Политика конфиденциальности
Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей сервиса «OparinKit», размещённого по адресу https://app.oparinseo.ru/ (далее — «Сервис»). Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1. Оператор персональных данных
Оператором, осуществляющим обработку персональных данных, является:
Полное наименование: Индивидуальный предприниматель Опарин Артём Эдуардович
ИНН: 432985980930
ОГРНИП: 319435000040954
Юридический адрес: 610027, Кировская область, г. Киров, ул. Карла Маркса, д. 120А, кв. 9
Email для запросов по ПД: privacy@oparinseo.ru
Email для общих запросов: pr.oparin@yandex.ru
Телефон: +7 951 349 5454
2. Термины
- Пользователь — физическое или юридическое лицо, использующее Сервис.
- Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому Пользователю.
- Обработка персональных данных — любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
3. Состав обрабатываемых персональных данных
Оператор обрабатывает следующие категории персональных данных Пользователей:
| Категория | Состав | Источник получения |
|---|---|---|
| Учётные данные | адрес электронной почты, пароль (в захэшированном виде), отображаемое имя | предоставляет Пользователь при регистрации |
| Контактные данные | номер телефона, логин Telegram, номер WhatsApp | предоставляет Пользователь при регистрации |
| Платёжные данные | сумма, дата, идентификатор операции платёжного сервиса. Реквизиты банковских карт Сервисом не хранятся | передаются платёжным сервисом «Продамус» при оплате |
| Данные об аудитах | введённые Пользователем URL сайтов, ключевые запросы, регионы поиска, результаты аудитов | предоставляет Пользователь |
| Технические данные | IP-адрес, тип браузера и устройства, дата и время посещения, идентификатор сессии (cookie) | фиксируются автоматически |
| Согласие с офертой | факт акцепта, дата, IP-адрес, версия документа | фиксируется автоматически при регистрации |
4. Цели обработки персональных данных
- Идентификация Пользователя и предоставление доступа к Сервису.
- Исполнение договора оказания услуг (публичной оферты), заключённого с Пользователем.
- Информирование Пользователя о статусе аудитов, оплат, движении средств на балансе.
- Обработка обращений в службу поддержки.
- Исполнение требований налогового, бухгалтерского и иного законодательства Российской Федерации.
- Обеспечение безопасности Сервиса, противодействие злоупотреблениям, спаму, мошенничеству.
5. Правовые основания обработки
Обработка персональных данных осуществляется на следующих правовых основаниях:
- согласие Пользователя на обработку персональных данных, выраженное в форме акцепта публичной оферты при регистрации (ст. 6 ч. 1 п. 1 ФЗ № 152-ФЗ);
- исполнение договора, стороной которого является Пользователь (ст. 6 ч. 1 п. 5 ФЗ № 152-ФЗ);
- исполнение полномочий, возложенных на Оператора законодательством РФ (ст. 6 ч. 1 п. 2 ФЗ № 152-ФЗ).
6. Порядок и условия обработки
Обработка персональных данных осуществляется с использованием средств автоматизации и без таковых, в форме сбора, записи, систематизации, накопления, хранения, уточнения, использования, передачи (предоставления), обезличивания, блокирования, удаления, уничтожения.
Хранение персональных данных осуществляется на серверах, физически расположенных на территории Российской Федерации.
7. Передача персональных данных третьим лицам и поручение обработки
Оператор поручает обработку персональных данных третьим лицам (подрядчикам, обработчикам) только в объёме, необходимом для исполнения договора, на основании договоров поручения, в которых установлены требования к защите ПД. Оператор передаёт ПД только следующим категориям получателей:
- Платёжный сервис «Продамус» (ИП Шумилин Артур Сергеевич, ИНН 026621279050, сайт https://prodamus.ru/) — обработчик платежей. Передаются: email, сумма, идентификатор заказа.
- Хостинг-провайдер «Beget» (ООО «Бегет», ИНН 7825496880, сайт https://beget.com/) — процессор/обработчик: размещение серверов и хранение данных на территории РФ.
- Государственные органы Российской Федерации — в случаях, предусмотренных действующим законодательством, на основании надлежаще оформленного запроса.
С каждым подрядчиком (процессором) подписано соглашение о поручении обработки персональных данных (DPA), фиксирующее цели, состав данных, сроки и меры защиты.
Передача персональных данных за пределы территории Российской Федерации (трансграничная передача) Оператором не осуществляется. Хранение и обработка персональных данных производится исключительно на серверах, физически расположенных на территории Российской Федерации (дата-центр «Beget», г. Москва / г. Санкт-Петербург).
8. Сроки обработки и сроки хранения персональных данных
Срок хранения персональных данных определяется целью их обработки и устанавливается отдельно для каждой категории. Срок хранения не превышает периода, необходимого для достижения целей обработки, после чего данные подлежат уничтожению или обезличиванию.
| Категория данных | Срок хранения | Основание |
|---|---|---|
| Учётные и контактные данные | Храним в течение всего периода действия учётной записи | исполнение договора-оферты |
| Платёжные данные и кассовые документы | Срок хранения — 5 лет с даты операции | п. 8 ст. 23 НК РФ, ст. 29 ФЗ «О бухучёте» |
| Технические логи доступа (IP, сессии) | Срок хранения — 90 дней | обеспечение безопасности |
| Отчёты об аудитах | Срок хранения — 30 дней | предоставление услуги |
| Записи о согласиях | Срок хранения — 3 года после отзыва согласия | ст. 9 ч. 5 ФЗ-152 |
Храним персональные данные в течение указанных сроков. По истечении срока хранения данные уничтожаются автоматически или по запросу субъекта.
9. Меры безопасности
Оператор применяет необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, в том числе:
- передача данных по защищённому протоколу HTTPS (TLS);
- хранение паролей Пользователей в виде криптографического хэша (bcrypt);
- шифрование чувствительных данных в базе по алгоритму AES-256-GCM;
- ограничение доступа к серверам Сервиса по IP и SSH-ключам;
- регулярное резервное копирование базы данных;
- обучение лиц, имеющих доступ к персональным данным.
10. Права Пользователя (DSR — Data Subject Rights)
В соответствии с ФЗ-152 Пользователь как субъект персональных данных имеет следующие права:
- Право на доступ — получать информацию о факте, целях, объёме, источниках, способах обработки своих персональных данных;
- Право на получение копии — получить копию своих ПД, обрабатываемых Оператором, в машиночитаемом формате;
- Право на уточнение — требовать уточнения своих персональных данных, если они являются неполными, устаревшими или недостоверными;
- Право на удаление — удалить свои персональные данные и учётную запись по запросу субъекта, если они незаконно получены или не являются необходимыми для заявленной цели обработки;
- Право на блокирование — требовать блокирования персональных данных при их недостоверности или незаконной обработке;
- Право на отзыв согласия — в любой момент отозвать согласие на обработку персональных данных;
- Право на жалобу — обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.
Порядок реализации прав (DSR-процесс)
- Субъект направляет письменное обращение субъекта персональных данных на адрес privacy@oparinseo.ru с электронной почты, указанной при регистрации, либо иным способом, позволяющим однозначно идентифицировать заявителя.
- Оператор в течение 3 рабочих дней подтверждает приём запроса субъекта.
- Оператор рассматривает обращение и предоставляет ответ в течение 10 рабочих дней с момента его получения (срок может быть продлён до 30 дней с уведомлением заявителя).
- По запросу субъекта Оператор бесплатно предоставляет копию его ПД, либо удаляет учётную запись и связанные данные, либо уточняет/блокирует данные.
- Отказ в удовлетворении запроса должен быть мотивирован и предоставлен в письменной форме.
Запросы по правам субъекта направляются на специальный адрес privacy@oparinseo.ru. Общие обращения — pr.oparin@yandex.ru.
11. Удалить аккаунт и удаление учётной записи
Пользователь вправе в любой момент удалить аккаунт и связанные с ним персональные данные. Удаление аккаунта производится:
- через кнопку «Удалить аккаунт» в личном кабинете (раздел «Безопасность»);
- либо по запросу на адрес privacy@oparinseo.ru с электронной почты, указанной при регистрации.
После удаления учётной записи Оператор сохраняет минимально необходимый объём данных, требуемый налоговым и бухгалтерским законодательством, на сроки, предусмотренные таким законодательством.
12. Файлы cookie
Сервис использует файлы cookie. Подробнее — в Политике использования файлов cookie.
13. Изменение Политики
Оператор вправе в одностороннем порядке изменять настоящую Политику. Новая редакция вступает в силу с момента её опубликования по адресу https://app.oparinseo.ru/privacy. Пользователь самостоятельно отслеживает актуальную редакцию.