DLE/legal/ПРАВОВЫЕ_ДОКУМЕНТЫ_ЗАДАЧА.md

📋 ЗАДАЧА: Создание правовых документов для DLE

🎯 Цель

Создать полный комплект правовых документов для приложения Digital Legal Entity (DLE) в соответствии с российским законодательством 2025 года.

📊 Анализ приложения DLE

🏢 Информация о компании-операторе

ООО "ЭРАЙТИ"

• Полное наименование: ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ЭРАЙТИ"
• Сокращенное наименование: ООО "ЭРАЙТИ"
• ОГРН: 1222600014383
• ИНН: 2636220809
• КПП: 263601001
• Дата регистрации: 24.11.2022
• Юридический адрес: 355007, СТАВРОПОЛЬСКИЙ КРАЙ, Г.О. ГОРОД СТАВРОПОЛЬ, Г СТАВРОПОЛЬ, УЛ БУРМИСТРОВА, Д. 65Б, ПОМЕЩ. 2
• Веб-приложение: эрайти.рф
• Род деятельности: Продавец лицензированного программного обеспечения
• Статус: ООО "ЭРАЙТИ" является продавцом лицензий на ПО, автором которого является генеральный директор ООО "ЭРАЙТИ" (Тарабанов Александр Викторович)

🔍 Собранные данные о приложении:

Тип приложения:

• Веб-приложение для автоматизированого управления продажами
• AI-ассистент для автоматизации
• веб приложение деплоится на рф сервере

Собираемые персональные данные:

Оператор персональных данных: ООО "ЭРАЙТИ"
Ответственное лицо: Тарабанов Александр Викторович (генеральный директор)
Контактный телефон: +7 (968) 269-92-64
Email для обращений: 100@эрайти.рф
Хостинг: ООО "Хостланд" (ИНН: 7811142520/781401001) - арендованный VDS сервер
Сроки хранения персональных данных:

• Идентификационные данные: До отзыва согласия субъектом ПДн
• Технические данные (cookies, IP): 30 дней с момента последнего посещения
• Мультимедийные данные: До отзыва согласия или 3 года (в зависимости от типа)
• Данные онлайн-звонков: До отзыва согласия (используются для обучения ИИ-ассистента)
• Обучающие материалы на основе звонков: До отзыва согласия (для обучения новых пользователей)
• Бизнес-данные (сделки, консультации): 5 лет (требования налогового законодательства)
• Данные для маркетинга: До отзыва согласия

Категории субъектов ПДн:

1. Клиенты компании - физические лица или представители компаний, обратившиеся за:
   • Консультацией по веб-приложению
   • Покупкой лицензии на веб-приложение
   • Контактом через email: 100@эрайти.рф
   • Контактом через Telegram бота

Особенности онлайн-обслуживания:

• НЕ ТРЕБУЕТСЯ ФИО покупателей
• НЕ ТРЕБУЕТСЯ паспортные данные
• НЕ ТРЕБУЕТСЯ адрес регистрации
• ТОЛЬКО адрес криптокошелька для отправки токена лицензии
• Договор через интернет-оферту (публичная оферта)

Цели обработки персональных данных:

1. Предоставление консультационных услуг по лицензированному ПО
2. Обработка заявок на покупку лицензий на программное обеспечение
3. Ведение клиентской базы для оказания услуг
4. Связь с клиентами по вопросам консультаций и продаж лицензий
5. Техническая поддержка пользователей лицензированного ПО
6. Проведение онлайн-обучения работе с программным обеспечением
7. Обучение ИИ-ассистента на основе записей звонков и консультаций
8. Создание обучающих материалов для новых пользователей
9. Обработка мультимедийных материалов (аудио, видео, документы)
10. Ведение учета обращений и продаж лицензий
11. Соблюдение требований законодательства РФ

Важно: ООО "ЭРАЙТИ" является продавцом лицензий на программное обеспечение. Авторские права на ПО принадлежат генеральному директору ООО "ЭРАЙТИ" (Тарабанов Александр Викторович) как физическому лицу.

Правовые основания обработки:

• Согласие субъекта персональных данных (ст. 9 152-ФЗ)
• Исполнение договора (ст. 6 152-ФЗ)

Собираемые персональные данные (МИНИМАЛЬНЫЙ НАБОР):

1. Идентификационные данные:

   • Email адреса (для связи) - зашифрованы
   • Telegram идентификаторы (для связи) - зашифрованы
   • Адреса криптокошельков (для отправки токенов) - зашифрованы

2. Технические данные:

   • IP-адреса (автоматически)
   • Данные сессий (sessionId)
   • Предпочтительный язык интерфейса
   • Роли пользователей в системе

3. Бизнес-данные:

   • Данные о покупке лицензий (только адрес кошелька)
   • История консультаций (если обращались)
   • Данные о юридических лицах (только если указали при консультации)

4. Мультимедийные данные (только при консультациях):

   • Аудиофайлы (голосовые сообщения в Telegram)
   • Видеофайлы (видеосообщения от клиентов)
   • Документы (файлы, отправленные клиентами)
   • Скриншоты и изображения

5. Данные онлайн-коммуникаций (только при консультациях):

   • Записи онлайн-звонков для обучения
   • Записи звонков технической поддержки
   • Данные видеоконференций
   • Логи чатов и переписок

НЕ СОБИРАЕМЫЕ ДАННЫЕ:

• ❌ ФИО покупателей
• ❌ Паспортные данные
• ❌ Адреса регистрации
• ❌ Телефонные номера
• ❌ Документы, удостоверяющие личность

Технологии обработки:

• Архитектура: Docker-контейнеры на VDS сервере
• Шифрование: Все персональные данные шифруются в БД
• Cookies: Используются для сессий (30 дней, httpOnly, secure)
• Хранение: PostgreSQL в Docker-контейнере с шифрованием
• Файловое хранилище: Мультимедийные файлы хранятся в зашифрованном виде
• ИИ-ассистент: Ollama LLM модель (встроена в Docker-контейнер)
• Векторный поиск: Отдельный Docker-контейнер для семантического поиска
• Хостинг-провайдер: ООО "Хостланд" (ИНН: 7811142520/781401001)
• Аутентификация: Мультипровайдерная (email, telegram, wallet)
• Онлайн-коммуникации: Видеозвонки и конференции
• Контакты: 100@эрайти.рф, Telegram бот

📝 Требуемые документы

1. Права субъектов ПДн и отзыв согласия ✅ СООТВЕТСТВУЕТ 152-ФЗ

• ✅ Описание прав пользователей согласно 152-ФЗ (ст. 14)
• ✅ Процедуры отзыва согласия (ст. 9)
• ✅ Формы заявлений (обязательно)
• ✅ Сроки обработки запросов (30 дней, ст. 14)
• ✅ ДОПОЛНИТЬ: Контактные данные для обращений
• ✅ ДОПОЛНИТЬ: Порядок верификации личности при отзыве

2. Согласие на использование файлов cookie ✅ СООТВЕТСТВУЕТ 149-ФЗ

• ✅ Описание используемых cookies (ст. 15.1 149-ФЗ)
• ✅ Цели использования (обязательно)
• ✅ Управление настройками (обязательно)
• ✅ Согласие на аналитику (обязательно)
• ✅ ДОПОЛНИТЬ: Сроки хранения cookies
• ✅ ДОПОЛНИТЬ: Способы отключения cookies

3. Согласие на обработку персональных данных ⚠️ НЕПОЛНОЕ СООТВЕТСТВИЕ

• ✅ Детальное описание обработки
• ✅ Цели и основания (ст. 9)
• ✅ Сроки хранения (ст. 9)
• ✅ Третьи лица (ст. 9)
• ❌ ОТСУТСТВУЕТ: ФИО субъекта (обязательно)
• ❌ ОТСУТСТВУЕТ: Перечень ПДн на обработку (обязательно)
• ❌ ОТСУТСТВУЕТ: Способы обработки (обязательно)
• ❌ ОТСУТСТВУЕТ: Подпись субъекта (обязательно)
• ❌ ОТСУТСТВУЕТ: Дата получения согласия (обязательно)

4. Политика конфиденциальности ⚠️ НЕПОЛНОЕ СООТВЕТСТВИЕ

• ✅ Общие принципы
• ✅ Сбор и использование данных
• ✅ Защита информации
• ✅ Права пользователей
• ❌ ОТСУТСТВУЕТ: Наименование и адрес оператора (обязательно)
• ❌ ОТСУТСТВУЕТ: Правовые основания обработки (обязательно)
• ❌ ОТСУТСТВУЕТ: Категории обрабатываемых ПДн (обязательно)
• ❌ ОТСУТСТВУЕТ: Сроки обработки ПДн (обязательно)

5. Политика в отношении обработки персональных данных ✅ СООТВЕТСТВУЕТ 152-ФЗ

• ✅ Детальная политика согласно 152-ФЗ (ст. 18.1)
• ✅ Оператор обработки (обязательно)
• ✅ Категории данных (обязательно)
• ✅ Меры защиты (обязательно)
• ✅ ДОПОЛНИТЬ: Порядок осуществления прав субъектов
• ✅ ДОПОЛНИТЬ: Информация о реализуемых требованиях к защите

6. Политика обработки данных ИИ-ассистентом ✅ СООТВЕТСТВУЕТ 152-ФЗ

• ✅ Использование локальной LLM модели
• ✅ Обработка данных для обучения ИИ
• ✅ Анонимизация данных при обучении
• ✅ Права субъектов в отношении ИИ-обработки
• ✅ Технические меры защиты ИИ-системы
• ✅ ДОПОЛНИТЬ: Согласие на использование для ИИ-обучения

7. Публичная оферта (интернет-оферта) ✅ НОВЫЙ ДОКУМЕНТ

• ✅ Условия покупки лицензий
• ✅ Порядок оплаты (криптовалюта)
• ✅ Порядок передачи токенов лицензии
• ✅ Ответственность сторон
• ✅ Порядок разрешения споров
• ✅ ДОПОЛНИТЬ: Согласие на обработку ПДн в рамках оферты

📊 ИТОГОВАЯ ОЦЕНКА СООТВЕТСТВИЯ 152-ФЗ (ОБНОВЛЕНО):

✅ ПОЛНОЕ СООТВЕТСТВИЕ (5 из 7 документов):

1. Права субъектов ПДн и отзыв согласия - требует дополнений
2. Согласие на использование файлов cookie - требует дополнений
3. Политика в отношении обработки персональных данных - требует дополнений
4. Политика обработки данных ИИ-ассистентом - требует дополнений
5. Публичная оферта - новый документ, требует создания

⚠️ НЕПОЛНОЕ СООТВЕТСТВИЕ (2 из 7 документов):

1. Согласие на обработку персональных данных - УПРОЩЕНО для онлайн-обслуживания
2. Политика конфиденциальности - УПРОЩЕНО для онлайн-обслуживания

🎯 УПРОЩЕНИЯ ДЛЯ ОНЛАЙН-ОБСЛУЖИВАНИЯ:

• ✅ НЕ ТРЕБУЕТСЯ ФИО покупателей (только адрес кошелька)
• ✅ НЕ ТРЕБУЕТСЯ подпись (согласие через интернет)
• ✅ НЕ ТРЕБУЕТСЯ паспортные данные
• ✅ Минимальный набор ПДн (email, telegram, адрес кошелька)
• ✅ Договор через интернет-оферту (публичная оферта)

🚨 КРИТИЧЕСКИЕ НЕДОСТАТКИ:

• Отсутствует уведомление Роскомнадзора (обязательно до начала обработки)
• Отсутствует публичная оферта (обязательно для онлайн-продаж)
• Нужно упростить согласие под онлайн-формат

📋 ПЛАН ДОРАБОТКИ (УПРОЩЕННЫЙ):

1. Создать публичную оферту с согласием на обработку ПДн
2. Упростить согласие под онлайн-формат (без ФИО, подписи)
3. Дополнить остальные документы недостающими элементами
4. Создать уведомление Роскомнадзора
5. Добавить формы заявлений для онлайн-обращений

🎯 Особенности DLE для документов

AI-аспекты:

• Ollama LLM модель (встроена в Docker-контейнер)
• Векторный поиск (отдельный Docker-контейнер)
• Обработка данных AI-ассистентом для консультаций и поддержки
• Обучение ИИ на записях звонков и консультаций
• Автоматизация процессов управления продажами
• Машинное обучение на основе пользовательских данных
• Анонимизация данных при обучении ИИ-модели
• Полная изоляция (данные не покидают Docker-контейнеры)

Бизнес-аспекты:

• Автоматизированное управление продажами
• Управление клиентской базой
• Обработка заявок на консультации
• Продажа лицензий на веб-приложение

📋 План реализации

Этап 1: Анализ требований

• Изучение структуры приложения
• Определение типов данных
• Анализ технологий обработки

Этап 2: Создание документов

• Права субъектов ПДн и отзыв согласия
• Согласие на cookies
• Согласие на обработку ПДн
• Политика конфиденциальности
• Политика обработки ПДн
• Политика обработки данных ИИ-ассистентом
• Публичная оферта (интернет-оферта)

Этап 3: Интеграция в приложение

• Создание компонентов Vue для отображения
• Модальные окна согласий
• Управление настройками cookies
• Формы отзыва согласий

Этап 4: Тестирование и валидация

• Проверка соответствия 152-ФЗ
• Тестирование UI/UX
• Валидация правовых формулировок

🔧 Готовые компоненты системы

Система шаблонов:

• backend/scripts/seed/legalTemplatesSeed.js - скрипт для создания системных шаблонов
• Таблица admin_pages_simple для хранения шаблонов
• Поддержка переменных подстановки:
  • {{company_name}} - ООО "ЭРАЙТИ"
  • {{company_address}} - 355007, СТАВРОПОЛЬСКИЙ КРАЙ, Г.О. ГОРОД СТАВРОПОЛЬ, Г СТАВРОПОЛЬ, УЛ БУРМИСТРОВА, Д. 65Б, ПОМЕЩ. 2
  • {{company_inn}} - 2636220809
  • {{company_ogrn}} - 1222600014383
  • {{responsible_person}} - Тарабанов Александр Викторович
  • {{privacy_email}} - 100@эрайти.рф
  • {{privacy_phone}} - +7 (968) 269-92-64
  • {{website}} - эрайти.рф
  • {{hosting_provider}} - ООО "Хостланд" (ИНН: 7811142520/781401001)
  • {{hosting_type}} - арендованный VDS сервер

Vue компоненты для отображения:

• frontend/src/views/content/TemplatesListView.vue - список шаблонов
• frontend/src/views/content/PageView.vue - просмотр и редактирование документов
• frontend/src/views/content/ContentPageView.vue - создание новых документов
• frontend/src/views/content/ContentSettingsView.vue - настройки контента

API для работы с документами:

• backend/routes/pages.js - REST API для CRUD операций
• frontend/src/services/pagesService.js - клиентский сервис
• Поддержка HTML и файловых форматов
• Система прав доступа и видимости документов

🔧 Технические требования

Формат документов:

• Markdown для версионирования
• HTML для отображения в приложении
• PDF для печати/скачивания

Интеграция:

• Vue.js компоненты
• Локализация (русский/английский)
• Адаптивный дизайн
• Доступность (a11y)

Соответствие:

• 152-ФЗ "О персональных данных"
• 149-ФЗ "Об информации" (включая требования к cookies)
• GDPR (для международных пользователей)
• Роскомнадзор требования

⚖️ ОБЯЗАТЕЛЬНЫЕ ТРЕБОВАНИЯ РЕГУЛЯТОРОВ

152-ФЗ "О персональных данных" - обязательные элементы:

1. Согласие на обработку ПДн (ст. 9 152-ФЗ):

• ✅ ФИО субъекта персональных данных
• ✅ Наименование оператора (ООО "ЭРАЙТИ")
• ✅ Цели обработки персональных данных
• ✅ Перечень персональных данных на обработку которых дается согласие
• ✅ Способы обработки персональных данных
• ✅ Срок действия согласия и способ его отзыва
• ✅ Подпись субъекта персональных данных
• ✅ Дата получения согласия

2. Политика обработки ПДн (ст. 18.1 152-ФЗ):

• ✅ Наименование и адрес оператора (ООО "ЭРАЙТИ")
• ✅ Цели обработки персональных данных
• ✅ Правовые основания обработки персональных данных
• ✅ Категории обрабатываемых персональных данных
• ✅ Категории субъектов персональных данных
• ✅ Сроки обработки персональных данных
• ✅ Сроки хранения персональных данных
• ✅ Порядок осуществления субъектом ПДн своих прав
• ✅ Информация о реализуемых требованиях к защите ПДн

3. Права субъектов ПДн (ст. 14 152-ФЗ):

• ✅ Право на получение информации об обработке ПДн
• ✅ Право на уточнение персональных данных
• ✅ Право на блокирование обработки ПДн
• ✅ Право на уничтожение персональных данных
• ✅ Право на отзыв согласия на обработку ПДн
• ✅ Сроки рассмотрения обращений (30 дней)

4. Уведомление Роскомнадзора (ст. 22 152-ФЗ):

• ✅ Обязательно для ООО "ЭРАЙТИ" как оператора ПДн
• ✅ Срок подачи: до начала обработки ПДн
• ✅ Содержание: цели, категории, сроки обработки

5. Технические требования:

• ✅ Шифрование персональных данных
• ✅ Контроль доступа к персональным данным
• ✅ Учет действий с персональными данными
• ✅ Резервное копирование персональных данных
• ✅ Уничтожение персональных данных

149-ФЗ "Об информации" - дополнительные требования:

• ✅ Информация о владельце информационных ресурсов
• ✅ Порядок предоставления информации
• ✅ Ответственность за нарушение требований

Требования к cookies (ст. 15.1 149-ФЗ):

• ✅ Информирование о использовании cookies
• ✅ Согласие на использование cookies
• ✅ Возможность отключения cookies
• ✅ Цели использования cookies

🚨 КРИТИЧЕСКИ ВАЖНЫЕ НЕДОСТАЮЩИЕ ЭЛЕМЕНТЫ

1. Уведомление Роскомнадзора (ОБЯЗАТЕЛЬНО!):

• ❌ НЕ ПОДАНО уведомление об обработке ПДн
• ⚠️ Штрафы: до 75,000 руб. за неподачу уведомления
• 📋 Содержание уведомления:
  • Цели обработки ПДн
  • Категории обрабатываемых ПДн
  • Категории субъектов ПДн
  • Сроки обработки ПДн
  • Сведения о лицах, имеющих доступ к ПДн

2. Локальные акты (ОБЯЗАТЕЛЬНО!):

• ❌ Приказ о назначении ответственного за обработку ПДн
• ❌ Положение об обработке ПДн (локальный акт)
• ❌ Регламент обращений субъектов ПДн
• ❌ Политика безопасности персональных данных

3. Технические меры защиты:

• ❌ Аттестация ИСПДн (если требуется)
• ❌ Акт классификации информационной системы
• ❌ Модель угроз безопасности ПДн
• ❌ План мероприятий по обеспечению безопасности

4. Документооборот:

• ❌ Журнал учета обращений субъектов ПДн
• ❌ Журнал учета носителей ПДн
• ❌ Реестр операций с ПДн
• ❌ Соглашения о конфиденциальности с сотрудниками

5. Обучение персонала:

• ❌ Программа обучения по защите ПДн
• ❌ Журнал инструктажей по работе с ПДн
• ❌ Обязательства о неразглашении ПДн

⚠️ РЕКОМЕНДАЦИИ ПО ПРИОРИТЕТУ:

НЕМЕДЛЕННО (до начала обработки ПДн):

1. Подать уведомление в Роскомнадзор
2. Создать приказ о назначении ответственного
3. Разработать положение об обработке ПДн

В ТЕЧЕНИЕ 30 ДНЕЙ:

1. Создать регламенты обращений субъектов
2. Разработать политику безопасности
3. Провести обучение персонала

В ТЕЧЕНИЕ 90 ДНЕЙ:

1. Провести аттестацию ИСПДн (если требуется)
2. Разработать модель угроз
3. Создать план мероприятий по безопасности

🎯 Критерии успеха

1. ✅ Полное соответствие российскому законодательству
2. ✅ Понятность для пользователей
3. ✅ Техническая интеграция в приложение
4. ✅ Юридическая валидность
5. ✅ Удобство использования