Оглавление:
- Общие положения
- Термины и определения
- Правовые основания, порядок, условия и цели обработки
- Категории обрабатываемых персональных данных
- Права и обязанности оператора, пользователей
- Передача персональных данных третьим лицам
- Сроки хранения персональных данных
- Меры по обеспечению безопасности и технические ограничения
- Фаилы сookie
- Ответственность оператора
- Заключительные положения
1. Общие положения
1.1. Настоящая Политика конфиденциальности (политика обработки персональных данных, далее – Политика) разработана в соответствии с положениями Конституции Российской Федерации, Федерального закона от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”, Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных” (далее – Закон о персональных данных) и иными нормативными правовыми актами в области персональных данных и устанавливает порядок обработки и защиты персональных данных физических, использующих информационный сервис (далее – “Сервис”).
1.2. Правовую основу настоящей Политики составляют:
1.2.1. Конституция Российской Федерации (статьи 23, 24);
1.2.2. Федеральный закон от 27.07.2006 г. № 152-ФЗ “О персональных данных” (далее – 152-ФЗ);
1.2.3. Федеральный закон от 27.07.2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;
1.2.4. Постановление Правительства РФ от 01.11.2012 г. № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”;
1.2.5. Постановление Правительства РФ от 15.09.2008 г. № 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
1.2.6. Приказ ФСТЭК России от 18.02.2013 г. № 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных”;
1.2.7. Иные нормативные правовые акты Российской Федерации в области персональных данных.
1.3. Настоящая Политика является неотъемлемой частью Пользовательского соглашения, размещённого на сервисе. Акцептуя пользовательское соглашение, пользователь тем самым подтверждает ознакомление и согласие с условиями настоящей Политики.
1.4. Оператор вправе в одностороннем порядке изменять условия Политики путём публикации новой редакции на сервисе. Изменения вступают в силу по истечении 10 (десяти) календарных дней с момента публикации, если иной срок не указан в новой редакции.
1.5. Политика действует бессрочно до замены её новой редакцией.
2. Термины и определения
2.1. Для целей настоящей Политики нижеприведённые термины используются в следующих значениях:
2.1.1. “персональные данные” – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), в значении статьи 3 Федерального закона № 152-ФЗ;
2.1.2.“обработка персональных данных” – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.1.3. “автоматизированная обработка персональных данных” – обработка персональных данных с помощью средств вычислительной техники;
2.1.4. “информационная система персональных данных (ИСПДн)” – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.1.5. “оператор” – лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.1.6. “субъект персональных данных” – физическое лицо, к которому прямо или косвенно относятся персональные данные;
2.1.7. “предоставление персональных данных” – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
2.1.8. “распространение персональных данных” – действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
2.1.9. “трансграничная передача персональных данных” – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.1.10. “уничтожение персональных данных” – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.1.11. “обезличивание персональных данных” – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.1.12. “файлы cookie” – небольшие текстовые файлы, размещаемые на устройстве пользователя при посещении сервиса, используемые для обеспечения его функционирования, аналитики, персонализации и таргетирования рекламы.
2.2. Термины, не определённые в пункте 2.1, толкуются в соответствии с применимым законодательством Российской Федерации, а при отсутствии легального определения — в соответствии с обычаями делового оборота и сложившейся практикой, в том числе в сети “Интернет” (интернетное право).
2.3. Заголовки разделов и пунктов используются исключительно для удобства и не влияют на толкование Соглашения. Слова в единственном числе включают множественное число и наоборот, если из контекста явно не следует иное.
3. Правовые основания, порядок, условия и цели обработки
3.1. Обработка персональных данных осуществляется преимущественно автоматизированным способом с использованием средств вычислительной техники. При необходимости допускается обработка на бумажных носителях.
3.2. Срок обработки персональных данных определяется достижением целей обработки, предусмотренных п. 3.4 Политики, если иное не предусмотрено требованиями законодательства Российской Федерации о более длительном сроке хранения.
3.3. Обработка персональных данных включает нижеследующие действия:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
3.4. Правовыми основаниями для обработки персональных данных в соответствии с настоящей Политикой являются:
3.4.1. Исполнение договора (п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ) в нижеследующих целях обработки:
3.4.1.1. Регистрация учётной записи, аутентификация, предоставление доступа к функционалу сервиса;
3.4.1.2. Обработка заявок, откликов, отзывов;
3.4.1.3. Обеспечение взаимодействия между пользователями;
3.4.1.4. Проведение платежей за платные услуги;
3.4.1.5. Направление сервисных уведомлений (статус заявки, подтверждение платежа, изменения в соглашении).
3.4.2. Согласие субъекта (п. 1 ч. 1 ст. 6 Федерального закона № 152-ФЗ) в нижеследующих целях:
3.4.2.1. Направление маркетинговых и рекламных сообщений;
3.4.2.2. Установка аналитических и рекламных cookie-файлов;
3.4.2.3. Персонализация контента и рекомендаций;
3.4.2.4. Проведение опросов состояния удовлетворённости;
3.4.2.5. Участие в программах лояльности.
3.4.3. Законные интересы оператора (п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ) в нижеследующих целях:
3.4.3.1. Обеспечение безопасности, предотвращение мошенничества;
3.4.3.2. Выявление подозрительной активности (множественные регистрации, боты, парсинг);
3.4.3.3. Аналитика для улучшения Сервиса;
3.4.3.4. Формирование статистических отчётов (в обезличенном виде);
3.4.3.5. Защита прав Оператора в судебных и досудебных спорах.
3.4.4. Исполнение требований законодательства (п. 2 ч. 1 ст. 6 Федерального закона № 152-ФЗ) в нижеследующих целях:
3.4.4.1. Соблюдение требований налогового законодательства (хранение документов);
3.4.4.2. Исполнение запросов государственных органов (суды, прокуратура, Роскомнадзор, ФНС);
3.4.4.3. Соблюдение требований Федерального закона № 54-ФЗ (направление чеков).
3.5. Обработка персональных данных пользователей осуществляется исключительно в целях, указанных в п. 3.4 и п. 3.6 Политики.
3.6. Для обработки персональных данных оператор вправе использовать средства автоматизации, администрируемые информационными системами такими, как: “Tilda Publishing”, “GetCourse”, “Telegram” или им аналогичные.
3.6.1. В случае использования указанных в п. 3.6 платформ оператор предоставляет им поручение на обработку персональных данных пользователей также в нижеследующих целях:
3.6.1.1. Реализация процессов, автоматизируемых с помощью данных платформ;
3.6.1.2. Реализация процессов сбора заявок;
3.6.1.3. Проведение процесса регистрации на онлайн-мероприятия;
3.6.1.4. Обработка заявок на оплату платных услуг;
3.6.1.5. Ведение базы пользователей;
3.6.1.6. Обеспечение бесперебойного функционирования платформ и возможности восстановления данных после сбоев;
3.6.1.7. Обработка файлов cookie;
3.6.1.8. Обработка информации о посетителях и пользователях.
3.7. В случае использования указанных в п. 3.6 платформ персональные данные пользователей могут храниться преимущественно или дополнительном к иным источникам в информационных системах персональных данных таких платформ, а также в архивных копиях баз данных.
3.8. К обработке персональных данных пользователей могут иметь доступ только лица, допущенные оператором к работе с персональными данными и подписавшие соглашение о неразглашении персональных данных или лица, которым оператором поручена обработка персональных данных пользователей.
3.8.1. Оператор может передавать персональные данные поставщикам услуг, действующим от имени и в интересах оператора, третьим лицам с согласия субъекта, а также, если это необходимо, в иных случаях, установленных законодательством Российской Федерации.
3.8.2. Оператор обязан предоставлять персональные данные пользователей только уполномоченным лицам и только в той части, которая необходима им для выполнения их обязанностей, в соответствии с настоящей Политикой и законодательством Российской Федерации.
3.9. При передаче персональных данных пользователей оператор предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц письменное подтверждение соблюдения этого условия.
3.10. Оператор не осуществляет автоматизированное принятие решений, имеющих юридические последствия для субъекта персональных данных, без получения его письменного согласия либо в случаях, предусмотренных законодательством Российской Федерации.
3.11. Распространение персональных данных (раскрытие неопределённому кругу лиц) осуществляется только в отношении данных, размещённых пользователем в публичном профиле, и только при наличии предварительно полученного согласия субъекта.
3.12. Отзыв согласия на получение маркетинговых сообщений осуществляется любым из следующих способов: переход по ссылке “отписаться” в письме; настройки в личном кабинете; направление запроса на электронную почту.
Я согласен с тем, что мои персональные данные будут переданы третьим лицам – партнерам Оператора – для оказания услуг по ремонтным работам, через которые я предоставляю свои данные, для реализации целей обработки персональных данных. Без передачи данных партнерам Оператора реализация целей обработки персональных данных будет невозможна.
Настоящее Согласие действует до момента достижения целей обработки или отзыва согласия на обработку, но не более 3 (трех) лет с момента предоставления Согласия.
4. Категории обрабатываемых персональных данных
4.1. К персональным данным пользователей относятся:
4.1.1. Предоставляемые пользователем самостоятельно:
4.1.1.1. Для физических лиц-граждан:
4.1.1.1.1. Идентификационные данные:
4.1.1.1.1.1. Фамилия, имя, отчество;
4.1.1.1.1.2. Дата и место рождения;
4.1.1.1.1.3. Данные документа, удостоверяющего личность;
4.1.1.1.1.4. Возраст;
4.1.1.1.1.5. Пол.
4.1.1.1.2. Контактные данные:
4.1.1.1.2.1. Адрес электронной почты;
4.1.1.1.2.2. Номер мобильного телефона;
4.1.1.1.2.3. Юридический адрес;
4.1.1.1.2.4. Почтовый адрес (при необходимости).
4.1.1.1.3. Учётные данные:
4.1.1.1.3.1. Логин (уникальный идентификатор);
4.1.1.1.3.2. Пароль (хранится в виде хэша);
4.1.1.1.3.3. Идентификаторы социальных сетей и платформ (при авторизации через них).
4.1.1.1.4. Платёжные данные:
4.1.1.1.4.1. Банковские реквизиты (номер карты, срок действия – хранятся в виде хэша)
4.1.1.2. Персональные данные юридических лиц и индивидуальных предпринимателей (карточка компании):
4.1.1.2.1. Полное и сокращённое фирменное наименование;
4.1.1.2.2. ОГРН (ИП), ИНН, КПП;
4.1.1.2.3. Юридический и фактический адрес;
4.1.1.2.4. Банковские реквизиты;
4.1.1.2.5. ФИО и должность представителя;
4.1.1.2.6. Данные документа, подтверждающего полномочия представителя;
4.1.1.2.7. Учредительный документ.
4.1.1.3. Авторский контент:
4.1.1.3.1. Фотографии (в том числе аватар профиля);
4.1.1.3.2. Тексты отзывов и комментариев;
4.1.1.3.3. Описания компании, услуг, портфолио, сотрудников, вакансий;
4.1.1.3.4. Загружаемые документы (лицензии, сертификаты, разрешения).
4.1.2. Данные, собираемые автоматически:
4.1.2.1. Технические данные:
4.1.2.1.1. IP-адрес;
4.1.2.1.2. Тип и версия браузера;
4.1.2.1.3. Операционная система;
4.1.2.1.4. Разрешение экрана;
4.1.2.1.5. Языковые настройки;
4.1.2.1.6. Строка User-Agent;
4.1.2.1.7. Модель устройства (для мобильных приложений).
4.1.2.2. Геолокационные данные:
4.1.2.2.1. Страна и регион (определяется по IP-адресу);
4.1.2.2.2. Точные координаты (при наличии согласия пользователя).
4.1.2.3. Поведенческие данные:
4.1.2.3.1. Дата и время посещения;
4.1.2.3.2. Просмотренные страницы и последовательность навигации;
4.1.2.3.3. Время, проведённое на страницах;
4.1.2.3.4. Поисковые запросы на сервисе;
4.1.2.3.5. Клики, прокрутки, взаимодействия с элементами интерфейса;
4.1.2.3.6. Источник перехода;
4.1.2.3.7. UTM-метки.
4.1.2.4. Данные файлов cookie:
4.1.2.4.1. Сессионные и постоянные cookie-файлы;
4.1.2.4.2. Данные localStorage и sessionStorage;
4.1.2.4.3. Пиксели отслеживания (tracking pixels), веб-маяки (web beacons).
4.1.2.5. Данные площадок и отзывов компании:
4.1.2.5.1. Ссылки на площадки где по компании оставлены отзывы;
4.1.2.5.2. Отзывы о компании (Название и ссылка на площадку где оставлены были отзывы, рейтинги отзывов, ФИО / имя пользователя оставивших отзывы, дата и время оставления отзывов, текста отзывов, текста ответом компаний, дата и время ответов компании на отзывы, вложения (документы и картинки)).
4.1.3. Данные из внешних источников:
4.1.3.1. Технические данные:
4.1.3.1.1. Данные из социальных сетей (при авторизации через них): имя, email, фотография, идентификатор;
4.1.3.1.2. Данные из публичных реестров (ЕГРЮЛ/ЕГРИП);
4.1.3.1.3. Данные от платёжных систем: маскированный номер карты (первые 6 и последние 4 цифры), статус платежа, идентификатор транзакции.
4.1.4. Специальные категории персональных данных:
4.1.4.1. Оператор не осуществляет целенаправленный сбор и обработку специальных категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь).
4.1.4.2. Если пользователь самостоятельно размещает такие данные в публичном профиле или контенте, это рассматривается как добровольное распространение таких данных субъектом, и ответственность за последствия несёт сам пользователь.
4.1.5. Биометрические персональные данные:
4.1.5.1. Оператор не осуществляет обработку биометрических персональных данных.
4.1.6. Персональные данные, разрешённые для распространения:
4.1.6.1. Согласие на обработку персональных данных, разрешённых пользователем для распространения, оформляется отдельно от иных согласий пользователя сайта на обработку его персональных данных.
4.1.6.2. Оператор обеспечивает пользователю возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку персональных данных, разрешённых им для распространения.
4.1.6.3. В согласии на обработку персональных данных, разрешённых пользователем для распространения, он вправе установить запреты на передачу, кроме предоставления доступа, этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки, кроме получения доступа, этих персональных данных неограниченным кругом лиц.
4.1.6.4. Передача (распространение, предоставление, доступ) персональных данных, разрешённых пользователем для распространения, должна быть прекращена в любое время по его требованию. Указанные в данном требовании персональные данные могут обрабатываться только оператором.
4.2. Оператор не осуществляет проверку достоверности предоставляемых пользователями персональных данных, полагая, что они действуют добросовестно и поддерживают информацию о своих персональных данных в актуальном состоянии.
4.3. Оператор не несёт ответственности за добровольную передачу пользователями своих персональных данных, в том числе авторизационных данных, пароля или логина, третьим лицам.
5. Права и обязанности оператора, пользователей
5.1. Оператор вправе устанавливать требования к составу персональных данных пользователей, которые должны обязательно предоставляться для использования сервиса.
5.2. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации о персональных данных. К таким мерам относятся:
5.2.1. Назначение, при необходимости, ответственного за организацию обработки персональных данных;
5.2.2. Издание документов, определяющих политику в отношении обработки персональных данных;
5.2.3. Организация применения правовых, организационных и технических мер по обеспечению безопасности персональных данных;
5.2.4. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству;
5.2.5. Ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства.
5.3. В соответствии со статьями 14, 21 Федерального закона № 152-ФЗ субъект персональных данных имеет право:
5.3.1. На информацию: получить подтверждение факта обработки, сведения о целях, способах обработки, сроках хранения, получателях персональных данных;
5.3.2. На доступ: получить информацию о составе обрабатываемых данных;
5.3.3. На исправление: потребовать уточнения, обновления, исправления данных;
5.3.4. На блокирование, удаление: потребовать блокирования или уничтожения данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
5.3.5. На отзыв согласия: отозвать согласие на обработку персональных данных в любое время, при этом отзыв согласия не влияет на законность обработки, осуществлявшейся до момента отзыва;
5.3.6. На подачу жалобы: обратиться с жалобой в Роскомнадзор или в суд.
5.4. Для реализации своих прав субъект персональных данных направляет запрос по адресу электронной почты или через форму в личном кабинете. Срок рассмотрения запроса составляет 10 (десять) рабочих дней с момента получения запроса и идентификации заявителя.
5.5. Пользователи вправе самостоятельно ограничить сбор информации третьими лицами, используя стандартные настройки конфиденциальности применяемого ими для работы с сервисом интернет-браузера, а также в любое время изменить, удалить или дополнить представленные ими персональные данные.
6. Передача персональных данных третьим лицам
6.1. Персональные данные пользователей передаются третьим лицам в нижеследующих целях:
6.1.1. На основании согласия субъекта:
6.1.1.1. Передача контактных данных при направлении заявки;
6.1.1.2. Публикация данных в публичном профиле.
6.1.2. Для исполнения договора:
6.1.2.1. Платёжные системы: например, Digitalkassa (ООО «ЦИБ», ИНН 1655439168), Тинькофф Банк (АО «Альфа-Банк», ИНН 7728168971), состав передаваемых данных: сумма платежа, назначение, email для отправки чека;
6.1.2.2. Сервисы email-рассылок: например, Unisender (ООО «ЮнисендерСмарт», ИНН 9731091240), состав передаваемых данных: адрес электронной почты, имя;
6.1.2.3. SMS-провайдеры, состав передаваемых данных: номер телефона;
6.1.2.4. Хостинг-провайдер: например, Рег.ру (ООО “Регистратор доменных имён “Рег.ру”, ИНН 7733568767) данные хранятся в зашифрованном виде;
6.1.2.5. Сервисы технической поддержки, состав передаваемых данных: данные обращений.
6.1.3. По требованию законодательства Российской Федерации:
6.1.3.1. Суды, правоохранительные органы, органы прокуратуры Российской Федерации, Роскомнадзор, Федеральная налоговая служба и другие.
6.2. При привлечении обработчиков персональных данных Оператор заключает с ними договоры, содержащие условия о конфиденциальности и обеспечении безопасности персональных данных в соответствии с частью 3 статьи 6 Федерального закона № 152-ФЗ.
6.3. Актуальный перечень третьих лиц, которым передаются персональные данные, предоставляется по запросу субъекта персональных данных на адрес электронной почты оператора.
6.4. Оператор обеспечивает соблюдение требований части 5 статьи 18 Федерального закона № 152-ФЗ о том, что персональные данные должны храниться на серверах, расположенных на территории Российской Федерации.
6.5. Трансграничная передача персональных данных может осуществляться для:
6.5.1. Аналитики (Google Analytics, Яндекс.Метрика) — в обезличенном виде;
6.5.2. Авторизации через OAuth (Google, Apple);
6.5.3. Доставки статического контента через CDN (без передачи персональных данных).
6.6. До начала трансграничной передачи оператор убеждается в обеспечении адекватной защиты прав субъектов на территории иностранного государства либо получает согласие субъекта.
6.7. Первичный сбор персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации.
7. Сроки хранения персональных данных
7.1. Сроки хранения персональных данных:
7.1.1. Данные учётной записи:
7.1.1.1. Активной (действующей):
7.1.1.1.1. Срок хранения: в течение срока использования и дополнительно 30 календарных дней после получения заявления об удалении;
7.1.1.2. Неактивной:
7.1.1.2.1. 24 месяца с момента последнего входа, затем обезличивание и удаление;
7.1.1.3. Данные учётной записи как действующей, так и неактивной, относящиеся к категориям персональных данных, предусмотренным пп. 4.1.1.1.2 п.п. 4.1.1.1 п. 4.1.1, п.п. 4.1.1.3 п.п. 4.1.1.2 п. 4.1.1, п. 4.1.1, п.п. 4.1.2.5 п. 4.1.2 и п. 4.1.3 хранятся бессрочно.
7.1.2. Данные о транзакциях:
7.1.2.1. Срок хранения: 5 лет согласно ст. 29 Федерального закона № 402-ФЗ “О бухгалтерском учёте”;
7.1.3. Данные для рекламных рассылок:
7.1.3.1. Срок хранения: до отзыва согласия или 3 года с момента последнего взаимодействия;
7.1.4. Логи безопасности:
7.1.4.1. Срок хранения: 1 год;
7.1.5. Резервные копии:
7.1.5.1. Срок хранения: 90 календарных дней, затем перезапись;
7.1.6. Обращения в техподдержку:
7.1.6.1. Срок хранения: 3 года с момента закрытия обращения.
7.2. Уничтожение или обезличивание персональных данных осуществляется в течение 30 дней после истечения срока хранения.
7.3. Уничтожение персональных данных осуществляется оператором, при необходимости, с составлением акта об уничтожении.
8. Меры по обеспечению безопасности и технические ограничения
8.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для обеспечения безопасности персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с требованиями статьи 19 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», включая:
8.1.1. Правовые меры:
8.1.1.1. Принятие локальных нормативных актов:
8.1.1.1.1. Политика конфиденциальности;
8.1.1.1.2. Положение об обработке персональных данных;
8.1.1.1.3. Политика в отношении файлов cookie;
8.1.1.1.4. Порядок реагирования на инциденты безопасности;
8.1.1.1.5. Порядок уничтожения персональных данных.
8.1.1.2. Назначение ответственных лиц:
8.1.1.2.1. Назначение ответственного за организацию обработки персональных данных;
8.1.1.2.2. Определение должностных инструкций для сотрудников, имеющих доступ к персональным данным;
8.1.1.2.3. Ведение реестра лиц, допущенных к обработке персональных данных.
8.1.2. Организационные меры:
8.1.3.1. Первичный инструктаж при приёме на работу или заключении договора гражданско-правового характера по вопросам защиты персональных данных;
8.1.3.2. Подписание обязательств о неразглашении;
8.1.3.3. Внутренний аудит обработки персональных данных и мониторинг исполнения мероприятий по итогам аудита;
8.1.3.4. Ведение журнала обращений субъектов персональных данных.
8.1.3. Технические меры:
8.1.3.1. Защита инфраструктуры:
8.1.3.1.1. Аппаратный межсетевой экран для фильтрации трафика (firewall);
8.1.3.1.2. Ограничение доступа к административным интерфейсам по IP-адресам;
8.1.3.1.3. Обнаружение и предотвращение компьютерных атак с использованием Web Application Firewall (WAF) для защиты от атак на уровне приложения (SQL-инъекции, XSS, CSRF);
8.1.3.1.4. Система обнаружения и предотвращения вторжений (IDS/IPS): автоматическая блокировка подозрительной активности, анализ логов в реальном времени;
8.1.3.1.5. Защита от DDoS-атак: подключение к сервису защиты, фильтрация аномального трафика;
8.1.3.2. Шифрование данных:
8.1.3.1.1. Постепенный переход от устаревших протоколов SSL 2.0/3.0/TLS 1.0/1.1 к протоколам HTTPS (TLS 1.2/1.3), внедрение SSL-сертификатов от доверенных удостоверяющих центров, установление политики HSTS;
8.1.3.1.2. Шифрование дисков AES-256, создание шифрованных резервных копий, шифрование критичных данных в базе данных (платежные реквизиты);
8.1.3.1.3. хеширование паролей;
8.1.3.3. Контроль доступа:
8.1.3.3.1. Аутентификация пользователей: двухфакторная аутентификация (2FA) через SMS/TOTP, защита от подбора пароля, CAPTCHA при регистрации и восстановлении пароля, автоматический выход при бездействии более 30 минут;
8.1.3.3.2. Управление правами доступа: ролевая модель доступа (RBAC): администратор, модератор, техподдержка, пользователь; принцип минимальных привилегий; доступ к персональным данным только для сотрудников, которым это необходимо для выполнения должностных обязанностей; доступ к административным панелям через VPN с фиксированных IP-адресов;
8.1.3.4. Мониторинг и логирование:
8.1.3.4.1. Журналирование событий: логирование всех операций с персональными данными (просмотр, изменение, удаление) с указанием IP-адреса, времени, типа операции, идентификатора посетителя;
8.1.3.4.2. Хранение логов в защищённом хранилище в течение 1 года;
8.1.3.4.3. Постоянный мониторинг доступности системы, оповещения о подозрительной активности (множественные неудачные попытки входа, аномальные запросы), регулярный анализ логов;
8.1.3.5. Резервное копирование:
8.1.3.5.1. Ежедневное резервное копирование баз данных;
8.1.3.5.2. Географически распределённое, при наличии возможности, хранение резервных копий;
8.1.3.5.3. Ежеквартальное тестирование восстановления;
8.1.3.6. Защита от уязвимостей:
8.1.3.6.1. Установка критических обновлений безопасности в течение 24 часов, прочих обновлений в течение 7 дней, ведение реестра используемого ПО с версиями;
8.1.3.6.2. Ежеквартальное сканирование на уязвимости, ежегодное тестирование на проникновение, анализ кода (SAST, DAST);
8.1.3.6.3. Сообщение об уязвимостях для приоритетного устранения;
8.1.3.7. Физическая безопасность:
8.1.3.7.1. размещение, по возможности, серверов в дата-центрах уровня Tier III;
8.1.4. Реагирование на инциденты:
8.1.4.1. При выявлении инцидента, связанного с неправомерным доступом к персональным данным, Оператор:
8.1.4.1.1. Немедленно принимает меры по локализации и устранению последствий;
8.1.4.1.2. Проводит внутреннее расследование;
8.1.4.1.3. Уведомляет Роскомнадзор в течение 24 часов (часть 3.1 статьи 21 Федерального закона № 152-ФЗ);
8.1.4.1.4. Уведомляет пострадавших субъектов персональных данных в течение 72 часов с сообщением им:
8.1.4.1.4.1. Характера инцидента;
8.1.4.1.4.2. Вероятных последствий;
8.1.4.1.4.3. Принятых мер;
8.1.4.1.4.4. Рекомендаций по минимизации рисков;
8.1.4.1.4.5. Контактных данных для направления обращений;
8.1.4.1.5. Принимает меры по предотвращению повторения инцидента;
8.1.4.1.6. Документирует инцидент.
8.2. Оператор не гарантирует применение всех, в том числе конкретных, технических и иных мер, перечисленных в п. 8.1.3 – 8.1.4 Политики, абсолютную защищённость сервиса от компьютерных атак, вредоносного программного обеспечения, действий третьих лиц, направленных на нарушение функционирования сервиса. Оператор не несёт ответственности за:
8.2.1. Ущерб, причинённый в результате DDoS-атак, взлома, внедрения вредоносного кода, если оператор принял разумные меры защиты в соответствии с отраслевыми стандартами;
8.2.2. Утрату или искажение данных в результате действий третьих лиц, форс-мажорных обстоятельств;
8.2.3. Временную недоступность сервиса, вызванную техническими сбоями, профилактическими работами, внешними атаками;
8.2.4. Ущерб, причинённый в результате использования пользователем ненадёжных паролей, компрометации учётных данных по его вине.
8.3. Сервис предоставляется на условиях «как есть» (as is) и «как доступно» (as available). Оператор не предоставляет каких-либо гарантий, явных или подразумеваемых, в отношении:
8.3.1. Бесперебойной и безошибочной работы сервиса;
8.3.2. Отсутствия уязвимостей в программном обеспечении;
8.3.3. Соответствия сервиса конкретным целям пользователя;
8.3.4. Сохранности данных пользователя.
8.4. Для предотвращения рисков, против которых Оператором применяются предусмотренные настоящим разделом Политики меры, рекомендуется самостоятельное резервное копирование пользователями своих наиболее важных персональных данных.
8.5. Оператор вправе устанавливать технические ограничения:
8.5.1. Максимальное число запросов в единицу времени;
8.5.2. Максимальный объём загружаемых файлов;
8.5.3. Перечень допустимых форматов файлов;
8.5.4. Географические ограничения доступа.
8.6. При обнаружении уязвимостей сервиса пользователь обязуется незамедлительно уведомить оператора по адресу электронной почты и воздержаться от его эксплуатации, публичного раскрытия персональных данных до устранения уязвимостей. Оператор вправе поощрять ответственное раскрытие уязвимостей в соответствии с программой (при её наличии).
9. Файлы cookie
9.1. Сервис использует файлы cookie и аналогичные технологии (веб-маяки, пиксели, локальное хранилище).
9.2. Категории используемых cookie:
9.2.1. Обязательные: обеспечивают базовое функционирование сервиса (авторизация, безопасность, сохранение настроек). Не требуют согласия, но пользователь информируется об их использовании. Примеры: session_id, csrf_token, auth_token;
9.2.2. Аналитические: позволяют анализировать использование Сервиса, улучшать его работу (Яндекс.Метрика). Устанавливаются только при получении согласия. Примеры: _ga, _ym_uid, _ym_d;
9.2.3. Функциональные: обеспечивают дополнительные функции (персонализация, сохранение предпочтений). Устанавливаются при получении согласия. Примеры: language, theme, last_search;
9.2.4. Рекламные (маркетинговые): используются для показа персонализированной рекламы, ретаргетинга (Google Ads, Яндекс.Директ). Устанавливаются только при получении явного согласия. Примеры: _gcl_au, _ym_visorc.
9.3. При первом посещении сервиса отображается баннер с уведомлением о сборе файлов cookie. Запретить использование либо удалить cookie можно через через настройки веб-браузера.
9.4. Отключение обязательных cookie через настройки браузера может привести к невозможности использования отдельных функций сервиса (авторизация, сохранение корзины и т.п.).
9.5. Сервис может использовать сервисы третьих сторон, которые устанавливают собственные cookie:
9.5.1. Аналитика: Google Analytics, Яндекс.Метрика;
9.5.2. Рекламные сети: Google Ads, Яндекс.Директ, VK Реклама, myTarget;
9.5.3. Социальные сети: виджеты VK, Telegram (кнопки “Поделиться”);
9.5.4. Платёжные системы;
9.5.5. Чаты поддержки.
9.6. Оператор не контролирует cookie третьих сторон. Обработка данных такими сервисами осуществляется в соответствии с их собственными политиками конфиденциальности.
9.7. Оператор вправе направлять пользователям сообщения рекламного характера при наличии предварительного согласия в соответствии со статьёй 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе».
9.8. Пользователь вправе в любое время отказаться от получения рекламных сообщений:
9.8.1. Направив запрос по адресу электронной почты оператора.
9.9. Отказ от рекламных рассылок не влияет на получение сервисных (транзакционных) сообщений: уведомления о статусе заявок, подтверждения оплаты, уведомления об изменениях в соглашении, сообщения о безопасности учётной записи.
10. Ответственность оператора
10.1. Оператор несёт ответственность за нарушение законодательства о персональных данных в соответствии со статьей 13.11 Кодекса Российской Федерации об административных правонарушениях, статьёй 137 Уголовного кодекса Российской Федерации, гражданским законодательством.
10.2. Лица, получившие доступ к персональным данным пользователей и, нарушившие требования в области обработки персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
10.3. Пользователь несёт ответственность за достоверность предоставляемых персональных данных и последствия предоставления заведомо недостоверных данных.
11. Заключительные положения
11.1. Настоящая Политика вступает в силу с момента размещения на сервисе и действует бессрочно до замены её новой редакцией.
11.2. Вопросы, так или иначе не урегулированные настоящей Политикой, регулируются в соответствии с действующим законодательством Российской Федерации в области персональных данных.