Политика конфиденциальности

1.2. Настоящая Политика разработана в соответствии с требованиями:

• Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»
• Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»
• [При применимости: Регламента ЕС 2016/679 (GDPR)]
• Иных нормативных актов РФ в области защиты персональных данных

3.1. Обработка персональных данных осуществляется на следующих принципах:

• Законности и справедливой основы
• Ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей
• Недопущения обработки персональных данных, несовместимой с целями сбора
• Недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой
• Обработки только тех персональных данных, которые отвечают целям их обработки
• Соответствия содержания и объема обрабатываемых персональных данных заявленным целям
• Недопущения обработки избыточных персональных данных
• Обеспечения точности, достаточности и актуальности персональных данных
• Уничтожения либо обезличивания по достижении целей обработки или в случае утраты необходимости в их достижении

4.1. Данные, предоставляемые Пользователем самостоятельно:

• Фамилия, имя, отчество (при наличии)
• Наименование организации и должность
• Контактный телефон
• Адрес электронной почты
• Почтовый адрес (при необходимости доставки)
• ИНН/КПП организации (для юридических лиц)
• Платежные реквизиты (обрабатываются платежными системами)
• Данные, вводимые в формы обратной связи
• Файлы и документы, загружаемые в Сервис

4.2. Данные, собираемые автоматически:

• IP-адрес
• Информация из cookies
• Информация о браузере (User-Agent)
• Дата и время доступа
• Реферер (адрес предыдущей страницы)
• Информация об устройстве (тип, операционная система, разрешение экрана)
• Географическое местоположение (на уровне города/региона по IP)
• Язык браузера и региональные настройки
• История действий в Сервисе (клики, просмотры, время на странице)

4.3. Данные из интеграций и API:

• Данные, получаемые через подключенные интеграции (CRM, мессенджеры, логистические сервисы)
• Информация о заказах и доставках
• Данные клиентов Пользователя (в роли обработчика по поручению)
• Логи событий и ошибок воркфлоу
• Метрики использования API и вебхуков

4.4. Данные из внешних источников:

• Информация от платежных систем о статусе платежей
• Данные от логистических операторов о статусе доставки
• Публично доступная информация из ЕГРЮЛ/ЕГРИП
• Данные из социальных сетей (при авторизации через них)

5.1.1. Предоставление доступа к Сервису:

• Создание и управление учетной записью
• Идентификация и аутентификация Пользователя
• Предоставление персонализированного контента
• Сохранение настроек и предпочтений

5.1.2. Исполнение договора:

• Оказание услуг по автоматизации бизнес-процессов
• Настройка и поддержка интеграций
• Обработка платежей и выставление счетов
• Предоставление технической поддержки

5.1.3. Коммуникация с Пользователем:

• Направление уведомлений о работе Сервиса
• Ответы на запросы и обращения
• Информирование об изменениях в Сервисе
• Рассылка маркетинговых материалов (с согласия)

5.1.4. Улучшение качества Сервиса:

• Анализ использования функций Сервиса
• Выявление и устранение технических проблем
• Разработка новых функций и услуг
• Проведение статистических исследований

5.1.5. Обеспечение безопасности:

• Предотвращение мошенничества и злоупотреблений
• Обнаружение и предотвращение кибератак
• Расследование инцидентов безопасности
• Мониторинг соблюдения условий использования

5.1.6. Соблюдение законодательства:

• Выполнение требований налогового законодательства
• Соблюдение требований по противодействию легализации доходов
• Ответы на запросы государственных органов
• Защита прав и законных интересов Оператора

6.1.1. Согласие субъекта персональных данных:

• На обработку персональных данных (ст. 9 152-ФЗ)
• На получение рекламной информации
• На передачу данных третьим лицам (где требуется)
• На трансграничную передачу данных

6.1.2. Исполнение договора:

• Пользовательское соглашение (публичная оферта)
• Договоры на оказание услуг
• Соглашения об уровне сервиса (SLA)

6.1.3. Законные интересы Оператора:

• Обеспечение безопасности Сервиса
• Предотвращение мошенничества
• Улучшение качества услуг
• Прямой маркетинг существующим клиентам
• Защита прав и интересов Оператора

6.1.4. Исполнение обязанностей, предусмотренных законом:

• Требования налогового законодательства
• Требования законодательства о персональных данных
• Исполнение судебных актов
• Требования правоохранительных органов

7.1. Способы обработки:

• Автоматизированная обработка
• Обработка без использования средств автоматизации
• Смешанная обработка

7.2. Действия с персональными данными:

• Сбор и запись
• Систематизация и накопление
• Хранение и уточнение (обновление, изменение)
• Извлечение и использование
• Передача (предоставление, доступ)
• Обезличивание и блокирование
• Удаление и уничтожение

7.3. Условия обработки:

• Соблюдение конфиденциальности
• Обеспечение безопасности данных
• Ограничение доступа
• Соблюдение прав субъектов
• Выполнение требований законодательства

7.4. Особенности обработки в self-host режиме:

• Часть данных обрабатывается на инфраструктуре Пользователя
• Пользователь несет ответственность за безопасность своей инфраструктуры
• Оператор обрабатывает только метаданные и статистику использования
• Применяются дополнительные соглашения об обработке данных

8.1.1. Технические партнеры:

• Провайдеры хостинга и облачной инфраструктуры
• Сервисы доставки электронной почты
• CDN-провайдеры
• Сервисы резервного копирования
• Системы мониторинга и безопасности

8.1.2. Бизнес-партнеры:

• Платежные системы и банки-эквайеры
• Логистические операторы (СДЭК, Почта России, DHL)
• CRM и ERP системы (по запросу Пользователя)
• Мессенджеры (Telegram, WhatsApp)
• Сервисы аналитики и метрик

8.1.3. Профессиональные консультанты:

• Юридические консультанты (под обязательством конфиденциальности)
• Аудиторы (в объеме, необходимом для проверки)
• Налоговые консультанты

8.1.4. Государственные органы:

• Правоохранительные органы (по запросу)
• Налоговые органы
• Роскомнадзор
• Суды

8.2. Условия передачи:

• Наличие согласия субъекта (где требуется)
• Заключение соглашения о конфиденциальности
• Передача только необходимого объема данных
• Контроль за соблюдением безопасности

9.2. Трансграничная передача может осуществляться:

• В страны, обеспечивающие адекватную защиту прав субъектов персональных данных
• При наличии согласия субъекта в письменной форме
• Для исполнения договора, стороной которого является субъект
• В иных случаях, предусмотренных законодательством

9.3. Основные направления трансграничной передачи:

• Серверы CDN (глобальная сеть)
• Облачные сервисы (AWS, Google Cloud, Azure)
• Сервисы аналитики (Google Analytics)
• Платежные системы международного уровня
• Службы поддержки и разработки

9.4. При трансграничной передаче Оператор:

• Убеждается в обеспечении адекватной защиты
• Заключает необходимые соглашения
• Использует стандартные договорные условия
• Применяет дополнительные меры защиты

10.1. Общие сроки хранения:

• Учетные данные: на протяжении существования аккаунта + 30 дней после удаления
• Договорные документы: 3 года после исполнения договора
• Бухгалтерские документы: 5 лет согласно требованиям законодательства
• Логи и события: 6 месяцев, затем обезличивание или удаление
• Резервные копии: 30 дней (ротация)
• Маркетинговые данные: до отзыва согласия
• Cookies: от сессионных до 2 лет

10.2. Особые случаи:

• При наличии споров — до разрешения
• При судебных разбирательствах — до вступления решения в силу + срок исковой давности
• При расследованиях — до завершения
• По требованию закона — согласно установленным срокам

11.1.1. На доступ к персональным данным:

• Получить подтверждение обработки
• Получить копию обрабатываемых данных
• Узнать цели и сроки обработки
• Узнать источники получения данных

11.1.2. На исправление данных:

• Уточнить неточные данные
• Дополнить неполные данные
• Обновить устаревшие данные

11.1.3. На удаление данных:

• Требовать удаления при отзыве согласия
• Требовать удаления при незаконной обработке
• Требовать удаления при достижении целей
• (С учетом ограничений по законодательству)

11.1.4. На ограничение обработки:

• При оспаривании точности данных
• При незаконной обработке
• При необходимости для защиты прав

11.1.5. На переносимость данных:

• Получить данные в структурированном формате
• Передать данные другому оператору
• (Для автоматизированной обработки на основании согласия или договора)

11.1.6. На возражение:

• Против обработки в целях прямого маркетинга
• Против обработки на основании законных интересов
• Против профилирования

11.1.7. Иные права:

• Отозвать согласие на обработку
• Обжаловать действия Оператора в Роскомнадзор
• Защищать свои права в судебном порядке
• Требовать возмещения убытков

11.2. Порядок реализации прав:

• Направить запрос на email: kirill.dzizenko@gmail.com
• Указать в теме письма: «Запрос по персональным данным»
• Приложить документ, подтверждающий личность
• Дождаться ответа (в течение 30 дней)

11.3. Ограничения прав:

Права могут быть ограничены в случаях, предусмотренных законом:

• Для защиты прав других лиц
• Для обеспечения безопасности
• Для исполнения требований законодательства
• При наличии законных оснований для хранения

12.1. Технические меры защиты:

• Шифрование данных при передаче (TLS 1.2+)
• Шифрование данных при хранении (AES-256)
• Многофакторная аутентификация
• Системы обнаружения вторжений (IDS/IPS)
• Регулярное обновление программного обеспечения
• Сегментация сети и изоляция данных
• Резервное копирование и восстановление
• Мониторинг и логирование доступа

12.2. Организационные меры защиты:

• Ограничение физического доступа к серверам
• Разграничение прав доступа сотрудников
• Обучение сотрудников правилам обработки
• Соглашения о конфиденциальности с сотрудниками
• Регулярный аудит безопасности
• Планы реагирования на инциденты
• Политики и регламенты обработки

12.3. Обязанности Пользователя по безопасности:

• Обеспечить конфиденциальность учетных данных
• Использовать надежные пароли
• Своевременно обновлять контактную информацию
• Незамедлительно сообщать о компрометации
• Соблюдать правила использования Сервиса
• Обеспечить безопасность своих устройств

12.4. Инциденты безопасности:

• При обнаружении утечки Оператор уведомляет в течение 72 часов
• Принимаются меры по минимизации последствий
• Проводится расследование причин
• Уведомляются регуляторы (при необходимости)

12.5. Оператор не несет ответственности за безопасность данных в случае:

• Компрометации учетных данных по вине Пользователя
• Использования незащищенных каналов связи Пользователем
• Нарушения Пользователем правил безопасности
• Воздействия вредоносного ПО на устройства Пользователя

13.1.1. Необходимые (технические) Cookie:

• Аутентификация и поддержание сессии
• Сохранение настроек интерфейса
• Обеспечение безопасности
• Балансировка нагрузки
• Срок хранения: сессионные или до 1 года

13.1.2. Функциональные Cookie:

• Персонализация интерфейса
• Сохранение предпочтений
• Языковые настройки
• История действий
• Срок хранения: до 2 лет

13.1.3. Аналитические Cookie:

• Google Analytics
• Яндекс.Метрика
• Внутренняя аналитика
• Срок хранения: до 2 лет

13.1.4. Маркетинговые Cookie:

• Ретаргетинг и ремаркетинг
• Отслеживание конверсий
• Персонализированная реклама
• Срок хранения: до 1 года

13.2. Управление Cookie:

• Настройки можно изменить в браузере
• Отключение может ограничить функционал
• Удаление Cookie приведет к сбросу настроек
• Используйте режим инкогнито для временного отключения

13.3. Сторонние Cookie:

• Устанавливаются внешними сервисами
• Регулируются политиками третьих лиц
• Оператор не контролирует сторонние Cookie

14.3. Если Оператору становится известно о сборе данных несовершеннолетних:

• Данные блокируются
• Уведомляются законные представители
• Данные удаляются после подтверждения

14.4. Родители или законные представители могут:

• Запросить информацию о данных ребенка
• Требовать удаления данных
• Запретить дальнейший сбор данных

15.1. Оператор использует автоматизированную обработку для:

• Анализа поведения в Сервисе
• Персонализации контента и рекомендаций
• Выявления аномалий и мошенничества
• Оптимизации работы Сервиса
• Сегментации пользователей

15.2. Профилирование не используется для:

• Принятия юридически значимых решений
• Существенного влияния на права Пользователя
• Дискриминации по любым признакам

15.3. Вы имеете право:

• Получить информацию о логике обработки
• Оспорить результаты автоматизированной обработки
• Требовать вмешательства человека
• Отказаться от профилирования

15.4. Алгоритмы машинного обучения:

• Используются для улучшения Сервиса
• Обучаются на обезличенных данных
• Регулярно проверяются на предвзятость
• Не принимают критические решения автономно

16.1. Оператор несет ответственность за:

• Соблюдение законодательства о персональных данных
• Обеспечение конфиденциальности
• Принятие необходимых мер безопасности
• Соблюдение прав субъектов

16.2. Оператор не несет ответственности за:

• Действия третьих лиц, получивших доступ к данным в результате действий Пользователя
• Перебои в работе, связанные с техническими причинами
• Убытки, причиненные в результате использования или невозможности использования Сервиса
• Точность, качество и содержание данных, предоставленных Пользователем

16.3. Ограничение ответственности:

• Ответственность ограничена прямым реальным ущербом
• Максимальный размер ответственности — стоимость услуг за 3 месяца
• Не возмещаются косвенные убытки и упущенная выгода
• Применяются ограничения, установленные Пользовательским соглашением

17.2. Новая редакция Политики вступает в силу:

• С момента размещения на сайте (для несущественных изменений)
• Через 30 дней после уведомления (для существенных изменений)
• Немедленно (для изменений, требуемых законом)

17.3. Уведомление об изменениях:

• Публикация на сайте с указанием даты обновления
• Email-рассылка (для существенных изменений)
• Уведомление по email
• Запрос повторного согласия (где требуется)

17.5. При несогласии с изменениями Пользователь должен:

• Прекратить использование Сервиса
• Удалить свой аккаунт
• Направить возражение (для обработки на основании законных интересов)

18.1. По вопросам персональных данных:

• Email: kirill.dzizenko@gmail.com
• Тема письма: «Запрос по персональным данным»
• Время ответа: до 30 дней
• Язык обращения: русский

18.2. Ответственное лицо (DPO):

• [ФИО ответственного лица]
• Email: [email DPO]
• Телефон: [телефон DPO]

18.3. Для жалоб и обращений в надзорный орган:

• Роскомнадзор
• Адрес: 109074, Москва, Китайгородский проезд, д. 7, стр. 2
• Телефон: +7 (495) 983-33-93
• Сайт: rkn.gov.ru

18.4. Порядок рассмотрения обращений:

• Регистрация обращения — 3 рабочих дня
• Рассмотрение — до 30 календарных дней
• Мотивированный ответ — письменно или электронно
• Возможность обжалования в Роскомнадзор или суд