Политика оператора ООО «Дети-цветы жизни» в отношении обработки персональных данных

1. Общие положения

1.1. Политика оператора в отношении обработки персональных данных (далее — Политика) разработана в целях обеспечения защиты прав и свобод Субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Основные понятия, используемые в Политике:

1.2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (Субъекту персональных данных);

1.2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

— сбор;

— запись;

— систематизацию;

— накопление;

— хранение;

— уточнение (обновление, изменение);

— извлечение;

— использование;

— передачу (распространение, предоставление, доступ);

— обезличивание;

— блокирование;

— удаление;

— уничтожение персональных данных.

1.2.3. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

1.2.4. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц;

1.2.5. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

1.2.6. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

1.2.7. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1.2.8. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных;

1.2.9. Оператор персональных данных (Оператор) — общество с ограниченной ответственностью «Дети-цветы жизни» (Российская Федерация, город Тюмень, ОГРН 1257200014576, ИНН 7203598082), организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.2.10. Программа — программное обеспечение «Отзывчик», доступное на сайте Оператора по адресу https://otzyvchik.ru;

1.2.11. Лицензиат — физическое или юридическое лицо (включая индивидуальных предпринимателей), являющееся пользователем Программы на основании заключённого с Оператором лицензионного договора, размещённого по адресу https://otzyvchik.ru/oferta.

1.3. Оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных — не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

8) информацию об осуществлённой или о предполагаемой трансграничной передаче данных.

1.5. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1.7. Оператор персональных данных вправе:

— отстаивать свои интересы в суде;

— предоставлять персональные данные Субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

— отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

— использовать персональные данные Субъекта без его согласия в случаях, предусмотренных законодательством.

1.8. При сборе персональных данных Оператор обязан предоставить Субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных».

1.9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с Федеральным законом от 21.07.2014 № 242-ФЗ, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».

1.10. Оператор в отношении обработки персональных данных определяет порядок обработки и защиты информации о физических лицах, пользующихся услугами сайта https://otzyvchik.ru(далее — сайт Оператора) и Программы.

1.11. Регистрируясь в системе на сайте Оператора и используя функционал её Программы, Субъект персональных данных соглашается с условиями настоящей Политики.

1.12. В случае несогласия Субъекта персональных данных с условиями настоящей Политики использование Программы и её функционала должно быть немедленно прекращено Субъектом персональных данных.

1.13. Оператор обрабатывает следующие персональные данные Субъектов персональных данных — Лицензиатов и иных авторизованных пользователей Личного кабинета, — которые вводятся Субъектом персональных данных при регистрации на сайте Оператора:

— фамилия, имя, отчество (или иное имя, указанное Субъектом);

— адрес электронной почты;

— номер контактного телефона (при добровольном предоставлении);

— наименование организации и должность (при добровольном предоставлении);

— ИНН организации (при добровольном предоставлении);

— иные данные, добровольно сообщаемые Субъектом для обеспечения функциональности Программы (адрес и иные сведения об организациях Лицензиата, размещаемые на геосервисах).

1.14. Дополнительно Оператор обрабатывает данные, которые автоматически передаются в процессе использования Программы:

— IP-адрес;

— данные файлов cookies;

— информация о браузере и операционной системе (User-Agent);

— время доступа;

— данные о действиях пользователя в Программе (логи, аудит-журналы операций).

1.15. В рамках функционала Программы Оператор может обрабатывать данные физических лиц, содержащиеся в общедоступных источниках информации, в частности — в публикуемых отзывах и комментариях, размещённых пользователями геосервисов (Яндекс Карты, 2ГИС и иных) на карточках организаций Лицензиатов. К таким данным относятся: публичный псевдоним или отображаемое имя автора отзыва, текст отзыва, оценка, дата публикации, ссылка на общедоступный профиль автора (если предоставлена платформой), а также фотоматериалы, размещённые автором в качестве части отзыва.

1.16. Обработка данных, указанных в пункте 1.15 настоящей Политики, осуществляется без получения отдельного согласия субъекта на основании пункта 11 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе) и статьи 8 указанного Федерального закона (общедоступные источники персональных данных).

Субъект вправе обратиться к Оператору с требованием прекращения обработки или удаления его данных в порядке, предусмотренном статьёй 14 Федерального закона «О персональных данных», направив запрос на  info@sdozor.ru.

1.17. Дополнительные данные, вводимые Субъектом добровольно в процессе использования Программы, обрабатываются Оператором в рамках настоящей Политики. Передача таких данных третьим лицам осуществляется только с согласия Субъекта персональных данных, за исключением случаев, предусмотренных федеральным законодательством.

1.18. Оператор может передавать данные привлекаемым обработчикам и партнёрам для обеспечения интеграции с геосервисами (Яндекс Карты, 2ГИС и иные), приёма платежей через платёжного агента (CloudPayments), отправки уведомлений (электронная почта, мессенджер Telegram), а также для автоматизированной классификации и генерации ответов на отзывы средствами поставщиков услуг искусственного интеллекта (Polza AI и иные сертифицированные поставщики), в объёме, необходимом для функционирования Программы. Перечень привлекаемых обработчиков указан в разделе 5 настоящей Политики.

1.19. Сайт использует файлы cookies и аналогичные технологии (включая локальное хранилище браузера) для обеспечения работы аутентификации, сохранения пользовательских настроек, защиты от мошенничества и аналитики использования.

Субъект вправе отключить cookies в настройках браузера, однако это может привести к ограничению доступной функциональности (включая невозможность входа в Личный кабинет). Продолжение использования сайта означает согласие Субъекта на обработку данных с использованием файлов cookies.

1.20. Оператор принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

В числе таких мер: шифрование чувствительных данных в базе данных по алгоритму AES-256-GCM, передача данных по защищённому протоколу HTTPS с использованием актуальных сертификатов, контроль доступа на уровне ролей, ведение журнала аудита операций, регулярное обновление программного обеспечения и операционных систем, размещение серверов в дата-центрах на территории Российской Федерации.

2. Цели сбора персональных данных

2.1. Обработка персональных данных осуществляется в следующих целях:

— заключение, исполнение и расторжение гражданско-правовых договоров (лицензионных, возмездного оказания услуг, иных);

— регистрация и идентификация Субъекта в Программе;

— предоставление доступа к функционалу Программы и Личному кабинету;

— приём платежей и ведение учёта расчётов с Лицензиатами;

— исчисление и уплата налогов, страховых и пенсионных взносов;

— оказание услуг по управлению онлайн-репутацией организаций Лицензиатов: мониторинг отзывов на геосервисах, синхронизация данных карточек, автоматизированная классификация и генерация ответов средствами искусственного интеллекта, направление обращений в службы модерации геосервисов в связи с размещением недостоверного или нарушающего правила контента;

— направление уведомлений Лицензиату по адресу электронной почты и (или) в мессенджере Telegram о поступлении новых отзывов, статусе подписки, технических работах и иных значимых событиях;

— техническая поддержка пользователей;

— направление информационных и рекламных сообщений (с согласия Субъекта);

— улучшение качества Программы и анализ пользовательского опыта;

— обнаружение и предотвращение мошеннических действий, включая защиту от несанкционированного доступа к Личным кабинетам;

— защита прав и законных интересов Оператора в претензионном и судебном порядке;

— выполнение требований законодательства Российской Федерации.

3. Правовые основания обработки

3.1. Обработка персональных данных осуществляется на основании:

— Конституции Российской Федерации;

— Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

— Федерального закона от 21.07.2014 № 242-ФЗ (о локализации обработки персональных данных граждан Российской Федерации на территории Российской Федерации);

— Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

— Налогового кодекса Российской Федерации;

— Гражданского кодекса Российской Федерации;

— Устава и иных учредительных документов Оператора;

— заключённых с Субъектом персональных данных договоров (включая лицензионный договор, размещённый по адресу https://otzyvchik.ru/oferta);

— согласия Субъекта персональных данных на обработку (в случаях, не предусмотренных законодательством);

— пункта 5 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» — для обработки, необходимой для исполнения договора, стороной которого является Субъект персональных данных;

— пункта 7 части 1 статьи 6 указанного Федерального закона — для обработки, осуществляемой в целях достижения общественно значимых целей или законных интересов Оператора (в частности, обеспечения безопасности и защиты от мошенничества);

— пункта 11 части 1 статьи 6 указанного Федерального закона — для обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

— статьи 8 указанного Федерального закона — для обработки данных из общедоступных источников персональных данных.

4. Объём и категории обрабатываемых данных

4.1. Оператор обрабатывает персональные данные следующих категорий Субъектов персональных данных:

5. Привлекаемые обработчики и трансграничная передача

5.1. Оператор привлекает на договорной основе следующих обработчиков персональных данных, действующих по поручению Оператора с соблюдением режима конфиденциальности и требований Федерального закона «О персональных данных»:

— ООО «Тайм-Веб» (Timeweb)и иные операторы дата-центров на территории Российской Федерации — для размещения серверной инфраструктуры Программы и баз данных;

— АО «КлаудПэйментс» (CloudPayments) — платёжный агент для приёма онлайн-платежей, обработки и защищённого хранения реквизитов банковских карт Лицензиатов в соответствии с PCI DSS;

— ООО «Яндекс»(сервис Яндекс Бизнес и Яндекс Карты) — для синхронизации данных карточек организаций Лицензиатов, получения отзывов и направления ответов на отзывы;

— АО «ДубльГИС»(сервис 2ГИС) — для аналогичных целей в части интеграции со справочно-информационным сервисом 2ГИС;

— поставщики услуг искусственного интеллекта(включая, но не ограничиваясь, Polza AI и иные сертифицированные поставщики, предоставляющие услуги классификации и генерации текста) — для автоматизированной классификации сентимента отзывов и генерации проектов ответов на отзывы. В адрес поставщиков услуг искусственного интеллекта передаются текстовые данные отзывов и ответов в объёме, необходимом для выполнения соответствующих операций; передача персональных данных Лицензиатов поставщикам услуг искусственного интеллекта не осуществляется;

— Telegram Messenger Inc. — для доставки уведомлений по инициативе Лицензиата (при условии добровольной активации Лицензиатом интеграции с Telegram-ботом Оператора).

5.2. Перечень обработчиков может изменяться в связи с изменением технологического стека Программы. Актуальный перечень доступен по запросу Субъекта персональных данных, направленному на  info@sdozor.ru.

5.3. В связи с использованием отдельных обработчиков (Telegram Messenger Inc.) допустима трансграничная передача части персональных данных в иностранные государства, обеспечивающие адекватную защиту прав субъектов персональных данных, либо на основании согласия Субъекта в соответствии со статьёй 12 Федерального закона «О персональных данных». До начала такой трансграничной передачи Оператор уведомляет уполномоченный орган в порядке, установленном законодательством.

6. Порядок и условия обработки

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования таких средств (смешанная обработка). К операциям обработки относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

6.2. Персональные данные хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями Федерального закона от 21.07.2014 № 242-ФЗ.

6.3. Срок обработки персональных данных определяется достижением целей, для которых они были собраны. При достижении целей обработки персональные данные подлежат уничтожению или обезличиванию в течение 30 (тридцати) дней, если иное не предусмотрено договором или законодательством Российской Федерации (в частности, требованиями к срокам хранения первичных учётных документов и документов кадрового учёта). При невозможности немедленного уничтожения данные блокируются на срок до шести месяцев с последующим уничтожением.

6.4. Сведения о конкретных сроках хранения по каждой цели обработки представлены в Приложении 1 к настоящей Политике.

6.5. Передача персональных данных органам дознания и следствия, иным уполномоченным органам осуществляется по основаниям и в порядке, предусмотренным законодательством Российской Федерации.

6.6. Отзыв согласия на обработку осуществляется путём направления письменного заявления на адрес Оператора. При отзыве согласия учётная запись деактивируется, а персональные данные подлежат уничтожению в сроки, предусмотренные настоящей Политикой и законодательством, за исключением случаев, когда продолжение обработки необходимо в силу прямого указания закона.

6.7. Меры защиты персональных данных включают:

— шифрование чувствительных данных (включая учётные данные интеграций с геосервисами и иные секретные параметры) в базе данных по алгоритму AES-256-GCM;

— обеспечение защищённой передачи данных по протоколу HTTPS с применением актуальных сертификатов;

— разграничение прав доступа на уровне ролей (мультиарендная архитектура с изоляцией данных по организациям);

— ведение журнала аудита значимых операций (вход в Личный кабинет, изменение настроек, направление ответов на отзывы, операции биллинга);

— регулярное обновление программного обеспечения, операционных систем и криптографических библиотек;

— резервное копирование данных и контроль целостности резервных копий;

— организационные меры (внутренние политики, инструктаж работников, контроль соблюдения режима конфиденциальности).

7. Биометрические персональные данные

7.1. В рамках функционирования Программы обработка биометрических персональных данных не осуществляется.

7.2. В случаях, если такая обработка потребуется в будущем (например, для нужд кадрового учёта работников Оператора), она будет осуществляться только при наличии письменного согласия субъекта, за исключением случаев, предусмотренных законодательством в области обеспечения обороны страны, безопасности государства, противодействия терроризму, транспортной безопасности, оперативно-розыскной деятельности, государственной службы, уголовно-исполнительного законодательства, порядка выезда из Российской Федерации и въезда в Российскую Федерацию.

7.3. Биометрические персональные данные хранятся на защищённых материальных носителях с уникальными идентификационными номерами и электронными подписями, обеспечивающими целостность и подлинность информации. Доступ к биометрическим данным ограничен кругом уполномоченных лиц.

8. Обеспечение доступа и уточнения данных

8.1. Оператор предоставляет Субъекту персональных данных информацию об обработке его данных в течение 30 (тридцати) дней с момента получения запроса на безвозмездной основе.

8.2. Неточные персональные данные подлежат уточнению Оператором в течение 7 (семи) рабочих дней с момента получения сведений; незаконно полученные данные — уничтожению в течение 7 (семи) рабочих дней. Третьи лица, которым ранее были переданы данные, уведомляются о внесённых изменениях.

8.3. Обработка персональных данных прекращается при отзыве согласия субъектом, достижении целей обработки или выявлении неправомерной обработки. Уничтожение данных осуществляется в срок от 30 до 180 дней в зависимости от обстоятельств.

8.4. Для реализации своих прав Субъект может направить письменный запрос на адрес электронной почты: info@sdozor.ru или через Личный кабинет Программы.

8.5. Субъект вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.

9. Заключительные положения

9.1. Настоящая Политика вступает в силу с момента утверждения Оператором и действует бессрочно до замены новой редакцией.

9.2. Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента размещения на сайте, если иное не предусмотрено новой редакцией Политики.

9.3. Действующая редакция Политики размещена в свободном доступе по адресу: https://otzyvchik.ru/policy.

9.4. По вопросам, связанным с обработкой персональных данных, обращайтесь:

Email: info@sdozor.ru

Адрес: 625026, Тюменская область, г. Тюмень, ул. 50 Лет ВЛКСМ, д. 69, кв. 45

Телефон: +7 (932) 321-03-85

Приложение 1. Перечень обработок персональных данных

В соответствии с целями обработки Оператор осуществляет следующие виды обработок: