ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки персональных данных (политика конфиденциальности) (далее — Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика определяет цели, правовые основания, условия и порядок обработки персональных данных, меры по обеспечению их безопасности, а также права субъектов персональных данных.

1.3. Использование Платформы (в том числе простой просмотр или использование бесплатных калькуляторов) означает безоговорочное согласие Пользователя с настоящей Политикой. В случае несогласия с условиями, Пользователь должен прекратить использование Платформы.

1.4. Оператором персональных данных является: [Ваше наименование/ИП/ООО, ИНН, ОГРН, Адрес].

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. В настоящей Политике используются следующие термины и их определения:

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Контрагент — юридическое лицо или физическое лицо, осуществляющее предпринимательскую деятельность без образования юридического лица (индивидуальный предприниматель), с которым у Оператора заключен гражданско-правовой договор или иное соглашение, предполагающее доступ к Сайту и (или) Сервису;

Лицо, осуществляющее обработку персональных данных по поручению Оператора (Обработчик) — любое лицо, которое на основании договора с оператором осуществляет обработку персональных данных по поручению такого оператора, действуя от имени и (или) в интересах последнего при обработке персональных данных;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение;

Оператор персональных данных (Оператор) — [Ваше наименование/ИП/ООО, ИНН, ОГРН, Адрес];

Персональные данные — любая информация, относящаяся прямо или косвенно к определяемому физическому лицу (субъекту персональных данных);

Пользователь — дееспособное физическое лицо, субъект персональных данных, непосредственно посещающий Сайт и (или) получающий доступ к Сервису и осуществляющий их использование любым способом;

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Сайт — информационный ресурс Оператора, доступный в информационно-телекоммуникационной сети Интернет по доменному имени [Ваш домен];

Сервис — информационный ресурс, владельцем (администратором) которого выступает Оператор;

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Файлы «cookies» — это небольшие файлы, размещаемые на устройствах Пользователя во время использования Сайта и (или) Сервиса для улучшения его функционирования, которые могут содержать идентификатор Пользователя, сведения об устройстве, браузере.

2.2. Иные термины, используемые в настоящей Политике, используются в значении, предусмотренном действующим законодательством Российской Федерации.

3. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

3.1. Оператор имеет право:

3.1.1. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных.

3.1.2. Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

3.2. Оператор обязан:

3.2.1. Организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных.

3.2.2. Отвечать на обращения субъектов персональных данных в соответствии с требованиями Закона о персональных данных.

3.2.3. Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.

4. ОСНОВНЫЕ ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Субъект персональных данных имеет право:

4.1.1. Получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных.

4.1.2. Отозвать ранее данное согласие на обработку персональных данных.

4.1.3. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.1.4. Выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг.

4.1.5. Обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

5. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5.3. Обработка Оператором персональных данных осуществляется в следующих целях:

• Подготовка, заключение и исполнение гражданско-правовых договоров с Контрагентами — физическими и юридическими лицами;
• Предоставление Пользователям функционала Сайта и (или) Сервиса, включая регистрацию и создание учетной записи;
• Обеспечение бесперебойной работы сайта Оператора, улучшение пользовательского опыта, ведение статистики посещений;
• Продвижение товаров, работ и услуг на рынке;
• В иных целях, не противоречащих законодательству Российской Федерации и указанных в согласиях на обработку персональных данных, размещенных на Сайте и (или) в Сервисе.

6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, а именно:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

7. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Перечень обрабатываемых персональных данных:

Для незарегистрированных пользователей:

• Технические данные (файлы cookies, IP-адрес, MAC-адрес устройства, тип браузера, время сессии);
• Данные аналитики (Яндекс.Метрика и аналогичные сервисы).

Для зарегистрированных пользователей:

• Фамилия, имя;
• Адрес электронной почты (e-mail);
• Город и страна проживания;
• Пароль (в хашированном виде);
• Сведения о платежах (через защищенные платежные шлюзы, Оператор не хранит полные данные банковских карт);
• Техническая информация о созданных проектах и результатах расчетов;
• IP-адрес и MAC-адрес устройства Пользователя;
• Действия Пользователя при работе с Платформой.

7.2. Проекты и расчёты пользователей являются конфиденциальными. Оператор не раскрывает третьим лицам содержимое проектов без согласия Пользователя. Оператор вправе использовать обезличенную статистику расчётов для улучшения алгоритмов и функционала Платформы.

7.3. Сроки хранения персональных данных:

• Данные активных пользователей: до удаления аккаунта;
• Данные удалённых аккаунтов: 30 дней после удаления;
• Платёжные данные: 5 лет (требование ФЗ-54 о применении контрольно-кассовой техники);
• Логи доступа: 6 месяцев;
• Файлы cookies: до 1 года.

8. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

8.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных или их представителей на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

8.3. Обработка персональных данных осуществляется путем:

• получения персональных данных в письменной и электронной форме непосредственно от субъектов персональных данных и их представителей;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• использования иных способов обработки персональных данных.

8.4. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор осуществляет сбор согласий на обработку персональных данных, разрешенных субъектом персональных данных для распространения, в соответствии с требованиями, утвержденными Приказом Роскомнадзора от 24.02.2021 № 18.

8.5. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных:

• в течение срока, необходимого для обработки персональных данных в целях, указанных в Политике;
• до тех пор, пока субъект обработки персональных данных является пользователем сайта и сервисов Оператора;
• на протяжении срока, когда обработка необходима для выполнения норм действующего законодательства Российской Федерации.

8.6. Оператор прекращает любую обработку персональных данных в сроки, установленные законом:

• при достижении целей обработки персональных данных, указанных в Политике либо при утрате необходимости их достижения;
• при выявлении неправомерной обработки персональных данных, если обеспечить законность обработки невозможно;
• при истечении срока согласия или его отзыва;
• при ликвидации Оператора.

8.7. Оператор осуществляет обработку технических данных устройств субъектов персональных данных — Файлы «cookies». Пользователи могут самостоятельно ограничить или полностью отключить установку Файлов «cookies» через настройки своего веб-браузера, вследствие чего сайты Оператора могут работать некорректно, а часть их функционала может оказаться недоступна. Файлы «cookies» могут передаваться владельцам сервисов веб-аналитики (в т. ч. Яндекс Метрики, Google Analytics) или других аналогичных сервисов без цели идентификации конкретного пользователя.

9. ПОРЯДОК ПОЛУЧЕНИЯ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Согласие на обработку персональных данных получается Оператором одним из следующих способов:

• путём проставления отметки (галочки) в соответствующем поле формы регистрации на Сайте или в Сервисе;
• путём совершения конклюдентных действий (использование функционала Платформы, в том числе просмотр страниц или использование бесплатных калькуляторов).

9.2. Факт получения согласия фиксируется в информационной системе Оператора с указанием следующих данных:

• IP-адрес устройства Пользователя;
• Дата и время предоставления согласия;
• Версия Политики конфиденциальности, с которой согласился Пользователь.

9.3. Форма согласия на обработку персональных данных размещается на странице регистрации и содержит:

• Ссылку на настоящую Политику конфиденциальности;
• Перечень персональных данных, на обработку которых даётся согласие;
• Цели обработки персональных данных.

9.4. При регистрации на Платформе Пользователь обязан подтвердить согласие на обработку персональных данных путём проставления отметки в соответствующем поле. Регистрация без предоставления такого согласия невозможна.

10. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

10.1. Оператор вправе передавать персональные данные третьим лицам (Обработчикам) для достижения целей обработки, указанных в разделе 5 настоящей Политики.

10.2. Оператор передаёт персональные данные следующим категориям Обработчиков:

• Платёжные системы и операторы электронных денежных средств — для обработки платежей и проведения финансовых транзакций;
• Сервисы рассылки электронных писем — для отправки уведомлений, информационных и рекламных сообщений;
• Хостинг-провайдеры и облачные сервисы — для хранения данных и обеспечения работы Платформы;
• Сервисы веб-аналитики и статистики — для анализа посещаемости и улучшения качества Сервиса.

10.3. Передача персональных данных Обработчикам осуществляется на основании договоров, предусматривающих обязательства Обработчика по обеспечению конфиденциальности и безопасности персональных данных.

10.4. Оператор не передаёт персональные данные третьим лицам в иных целях, кроме указанных в настоящей Политике, без согласия субъекта персональных данных, за исключением случаев, установленных законодательством Российской Федерации.

11. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Оператор осуществляет трансграничную передачу персональных данных только в случаях, предусмотренных законодательством Российской Федерации.

11.2. Трансграничная передача персональных данных осуществляется на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, в соответствии с перечнем, утверждённым Роскомнадзором.

11.3. В случае использования Оператором сервисов, серверы которых расположены за пределами Российской Федерации (веб-аналитика, облачные хранилища, платёжные системы), передача персональных данных осуществляется с соблюдением требований статьи 12 Закона о персональных данных.

11.4. Перед началом трансграничной передачи персональных данных Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

12. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

12.2. Технические меры защиты включают:

• Использование сертифицированных средств защиты информации;
• Шифрование персональных данных при передаче по открытым каналам связи (SSL/TLS);
• Хеширование паролей с использованием современных криптографических алгоритмов;
• Использование межсетевых экранов (firewall) и систем обнаружения вторжений;
• Антивирусную защиту серверов и рабочих станций;
• Регулярное резервное копирование данных;
• Ограничение физического доступа к серверам и оборудованию.

12.3. Организационные меры защиты включают:

• Назначение лица, ответственного за обработку персональных данных;
• Разработку и утверждение локальных актов по вопросам обработки персональных данных;
• Ознакомление работников с положениями законодательства о персональных данных и локальными актами;
• Разграничение прав доступа сотрудников к персональным данным;
• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

12.4. В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21, Оператор определяет уровень защищённости персональных данных в информационных системах на основании следующих критериев:

• Категория обрабатываемых персональных данных;
• Объём обрабатываемых персональных данных;
• Тип угроз безопасности персональных данных.

12.5. Доступ к персональным данным предоставляется только тем сотрудникам Оператора, которым эта информация необходима для выполнения служебных обязанностей.

13. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

13.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

13.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

13.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

13.4. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий 10 рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных по поручению Оператора), за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных.

13.5. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению в срок, не превышающий 30 рабочих дней с даты достижения цели или отзыва согласия, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

13.6. Все запросы и обращения должны быть направлены одним из указанных вариантов:

• путем направления письменного сообщения на адрес Оператора: [Ваш почтовый адрес];
• путем направления электронного сообщения на электронную почту: [Ваш email].

14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

14.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.

14.2. Действующая редакция Политики находится в свободном доступе на Сайте по адресу: [ссылка на Политику конфиденциальности].

14.3. Все предложения или вопросы по настоящей Политике следует направлять на электронную почту: [Ваш email].

14.4. Настоящая Политика является внутренним документом Оператора и подлежит публикации на Сайте в информационно-телекоммуникационной сети Интернет.