AI Agent for 1C
Войти Регистрация

Политика обработки персональных данных

Редакция от: (заполняется при публикации) Адрес публикации: https://1cca.com/legal/privacy

Черновик для сайта. Шаблон по рекомендациям Роскомнадзора (152-ФЗ ст. 18.1). Адаптирован под двойную роль: оператор (учётка клиента) + обработчик (данные из 1С клиента). См. analysis_personal_data.md (L5). Перед публикацией — заполнить реквизиты оператора в §1.

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика) определяет порядок обработки персональных данных Оператором в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. Оператор: — Наименование: ИП Anton Sobinov / ООО «_» (заполняется при регистрации юрлица/ИП)Регистрация в Реестре операторов, осуществляющих обработку персональных данных: (номер и дата после подачи уведомления в РКН)Юридический адрес: ___ — Email для обращений субъектов ПДн: privacy@1cca.com

1.3. Политика применяется ко всем персональным данным, обрабатываемым Оператором в связи с функционированием сервиса 1CCA (https://1cca.com).

2. Термины и определения

  • Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн).
  • Оператор — лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку ПДн.
  • Обработчик — лицо, осуществляющее обработку ПДн по поручению Оператора.
  • Субъект ПДн — физическое лицо, которому относятся персональные данные.
  • Обработка ПДн — любое действие или совокупность действий с ПДн.
  • Обезличивание ПДн — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту.
  • Клиент — юридическое лицо или ИП, использующий сервис 1CCA на условиях публичной оферты.

3. Двойная роль Оператора

3.1. В рамках функционирования Сервиса Оператор действует в двух ролях:

Роль А — самостоятельный Оператор в отношении ПДн, сообщённых Оператору лично представителями Клиента при регистрации и использовании Учётной записи (§4 настоящей Политики).

Роль Б — Обработчик по поручению в отношении ПДн, содержащихся в данных, которые проходят через серверы Оператора из баз «1С:Предприятие» Клиента в связи с работой AI-агента (§5 настоящей Политики). В этом случае Клиент выступает Оператором, а наш Сервис — Обработчиком.

4. Обработка ПДн как Оператор (Роль А)

4.1. Цели обработки

— заключение и исполнение договора с Клиентом (предоставление доступа к Сервису); — идентификация и аутентификация представителя Клиента в Учётной записи; — направление информационных сообщений, связанных с исполнением договора; — расчёты с Клиентом, ведение бухгалтерского учёта; — рассмотрение обращений, претензий, запросов субъектов ПДн; — соблюдение требований законодательства РФ, предъявляемых к Оператору.

4.2. Категории субъектов и ПДн

Категории субъектов: представители Клиента (ФИО, должность), контактные лица Клиента.

Категории ПДн: — фамилия, имя, отчество; — адрес электронной почты; — номер контактного телефона (если предоставлен); — должность, место работы; — данные, содержащиеся в платёжных документах (идентификатор плательщика).

Оператор не обрабатывает специальные категории ПДн (состояние здоровья, религиозные убеждения, политические взгляды) и не обрабатывает биометрические ПДн.

4.3. Правовые основания

— согласие субъекта ПДн (ст. 6 п. 1 152-ФЗ), получаемое при регистрации Учётной записи; — исполнение договора, стороной которого является субъект ПДн (ст. 6 п. 5 152-ФЗ); — исполнение обязанностей, возложенных на Оператора законодательством РФ (ст. 6 п. 2 152-ФЗ).

4.4. Способы и сроки обработки

— обработка осуществляется с использованием средств автоматизации; — хранение ПДн — в течение срока действия договора с Клиентом + 3 года после его прекращения (для исполнения требований налогового и архивного законодательства); — после истечения срока — ПДн удаляются или обезличиваются.

5. Обработка ПДн как Обработчик (Роль Б)

5.1. Цели

Техническая обработка ПДн, содержащихся в данных Клиента из баз «1С:Предприятие», в интересах Клиента и по его поручению, в рамках работы AI-агента.

5.2. Категории субъектов и ПДн

Эти категории определяются Клиентом. Типично: сотрудники Клиента, контрагенты-физлица, клиенты Клиента. Типовые категории ПДн: ФИО, ИНН физлиц, паспортные данные, СНИЛС, адреса, расчётные счета физлиц.

5.3. Правовое основание

Поручение Клиента, оформленное публичной офертой (акцепт при регистрации) и отдельным согласием при подключении Сервиса к базе 1С.

5.4. Обезличивание как встроенный механизм защиты

5.4.1. Сервис предоставляет Клиенту встроенный механизм обезличивания ПДн на стороне клиента (в BSL-слое на машине Клиента), который заменяет ФИО, ИНН, паспортные данные, телефоны, адреса и иные указанные Клиентом категории ПДн на детерминированные токены до того, как данные покидают периметр Клиента.

5.4.2. Обратный словарь (mapping токен → реальное ПДн) хранится только на стороне Клиента; Оператор к нему доступа не имеет.

5.4.3. После обезличивания информация перестаёт быть ПДн в смысле п. 9 ст. 3 152-ФЗ и не подпадает под режим обработки ПДн.

5.4.4. Клиент самостоятельно настраивает перечень маскируемых полей. Оператор не несёт ответственности за ПДн, не включённые Клиентом в перечень маскирования.

5.5. Трансграничная передача

5.5.1. При работе с AI-провайдерами, серверы которых расположены за пределами РФ (Anthropic, Google, Hugging Face, OpenRouter и др.), возможна трансграничная передача ПДн.

5.5.2. Оператор направил в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу ПДн в соответствии со ст. 12 152-ФЗ (номер уведомления и дата — указываются после подачи).

5.5.3. Клиент даёт отдельное согласие на трансграничную передачу при акцепте публичной оферты и при подключении Сервиса к базе 1С.

5.5.4. Трансграничная передача после обезличивания не регулируется режимом ПДн.

5.6. Сроки обработки

ПДн, получаемые в роли Обработчика, хранятся только в пределах выполнения конкретной задачи агента. По завершении задачи: — временные рабочие данные (payload задачи) удаляются немедленно; — технические логи (без содержимого ПДн, только идентификаторы задач и метаданные) — хранятся 30 дней для диагностики; — производные данные (эмбеддинги, структурные метаданные) — хранятся в соответствии с условиями Тарифа Клиента, удаляются при удалении Учётной записи.

6. Права субъектов ПДн

6.1. Субъект ПДн имеет право: — получать информацию об обработке своих ПДн; — требовать уточнения, блокирования или уничтожения своих ПДн, если они неполны, устарели, неточны, незаконно получены или не являются необходимыми для заявленной цели обработки; — отозвать согласие на обработку ПДн; — обжаловать действия Оператора в Роскомнадзор или в судебном порядке.

6.2. Для реализации своих прав субъект может обратиться: — по email: privacy@1cca.com — через форму на сайте: https://1cca.com/privacy/request

6.3. Оператор рассматривает обращения субъектов в течение 10 (десяти) рабочих дней с даты получения (ст. 20 152-ФЗ).

6.4. Если субъект ПДн является работником Клиента или иным лицом, чьи ПДн обрабатываются в Роли Б (Обработчик), Оператор направляет запрос Клиенту как Оператору-владельцу данных; Клиент самостоятельно отвечает субъекту.

7. Меры защиты ПДн

7.1. Оператор принимает следующие меры для обеспечения безопасности ПДн: — шифрование данных при хранении (at-rest) и передаче (in-transit, TLS); — минимизация прав доступа сотрудников Оператора к ПДн; — ведение журналов доступа к ПДн; — регулярная смена секретов и сервисных ключей; — регламент обработки инцидентов безопасности (см. §8).

7.2. ПДн, обрабатываемые в Роли Б, проходят через серверы Оператора только после обезличивания на стороне Клиента (при условии, что Клиент активировал механизм маскирования).

8. Уведомления об инцидентах

8.1. В случае обнаружения факта неправомерной передачи или иного неправомерного действия с ПДн Оператор: — в течение 24 часов направляет уведомление в Роскомнадзор (ст. 21 ч. 3.1 152-ФЗ); — в течение 72 часов направляет уведомление о результатах расследования инцидента; — уведомляет затронутых субъектов ПДн через Клиента (в Роли Б) или напрямую (в Роли А).

9. Заключительные положения

9.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её опубликования на сайте https://1cca.com/legal/privacy.

9.2. Актуальная редакция Политики всегда доступна по указанному адресу.

9.3. По вопросам, связанным с обработкой ПДн, можно обратиться: — email: privacy@1cca.com — почтовый адрес: (указывается после регистрации юрлица/ИП)

Текущая версия: 1.0