ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Индивидуальный предприниматель Бондарев Дмитрий Александрович

(ИНН 235301348589, ОГРНИП 326508100181220, г. Москва)

1. Общие положения

1.1. Настоящая Политика индивидуального предпринимателя Бондарева Дмитрия Александровича (ИНН 235301348589, ОГРНИП 326508100181220, место осуществления деятельности: г. Москва; далее – ИП, Оператор) в отношении обработки персональных данных (далее – Политика) определяет порядок и условия обработки персональных данных, а также меры по их защите при создании и эксплуатации цифрового сервиса (приложения).

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных», а также иными нормативными правовыми актами Российской Федерации в области персональных данных.

1.3. Политика распространяется на персональные данные, обрабатываемые ИП:

• на этапе сбора заявок на раннее участие в разработке и тестировании будущего приложения (этап предварительного запуска);
• на этапе функционирования приложения, когда обработка персональных данных осуществляется в закрытой базе данных приложения. Базы данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, физически размещены на территории Российской Федерации на серверах провайдера ООО "ХОСТКЕЙ" (hostkey.ru).

1.4. В части, касающейся работы приложения после запуска, Оператор обеспечивает организацию инфраструктуры и средств обработки, однако доступ к содержанию пользовательских данных предоставляется только самим пользователям (участникам работы с приложением) в соответствии с функционалом сервиса, за исключением случаев, предусмотренных законодательством РФ.

1.5. Настоящая Политика является общедоступным документом и подлежит размещению в сети Интернет по адресу: www.timewoven.ru/legal (страница сайта).

2. Термины и определения

2.1. В настоящей Политике используются термины «персональные данные», «обработка персональных данных», «оператор», «субъект персональных данных», «третьи лица», «предоставление персональных данных», «распространение персональных данных», «обезличивание персональных данных» в значениях, установленных статьёй 3 Федерального закона № 152‑ФЗ.

2.2. «Цифровой сервис (приложение)» – разрабатываемый ИП программный продукт, предназначенный для обработки пользовательских данных в закрытой базе данных с доступом для самих пользователей.

3. Статус ИП и роль в обработке персональных данных

3.1. На этапе предварительного запуска (сбор заявок на участие в разработке и тестировании приложения) ИП выступает Оператором персональных данных, определяющим цели и средства обработки ограниченного набора персональных данных (контактные данные и сведения о заинтересованности в участии).

3.2. На этапе функционирования приложения ИП:

• обеспечивает размещение и эксплуатацию серверной инфраструктуры (в том числе аренду и администрирование сервера у хостинг‑провайдера hostkey.ru);
• определяет общие технологические и организационные рамки обработки персональных данных в приложении;
• не осуществляет повседневный доступ к пользовательскому содержимому (контенту), если такой доступ не предусмотрен функционалом сервиса и/или не требуется по закону.

3.3. Доступ к содержанию персональных данных в приложении имеет ограниченный круг лиц – сами пользователи (участники работы с приложением), авторизующиеся в сервисе, и, при необходимости, технический персонал и подрядчики, действующие по поручению ИП, в объёме, минимально достаточном для обеспечения работоспособности сервиса и безопасности данных, без регулярного просмотра пользовательского контента.

3.4. ИП организует инфраструктуру для обработки персональных данных (серверы, программное обеспечение приложения), однако доступ к содержанию пользовательских данных в приложении по общему правилу ограничен самими пользователями. ИП и привлечённые им лица не осуществляют регулярный просмотр или редактирование пользовательского контента и получают доступ к нему только в случаях, прямо предусмотренных законодательством Российской Федерации либо пользовательским соглашением (например, по запросу субъекта персональных данных или при расследовании инцидентов безопасности).

4. Принципы и цели обработки персональных данных

4.1. Обработка персональных данных ИП осуществляется на основе принципов законности, справедливой основы, минимизации, ограничения целями, достоверности, хранения не дольше необходимого, обеспечения безопасности.

4.2. На этапе предварительного запуска цели обработки:

• ведение списка лиц, заинтересованных в раннем доступе к приложению и участии в тестировании;
• коммуникация с такими лицами (подтверждение получения заявки, направление информации о ходе разработки, приглашения к тестированию, опросы об опыте участия и т.п.).

4.3. На этапе функционирования приложения цели обработки:

• обеспечение регистрации пользователей и их аутентификации в приложении;
• предоставление пользователям функционала приложения, связанного с созданием и обработкой их данных внутри закрытой базы сервиса;
• организация и учёт платежей за пользование сервисом (подписка на сервис, оплата доступа) через выбранных платёжных провайдеров;
• организация и направление новостей о проекте и сервиса, а также сервисных и маркетинговых уведомлений в выбранных пользователями каналах коммуникации (электронная почта, мессенджеры, всплывающие уведомления и др.), при наличии согласия субъектов персональных данных;
• обеспечение сохранности и безопасности данных, резервного копирования и восстановления работоспособности сервиса;
• исполнение договорных и законодательно установленных обязанностей ИП.

5. Состав обрабатываемых персональных данных

5.1. На этапе предварительного запуска ИП обрабатывает минимально необходимый набор персональных данных, предоставляемых субъектом добровольно при заполнении формы заявки:

• фамилия, имя, отчество (по выбору субъекта – полное имя, инициалы или псевдоним, если это допускается правилами проекта);
• способ коммуникации: адрес электронной почты и/или контактный идентификатор в мессенджере (например, имя пользователя или уникальный идентификатор в мессенджере Телеграм);
• иные сведения, которые субъект укажет в тексте заявки по собственной инициативе.

5.2. На этапе функционирования приложения в закрытой базе данных сервиса могут обрабатываться:

• данные учётной записи пользователя (имя/никнейм, адрес электронной почты или иной логин, идентификатор учётной записи, технические идентификаторы и иные данные, используемые для аутентификации на основе одноразовых кодов/индивидуальных ссылок);
• контент и данные, которые пользователь размещает, сохраняет или обрабатывает в приложении самостоятельно (тексты, заметки, файлы и иные материалы), в том числе голосовые записи, фото и видеофайлы, иные медиа материалы, которые могут содержать персональные данные самого пользователя и/или третьих лиц. При загрузке графических файлов осуществляется автоматическое удаление метаданных (скрытых цифровых метаданных, включая координаты и параметры съемки) для обеспечения дополнительной приватности субъектов;
• технические данные (IP‑адрес, данные о браузере/устройстве, файлы куки и иные идентификаторы, служащие для обеспечения работоспособности и безопасности сервиса).

5.3. В рамках пользовательского контента пользователь может вносить в приложение сведения о своих родственниках, в том числе об умерших родственниках, а также о детях. Такие сведения обрабатываются как часть пользовательского контента. Пользователь несёт ответственность за правомерность внесения соответствующей информации и учёт прав и законных интересов третьих лиц. По обращению законного представителя ребёнка ИП, при наличии технической возможности, удаляет или ограничивает доступ к персональным данным ребёнка, размещённым в приложении взрослым пользователем.

5.4. Конкретный перечень категорий данных, обрабатываемых в приложении, уточняется и конкретизируется в пользовательском соглашении и отдельных документах, интегрированных в интерфейс сервиса.

5.5. Оператор не осуществляет обработку биометрических персональных данных в понимании ст. 11 Федерального закона № 152 ФЗ. Загружаемые пользователями аудиосообщения и фотографии обрабатываются исключительно в автоматизированном режиме в целях перевода голоса в текст (транскрибация) и визуальной группировки контента (распознавание образов) внутри интерфейса приложения. Данные действия не направлены на установление личности (идентификацию) и осуществляются без участия человека. Обработка специальных категорий данных (раса, взгляды, здоровье) Оператором также не осуществляется.

Cookies и локальное хранилище на публичном лендинге

На публичных страницах сайта (в том числе лендинге) могут использоваться следующие технические средства в браузере пользователя:

• cookie для защиты отправки форм (в том числе от межсайтовой подделки запроса, CSRF) — необходим для безопасной работы интерактивных форм;
• cookie предпочтения языка интерфейса (tw_lang) — необходим для запоминания выбранного языка отображения страниц;
• локальное хранилище браузера (localStorage), ключ tw_cookie_consent — используется только для запоминания факта принятия пользователем уведомления о применении технически необходимых cookie, чтобы не показывать баннер повторно на том же устройстве и в том же браузере.

На текущем этапе аналитические, рекламные и иные cookie для отслеживания поведения пользователей на сайте не применяются.

6. Правовые основания обработки персональных данных

6.1. Правовыми основаниями обработки персональных данных являются:

• согласие субъекта персональных данных на обработку его персональных данных;
• необходимость обработки для заключения и исполнения договоров между ИП и субъектом персональных данных;
• необходимость выполнения обязанностей ИП, установленных законодательством РФ;
• иные основания, предусмотренные законодательством РФ о персональных данных.

6.2. На этапе предварительного запуска персональные данные обрабатываются на основании добровольно и осознанно данного согласия субъекта при отправке заявки (например, посредством проставления отметки/галочки под формой и направления формы).

6.3. На этапе функционирования приложения правовым основанием является, в том числе, акцепт оферты (пользовательского соглашения) и согласие с настоящей Политикой в составе регистрационных форм/интерфейсов сервиса.

7. Условия и порядок обработки персональных данных

7.1. Обработка персональных данных осуществляется с применением и без применения средств автоматизации.

7.2. На этапе предварительного запуска персональные данные хранятся в информационных системах ИП (почтовые сервисы, системы учёта заявок и т.п.) в объёме, необходимом для достижения целей обработки.

7.3. После запуска приложения персональные данные пользователей хранятся и обрабатываются в базе данных приложения, размещённой на сервере хостинг‑провайдера hostkey.ru в соответствии с заключённым договором с провайдером.

7.4. В случае если Пользователь обращается к Сервису, находясь за пределами территории Российской Федерации, он признает и соглашается с тем, что самостоятельно и по собственной инициативе осуществляет трансграничную передачу своих персональных данных Оператору в Российскую Федерацию. Оператор обеспечивает хранение и первичную обработку таких данных на территории РФ.

7.5. Обслуживание серверов и приложений, а также устранение сбоев и неисправностей осуществляется преимущественно на основании анализа журналов событий, конфигурационных файлов и иной технической информации. Просмотр пользовательского контента (содержания баз данных пользователей) по общему правилу не производится и допускается только в исключительных случаях, когда это необходимо для восстановления работоспособности сервиса или защиты прав и законных интересов субъектов персональных данных, при обязательном фиксировании факта такого доступа в неизменяемом журнале аудита безопасности, защищенном от редактирования и удаления (в режиме «только добавление записей»).

7.6. ИП не раскрывает персональные данные третьим лицам и не распространяет их без согласия субъекта, за исключением случаев, когда обязанность предоставить такие данные предусмотрена законодательством РФ либо осуществляется по мотивированному запросу уполномоченных государственных органов.

7.7. ИП может поручать обработку персональных данных третьим лицам (в том числе хостинг‑провайдерам, администраторам информационных систем, разработчикам и иным подрядчикам) на основании заключённого с ними договора при условии соблюдения такими лицами конфиденциальности и обеспечения безопасности персональных данных. Такие лица получают доступ к персональным данным исключительно в объёме, необходимом для выполнения их функций, и не осуществляют регулярный просмотр пользовательского контента.

7.8. Оператор осуществляет трансграничную передачу персональных данных (в том числе путем направления сервисных уведомлений и ответов на запросы пользователей, находящихся за рубежом). Оператор обязуется до начала такой передачи направить уведомление в уполномоченный орган по защите прав субъектов персональных данных в соответствии со ст. 12 Закона № 152-ФЗ.

8. Права субъектов персональных данных

8.1. Субъект персональных данных имеет права, предусмотренные законодательством РФ, включая право:

• получать информацию об обработке своих персональных данных;
• требовать уточнения, блокирования или уничтожения своих персональных данных, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать согласие на обработку персональных данных;
• обжаловать действия или бездействие ИП в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

8.2. Реализация прав субъектов может осуществляться через обращение к ИП по контактам, указанным в разделе 10, а после запуска приложения также через функционал личного кабинета (настройки профиля, управление учетной записью, запрос на удаление данных и т.п.), если это предусмотрено функционалом сервиса.

9. Меры по защите персональных данных

9.1. ИП принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий, включая ограничение доступа к пользовательскому контенту со стороны сотрудников и подрядчиков и использование современных механизмов аутентификации.

9.2. В числе таких мер:

• ограничение доступа к персональным данным сотрудников и подрядчиков (только тем, кому доступ необходим для исполнения их функций);
• использование механизма аутентификации пользователей на основе индивидуальных ссылок и/или одноразовых кодов доступа без хранения постоянных паролей в явном виде в информационных системах ИП;
• использование системы централизованного управления доступом, ограничивающей возможности технического персонала по чтению или выгрузке пользовательского контента без соответствующей сервисной необходимости;
• использование средств защиты информации, предусмотренных конфигурацией серверов и сервисов hostkey.ru;
• резервное копирование данных и контроль их целостности;
• оформление договоров с хостинг‑провайдером и иными лицами, привлекаемыми к обработке персональных данных, с включением условий о конфиденциальности и безопасности.

9.3. ИП назначает ответственное лицо за организацию обработки персональных данных и утверждает необходимые локальные акты (приказ, регламент обработки персональных данных и т.п.).

10. Обратная связь и реквизиты ИП

10.1. По вопросам, связанным с обработкой персональных данных, субъект персональных данных может обратиться к ИП:

• почтовый адрес: 140185, Московская область, г. Жуковский, улица Серова, д. 6, кв. 85;
• адрес электронной почты: privacy@timewoven.ru.

10.2. В обращении рекомендуется указать: Ф.И.О., контактные данные, описание сути запроса и требование (уточнение, блокирование, удаление персональных данных и т.п.).

11. Изменение Политики

11.1. ИП вправе вносить изменения в настоящую Политику. При внесении изменений указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента её размещения на сайте, если иное не предусмотрено новой редакцией Политики.

11.2. Перед запуском приложения ИП актуализирует Политику с указанием фактического функционала сервиса, состава обрабатываемых данных, места размещения серверов и иных существенных условий обработки персональных данных.