуществляется для:

предотвращения и выявления неправомерного доступа;
выявления компрометации Учетных записей и Данных доступа;
предотвращения компьютерных атак;
выявления вредоносного кода;
предотвращения мошеннических платежей и регистраций;
расследования инцидентов;
разграничения прав доступа;
ведения технических журналов;
восстановления работоспособности Сервиса;
защиты данных Заказчиков, Пользователей и Оператора;
формирования доказательств совершенных электронных действий.

Для этой цели могут обрабатываться данные, указанные в пункте 4.8 Политики, а также сведения об Учетной записи, предусмотренные пунктом 4.4 Политики, в минимально необходимом объеме.
5.2.11. Предотвращение злоупотреблений и защита законных прав
Обработка осуществляется для:

выявления нарушений Публичной оферты;
проверки признаков саморефералов и множественных Учетных записей;
предотвращения обхода тарифных и платежных ограничений;
защиты интеллектуальных прав;
рассмотрения претензий правообладателей и иных лиц;
предъявления, обоснования и защиты правовых требований;
представления доказательств в суде и государственным органам;
взыскания задолженности законными способами.

Обработка ограничивается объемом, необходимым для конкретного разбирательства или проверки.
5.2.12. Организация Программы рекомендаций
При фактическом запуске Программы рекомендаций обработка осуществляется для:

формирования и закрепления Реферальной ссылки;
фиксации реферальной связи;
предоставления скидки Приглашенному заказчику;
начисления, использования и корректировки Бонуса;
проверки выполнения условий Программы рекомендаций;
выявления злоупотреблений;
рассмотрения обращений участников программы.

Для этой цели могут обрабатываться данные, указанные в пункте 4.7 Политики.
5.2.13. Предоставление Интеграций с Внешними информационными системами
В части, в которой Оператор самостоятельно определяет цели обработки, обработка осуществляется для:

подключения Внешней информационной системы;
проверки полномочий и технической возможности подключения;
сохранения настроек Интеграции;
ведения журналов подключения и отключения;
диагностики ошибок;
обеспечения безопасности Данных доступа;
предотвращения неправомерного использования Интеграции.

Для этой цели могут обрабатываться данные, указанные в пунктах 4.8 и 4.12 Политики.
Получение и обработка данных из кабинета Заказчика для предоставления выбранной функциональности осуществляется преимущественно по поручению Заказчика в соответствии с пунктом 5.3 Политики.
5.2.14. Подключение Telegram и иных добровольно выбранных Каналов связи
Обработка осуществляется для:

связывания Канала связи с Учетной записью;
подтверждения принадлежности Канала связи Пользователю;
направления выбранных Пользователем сервисных уведомлений;
получения и обработки команд программы-бота;
взаимодействия со службой поддержки;
отключения Канала связи;
подтверждения отправки и доставки сообщения.

Для этой цели могут обрабатываться данные, указанные в пункте 4.9 Политики.
Подключение Telegram само по себе не означает согласия на рекламные сообщения.
5.2.15. Предоставление функций искусственного интеллекта
При активации Пользователем соответствующей функции обработка осуществляется для:

получения и обработки запроса Пользователя;
анализа выбранных Пользователем данных;
формирования ответа, сводки, черновика, классификации или иного результата;
передачи результата Пользователю;
обеспечения безопасности ИИ-функции;
диагностики ошибки;
рассмотрения обращения Пользователя по работе ИИ-функции.

Для этой цели могут обрабатываться данные, указанные в пункте 4.10 Политики.
Данные не используются для обучения моделей искусственного интеллекта общего назначения или моделей, предназначенных для неопределенного круга пользователей, без отдельного законного основания и необходимого согласия.
5.2.16. Анализ работы Сайта и Сервиса
Обработка может осуществляться для:

определения общей посещаемости;
анализа использования функций;
выявления технических проблем;
оценки производительности;
улучшения интерфейса и пользовательского опыта;
формирования обезличенной статистики;
планирования развития Сервиса.

Необязательные аналитические, рекламные и профилирующие файлы cookie и аналогичные технологии, позволяющие прямо или косвенно определить посетителя либо передающие сведения стороннему аналитическому сервису, активируются только после получения отдельного предварительного согласия посетителя.
До получения согласия соответствующие средства не загружаются и не осуществляют передачу данных. Отказ от необязательной аналитики не ограничивает доступ к основным функциям Сайта и Сервиса. Для анализа Оператор преимущественно использует обезличенные и агрегированные сведения.
5.2.17. Продвижение Сервиса и направление рекламы
Обработка осуществляется для:

направления рекламных и маркетинговых сообщений;
информирования о новых Тарифных планах, акциях и специальных предложениях;
приглашения на мероприятия;
проведения опросов, не связанных непосредственно с исполнением договора;
оценки эффективности рекламных коммуникаций.

Обработка для этой цели допускается только при наличии отдельного предварительного согласия субъекта персональных данных.
Отказ от рекламы не ограничивает использование основной функциональности Сервиса.
5.2.18. Исполнение требований законодательства и государственных органов
Обработка осуществляется для:

исполнения налоговых, бухгалтерских, кассовых и иных обязательных требований;
рассмотрения запросов субъектов персональных данных;
исполнения судебных актов;
исполнения законных требований Роскомнадзора, ФНС России, правоохранительных органов, суда и иных уполномоченных органов;
уведомления об инцидентах, когда такое уведомление обязательно;
хранения документов в течение установленных законом сроков;
выполнения иных обязанностей Оператора.

5.3. В отношении Персональных данных Заказчика Оператор осуществляет обработку по поручению Заказчика для следующих целей:

предоставление и обеспечение работы функций Сервиса;
ведение Рабочих пространств;
предоставление доступа Уполномоченным пользователям;
ведение задач, карточек товаров, файлов, комментариев, сообщений, справочников и рабочих процессов;
поиск, сортировка, фильтрация, систематизация и отображение данных;
работа подключенных Заказчиком Интеграций;
резервное копирование и восстановление;
разграничение прав доступа;
техническая поддержка;
обеспечение безопасности и ведение технических журналов;
выполнение иных документированных указаний Заказчика, соответствующих назначению Сервиса и законодательству.

Оператор не вправе самостоятельно изменять цели обработки Персональных данных Заказчика.
5.4. Оператор не осуществляет исключительно на основании автоматизированной обработки персональных данных принятие решений, которые порождают юридические последствия в отношении физического лица или иным образом существенно затрагивают его права и законные интересы, если для этого отсутствует предусмотренное законодательством основание.
5.5. Если Оператор планирует обработку персональных данных для цели, не указанной в настоящем разделе, до начала такой обработки он:

определяет правовое основание;
оценивает совместимость новой цели с первоначальной целью сбора;
обновляет настоящую Политику и иные необходимые документы;
вносит изменения в уведомление Роскомнадзору, если это требуется;
получает отдельное согласие субъекта, если обработка не может осуществляться на ином законном основании.

6. Правовые основания обработки персональных данных

6.1. Оператор обрабатывает персональные данные только при наличии одного или нескольких правовых оснований, предусмотренных законодательством Российской Федерации.
Наличие Публичной оферты или настоящей Политики само по себе не является универсальным основанием для любой обработки персональных данных.
6.2. Правовыми основаниями обработки являются:

согласие субъекта персональных данных;
необходимость обработки для заключения и исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;
необходимость обработки для исполнения функций, полномочий и обязанностей, возложенных на Оператора законодательством Российской Федерации;
необходимость обработки для осуществления прав и законных интересов Оператора или третьих лиц при условии, что не нарушаются права и свободы субъекта персональных данных;
обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
иные прямо предусмотренные законодательством Российской Федерации основания, применимые к конкретной обработке.

6.3. Согласие субъекта персональных данных
Обработка осуществляется на основании согласия, в частности, для:

направления рекламных и маркетинговых сообщений;
использования необязательных функциональных, аналитических, рекламных и профилирующих файлов cookie и аналогичных технологий;
обработки данных для добровольно подключаемой дополнительной функции, если отсутствует иное законное основание;
публикации персональных данных или предоставления к ним доступа неопределенному кругу лиц;
использования изображения, отзыва или сведений о физическом лице в рекламных материалах, если отсутствует иное предусмотренное законом основание;
иных случаев, когда получение согласия обязательно.

6.4. Согласие должно быть:

свободным;
конкретным;
предметным;
информированным;
сознательным;
однозначным;
оформленным отдельно от иной информации и документов, которые подтверждает или подписывает субъект персональных данных.

Предварительно проставленная отметка, отсутствие отказа, продолжение просмотра Сайта без возможности выбора или иное бездействие субъекта не используются в качестве согласия в случаях, когда законодательством требуется активное волеизъявление.
6.5. Оператор фиксирует сведения, позволяющие подтвердить получение согласия, включая в применимом объеме:

текст и версию согласия;
дату и время его предоставления;
идентификатор субъекта или Учетной записи;
совершенное субъектом действие;
сетевой адрес устройства;
сведения об отзыве или изменении согласия.

6.6. Исполнение договора
Договор является правовым основанием обработки только в той части, в которой обработка объективно необходима:

для заключения договора по инициативе субъекта;
для исполнения договора, стороной которого является субъект;
для исполнения договора, по которому субъект является выгодоприобретателем или поручителем;
для прекращения такого договора и завершения связанных расчетов.

На этом основании могут обрабатываться данные Заказчика - физического лица или индивидуального предпринимателя.
Договор с юридическим лицом сам по себе не является достаточным договорным основанием для обработки любых персональных данных его работников, представителей и подрядчиков.
6.7. В отношении представителей, работников и иных уполномоченных лиц Заказчика обработка осуществляется в зависимости от конкретной цели:

на основании законных интересов Оператора и Заказчика - для взаимодействия по договору, подтверждения полномочий, предоставления доступа и обеспечения безопасности;
на основании обязанностей, установленных законодательством;
на основании согласия - если характер обработки требует его получения;
по поручению Заказчика - в отношении данных, цели обработки которых определяет Заказчик.

6.8. Исполнение обязанностей, установленных законодательством
На этом основании обработка осуществляется, в частности, для:

ведения бухгалтерского учета;
исполнения налоговых обязанностей;
применения контрольно-кассовой техники;
формирования и хранения первичных документов;
направления кассовых чеков;
рассмотрения обращений субъектов персональных данных;
исполнения требований о защите информации;
уведомления уполномоченных органов об инцидентах;
исполнения судебных актов и законных требований государственных органов;
хранения документов в течение обязательных сроков.

К таким основаниям относятся применимые положения Налогового кодекса Российской Федерации, Федерального закона № 402-ФЗ «О бухгалтерском учете», Федерального закона № 54-ФЗ о применении контрольно-кассовой техники, Федерального закона № 152-ФЗ «О персональных данных», Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и иных нормативных правовых актов.
6.9. Осуществление прав и законных интересов
На основании прав и законных интересов Оператора или третьих лиц обработка может осуществляться для:

обеспечения работоспособности обязательных технических функций Сайта и Сервиса;
обеспечения информационной безопасности;
предотвращения мошенничества и неправомерного доступа;
ведения минимально необходимых технических журналов;
подтверждения заключения и исполнения договора;
защиты интеллектуальных и иных прав;
предъявления и защиты правовых требований;
рассмотрения претензий;
взыскания задолженности законными способами;
взаимодействия с представителями Заказчика в рамках B2B-отношений.

До начала такой обработки Оператор оценивает:

наличие реального и законного интереса;
необходимость обработки для достижения соответствующей цели;
возможность достижения цели менее затрагивающим права субъекта способом;
объем и характер данных;
разумные ожидания субъекта;
возможные последствия обработки;
меры по защите прав и свобод субъекта.

Ссылка на законный интерес не используется как формальное основание для неограниченного сбора данных, рекламных рассылок или обработки, неожиданной для субъекта.
6.10. Обязательные и необязательные файлы cookie
Обязательные файлы cookie и Технические данные могут обрабатываться без отдельного согласия в объеме, объективно необходимом для:

предоставления запрошенной страницы или функции;
поддержания авторизованной сессии;
сохранения настроек безопасности;
предотвращения атак;
распределения технической нагрузки;
сохранения сделанного Пользователем выбора конфиденциальности.

Необязательные функциональные, аналитические, рекламные и профилирующие файлы cookie и аналогичные технологии активируются только после отдельного активного выбора посетителя. Предварительно установленная отметка, продолжение использования Сайта или закрытие уведомления не признаются согласием на такую обработку.
Отказ от необязательных файлов cookie не должен препятствовать использованию основных функций Сайта и Сервиса.
6.11. Рекламные и маркетинговые сообщения
Обработка персональных данных для прямого продвижения Сервиса посредством электронной почты, телефонной связи, сообщений на абонентский номер, Telegram или иных средств связи осуществляется только при наличии предварительного согласия адресата.
Согласие на обработку персональных данных для рекламы и согласие на получение рекламы могут оформляться в одном отдельном волеизъявлении, если его содержание соответствует одновременно требованиям законодательства о персональных данных и о рекламе.
Оператор обязан немедленно прекратить обработку персональных данных в целях прямого продвижения товаров, работ и услуг и направление соответствующих рекламных сообщений после получения требования субъекта персональных данных.
Отказ от рекламы не прекращает направление необходимых сервисных, технических, расчетных и юридически значимых сообщений.
6.12. Подключение Telegram и иных Каналов связи
Обработка персональных данных при подключении Telegram или иного Канала связи осуществляется на одном или нескольких следующих правовых основаниях:
1. необходимость заключения или исполнения договора - в отношении обработки, объективно необходимой для предоставления добровольно выбранной Пользователем функции;
2. документированное поручение Заказчика - в отношении Персональных данных Заказчика;
3. отдельное согласие субъекта персональных данных - в отношении рекламных сообщений, необязательных коммуникаций и иных целей, не охватываемых исполнением договора;
4. осуществление прав и законных интересов Оператора или Заказчика - исключительно в отношении минимально необходимых технических журналов, предотвращения неправомерного доступа и обеспечения безопасности, при условии соблюдения прав и свобод субъекта персональных данных.
Действие Пользователя по подключению Канала связи подтверждает выбор соответствующей функции, но само по себе не является самостоятельным правовым основанием обработки персональных данных.
Выполнение требований о трансграничной передаче является обязательным условием такой обработки, но не заменяет правового основания, предусмотренного статьей 6 Федерального закона № 152-ФЗ.
Само принятие Публичной оферты не означает автоматического подключения Telegram и не является согласием на получение рекламы.
6.13. Использование ИИ-функций
Обработка персональных данных при использовании ИИ-функции осуществляется на одном или нескольких следующих правовых основаниях:
1. необходимость исполнения договора - если обработка объективно необходима для предоставления функции, отдельно активированной Пользователем;
2. документированное поручение Заказчика - если ИИ-функция обрабатывает Персональные данные Заказчика;
3. отдельное согласие субъекта персональных данных - если обработка выходит за пределы исполнения договора, осуществляется для обучения модели общего назначения или для иной самостоятельной цели;
4. осуществление прав и законных интересов Оператора - исключительно для ведения минимально необходимых технических журналов, предотвращения злоупотреблений, диагностики ошибок и обеспечения безопасности при условии соблюдения прав и свобод субъекта.
Активация ИИ-функции подтверждает запрос Пользователя на предоставление соответствующей функции, но не является самостоятельным правовым основанием обработки, согласием на распространение персональных данных или согласием на обучение модели общего назначения.
6.14. Обработка по поручению Заказчика
Оператор осуществляет обработку Персональных данных Заказчика на основании документированного поручения, содержащегося в Публичной оферте и являющемся ее неотъемлемой частью Поручении на обработку персональных данных Twims.
Настройки и действия в Сервисе признаются документированными техническими указаниями Заказчика только в пределах такого Поручения и не могут самостоятельно изменять его предмет, цели, перечень данных или операций.
Заказчик обязан обеспечить наличие правового основания для:

первоначального сбора персональных данных;
их использования;
передачи Оператору;
предоставления к ним доступа Пользователям;
привлечения Оператора и Привлеченных лиц к обработке.

Оператор как лицо, обрабатывающее персональные данные по поручению, не обязан самостоятельно получать согласие субъектов на такую обработку, если обязанность получения согласия лежит на Заказчике и у Оператора отсутствует самостоятельная цель обработки.
6.15. Получение данных не от субъекта
Настоящий пункт применяется в случаях, когда Оператор действует как самостоятельный оператор персональных данных и получает персональные данные от Заказчика, представителя субъекта, Внешней информационной системы или иного третьего лица.
До начала обработки Оператор:
1. устанавливает применимое правовое основание;
2. получает подтверждение законности получения и передачи данных, когда это необходимо;
3. предоставляет субъекту сведения, предусмотренные законодательством Российской Федерации, если они ранее не были предоставлены передающей стороной и отсутствует предусмотренное законом исключение.
В отношении Персональных данных Заказчика, обрабатываемых исключительно по поручению, обязанность определить правовое основание первоначального сбора, предоставить субъекту необходимую информацию и обеспечить правомерность передачи данных Оператору несет Заказчик.
Факт нахождения сведений в открытом доступе сам по себе не означает право обрабатывать их для любой цели.
6.16. Отзыв согласия
Субъект вправе отозвать согласие способом, указанным в соответствующем согласии или настоящей Политике.
Отзыв согласия:

не влияет на законность обработки, произведенной до его получения Оператором;
прекращает обработку, осуществляемую только на основании отозванного согласия;
не препятствует продолжению обработки, если после отзыва сохраняется иное предусмотренное законодательством основание;
не прекращает исполнение обязательных требований по хранению бухгалтерских, налоговых, кассовых и иных документов.

6.17. При отзыве согласия и отсутствии иного предусмотренного законодательством Российской Федерации правового основания Оператор прекращает обработку и уничтожает соответствующие персональные данные в порядке и сроки, предусмотренные пунктом 11.20 настоящей Политики.
При прекращении договора применяются основания, сроки и порядок прекращения обработки, удаления, уничтожения или необратимого обезличивания, установленные разделом 11 настоящей Политики.
6.18. Обязанность подтвердить наличие согласия либо иного правового основания обработки лежит на Операторе в той части, в которой он выступает самостоятельным оператором персональных данных.
Заказчик обязан подтвердить наличие правовых оснований обработки Персональных данных Заказчика по запросу Оператора, субъекта персональных данных или уполномоченного органа в части, относящейся к деятельности Заказчика.
6.19. Изменение настоящей Политики, Публичной оферты или интерфейса Сервиса:

не заменяет получение нового согласия, если оно необходимо;
не распространяет ранее полученное согласие на несовместимую цель;
не является согласием на рекламу;
не является согласием на Автоматическое продление;
не является согласием на использование данных для обучения общей модели искусственного интеллекта;
не является согласием на распространение персональных данных.

7. Локализация и трансграничная передача персональных данных

7.1. При сборе персональных данных граждан Российской Федерации, в том числе посредством Сайта, Сервиса и сети Интернет, Оператор обеспечивает соблюдение требований законодательства Российской Федерации о локализации персональных данных.
Если иное прямо не допускается федеральным законом, Оператор не осуществляет запись, систематизацию, накопление, хранение, уточнение, в том числе обновление и изменение, и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации.
7.2. Требования пункта 7.1 Политики применяются, в частности, к персональным данным, получаемым:

через формы регистрации и авторизации;
через формы обратной связи и заявки на демонстрацию Сервиса;
при создании Учетной записи и Рабочего пространства;
при оплате Подписки и оформлении возврата;
при обращении в службу технической поддержки;
посредством файлов cookie и иных технических средств;
при подключении Интеграций;
при использовании Каналов связи;
при использовании ИИ-функций;
при участии в Программе рекомендаций;
из иных источников в связи с предоставлением Сервиса.

7.3. Оператор не осуществляет специальную проверку гражданства каждого субъекта персональных данных без объективной необходимости. В целях соблюдения требований локализации операции, перечисленные в пункте 7.1 Политики, в отношении персональных данных, собираемых посредством Сайта и Сервиса, осуществляются с использованием баз данных, находящихся на территории Российской Федерации, независимо от гражданства субъекта, если иной порядок прямо не допускается законодательством Российской Федерации.
7.4. Информационные системы и базы данных, используемые Оператором для выполнения операций, перечисленных в пункте 7.1 Политики, размещаются на территории Российской Федерации.
Сведения о месте нахождения баз данных, используемых Оператором, указываются в уведомлении об обработке персональных данных, направляемом в Роскомнадзор, в предусмотренном законодательством объеме.
7.5. Оператор обеспечивает, чтобы привлеченные им лица, осуществляющие размещение информационных систем, хранение данных, резервное копирование, техническую поддержку, аналитику, обработку платежей и иные операции, соблюдали применимые требования к локализации персональных данных.
До привлечения соответствующего лица Оператор проверяет в необходимом объеме:

место нахождения используемых баз данных;
место фактической обработки персональных данных;
архитектуру хранения и резервного копирования;
возможность доступа к данным с территории иностранных государств;
условия привлечения субподрядчиков;
сроки хранения и удаления данных;
соответствие услуг требованиям законодательства Российской Федерации.

7.6. Использование иностранной компании, программного продукта, библиотеки, программного интерфейса или товарного знака само по себе не определяет местонахождение базы данных.
Для целей выполнения требований законодательства учитываются фактическое место размещения базы данных, характер совершаемых операций, маршруты передачи, условия хранения и доступ иностранных лиц к персональным данным.
7.7. Резервные копии персональных данных граждан Российской Федерации, содержащие сведения, позволяющие определить субъекта персональных данных, также размещаются с соблюдением требований пункта 7.1 Политики.
Оператор не использует зарубежные резервные хранилища для осуществления операций, запрещенных законодательством Российской Федерации.
7.8. Обезличенные и агрегированные сведения могут обрабатываться с использованием иной инфраструктуры только при условии, что:

без использования дополнительной информации невозможно определить конкретного субъекта персональных данных;
дополнительная информация хранится отдельно;
отсутствует разумная возможность обратного определения субъекта получателем сведений;
такая обработка не используется для обхода требований о локализации;
применяемый метод обезличивания соответствует характеру данных и целям обработки.

7.9. Выполнение требований к локализации не исключает необходимости отдельно соблюдать требования законодательства о трансграничной передаче персональных данных.
Размещение основной базы данных на территории Российской Федерации само по себе не предоставляет Оператору право передавать персональные данные иностранному получателю.
7.10. Трансграничной передачей признается передача персональных данных:

органу власти иностранного государства;
иностранному физическому лицу;
иностранному юридическому лицу;
иностранному поставщику программного обеспечения, облачной инфраструктуры, ИИ-модели, коммуникационного или аналитического сервиса, если такое лицо получает доступ к персональным данным;
иному получателю, находящемуся под юрисдикцией иностранного государства.

Доступ иностранного получателя к персональным данным может рассматриваться как трансграничная передача независимо от того, инициируется ли передача вручную, посредством программного интерфейса либо автоматически.
7.11. До начала трансграничной передачи Оператор:

определяет конкретную цель передачи;
определяет правовое основание передачи и дальнейшей обработки;
устанавливает категории субъектов персональных данных;
устанавливает перечень передаваемых персональных данных;
определяет иностранное государство и иностранного получателя;
получает от иностранного получателя сведения о применяемых мерах защиты и условиях прекращения обработки;
изучает применимое правовое регулирование иностранного государства в предусмотренных законодательством случаях;
получает идентификационные и контактные сведения иностранного получателя;
оценивает соблюдение иностранным получателем конфиденциальности и безопасности персональных данных;
оценивает необходимость и соразмерность передачи;
проверяет возможность достижения цели без трансграничной передачи либо с использованием меньшего объема данных;
направляет в Роскомнадзор отдельное уведомление о намерении осуществлять трансграничную передачу;
вносит необходимые сведения в настоящую Политику, уведомление об обработке персональных данных и иные документы Оператора.

7.12. Уведомление о намерении осуществлять трансграничную передачу направляется отдельно от уведомления об обработке персональных данных.
Уведомление должно быть направлено до начала соответствующей передачи.
Оператор не считает согласие субъекта персональных данных заменой обязанности направить уведомление о трансграничной передаче, если такая обязанность установлена законодательством.
7.13. После направления уведомления о намерении осуществлять трансграничную передачу Оператор вправе начать передачу персональных данных на территорию иностранного государства, являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных либо включенного в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, до принятия Роскомнадзором решения о запрещении или ограничении такой передачи.
Если иностранное государство не является стороной указанной Конвенции и не включено в перечень государств, обеспечивающих адекватную защиту, Оператор не начинает трансграничную передачу до истечения десяти рабочих дней с даты поступления уведомления в Роскомнадзор, а при направлении Роскомнадзором запроса - до завершения рассмотрения уведомления, кроме предусмотренных федеральным законом случаев необходимости защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или других лиц.
7.14. Оператор прекращает либо ограничивает трансграничную передачу, если:

Роскомнадзор принял решение о ее запрещении или ограничении;
иностранный получатель нарушил установленные требования;
изменилась цель передачи;
изменились категории субъектов или перечень передаваемых данных;
изменилось государство либо иностранный получатель;
иностранный получатель начал использовать данные для самостоятельной несовместимой цели;
иностранный получатель не может подтвердить надлежащее удаление данных;
дальнейшая передача создает недопустимый риск для прав и свобод субъектов;
прекратилось правовое основание передачи.

7.15. При принятии Роскомнадзором решения о запрещении или ограничении трансграничной передачи Оператор прекращает либо ограничивает соответствующую передачу в объеме, установленном решением, и обеспечивает уничтожение иностранным получателем ранее переданных ему персональных данных в порядке, предусмотренном законодательством Российской Федерации.
7.16. Оператор не подключает иностранный аналитический, коммуникационный, облачный, платежный или иной сервис к Сайту либо Сервису, если его использование:

предполагает запрещенное хранение персональных данных граждан Российской Федерации в зарубежной базе данных;
приводит к трансграничной передаче до выполнения требований пункта 7.11 Политики;
не позволяет определить иностранного получателя;
не позволяет установить место и сроки обработки;
предусматривает использование данных для самостоятельных рекламных целей получателя;
предусматривает неограниченное хранение данных;
не позволяет обеспечить удаление данных после прекращения правового основания;
противоречит условиям настоящей Политики и Публичной оферты.

7.17. Если иностранный сервис технически предусматривает хранение передаваемых запросов, сообщений, файлов, журналов или иных персональных данных в базе данных за пределами Российской Федерации, Оператор вправе использовать такой сервис только при наличии прямо предусмотренного законодательством основания, допускающего соответствующие операции.
Одного факта направления уведомления о трансграничной передаче недостаточно для легализации операций, прямо запрещенных требованиями о локализации.
7.18. При подключении Telegram или иного иностранного Канала связи применяются одновременно:

положения пункта 5.2.14 Политики о целях обработки;
положения пункта 6.12 Политики о правовых основаниях;
требования настоящего раздела;
условия Публичной оферты о Каналах связи.

Telegram не используется для первичного сбора обязательных регистрационных, платежных или идентификационных данных, если такой порядок не соответствует требованиям локализации.
Через Telegram по возможности передаются только минимально необходимые уведомления, технические идентификаторы и защищенные ссылки на Личный кабинет.
7.19. Пользователь не должен направлять через иностранные Каналы связи:

пароли и одноразовые коды;
полные реквизиты банковских карт;
Данные доступа к программным интерфейсам;
специальные категории персональных данных;
биометрические персональные данные;
документы, содержащие избыточный объем персональных данных;
коммерческую тайну и иную информацию, для передачи которой Канал связи не предназначен.

7.20. При использовании иностранного поставщика ИИ-функции применяются одновременно требования настоящего раздела и раздела 8 Политики.
Если поставщик сохраняет запросы, файлы или результаты обработки за пределами Российской Федерации, Оператор не использует его для обработки персональных данных граждан Российской Федерации, кроме случаев, прямо допускаемых законодательством.
7.21. Сведения о фактически осуществляемой или предполагаемой трансграничной передаче предоставляются субъекту персональных данных по его запросу в объеме, предусмотренном законодательством.
Такие сведения могут включать:

факт осуществления передачи;
цель и правовое основание;
категории передаваемых персональных данных;
категории субъектов;
государство передачи;
сведения об иностранном получателе;
срок и условия дальнейшей обработки;
меры защиты;
порядок прекращения передачи и удаления данных.

7.22. Если на дату вступления настоящей редакции Политики Оператор не осуществляет трансграничную передачу в рамках конкретной функции, упоминание возможности такой передачи не означает, что передача фактически производится.
Соответствующая функция не активируется до выполнения требований законодательства и обновления доступной Пользователю информации.

8. Обработка персональных данных при использовании функций искусственного интеллекта

8.1. При фактическом запуске соответствующей функциональности в Сервисе могут предоставляться функции, основанные на технологиях искусственного интеллекта, машинного обучения, автоматизированного анализа данных и обработки естественного языка, далее совместно именуемые ИИ-функциями.
ИИ-функции могут использоваться для:

анализа задач и рабочих процессов;
поиска и сопоставления сведений;
подготовки черновиков, описаний и сообщений;
формирования предлагаемых задач и контрольных перечней;
составления кратких изложений и проектов протоколов;
классификации и структурирования данных;
поиска сведений в файлах и документах;
формирования аналитических пояснений;
иных вспомогательных операций, описанных в интерфейсе Сервиса.

8.2. ИИ-функция активируется только посредством отдельного и понятного действия Пользователя либо Уполномоченного пользователя, если иное не является неотъемлемой и заранее описанной частью выбранной функции Сервиса.
Акцепт Публичной оферты, регистрация в Сервисе или загрузка Контента сами по себе не означают активацию всех ИИ-функций.
8.3. Цели обработки персональных данных при использовании ИИ-функций определяются пунктом 5.2.15 Политики, правовые основания - пунктом 6.13 Политики, категории данных - пунктом 4.10 Политики.
Если ИИ-функция обрабатывает Персональные данные Заказчика по его указанию, дополнительно применяются положения раздела 3 и пункта 5.3 Политики.
8.4. Информирование до активации
До активации ИИ-функции Пользователю предоставляется информация:

о назначении функции;
о категориях данных, которые будут обрабатываться;
о том, выбирает ли Пользователь данные самостоятельно либо они передаются автоматически;
о наличии внешнего поставщика ИИ-функции;
о месте обработки и хранения данных;
о возможности трансграничной передачи;
о сроке хранения запросов и результатов;
об использовании или неиспользовании данных для обучения модели;
об основных ограничениях ИИ-функции;
о порядке отключения функции;
о платном характере функции, если она предоставляется за дополнительную плату.

8.4.1. Если условия обработки данных внешним поставщиком существенно изменились, Оператор до дальнейшего использования функции:

оценивает новые условия;
определяет наличие правового основания;
при необходимости обновляет настоящую Политику;
при необходимости обновляет уведомление Роскомнадзору;
выполняет требования раздела 7 Политики;
получает новое согласие, если оно требуется;
предоставляет Пользователю обновленную информацию.

8.5. Для предоставления ИИ-функции Оператор обрабатывает только те данные, которые необходимы для выполнения конкретного запроса или активированной функции.
Передача всей совокупности Контента Рабочего пространства допускается только если:

это объективно необходимо для заявленной функции;
Пользователю понятен объем передаваемых данных;
доступ соответствует Роли пользователя;
выполнены требования минимизации;
существует надлежащее правовое основание.

8.6. При наличии технической возможности до передачи данных ИИ-модулю Оператор применяет одно или несколько следующих действий:

удаление прямых идентификаторов;
маскирование контактных данных;
исключение избыточных фрагментов;
псевдонимизацию;
обезличивание;
локальную предварительную обработку;
передачу только выбранного Пользователем фрагмента.

8.7. Через ИИ-функцию не должны обрабатываться, если иное отдельно не предусмотрено специально предназначенной функцией и законным основанием:

специальные категории персональных данных;
биометрические персональные данные;
сведения о судимости;
персональные данные несовершеннолетних;
государственная тайна;
полные реквизиты банковских карт;
пароли, закрытые ключи и коды подтверждения;
Данные доступа к программным интерфейсам;
иная информация, обработка которой соответствующей функцией не предусмотрена.

8.8. ИИ-функция может обеспечиваться:

собственными программными средствами Оператора;
моделью, размещенной в инфраструктуре Оператора;
российским внешним поставщиком;
иностранным внешним поставщиком при выполнении требований раздела 7 Политики.

8.9. До привлечения внешнего поставщика Оператор оценивает:

цели обработки данных поставщиком;
место размещения инфраструктуры и баз данных;
сроки хранения запросов и результатов;
использование данных для обучения моделей;
наличие доступа работников и субподрядчиков;
применяемые меры безопасности;
порядок удаления данных;
порядок реагирования на инциденты;
возможность исполнения запросов субъектов;
соответствие требованиям локализации и трансграничной передачи.

8.10. Внешний поставщик, обрабатывающий персональные данные исключительно для предоставления ИИ-функции, привлекается на основании договора и не вправе:

самостоятельно изменять цели обработки;
использовать данные для собственной рекламы;
продавать данные;
объединять их с данными иных клиентов для формирования профиля субъекта;
использовать данные для обучения общей модели, если это отдельно не предусмотрено законным основанием;
хранить данные дольше согласованного срока;
привлекать иных лиц в нарушение условий договора.

8.11. Персональные данные, Контент Заказчика, запросы Пользователей и результаты работы ИИ-функции не используются для обучения моделей искусственного интеллекта общего назначения или моделей, предназначенных для неопределенного круга пользователей, без отдельного законного основания.
8.12. Если для обучения модели требуется согласие субъекта персональных данных:

согласие оформляется отдельно от Политики и Публичной оферты;
в согласии указываются конкретная цель обучения, перечень данных, модель или категория моделей, срок обработки и получатели;
отказ от согласия не ограничивает основную функциональность Сервиса, не связанную с обучением модели;
согласие Заказчика не заменяет согласие субъектов персональных данных, содержащихся в Контенте Заказчика;
отзыв согласия прекращает дальнейшее использование исходных персональных данных для обучения и влечет их удаление, блокирование или обезличивание в предусмотренных законодательством случаях. Возможность и порядок исключения влияния таких данных из уже сформированной модели определяются с учетом ее технического устройства, возможности извлечения сведений о конкретном субъекте и требований законодательства Российской Федерации.

8.13. Не считается обучением модели:

временная обработка данных для формирования ответа на конкретный запрос;
техническая диагностика ошибки без включения данных в обучающий набор;
формирование обезличенной статистики производительности;
оценка качества на данных, исключающих возможность определения субъекта,

при условии, что сведения не используются для последующего обучения общей модели и не позволяют определить физическое лицо.
8.14. ИИ-функции Twims имеют вспомогательный характер.
Оператор не принимает исключительно на основании автоматизированной обработки персональных данных решения, которые:

порождают юридические последствия в отношении физического лица;
определяют заключение или прекращение договора с физическим лицом;
определяют прием на работу, увольнение или применение дисциплинарного взыскания;
определяют размер вознаграждения или выплат физическому лицу;
ограничивают права доступа физического лица по основаниям оценки его личности;
иным образом существенно затрагивают права и законные интересы субъекта,

если отсутствует прямо предусмотренное законодательством основание.
8.15. Если в будущем будет внедрена функция принятия исключительно автоматизированного решения, затрагивающего права и законные интересы субъекта, до ее использования Оператор обеспечивает:

наличие письменного согласия субъекта либо прямого основания в федеральном законе;
описание логики и порядка принятия решения в доступной форме;
информирование о возможных юридических последствиях;
возможность заявить возражение;
возможность проверки решения уполномоченным человеком;
порядок отмены или пересмотра решения;
рассмотрение возражения субъекта в течение тридцати календарных дней со дня его получения и уведомление субъекта о результатах рассмотрения;
иные меры защиты прав и законных интересов субъекта.

8.16. Результат ИИ-функции сам по себе не является командой на совершение юридически или экономически значимого действия.
Без отдельного подтверждения Уполномоченного пользователя ИИ-функция не должна:

изменять цены и рекламные настройки;
изменять сведения во Внешней информационной системе;
совершать платежи;
заключать или прекращать договоры;
изменять Роли доступа;
принимать кадровые решения;
удалять Рабочее пространство или существенный объем Контента.

Автоматизация отдельных технических операций допускается только после отдельной настройки Заказчиком и в пределах предоставленных полномочий.
8.17. Результаты ИИ-функций могут содержать неточные, неполные, устаревшие, противоречивые или ошибочные сведения.
Оператор не рассматривает результат ИИ-функции как гарантированно достоверное профессиональное заключение.
8.18. Пользователь обязан до применения результата:

проверить исходные данные;
проверить фактическую точность;
проверить расчеты, даты, ссылки и наименования;
оценить соответствие законодательству и внутренним правилам Заказчика;
оценить возможное нарушение прав третьих лиц;
при необходимости привлечь компетентного специалиста;
самостоятельно принять окончательное решение.

Положения настоящих пунктов не освобождают Оператора от исполнения обязанностей по законной и безопасной обработке персональных данных.
8.19. Оператор может фиксировать:

идентификатор Пользователя и Рабочего пространства;
дату и время запроса;
выбранную ИИ-функцию;
технические параметры;
статус выполнения;
сведения об ошибке;
оценку результата Пользователем;
иные минимально необходимые сведения.

8.20. Содержание запросов и результатов хранится не дольше, чем это необходимо:

для предоставления ИИ-функции;
для рассмотрения обращения Пользователя;
для диагностики ошибки;
для обеспечения безопасности;
для подтверждения электронного действия;
для выполнения обязательных требований законодательства.

Конкретные сроки хранения определяются пунктами 11.12 и 11.13 Политики, условиями активированной функции и фактической архитектурой Сервиса.
8.21. После прекращения цели обработки запросы, результаты и связанные с ними персональные данные удаляются, обезличиваются либо блокируются, если дальнейшее хранение не требуется на ином законном основании.
8.22. Субъект персональных данных вправе получить информацию об использовании ИИ-функции в отношении его персональных данных в объеме, предусмотренном законодательством, включая сведения:

о целях обработки;
о категориях обрабатываемых данных;
о наличии внешнего поставщика;
о предполагаемой трансграничной передаче;
о сроках хранения;
об осуществлении исключительно автоматизированного принятия решений.

8.23. Субъект вправе требовать уточнения, блокирования или удаления персональных данных, используемых ИИ-функцией, если данные являются неполными, неточными, незаконно полученными либо не требуются для заявленной цели, с учетом предусмотренных законом исключений.
8.24. При выявлении инцидента, связанного с обработкой персональных данных ИИ-функцией, Оператор применяет общий порядок реагирования на инциденты, установленный настоящей Политикой, Публичной офертой и законодательством Российской Федерации.

9. Интеграции с Внешними информационными системами и Данные доступа

9.1. Сервис может предоставлять Заказчику возможность подключения Внешних информационных систем, включая электронные торговые площадки Wildberries, Ozon и иные системы, доступные в интерфейсе Сервиса.
Перечень доступных Интеграций, поддерживаемых данных и операций определяется:

техническими возможностями Сервиса;
выбранным Тарифным планом;
настройками Заказчика;
объемом предоставленных прав;
правилами и программными интерфейсами соответствующей Внешней информационной системы.

9.2. Цели самостоятельной обработки персональных данных Оператором при подключении Интеграций определяются пунктом 5.2.13 Политики.
Категории данных, которые могут обрабатываться через Интеграции, определяются пунктами 4.8 и 4.12 Политики.
В отношении данных, получаемых из кабинета Заказчика исключительно для предоставления выбранной им функциональности, Оператор осуществляет обработку по поручению Заказчика в соответствии с разделом 3, пунктом 5.3 и пунктом 6.14 Политики.
9.3. Данные доступа к программному интерфейсу сами по себе не во всех случаях являются персональными данными.
Положения настоящей Политики применяются к ним в той части, в которой они:

содержат идентификаторы физического лица или индивидуального предпринимателя;
позволяют получить доступ к персональным данным;
связываются с конкретным Пользователем;
отражаются в технических журналах вместе со сведениями о Пользователе;
иным образом относятся к определенному или определяемому физическому лицу.

Независимо от признания персональными данными Данные доступа являются конфиденциальными сведениями и подлежат защите от неправомерного использования.
9.4. Подключение Интеграции осуществляется только посредством:

официального программного интерфейса Внешней информационной системы;
предусмотренного владельцем системы механизма авторизации;
разрешенного для облачных сервисов вида Данных доступа;
иного способа, прямо допускаемого правилами владельца Внешней информационной системы.

Оператор не использует способы подключения, основанные на неправомерном обходе технических ограничений, перехвате авторизованной сессии, имитации действий Пользователя вне разрешенного программного интерфейса либо ином несанкционированном доступе.
9.5. Если правила Внешней информационной системы предусматривают разные виды Данных доступа для:

собственного программного обеспечения Заказчика;
локальных информационных систем;
облачных сервисов;
сервисов из официального каталога;
тестовой среды,

Заказчик и Оператор обязаны использовать тот вид Данных доступа, который допускается для фактической модели работы Twims.
Данные доступа, которые запрещено передавать облачным сервисам или третьим лицам, не должны подключаться к Сервису.
9.6. Подключая Интеграцию, Заказчик подтверждает, что:

обладает правом управления соответствующим кабинетом, магазином или Учетной записью;
Пользователь, подключающий Интеграцию, имеет необходимые полномочия;
Данные доступа получены законным способом;
соответствующий вид Данных доступа допускается для использования в Twims;
подключение не нарушает правила владельца Внешней информационной системы;
Заказчик вправе получать и передавать Оператору доступные через Интеграцию данные;
обеспечены законные основания обработки и передачи содержащихся в них персональных данных.

9.7. До подключения Интеграции либо предоставления ей новых полномочий Заказчику должна быть доступна информация:

о подключаемой Внешней информационной системе;
о назначении Интеграции;
о категориях получаемых или передаваемых данных;
о режиме доступа: только чтение либо чтение и запись;
об операциях, доступных Сервису;
о наличии автоматизированных действий;
о периодичности синхронизации либо порядке ее определения;
о существенных ограничениях;
о порядке отключения Интеграции;
о наличии трансграничной передачи, если она предполагается.

9.8. Заказчик обязан предоставлять Интеграции минимально необходимый объем прав.
Если Внешняя информационная система позволяет выбирать отдельные категории данных, методы или режим только чтения, должны выбираться только те права, которые необходимы для активированной функции.
Оператор вправе:

отказать в подключении избыточного или несовместимого объема прав;
предложить создать отдельные Данные доступа;
потребовать заменить Данные доступа небезопасного или запрещенного вида;
ограничить функцию режимом только чтения.

9.9. Если описание конкретной функции прямо не предусматривает иное, Интеграция используется для:

проверки подключения;
получения и чтения данных;
синхронизации;
структурирования и отображения;
формирования аналитических материалов;
связывания полученных данных с товарами, задачами и иными объектами Рабочего пространства.

Само подключение Интеграции не означает разрешения изменять данные во Внешней информационной системе.
9.10. Создание, изменение, удаление или передача данных обратно во Внешнюю информационную систему допускаются только если соответствующая функция:

прямо обозначена в интерфейсе;
описывает совершаемое действие;
доступна Пользователю с соответствующей Ролью доступа;
инициирована Пользователем либо выполняется по заранее включенному правилу автоматизации;
может быть отключена Заказчиком.

9.11. До включения автоматизированного действия Заказчику предоставляется информация:

о видах выполняемых операций;
об условиях запуска;
об объектах, которых касается действие;
о периодичности либо событии запуска;
о правах, необходимых для его выполнения;
о порядке приостановления и отключения автоматизации.

9.12. Оператор использует Данные доступа исключительно для:

подключения соответствующей Интеграции;
выполнения разрешенных Заказчиком операций;
проверки доступности и срока действия подключения;
обеспечения безопасности;
диагностики технических ошибок;
исполнения документированных указаний Заказчика.

Оператор не использует Данные доступа в интересах иных Заказчиков или в самостоятельных коммерческих целях.
9.13. Оператор принимает необходимые организационные и технические меры для защиты Данных доступа, включая в применимом объеме:

ограничение доступа по служебной необходимости;
разграничение административных полномочий;
защиту каналов передачи;
применение защищенного хранилища секретов;
регистрацию действий с Интеграцией;
предотвращение отображения полного секрета;
выявление признаков компрометации;
отзыв или изоляцию скомпрометированных Данных доступа.

Конкретные технические меры определяются Оператором с учетом архитектуры Сервиса, характера данных и актуальных угроз.
9.14. После сохранения Данных доступа Сервис не отображает их полное секретное значение в Личном кабинете.
В интерфейсе могут отображаться:

маскированное значение;
вид Данных доступа;
подключенный кабинет;
дата подключения;
срок действия;
категории предоставленных прав;
режим чтения или записи;
статус Интеграции.

9.15. Пользователь не должен передавать полный секрет:

в комментариях;
в задачах;
в обычных файлах;
по электронной почте;
через Telegram;
через иные каналы, не предназначенные для безопасного хранения секретов.

Для подключения используется только специально предназначенный защищенный интерфейс Сервиса.
9.16. Доступ к Данным доступа может предоставляться Привлеченным лицам исключительно:

в минимально необходимом объеме;
для выполнения конкретной технической функции;
на основании договора;
при соблюдении конфиденциальности;
без права самостоятельного использования.

9.17. Оператор вправе фиксировать:

дату и время подключения и отключения Интеграции;
Пользователя, совершившего действие;
подключенную Внешнюю информационную систему;
идентификатор кабинета или магазина;
вид предоставленных прав;
результат проверки подключения;
даты и статусы синхронизации;
сведения о ручных и автоматизированных операциях;
коды ошибок и ответы внешней системы;
факты замены, истечения и отзыва Данных доступа;
сведения об инцидентах безопасности.

Полное секретное значение Данных доступа не включается в технические журналы. Если секретное значение ошибочно попало в диагностические сведения, Оператор без неоправданной задержки ограничивает доступ к таким сведениям, маскирует или удаляет соответствующее значение и при необходимости инициирует замену скомпрометированных Данных доступа.
9.18. При отключении Интеграции Оператор:

прекращает инициировать новые запросы с использованием соответствующих Данных доступа;
прекращает автоматизированные действия;
деактивирует активную копию Данных доступа;
удаляет либо изолирует ее в срок, необходимый для безопасного завершения текущих операций;
сохраняет минимальные технические сведения, если это необходимо для безопасности, рассмотрения спора или исполнения закона.

9.19. Отключение Интеграции в Twims не всегда означает отзыв Данных доступа во Внешней информационной системе.
Для полного прекращения доступа Заказчик обязан самостоятельно:

отозвать или удалить Данные доступа в кабинете внешней системы;
отключить приложение, если такая функция предусмотрена;
проверить список подключенных сервисов;
при компрометации незамедлительно создать новые Данные доступа.

9.20. Отключение Интеграции не влечет автоматического удаления ранее импортированных данных.
Такие данные сохраняются в составе Контента Заказчика до:

их удаления Заказчиком;
удаления Рабочего пространства;
прекращения договора и истечения периода выгрузки или восстановления;
получения законного указания об удалении;
наступления иного основания, предусмотренного разделом 11 Политики и Публичной офертой.

9.21. При предполагаемой компрометации Данных доступа Заказчик обязан без неоправданной задержки:

отозвать их во Внешней информационной системе;
отключить Интеграцию;
уведомить Оператора;
проверить совершенные операции;
выполнить иные доступные меры безопасности.

9.22. Оператор при выявлении компрометации вправе:

немедленно отключить Интеграцию;
завершить текущие операции;
ограничить затронутые функции;
потребовать замены Данных доступа;
провести проверку журналов событий;
принять меры, предусмотренные законодательством об инцидентах с персональными данными.

9.23. Владелец Внешней информационной системы может самостоятельно выступать оператором персональных данных в отношении обработки, осуществляемой им для собственных целей.
Оператор не определяет правила самостоятельной обработки данных владельцами Wildberries, Ozon и иных внешних систем.
9.24. Передача персональных данных иностранной Внешней информационной системе допускается только после выполнения требований раздела 7 Политики.
9.25. Правила настоящего раздела не освобождают Оператора от обязанности обеспечивать безопасность персональных данных и не освобождают Заказчика от ответственности за правомерность подключенного кабинета, предоставленных полномочий и переданных данных.

10. Telegram и иные Каналы связи

10.1. При фактическом запуске соответствующей интеграции Telegram может использоваться как добровольно подключаемый дополнительный Канал связи посредством официальной программы-бота Оператора.
Отказ от подключения Telegram не ограничивает основную функциональность Сервиса, если до активации конкретной функции прямо не указано, что такой Канал необходим для ее работы.
10.2. Акцепт Публичной оферты, регистрация в Сервисе или указание имени пользователя Telegram сами по себе не означают подключения Telegram.
Подключение осуществляется посредством отдельного действия Пользователя.
10.3. Привязка Учетной записи к Telegram осуществляется преимущественно посредством:

одноразовой ссылки;
одноразового кода;
команды программы-бота;
иного механизма, позволяющего подтвердить владение соответствующей Учетной записью Telegram.

Ручной ввод имени пользователя Telegram без подтверждения через программу-бота не считается достаточным подтверждением принадлежности аккаунта, поскольку имя пользователя может отсутствовать или изменяться.
10.4. Для устойчивой технической связи используется уникальный числовой идентификатор пользователя или чата Telegram.
10.5. При подключении Telegram могут обрабатываться данные, указанные в пункте 4.9 Политики, включая:

уникальный идентификатор пользователя;
идентификатор чата;
отображаемое имя;
фамилию, если она передается Telegram;
имя пользователя, если оно установлено;
языковые настройки;
дату и время подключения;
команды и сообщения, направленные программе-боту;
статусы доставки;
настройки уведомлений.

Номер телефона обрабатывается только если Пользователь отдельно передал его программе-боту либо такая обработка объективно необходима для выбранной функции.
10.6. Цели обработки определяются пунктом 5.2.14 Политики, а правовые основания - пунктом 6.12 Политики.
10.7. До подключения Пользователю предоставляется информация:

о назначении программы-бота;
о категориях получаемых данных;
о доступных видах уведомлений;
о действиях, которые могут выполняться через программу-бота;
о порядке отключения;
о статусе Telegram как внешнего сервиса;
о трансграничной передаче, если она осуществляется;
о сроках хранения данных привязки.

10.8. Через Telegram могут направляться:

уведомления о безопасности;
уведомления о задачах и рабочих событиях;
сообщения о состоянии Интеграций;
уведомления о Подписке и оплате;
ответы службы поддержки;
иные сообщения, выбранные Пользователем.

10.9. Рекламные и маркетинговые сообщения направляются только при наличии отдельного предварительного согласия.
Согласие на подключение Telegram не является согласием на рекламу.
10.10. После отказа от рекламных сообщений Оператор немедленно прекращает их направление, но вправе продолжать направлять необходимые сервисные, технические и юридически значимые сообщения через предусмотренные для этого Каналы связи.
10.11. Оператор по возможности не включает в сообщение:

полный текст Контента Заказчика;
сведения о покупателях и работниках;
коммерческую тайну;
платежные данные;
Данные доступа;
иные сведения ограниченного доступа.

Вместо этого Оператор вправе направить:

краткое уведомление;
обезличенное описание события;
защищенную ссылку на Личный кабинет;
предложение пройти повторную аутентификацию.

10.12. Пользователю запрещается передавать программе-боту:

пароли;
одноразовые коды;
полные реквизиты банковских карт;
Данные доступа к программным интерфейсам;
специальные категории персональных данных;
биометрические персональные данные;
персональные данные третьих лиц без законного основания;
документы, для обработки которых Telegram не предназначен.

10.13. Telegram является Внешней информационной системой, которая:

не принадлежит Оператору;
осуществляет собственную обработку данных;
действует на основании собственных условий и политики;
может изменять свои программные интерфейсы и правила;
может ограничивать или прекращать доставку сообщений.

10.14. Передача данных в Telegram осуществляется только при соблюдении требований раздела 7 Политики.
Если необходимые требования к локализации или трансграничной передаче не выполнены, Оператор не активирует соответствующую функцию до устранения правовых и технических препятствий.
10.15. Оператор не использует Telegram как основную базу хранения персональных данных и по возможности не осуществляет через него первичный сбор обязательных регистрационных, платежных или идентификационных данных.
10.16. Пользователь вправе отключить Telegram:

в Личном кабинете;
командой программы-бота;
посредством обращения в поддержку;
иным предусмотренным Сервисом способом.

10.17. После отключения Оператор:

прекращает направление новых сообщений;
прекращает обычное использование идентификатора чата;
удаляет или блокирует активную привязку в порядке раздела 11 Политики;
сохраняет минимальные сведения, если это необходимо для безопасности, подтверждения отказа или исполнения закона.

10.18. Отключение Telegram в Twims:

не удаляет ранее доставленные сообщения;
не удаляет чат средствами Telegram;
не прекращает самостоятельную обработку данных самим Telegram;
не удаляет Учетную запись Пользователя в Telegram.

Пользователь самостоятельно управляет ранее переданными сообщениями средствами Telegram.
10.19. Если программа-бот позволяет совершать действия в Сервисе:

перечень доступных действий указывается в интерфейсе;
действие инициируется Пользователем;
учитывается назначенная Роль доступа;
для значимых действий может требоваться дополнительное подтверждение;
действия фиксируются в технических журналах;
применяются правила безопасности Учетной записи.

10.20. Telegram не используется как единственный способ направления юридически значимых сообщений, если невозможно достоверно подтвердить отправителя, содержание, дату и доставку.
10.21. Сообщение в Telegram о платеже не заменяет кассовый чек, счет, акт или иной обязательный расчетный документ.
10.22. Положения настоящего раздела применяются к иным внешним Каналам связи в соответствующей части с учетом:

технических особенностей;
места обработки данных;
правового статуса владельца;
содержания его условий;
применимых требований к рекламе и персональным данным.

10.23. Оператор не использует в качестве официальных Каналов связи информационные ресурсы:

доступ к которым ограничен на территории Российской Федерации;
принадлежащие организациям, деятельность которых запрещена на территории Российской Федерации;
использование которых для соответствующих коммуникаций или рекламы запрещено законодательством.

11. Сроки обработки, хранения, блокирования и уничтожения персональных данных

11.1. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют:

конкретная цель обработки;
договор с субъектом персональных данных;
документированное поручение Заказчика;
обязательные требования законодательства;
необходимость предъявления или защиты правового требования.

11.2. При определении срока Оператор учитывает:

цель обработки;
правовое основание;
категорию данных;
характер отношений с субъектом;
обязательные сроки хранения документов;
сроки исковой давности;
техническую возможность безопасного удаления;
необходимость расследования инцидента;
документированные указания Заказчика.

11.3. Истечение одного срока не означает автоматического уничтожения всех связанных данных.
Один и тот же документ может продолжать храниться в минимально необходимом объеме на ином законном основании, например для бухгалтерского учета или защиты в споре.
11.4. Технические данные посетителей и файлы cookie хранятся в течение сроков, указанных в интерфейсе управления файлами cookie и отдельном документе об их использовании.
Обязательные сеансовые файлы могут удаляться после завершения сессии, а иные файлы - по окончании установленного для них срока или после отзыва согласия.
11.5. Данные заявок на демонстрацию и обращений лиц, не ставших Пользователями, хранятся до завершения рассмотрения обращения и не более одного года со дня направления окончательного ответа, если более длительное хранение не требуется для рассмотрения продолжающегося спора, исполнения требования законодательства или осуществляется на основании отдельного согласия субъекта.
11.6. Данные Учетной записи обрабатываются в течение срока ее использования и действия договора.
После прекращения договора активная копия данных, необходимых для восстановления доступа или выгрузки Контента, может сохраняться в течение срока, предусмотренного Публичной офертой, по общему правилу - не более тридцати календарных дней.
11.7. После окончания периода восстановления Оператор удаляет либо обезличивает данные Учетной записи, кроме минимально необходимых сведений:

об Акцепте;
о договоре;
о расчетах;
о юридически значимых сообщениях;
о нарушениях и инцидентах;
о предъявленных требованиях.

Такие сведения хранятся в течение применимых обязательных сроков и сроков защиты прав.
11.8. Бухгалтерские и первичные учетные документы, включая содержащиеся в них персональные данные, хранятся в течение срока, установленного законодательством о бухгалтерском и налоговом учете, но не менее пяти лет после соответствующего отчетного года, если более продолжительный срок не установлен законом.
11.9. Данные обращений в техническую поддержку хранятся до полного рассмотрения обращения и в течение трех лет со дня направления окончательного ответа. Если обращение связано с продолжающимся спором, инцидентом информационной безопасности или производством государственного органа либо суда, соответствующие сведения хранятся до окончательного завершения такого разбирательства и истечения применимого срока защиты прав.
11.10. Сведения об участии в Программе рекомендаций хранятся в течение срока участия, ожидания и использования Бонуса, а после окончательного начисления, использования, отмены или корректировки Бонуса - в течение трех лет, если более длительный срок не требуется для рассмотрения спора или исполнения законодательства.
11.11. Сведения о подключении Telegram обрабатываются до его отключения.
Активная привязка удаляется или блокируется не позднее тридцати календарных дней после отключения, если отсутствует иное законное основание.
Минимальные журналы подключения, изменения настроек и отключения Telegram хранятся не более трех лет со дня соответствующего события, если более длительный срок не требуется в связи с инцидентом, спором или обязательным требованием законодательства.
11.12. Если запрос и результат ИИ-функции не сохраняются Пользователем в составе Контента Заказчика, их содержание хранится не более тридцати календарных дней со дня формирования результата, если более длительное хранение не требуется для рассмотрения обращения Пользователя, расследования инцидента или исполнения требования законодательства.
Если результат сохранен Пользователем в Рабочем пространстве, он хранится как Контент Заказчика в соответствии с пунктами 11.14-11.18 Политики.
Технические журналы использования ИИ-функции, не содержащие полного содержания запроса и результата, хранятся не более одного года.
11.13. Данные технических журналов и информационной безопасности хранятся в течение срока, необходимого для:

выявления угроз;
расследования инцидентов;
предотвращения повторных атак;
подтверждения электронных действий;
исполнения требований законодательства.

Содержание и срок хранения таких журналов ограничиваются целью безопасности и не используются для необоснованного наблюдения за Пользователями.
По общему правилу технические журналы и журналы информационной безопасности хранятся не более одного года. Сведения, относящиеся к подтвержденному инциденту, нарушению либо спору, могут храниться в течение трех лет после завершения расследования или дольше - до окончательного завершения соответствующего разбирательства и истечения срока защиты прав.
11.14. Персональные данные Заказчика хранятся:

в течение действия договора и использования Рабочего пространства;
до удаления Заказчиком;
до получения документированного указания Заказчика;
до истечения согласованного срока восстановления;
до прекращения иного законного основания.

11.15. Отключение Интеграции не влечет автоматического удаления импортированных данных.
Их удаление осуществляется в порядке, установленном пунктом 9.20 Политики и Публичной офертой.
11.16. По окончании указанного срока активные копии Персональных данных Заказчика удаляются. Необратимое обезличивание вместо удаления допускается по документированному указанию Заказчика либо в отношении статистических и агрегированных сведений, которые более не позволяют определить субъекта персональных данных и не позволяют восстановить исходные данные.
Если Сторонами согласован возврат данных, он осуществляется до их удаления в технически доступном формате. Блокирование применяется как временная мера, если немедленное удаление технически невозможно или дальнейшее хранение обязательно в соответствии с законодательством Российской Федерации.
11.17. Удаленные данные могут временно сохраняться в резервных копиях до завершения установленного цикла их перезаписи. В этот период данные изолируются от обычного использования, не предоставляются Пользователям и могут восстанавливаться только в рамках восстановления информационной системы. После восстановления такие данные повторно включаются в процедуру удаления.
11.18. Резервные копии, содержащие удаленные персональные данные, окончательно удаляются или перезаписываются не позднее тридцати календарных дней с даты удаления активной копии, если более длительное хранение прямо не требуется законодательством Российской Федерации. Если уничтожение в установленный срок технически невозможно, данные блокируются и уничтожаются в пределах максимального срока, предусмотренного законодательством.
11.19. При достижении цели обработки Оператор прекращает обработку и уничтожает либо обеспечивает уничтожение персональных данных в срок, не превышающий тридцати календарных дней, если отсутствует иное законное основание.
11.20. При отзыве согласия Оператор прекращает обработку, основанную только на таком согласии, и при отсутствии иного основания уничтожает данные в срок, не превышающий тридцати календарных дней.
11.21. При получении требования о прекращении обработки Оператор прекращает ее в срок, не превышающий десяти рабочих дней, кроме случаев, когда закон допускает продолжение обработки.
Срок может быть продлен не более чем на пять рабочих дней при направлении субъекту мотивированного уведомления.
11.22. При выявлении неправомерной обработки Оператор:

блокирует затронутые данные на период проверки;
прекращает неправомерную обработку не позднее трех рабочих дней с момента выявления;
если обеспечить правомерность невозможно, уничтожает данные не позднее десяти рабочих дней с момента выявления;
уведомляет субъекта и уполномоченный орган в предусмотренных законом случаях.

11.23. При подтверждении неточности персональных данных Оператор на основании предоставленных сведений уточняет персональные данные либо обеспечивает их уточнение в течение семи рабочих дней со дня предоставления соответствующих сведений, после чего снимает блокирование персональных данных.
11.24. При получении сведений, подтверждающих неполноту, неточность или неактуальность персональных данных, Оператор вносит необходимые изменения либо обеспечивает их внесение в течение семи рабочих дней со дня предоставления соответствующих сведений и снимает блокирование персональных данных.
11.25. Уничтожение осуществляется способом, исключающим возможность восстановления содержания персональных данных, включая:

удаление записей из активной базы данных;
удаление электронных файлов;
перезапись носителя;
уничтожение материального носителя;
удаление ключей, делающих восстановление данных невозможным;
иной соответствующий архитектуре способ.

11.26. Уничтожение подтверждается в порядке, установленном Роскомнадзором, включая оформление:

акта об уничтожении персональных данных;
выгрузки из журнала регистрации событий в информационной системе - при автоматизированной обработке;
иных необходимых подтверждающих документов.

11.27. Оператор вправе хранить документы, подтверждающие уничтожение, в течение обязательного срока, поскольку такие документы сами по себе необходимы для подтверждения соблюдения законодательства.
11.28. После надлежащего обезличивания Оператор вправе сохранять статистические и технические сведения без ограничения сроком, если:

невозможно определить субъекта без дополнительной информации;
дополнительная информация хранится отдельно;
сведения не позволяют восстановить исходный Контент;
отсутствует раскрытие коммерческой тайны;
данные не используются для обхода требований законодательства.

11.29. Простое удаление имени, адреса электронной почты или номера телефона не считается достаточным обезличиванием, если субъекта можно определить по совокупности иных признаков.
11.30. После окончательного уничтожения Оператор не гарантирует возможность восстановления Учетной записи, Рабочего пространства, файлов, истории действий и иных данных.
Заказчик обязан своевременно выгрузить необходимые материалы до истечения периода восстановления.

12. Меры по обеспечению выполнения обязанностей Оператора и безопасности персональных данных

12.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для:

выполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных;
защиты персональных данных от неправомерного или случайного доступа;
предотвращения уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий;
своевременного выявления нарушений и инцидентов;
устранения причин и последствий нарушений;
восстановления персональных данных и работоспособности информационных систем в предусмотренных случаях.

12.2. Состав применяемых мер определяется Оператором с учетом:

целей обработки;
категорий субъектов персональных данных;
состава, объема и характера обрабатываемых данных;
способов обработки;
актуальных угроз безопасности;
возможного вреда субъектам персональных данных;
установленного уровня защищенности информационной системы персональных данных;
используемой технической архитектуры;
привлеченных лиц;
требований законодательства Российской Федерации.

12.3. Настоящий раздел содержит общедоступные сведения о реализуемых требованиях к защите персональных данных.
Оператор не раскрывает в общедоступном документе сведения о конкретной конфигурации средств защиты, ключах, паролях, сетевой архитектуре, уязвимостях, правилах обнаружения атак и иные сведения, раскрытие которых может создать дополнительную угрозу безопасности.
12.4. К правовым и организационным мерам Оператора относятся в применимом объеме:

принятие настоящей Политики;
принятие локальных актов, регламентирующих обработку и защиту персональных данных;
определение для каждой цели категорий субъектов, перечня данных, правовых оснований, операций, способов и сроков обработки;
установление порядка прекращения обработки, блокирования и уничтожения данных;
определение лица, ответственного за организацию обработки персональных данных и взаимодействие по соответствующим вопросам; функции такого лица могут осуществляться непосредственно Оператором;
разграничение полномочий работников, исполнителей и иных допущенных лиц;
допуск к персональным данным только при наличии служебной необходимости;
установление обязанностей по конфиденциальности;
ознакомление допущенных лиц с законодательством, настоящей Политикой и локальными актами;
проведение обучения или инструктажа по вопросам защиты персональных данных;
ведение учета информационных систем, целей обработки и используемых баз данных;
проведение внутреннего контроля и, при необходимости, аудита;
оценка возможного вреда субъектам персональных данных;
проверка соответствия объема данных заявленным целям;
установление порядка рассмотрения обращений субъектов персональных данных;
установление порядка взаимодействия с Заказчиками и Привлеченными лицами;
установление порядка реагирования на инциденты;
контроль исполнения требований локализации и трансграничной передачи;
проверка соответствия настоящей Политики фактическим процессам Оператора;
своевременная актуализация уведомлений, направленных в Роскомнадзор.

12.5. Лица, получившие доступ к персональным данным, допускаются к их обработке только в объеме, необходимом для выполнения соответствующей функции.
Прекращение трудовых, гражданско-правовых либо иных отношений является основанием для прекращения или пересмотра соответствующего доступа.
12.6. Оператор принимает меры для обеспечения того, чтобы Привлеченные лица:

обрабатывали персональные данные только в согласованных целях;
не использовали данные самостоятельно;
соблюдали конфиденциальность;
применяли необходимые меры защиты;
уведомляли Оператора об инцидентах без неоправданной задержки;
содействовали исполнению запросов субъектов и государственных органов;
прекращали обработку и удаляли данные в предусмотренных случаях;
соблюдали требования раздела 7 Политики.

12.7. До начала либо при существенном изменении автоматизированной обработки Оператор:

определяет актуальные угрозы безопасности персональных данных;
определяет применимый уровень защищенности информационной системы;
устанавливает необходимый состав организационных и технических мер;
оценивает эффективность таких мер;
документирует результаты в предусмотренном внутренними процедурами объеме.

12.8. Оценка угроз и применяемых мер пересматривается при:

изменении архитектуры Сервиса;
подключении нового Привлеченного лица;
появлении новых категорий персональных данных;
подключении иностранного сервиса;
внедрении ИИ-функции;
существенном изменении Интеграции;
выявлении новой уязвимости или инцидента;
изменении законодательства;
изменении характера либо масштаба обработки.

12.9. Оператор применяет разграничение доступа с учетом:

обязанностей допущенного лица;
назначенной Роли доступа;
принципа минимально необходимых полномочий;
необходимости разделения административных и пользовательских функций;
характера обрабатываемых данных.

12.10. Для защиты Учетных записей и административных средств доступа могут применяться:

требования к сложности паролей;
хранение паролей в виде стойких необратимых значений;
многофакторная аутентификация;
ограничение числа неуспешных попыток входа;
временная блокировка;
завершение скомпрометированных сессий;
повторная аутентификация для значимых действий;
ограничение срока действия сессии;
контроль административного доступа;
иные соразмерные меры.

12.11. Оператор не запрашивает у Пользователя пароль, одноразовый код, полный секрет Данных доступа либо защитный код банковской карты посредством электронной почты, Telegram, комментариев или иных незащищенных каналов.
12.12. При передаче персональных данных по открытым сетям Оператор применяет защищенные протоколы и иные меры, соответствующие характеру передаваемых сведений.
12.13. Шифровальные и иные средства защиты применяются в случаях и объеме, определяемых:

актуальными угрозами;
уровнем защищенности;
требованиями законодательства;
технической архитектурой;
характером данных;
условиями договоров с Привлеченными лицами.

Настоящая Политика не означает, что каждый вид данных обязательно шифруется одним и тем же способом на всех этапах обработки.
12.14. Оператор принимает меры для предотвращения хранения:

паролей в открытом виде;
полных секретов Данных доступа в обычных журналах;
полных реквизитов банковских карт в инфраструктуре Оператора, если платеж производится через защищенную форму Платежного провайдера;
избыточных копий документов и файлов;
персональных данных в не предназначенных для этого полях.

12.15. В информационных системах могут фиксироваться события, необходимые для:

подтверждения авторизации;
контроля доступа;
расследования инцидентов;
диагностики ошибок;
подтверждения электронных действий;
выявления злоупотреблений;
исполнения требований законодательства.

12.16. Журналы могут содержать сведения, предусмотренные пунктом 4.8 Политики.
Содержание и сроки хранения журналов ограничиваются соответствующими целями и определяются разделом 11 Политики.
12.17. Оператор принимает меры для предотвращения:

несанкционированного изменения журналов;
необоснованного доступа к ним;
фиксации избыточных сведений;
использования журналов для целей, несовместимых с безопасностью, исполнением договора и защитой прав.

12.18. При разработке и эксплуатации Сервиса Оператор применяет в доступном и соразмерном объеме:

управление изменениями программного обеспечения;
разграничение сред разработки, испытания и эксплуатации;
проверку обновлений перед внедрением;
устранение подтвержденных уязвимостей;
контроль используемых программных компонентов;
резервирование критически важных компонентов;
ограничение административного доступа;
безопасное хранение секретов;
анализ технических ошибок;
процедуры восстановления после сбоя.

12.19. Реальные персональные данные не используются в среде разработки и испытания без объективной необходимости и соответствующих мер защиты.
При наличии технической возможности используются обезличенные, синтетические либо специально подготовленные испытательные данные.
12.20. Оператор осуществляет резервное копирование в объеме, необходимом для обеспечения устойчивости и восстановления Сервиса.
Наличие резервных копий не означает гарантии восстановления каждого отдельного объекта на любой произвольно выбранный момент.
12.21. Доступ к резервным копиям ограничивается.
Резервные копии:

не используются для обычной текущей обработки;
защищаются от неправомерного доступа;
включаются в процедуры удаления и перезаписи;
восстанавливаются только при наличии технической необходимости;
при восстановлении повторно подвергаются процедурам блокирования и удаления.

Порядок и сроки удаления определяются разделом 11 Политики.
12.22. Оператор до ввода в эксплуатацию существенных изменений и периодически в процессе работы оценивает эффективность применяемых мер защиты.
Такая оценка может включать:

проверку настроек доступа;
проверку журналирования;
проверку восстановления;
анализ уязвимостей;
проверку соблюдения сроков хранения;
проверку работы механизмов удаления;
анализ действий Привлеченных лиц;
проверку соответствия фактической обработки документам Оператора.

12.23. Выявленные недостатки устраняются с учетом:

их критичности;
возможного вреда субъектам;
масштаба затронутых данных;
вероятности неправомерного доступа;
технической сложности исправления.

12.24. Инцидентом признается событие, которое привело либо могло привести к:

неправомерному доступу;
случайной или неправомерной передаче;
раскрытию;
уничтожению;
изменению;
блокированию;
утрате доступности;
иному нарушению безопасности персональных данных.

12.25. При выявлении предполагаемого инцидента Оператор:

регистрирует сведения о событии;
принимает меры для ограничения последствий;
сохраняет необходимые доказательства;
определяет затронутые информационные системы и данные;
оценивает возможный вред субъектам;
устанавливает предполагаемые причины;
привлекает необходимых специалистов и Привлеченных лиц;
проводит внутреннее расследование;
устраняет либо ограничивает уязвимость;
принимает меры для предотвращения повторения.

12.26. При установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор уведомляет Роскомнадзор:

в течение двадцати четырех часов - о произошедшем инциденте, предполагаемых причинах, возможном вреде, принятых мерах и лице, ответственном за взаимодействие с Роскомнадзором;
в течение семидесяти двух часов - о результатах внутреннего расследования и лицах, действия которых стали причиной инцидента, если такие лица установлены.

12.27. Если инцидент затрагивает Персональные данные Заказчика, обрабатываемые по поручению, Оператор уведомляет соответствующего Заказчика в порядке и сроки, предусмотренные Публичной офертой и соглашением об обработке персональных данных.
12.28. Субъекты персональных данных уведомляются об инциденте в случаях, предусмотренных законодательством, обязательным требованием уполномоченного органа либо когда такое уведомление объективно необходимо для уменьшения возможного вреда.
12.29. Оператор принимает необходимые и соразмерные меры защиты, однако ни одна информационная система не может быть гарантированно защищена от всех существующих и будущих угроз.
Настоящее положение не освобождает Оператора от выполнения предусмотренных законодательством обязанностей и ответственности за собственные нарушения.

13. Права субъектов персональных данных и порядок их осуществления

13.1. Субъект персональных данных вправе:

получить подтверждение факта обработки его персональных данных;
получить сведения о правовых основаниях и целях обработки;
получить сведения о применяемых способах обработки;
получить сведения об Операторе;
получить сведения о лицах, которым данные могут быть раскрыты, кроме работников Оператора;
ознакомиться с относящимися к нему персональными данными;
получить сведения об источнике данных;
получить сведения о сроках обработки и хранения;
получить сведения о порядке осуществления своих прав;
получить сведения об осуществленной или предполагаемой трансграничной передаче;
получить сведения о лице, осуществляющем обработку по поручению Оператора;
получить сведения о способах исполнения Оператором обязанностей по защите персональных данных;
требовать уточнения данных;
требовать блокирования данных;
требовать уничтожения данных, если они незаконно получены, не требуются для цели обработки, являются неполными, неточными либо устаревшими;
отозвать ранее предоставленное согласие;
потребовать прекращения обработки;
немедленно потребовать прекращения прямой рекламной обработки;
возражать против исключительно автоматизированного решения в предусмотренных законом случаях;
обжаловать действия или бездействие Оператора в Роскомнадзор либо суд;
осуществлять иные права, предусмотренные законодательством.

13.2. Обращение может быть направлено:

через функцию Личного кабинета, если она доступна;
по адресу электронной почты roman@twims.io;
почтовым отправлением по адресу Оператора, указанному в разделе 2 Политики;
в форме электронного документа, подписанного электронной подписью;
иным способом, позволяющим установить заявителя и содержание требования.

13.3. В теме сообщения рекомендуется указать:
«Обращение по вопросам персональных данных».
13.4. Использование Личного кабинета либо направление сообщения с подтвержденного адреса электронной почты может использоваться для идентификации субъекта в отношении обычных запросов, если характер запроса и уровень риска допускают такой способ.
13.5. Обращение должно содержать сведения, позволяющие:

определить заявителя;
подтвердить, что запрашиваемые данные относятся к заявителю;
определить отношения заявителя с Оператором;
определить содержание требования;
направить ответ безопасным способом.

13.6. Формальный запрос о предоставлении сведений в порядке законодательства должен содержать сведения, предусмотренные законодательством, включая:

сведения об основном документе, удостоверяющем личность субъекта или его представителя;
дату выдачи документа и сведения о выдавшем его органе;
сведения, подтверждающие участие субъекта в отношениях с Оператором либо факт обработки его данных;
подпись субъекта или его представителя.

13.7. Оператор не требует направления копии паспорта по обычной электронной почте, если личность и полномочия могут быть подтверждены менее рискованным способом.
При недостаточности представленных сведений Оператор вправе запросить дополнительное подтверждение, соразмерное характеру требования.
13.8. Представитель субъекта дополнительно предоставляет сведения и документы, подтверждающие его полномочия.
Оператор вправе проверить действительность и объем полномочий представителя.
13.9. Обращение от имени несовершеннолетнего либо недееспособного лица рассматривается с учетом полномочий его законного представителя и требований законодательства.
13.10. Сведения о факте и условиях обработки предоставляются в течение десяти рабочих дней с момента получения обращения или запроса.
Срок может быть продлен не более чем на пять рабочих дней при направлении субъекту мотивированного уведомления с указанием причин продления.
13.11. Ответ предоставляется в доступной форме и не должен содержать персональные данные других субъектов без законного основания.
13.12. Ответ предоставляется в форме, в которой было направлено обращение, если субъект не попросил об иной форме и ее использование не создает угрозу безопасности.
13.13. Ознакомление с персональными данными осуществляется безвозмездно, если законодательством не предусмотрено иное.
13.14. При получении сведений, подтверждающих неполноту, неточность или неактуальность персональных данных, Оператор вносит необходимые изменения в срок, не превышающий семи рабочих дней.
13.15. При подтверждении незаконности получения или обработки персональных данных Оператор прекращает неправомерную обработку в срок, не превышающий трех рабочих дней с даты выявления нарушения. Если обеспечить правомерность обработки невозможно, Оператор уничтожает такие персональные данные в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки.
При подтверждении отсутствия необходимости в персональных данных для заявленной цели применяются порядок и срок, предусмотренные пунктом 11.19 настоящей Политики. На период проверки соответствующие персональные данные блокируются в случаях, предусмотренных законодательством Российской Федерации.
13.16. На период проверки предполагаемой неправомерности или неточности Оператор блокирует соответствующие данные, если такое блокирование не нарушает права и законные интересы субъекта либо третьих лиц.
13.17. Иные сроки прекращения обработки, уничтожения и блокирования определяются разделом 11 Политики.
13.18. Отзыв согласия должен позволять установить:

субъекта;
согласие, которое отзывается;
соответствующую цель обработки;
дату либо обстоятельства его предоставления, если они известны субъекту.

13.19. Отзыв согласия не прекращает обработку, которая может правомерно продолжаться на ином основании.
Оператор уведомляет субъекта о наличии такого основания в ответе на обращение.
13.20. Требование о прекращении обработки исполняется в порядке и сроки, предусмотренные пунктом 11.21 Политики.
13.21. Обработка в целях прямого продвижения товаров, работ и услуг прекращается немедленно после получения соответствующего требования.
13.22. Повторный запрос о предоставлении ранее предоставленных сведений может быть направлен не ранее чем через тридцать календарных дней, если более короткий срок не установлен законом, договором либо иным применимым актом.
13.23. До истечения указанного срока повторный запрос допускается, если первоначально сведения были предоставлены не полностью. Такой запрос должен содержать обоснование.
13.24. Оператор вправе отказать в исполнении запроса только при наличии предусмотренного законом основания.
Отказ должен быть мотивированным и содержать ссылку на применимое положение закона.
13.25. Мотивированный отказ направляется в течение десяти рабочих дней с возможностью продления не более чем на пять рабочих дней при предварительном уведомлении субъекта.
13.26. Если обращение относится к Персональным данным Заказчика, цели обработки которых определяет Заказчик, Оператор:

определяет соответствующего Заказчика, если это возможно;
направляет обращение Заказчику без неоправданной задержки;
уведомляет заявителя о роли Оператора;
оказывает Заказчику необходимое техническое содействие;
самостоятельно принимает меры, если такая обязанность прямо возложена на Оператора законом.

13.27. Оператор не принимает за Заказчика решение о правомерности определенных Заказчиком целей и оснований обработки, кроме случаев, когда обязан действовать самостоятельно по закону.
13.28. Субъект вправе обжаловать действия или бездействие Оператора:

в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций;
в суд;
иным предусмотренным законом способом.

Обращение непосредственно к Оператору не является обязательным условием такого обжалования, если иное прямо не установлено законом.

14. Привлеченные лица, получатели и передача персональных данных

14.1. Оператор вправе привлекать третьих лиц и передавать либо предоставлять им доступ к персональным данным только:

при наличии правового основания;
для достижения конкретной цели;
в минимально необходимом объеме;
при соблюдении требований конфиденциальности и безопасности;
с учетом требований локализации и трансграничной передачи;
с соблюдением прав субъектов персональных данных.

14.2. Оператор не продает персональные данные и не предоставляет их третьим лицам для самостоятельного рекламного использования без отдельного законного основания.
14.3. В качестве Привлеченных лиц могут использоваться:

поставщики серверной и облачной инфраструктуры;
центры обработки данных;
поставщики резервного копирования;
поставщики средств мониторинга и информационной безопасности;
поставщики технической поддержки;
поставщики сервисов доставки электронной почты и сообщений;
поставщики систем управления обращениями;
поставщики бухгалтерских сервисов;
поставщики электронного документооборота;
поставщики аналитических средств;
поставщики ИИ-функций;
иные технические подрядчики, необходимые для функционирования Сервиса.

14.4. Договор или иное поручение Привлеченному лицу должно определять:
1. категории субъектов персональных данных;
2. перечень обрабатываемых персональных данных;
3. перечень действий и операций с персональными данными;
4. конкретные цели обработки;
5. обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации;
6. обязанность соблюдать конфиденциальность;
7. обязанность соблюдать требования локализации персональных данных;
8. обязанность принимать меры, направленные на выполнение требований законодательства Российской Федерации о персональных данных;
9. обязанность обеспечивать безопасность персональных данных и соблюдать установленные Оператором требования к их защите;
10. обязанность по запросу Оператора в течение срока действия поручения, в том числе до начала обработки, предоставлять документы и сведения, подтверждающие принятие необходимых мер;
11. порядок и условия привлечения иных лиц к обработке;
12. обязанность без неоправданной задержки уведомлять Оператора об инцидентах, неправомерной или случайной передаче, доступе, утрате либо ином нарушении безопасности;
13. обязанность содействовать исполнению обращений субъектов персональных данных и требований государственных органов;
14. порядок возврата, блокирования, удаления и уничтожения данных после прекращения поручения;
15. запрет использовать персональные данные для собственных целей Привлеченного лица.
14.5. Оператор осуществляет разумную предварительную и последующую проверку Привлеченных лиц с учетом характера поручаемой обработки и возможного риска.
14.6. Самостоятельными операторами персональных данных в отношении собственных целей могут являться:

кредитные организации;
Платежные провайдеры;
операторы платежных систем;
операторы фискальных данных;
поставщики облачной контрольно-кассовой техники;
владельцы Внешних информационных систем;
операторы связи;
владельцы внешних Каналов связи;
государственные органы;
иные лица, самостоятельно определяющие цели и порядок обработки.

14.7. Такие лица самостоятельно несут ответственность за обработку, осуществляемую ими для собственных целей.
Оператор отвечает за законность своей передачи данных таким лицам и за собственные действия при их выборе и взаимодействии с ними в предусмотренных законом пределах.
14.8. Платежному провайдеру или банку могут передаваться:

идентификатор заказа;
сумма и валюта платежа;
сведения о плательщике;
адрес электронной почты или номер телефона;
иные сведения, необходимые для проведения и подтверждения расчета.

14.9. Оператору фискальных данных, поставщику облачной кассы и иным участникам формирования расчетных документов могут передаваться сведения, необходимые для:

формирования кассового чека;
направления электронного чека;
оформления возврата;
выполнения требований законодательства о контрольно-кассовой технике.

14.10. Полные реквизиты банковской карты не передаются Оператору, если ввод осуществлен непосредственно в защищенном интерфейсе Платежного провайдера.
14.11. Аналитические сервисы используются только в объеме, соответствующем пунктам 5.2.16 и 6.10 Политики.
Необязательные аналитические средства, обрабатывающие персональные данные, активируются после получения необходимого согласия.
14.12. До подключения аналитического сервиса Оператор проверяет:

состав собираемых данных;
назначение файлов cookie;
место хранения;
наличие трансграничной передачи;
сроки хранения;
возможность отключения;
использование данных поставщиком в собственных целях.

14.13. Передача данных Внешним информационным системам осуществляется в соответствии с разделом 9 Политики.
Передача данных Telegram и иным Каналам связи осуществляется в соответствии с разделом 10 Политики.
Передача данных поставщикам ИИ-функций осуществляется в соответствии с разделом 8 Политики.
14.14. Персональные данные могут быть предоставлены суду, Роскомнадзору, ФНС России, правоохранительным и иным уполномоченным органам:

на основании закона;
во исполнение судебного акта;
по законному и надлежащим образом оформленному требованию;
в иных предусмотренных законодательством случаях.

14.15. Оператор проверяет полномочия и содержание поступившего требования и раскрывает только тот объем данных, который необходим для его исполнения.
14.16. Данные могут предоставляться адвокатам, аудиторам, бухгалтерам и иным профессиональным консультантам в объеме, необходимом для оказания услуг, при условии наличия обязанности соблюдать конфиденциальность.
14.17. Оператор ведет актуальные сведения об основных Привлеченных лицах и получателях персональных данных.
Субъект вправе получить сведения о лицах, которым его данные могут быть раскрыты, в порядке раздела 13 Политики.
14.18. Если подключение нового лица существенно изменяет цели, место, состав или риски обработки, Оператор до начала такой обработки:

проводит правовую и техническую оценку;
при необходимости обновляет Политику;
при необходимости получает новое согласие;
выполняет требования раздела 7 Политики;
актуализирует уведомление Роскомнадзору.

15. Конфиденциальность персональных данных

15.1. Оператор и иные лица, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом.
15.2. Доступ к персональным данным предоставляется только:

уполномоченным лицам Оператора;
Привлеченным лицам;
Уполномоченным пользователям Заказчика;
иным получателям, имеющим законное основание,

и только в объеме, необходимом для соответствующей цели.
15.3. Лица, получившие доступ, обязаны:

использовать данные только в разрешенных целях;
не раскрывать данные неуполномоченным лицам;
соблюдать установленные правила доступа;
обеспечивать сохранность средств аутентификации;
незамедлительно сообщать о предполагаемом нарушении;
прекращать использование данных после утраты полномочий.

15.4. Обязанность соблюдать конфиденциальность сохраняется после прекращения трудовых, договорных и иных отношений в течение всего срока, пока данные сохраняют конфиденциальный характер либо пока обязанность не прекращена на законном основании.
15.5. Раскрытие допускается:

с согласия субъекта;
по поручению Заказчика в пределах законного указания;
для исполнения договора с субъектом;
Привлеченному лицу в соответствии с разделом 14 Политики;
по законному требованию государственного органа;
для защиты жизни, здоровья или иных жизненно важных интересов в предусмотренных законом случаях;
на ином предусмотренном законодательством основании.

15.6. При обязательном раскрытии Оператор:

проверяет основание и полномочия получателя;
предоставляет минимально необходимый объем;
фиксирует раскрытие в предусмотренных случаях;
по возможности уведомляет субъекта либо Заказчика, если это не запрещено законом и не создает угрозу расследованию или безопасности.

15.7. Предоставление данных определенным Уполномоченным пользователям Рабочего пространства не является распространением неопределенному кругу лиц, если доступ разграничен и предоставлен в соответствии с указаниями Заказчика.
15.8. Публикация персональных данных на Сайте, в отзыве, описании проекта или рекламном материале допускается только при наличии соответствующего правового основания, а в необходимых случаях - отдельного согласия на распространение.
15.9. Факт размещения персональных данных самим Пользователем в закрытой части Сервиса не означает согласия на их:

публичное размещение;
использование в рекламе;
передачу неопределенному кругу лиц;
обучение общей модели искусственного интеллекта;
самостоятельное использование Привлеченным лицом.

15.10. Оператор не вправе ссылаться на конфиденциальность для необоснованного ограничения прав субъекта на получение информации о собственной обработке.
При предоставлении ответа Оператор принимает меры для недопущения раскрытия данных других субъектов и сведений, охраняемых законом.
15.11. При ошибочном получении Пользователем доступа к данным другого лица Пользователь обязан:

прекратить ознакомление;
не копировать и не распространять данные;
незамедлительно уведомить Оператора;
выполнить разумные указания по устранению последствий.

15.12. Нарушение конфиденциальности рассматривается Оператором как инцидент и обрабатывается в порядке, предусмотренном пунктами 12.24-12.28 Политики.

16. Действие, изменение и опубликование Политики

16.1. Политика действует с даты, указанной в ее заголовке, до даты вступления в силу новой редакции.
16.2. Каждая редакция идентифицируется:

датой вступления в силу;
номером версии, если он используется;
иными сведениями, позволяющими определить применявшийся текст.

16.3. Актуальная редакция размещается по адресу:
https://twims.io/privacy-policy
16.4. Доступ к Политике обеспечивается:

в подвале Сайта;
на страницах регистрации;
рядом с формами сбора персональных данных;
в Личном кабинете;
перед подключением дополнительных функций, если характер обработки требует дополнительного информирования;
иным способом, позволяющим ознакомиться с Политикой до предоставления данных.

16.5. Оператор вправе изменить Политику в связи с:

изменением законодательства;
изменением целей обработки;
изменением состава данных;
изменением архитектуры Сервиса;
подключением нового Привлеченного лица;
изменением Интеграций;
подключением Канала связи или ИИ-функции;
изменением требований безопасности;
устранением неточностей и противоречий;
изменением реквизитов Оператора.

16.6. Новая редакция не распространяется задним числом на ранее завершенную обработку и не создает правового основания для обработки, которая была неправомерной на момент ее осуществления.
16.7. Публикация новой редакции сама по себе:

не является согласием субъекта на новую цель;
не расширяет ранее предоставленное согласие;
не является согласием на рекламу;
не является согласием на распространение персональных данных;
не является согласием на трансграничную передачу;
не является согласием на обучение общей модели искусственного интеллекта;
не заменяет отдельного действия субъекта, когда оно требуется законом.

16.8. До начала обработки для новой цели Оператор:

определяет правовое основание;
оценивает совместимость с первоначальной целью;
обновляет документы;
при необходимости получает отдельное согласие;
при необходимости выполняет требования раздела 7 Политики;
актуализирует уведомление Роскомнадзору.

16.9. Если изменения существенно затрагивают права субъектов, цели, категории данных, получателей либо место обработки, Оператор уведомляет Пользователей посредством:

сообщения на Сайте;
уведомления в Личном кабинете;
электронной почты;
иного подходящего Канала связи.

16.10. Отсутствие возражений либо продолжение использования Сервиса не считается согласием на обработку, для которой законодательством требуется отдельное активное волеизъявление.
16.11. Оператор хранит архивные редакции в течение срока, необходимого для:

подтверждения условий обработки;
рассмотрения обращений;
защиты прав;
исполнения требований законодательства.

16.12. При изменении сведений, включенных в уведомление об обработке персональных данных, Оператор направляет в Роскомнадзор уведомление обо всех произошедших изменениях не позднее пятнадцатого числа месяца, следующего за месяцем, в котором они возникли.
В случае полного прекращения обработки персональных данных Оператор направляет соответствующее уведомление в Роскомнадзор в течение десяти рабочих дней с даты прекращения обработки.
Уведомление о намерении осуществлять трансграничную передачу персональных данных направляется до начала такой передачи в порядке, установленном разделом 7 Политики.
16.13. Официальный текст Политики составляется на русском языке.
Перевод может предоставляться дополнительно. При расхождении применяется русский текст, если законодательством не установлено иное.
16.14. Вопросы, обращения, отзывы согласий и требования субъектов направляются:
Адрес электронной почты: roman@twims.io
Почтовый адрес: Республика Калмыкия, Целинный район, п. Верхний Яшкуль, ул. Красная, д. 9, кв. 2.
16.15. Во всем, что прямо не урегулировано Политикой, Оператор руководствуется законодательством Российской Федерации.

17. Контактная информация

Индивидуальный предпринимательИП Чугин Роман Сергеевич
ОГРНИП: 321190000001932
ИНН: 190309113560
Адрес регистрации: Республика Калмыкия, Целинный район, п. Верхний Яшкуль, ул. Красная, д. 9, кв. 2.
Email для общих вопросов: roman@twims.io
Банковские реквизиты:
Р/с 40802810902500173434
в банке ООО "Банк Точка"
К/с 30101810745374525104
БИК 044525104

Индивидуальный предприниматель
Чугин Роман Сергеевич

ОГРНИП 321190000001932
ИНН 190309113560

Навигация

Контакты

Сообщество в телеграм

Напишите нам — мы всегда на связи

Записаться на демо

Разработано индизн

Политика конфиденциальности