Политика конфиденциальности

1. Общие положения

Настоящая Политика конфиденциальности (далее - Политика) определяет порядок обработки и защиты персональных данных пользователей веб-сайта и мобильного приложения (далее вместе - Сервис), предоставляемого Индивидуальным предпринимателем Крикунов Егор Олегович, ИНН 561406954820 (далее - Оператор). Политика разработана в соответствии с требованиями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и иных применимых нормативных актов. Оператор обеспечивает неограниченный доступ к настоящей Политике в сети Интернет в соответствии с ч.2 ст.18.1 Федерального закона № 152-ФЗ, размещая её на официальном ресурсе Сервиса.

Использование Сервиса пользователем означает полное и безоговорочное согласие с настоящей Политикой и указанными в ней условиями обработки его персональной информации. Если пользователь не согласен с условиями Политики, он должен воздержаться от использования Сервиса. В случае противоречия отдельных положений Политики действующему законодательству о персональных данных применяются нормы законодательства.

2. Обрабатываемые персональные данные и способы их получения

Оператор обрабатывает персональные данные, то есть любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Персональные данные пользователей могут быть получены следующими способами:

  • Данные, предоставляемые пользователем самостоятельно. При регистрации аккаунта и использовании личного кабинета на Сервисе пользователь предоставляет Оператору актуальные сведения о себе: фамилию, имя, отчество (ФИО), адрес электронной почты, контактный номер телефона и иные данные, которые могут запрашиваться в форме регистрации. Эти данные являются необходимыми для создания учетной записи и последующей идентификации пользователя. Пользователь несёт ответственность за предоставление достоверной и достаточной информации и поддержание её в актуальном состоянии.
  • Данные, автоматически собираемые при использовании Сервиса. В процессе пользования веб-сайтом или мобильным приложением автоматически собирается техническая информация: IP-адрес устройства пользователя, информация из файлов cookie, характеристики браузера или другого программного обеспечения, используемого для доступа, время доступа, адрес запрашиваемых страниц. Также фиксируются данные об активности пользователя: даты и время посещений, маршруты переходов по страницам, действия на сайте (например, просмотренные страницы, клики, заполнение форм) и иная статистическая информация об использовании функционала Сервиса. Сведения об IP-адресе пользователя собираются Оператором, при этом такие данные не используются для установления личности посетителя.
  • Данные о геолокации. Оператор может получать информацию о примерном местоположении пользователя. Данные о геолокации могут определяться по IP-адресу или, с согласия пользователя, посредством GPS и других технологий на устройстве (особенно при использовании мобильного приложения). Пользователь в настройках браузера или устройства вправе запретить передавать данные о своему местоположении; однако в этом случае некоторые возможности Сервиса (например, функции, зависящие от геолокации) могут оказаться недоступны.
  • Данные, связанные с мобильным приложением. При использовании мобильного приложения Оператор может обрабатывать технические идентификаторы, необходимые для функционирования приложения и доставки уведомлений (например, токен push-уведомлений), сведения об устройстве и приложении (модель устройства, версия ОС, версия приложения), а также данные о сбоях/ошибках (crash-логи) в целях обеспечения работоспособности и безопасности Сервиса.

Оператор не обрабатывает специальные категории персональных данных (о расовом или национальном происхождении, политических взглядах, здоровье, интимной жизни и т.п.), а также биометрические персональные данные, если иное не оговорено отдельно. Пользователь должен воздерживаться от размещения в Сервисе персональной информации, не требуемой для использования Сервиса.

3. Цели обработки персональных данных

Оператор осуществляет обработку персональных данных строго в целях, соответствующих законодательству и деятельности Сервиса. Основные цели обработки персональных данных пользователей включают:

  • Предоставление услуг Сервиса. Оператор обрабатывает персональные данные для идентификации пользователя, предоставления доступа к функционалу веб-сайта и мобильного приложения, выполнения обязательств перед пользователем (например, обеспечение работы личного кабинета, сохранение настроек и данных профиля, осуществление онлайн-записи или бронирования и пр.). Обработка указанных данных необходима для исполнения договора об использовании Сервиса или предоставления той функциональности, за которой обратился пользователь.
  • Обратная связь и поддержка. Контактные данные (телефон, email) используются для связи с пользователем, в том числе для направления уведомлений, связанных с использованием Сервиса, обработки запросов в службу поддержки, предоставления справочной информации. Например, Оператор может направлять уведомления о статусе бронирования, изменениях в работе Сервиса, отвечать на вопросы пользователей и т.д.
  • Улучшение качества сервиса и аналитика. Оператор анализирует обезличенные данные использования Сервиса (включая технические данные и статистику посещений) с целью улучшения работы веб-сайта и приложения, разработки новых функций и услуг, удобства пользования, а также для исправления возможных ошибок. В частности, для аналитики посетителей может применяться инструмент веб-аналитики Яндекс Метрика (подробнее см. раздел 5 ниже). Обработка данных в аналитических целях производится в агрегированном или обезличенном виде.
  • Информирование и рассылки. С согласия пользователя Оператор имеет право направлять на указанный пользователем email информационные и рекламные сообщения, связанные с Сервисом, новостями, акциями и предложениями. Такое согласие может выражаться путем совершения пользователем действий, однозначно идентифицирующих его и подтверждающих желание получать сообщения (например, проставление отметки о согласии на рассылку при регистрации либо в настройках аккаунта). Пользователь вправе в любой момент отказаться от получения рекламной и другой информации, уведомив об этом Оператора через предусмотренный в сообщении механизм отказа (например, по ссылке в письме) либо направив соответствующее заявление на контактный email Оператора. В таком случае Оператор прекратит рассылку указанных сообщений на адрес пользователя в разумный срок после получения отказа.
  • Выполнение требований законодательства. Оператор может обрабатывать и хранить персональные данные в целях соблюдения требований российского законодательства, выполнения предписаний уполномоченных органов, ведения бухгалтерского учета, налоговой отчетности, а также для защиты своих прав и законных интересов в случае возникновения споров.

Оператор не использует персональные данные пользователей для целей, не соответствующих вышеописанным. В каждом случае данные обрабатываются в объеме, минимально необходимом для достижения соответствующей цели обработки.

4. Использование файлов cookie и Яндекс.Метрики

Для обеспечения полнофункциональной работы Сервиса, сбора статистики и анализа поведения пользователей Оператор применяет технологию файлов cookie и сторонние инструменты веб-аналитики. В частности, на сайте может быть задействован сервис аналитики «Яндекс Метрика», предоставляемый компанией ООО «Яндекс».

Файлы cookie - это небольшие текстовые файлы, сохраняемые на устройстве пользователя, которые содержат информацию о его активности. Сервис Яндекс.Метрика использует cookie-файлы с целью анализа пользовательской активности на нашем сайте. С их помощью Яндекс собирает обезличенные данные о том, как пользователь использует сайт (посещенные страницы, клики, технические сведения о браузере и устройстве и пр.), и формирует для нас отчеты об активности сайта. Данные, собираемые с помощью cookie, не позволяют идентифицировать конкретного пользователя (не содержат имени, контактных данных и пр.) и используются нами исключительно для улучшения работы Сервиса и качества обслуживания посетителей.

Информация об использовании сайта, собранная посредством cookie, может передаваться в Яндекс и храниться на сервере Яндекса. Яндекс обрабатывает эту информацию в соответствии со своей политикой конфиденциальности и условиями использования сервиса Яндекс Метрика. Обработка данных Яндексом осуществляется в агрегированном виде для оценки использования сайта, составления отчетов и предоставления прочих сервисов, связанных с анализом активности пользователей. Оператор не передает Яндексу какие-либо данные, позволяющие прямо идентифицировать пользователей; передаются только технические и поведенческие метрики.

Продолжая использование нашего Сервиса, пользователь тем самым выражает согласие на сбор и обработку данных о его активности с помощью файлов cookie, в том числе сторонними сервисами (например, Яндекс Метрикой) для целей, указанных выше. Пользователь может отказаться от использования файлов cookie, изменив настройки своего браузера таким образом, чтобы он не сохранял cookie либо удалял их (также можно воспользоваться специальным инструментом оптации от слежения, предлагаемым Яндексом). Однако следует учесть, что отключение cookie может привести к некорректной работе некоторых функций Сервиса.

5. Правовые основания и условия обработки

Оператор обрабатывает персональные данные пользователей на законных основаниях. В зависимости от ситуации таким основанием может являться:

  • Согласие субъекта персональных данных. Пользователь, предоставляя свои персональные данные при регистрации или в процессе использования Сервиса, выражает информированное согласие на их обработку Оператором в соответствии с настоящей Политикой. В ряде случаев отдельное согласие может запрашиваться Оператором (например, на получение рассылки, на передачу данных партнерам и т.д.). Пользователь имеет право в любой момент отозвать данное им согласие, направив Оператору соответствующее уведомление. Отзыв согласия не имеет обратной силы и может повлечь невозможность дальнейшего предоставления некоторых услуг Сервиса, требующих обработки этих данных.
  • Исполнение договора с пользователем. Обработка персональных данных необходима для предоставления пользователю услуг Сервиса в рамках соглашения (публичной оферты, пользовательского соглашения) между Оператором и пользователем. Например, Оператор обрабатывает данные, чтобы создать учетную запись, обеспечить функционирование личного кабинета, предоставить доступ к нужным разделам и функциям Сервиса, осуществлять обратную связь, что является неотъемлемой частью исполнения договора оказания услуг. В этих случаях согласие субъекта может не требоваться, поскольку обработка обусловлена исполнением соглашения, стороной которого является субъект данных (п.5 ч.1 ст.6 ФЗ-152).
  • Исполнение установленных законом обязанностей. Оператор может обрабатывать персональные данные в случаях, когда это необходимо для выполнения требований законодательства (например, хранение финансовых документов, предоставление информации по законным запросам государственных органов и т.д.). Такая обработка осуществляется в объеме и порядке, предусмотренных законом, и не требует отдельного согласия субъекта (основания, предусмотренные ст.6 ФЗ-152).

Оператор гарантирует, что ни при каких условиях не обрабатывает персональные данные пользователей в противоречии с целями, заявленными при их сборе, и без наличия надлежащего правового основания. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таковых (неавтоматизированная обработка), в соответствии с принципами и правилами, предусмотренными законодательством о персональных данных.

6. Сроки обработки и хранение данных

Персональные данные пользователей обрабатываются и хранятся Оператором до тех пор, пока этого требуют заявленные цели их обработки, либо до истечения срока действия согласия пользователя, либо до момента отзыва согласия (если обработка осуществляется на основе согласия), если только дальнейшее хранение данных не требуется в соответствии с обязанностями Оператора по закону.

  • Данные учетной записи. Персональные сведения, предоставленные при регистрации и в профиле аккаунта (ФИО, контактные данные и др.), хранятся на протяжении всего периода использования пользователем Сервиса. В случае удаления аккаунта пользователем либо по его запросу Оператор прекращает обработку и уничтожает соответствующие персональные данные, за исключением тех, которые обязан сохранить по закону (например, информация, содержащаяся в бухгалтерских документах, должна храниться установленный законодательством срок).
  • Лог-файлы и техническая информация. Технические данные (логи веб-сервера, записи о действиях пользователя) хранятся столько, сколько необходимо для целей обеспечения безопасности и функционирования Сервиса, а также проведения аналитики.
  • Переписка и обращения. История переписки пользователя со службой поддержки, запросы и обращения могут храниться в течение срока, необходимого для обработки запроса и последующего улучшения качества обслуживания.

По достижении целей обработки или при отзыва согласия (и отсутствии иных законных оснований для обработки) персональные данные подлежат уничтожению либо обезличиванию в установленные законом сроки. Оператор прекращает обработку персональных данных, также если обнаружится, что данные получены незаконным путем или не требуются более для изначальной цели сбора.

7. Передача персональных данных третьим лицам

Оператор относится с ответственностью к обеспечению конфиденциальности персональных данных пользователей и не разглашает и не передает их третьим лицам без законных оснований. Распространение персональных данных без согласия пользователя не производится, за исключением случаев, прямо предусмотренных настоящей Политикой или законодательством РФ. Передача персональных данных третьим лицам допускается только в следующих случаях:

  • Пользователь дал согласие на передачу. Оператор раскроет или передаст данные конкретному третьему лицу (например, партнеру или сервису) только если пользователь был ясно проинформирован об этом и выразил явное согласие. Такое согласие может быть получено в письменной форме или другим способом, позволяющим зафиксировать факт разрешения от пользователя.
  • Передача необходима для функционирования Сервиса. В рамках предоставления услуг пользователю некоторые данные могут обрабатываться по поручению Оператора другими компаниями, которые выступают в роли партнеров или подрядчиков Оператора. Например, Оператор может поручить обработку персональных данных сервисам:
  • аналитики и статистики (в частности, Яндекс Метрика, как указано выше, собирает и обрабатывает техническую информацию о пользователях для целей статистики);
  • рассылки email или SMS (если Оператор привлекает внешние сервисы для отправки сообщений пользователям);
  • платежным системам (при осуществлении онлайн-оплаты услуг, если такая функциональность внедрена, данные платежей передаются банкам/платежным агрегаторам по защищенным каналам);
  • иным партнерам, без которых оказание услуг или выполнение обязательств перед пользователем было бы невозможным;
  • сервисам доставки push-уведомлений (Firebase Cloud Messaging), используемым для отправки пользователю сервисных уведомлений на устройство (при включении уведомлений пользователем).

Во всех таких случаях передачи Оператор заключает с соответствующим лицом договор, обязывающий обеспечить конфиденциальность получаемых данных и использовать их строго по назначению и в соответствии с законом. Третьи лица-операторы не вправе использовать переданные им персональные данные в иных целях, помимо выполнения услуг для пользователя от имени Оператора.

  • Предусмотрено законом. Оператор может передать персональные данные без согласия субъекта, если обязан предоставить такую информацию уполномоченным органам государственной власти в случаях, предусмотренных законодательством (например, по запросу суда, правоохранительных органов в рамках установленной процедуры), либо в иных случаях, прямо предусмотренных законами (например, передача данных в Пенсионный фонд, налоговые органы, при угрозе жизни и здоровью пользователя и т.д.). В этих случаях Оператор передает информацию строго в объеме и порядке, требуемых соответствующим уполномоченным запросом.

Оператор не продает персональные данные пользователей и не раскрывает их каким-либо организациям или лицам в маркетинговых целях без получения отдельного согласия пользователя. В случае реорганизации бизнеса Оператора (слияния, поглощения и т.п.) обязательства по соблюдению условий настоящей Политики в отношении ранее собранных персональных данных переходят к правопреемнику.

При передаче, поручении обработки или разглашении персональных данных на указанных выше основаниях Оператор соблюдает требования законодательства о персональных данных, в том числе ст. 10 и 11 ФЗ-152, гарантирующие права субъектов при обработке их данных на основе договора или поручения.

8. Трансграничная передача данных

Трансграничная передача персональных данных - это передача данных на территорию иностранного государства иностранным органам власти, иностранным физическим или юридическим лицам.

Оператор стремится обеспечивать обработку и хранение персональных данных пользователей на территории Российской Федерации. Вместе с тем, при использовании отдельных функций Сервиса (в частности, push-уведомлений в мобильном приложении) Оператор может привлекать технологических партнёров, инфраструктура которых может находиться за пределами Российской Федерации.

При включении пользователем push-уведомлений могут обрабатываться технические идентификаторы устройства/приложения (например, токен push-уведомлений), необходимые исключительно для доставки уведомлений. Такая обработка и возможная трансграничная передача осуществляется в минимально необходимом объёме, с применением мер защиты и на законных основаниях, предусмотренных законодательством РФ, и/или на основании согласия пользователя (которое может выражаться, в том числе, через настройки уведомлений в приложении/на устройстве).

Пользователь вправе в любой момент отключить push-уведомления в настройках устройства или приложения; после отключения уведомлений соответствующие технические идентификаторы не используются для доставки уведомлений.

9. Права пользователя как субъекта персональных данных

Каждый пользователь, чьи данные обрабатываются Оператором, обладает всеми правами, предусмотренными законодательством о персональных данных, включая Федеральный закон № 152-ФЗ. Оператор уважает эти права и предоставляет пользователям возможность их реализовать. Основные права субъекта персональных данных:

  • Право на получение информации об обработке. Пользователь имеет право получить от Оператора сведения, касающиеся обработки его персональных данных: подтверждение факта обработки, правовые основания и цели обработки, перечень обрабатываемых данных, источники их получения, применяемые способы обработки, сроки хранения, а также информацию о совершенных или предполагаемых трансграничных передачах. Для реализации этого права пользователь может направить соответствующий запрос Оператору.
  • Право требовать уточнения, блокирования или уничтожения данных. Если пользователь считает, что его персональные данные являются неполными, неточными или нерелевантными, он вправе потребовать от Оператора их уточнения или обновления. В случаях, предусмотренных законом, пользователь также может потребовать временно приостановить обработку (блокировать) его персональных данных либо уничтожить их, если обработка осуществляется незаконно или данные более не нужны для заявленных целей.
  • Право отзыва согласия. Если обработка персональных данных осуществляется на основании ранее выданного пользователем согласия, пользователь в любое время вправе отозвать свое согласие на обработку данных, направив Оператору соответствующее уведомление. После получения отзыва Оператор прекращает обработку данных, основанную исключительно на согласии, за исключением случаев, когда обработка может продолжаться на иных законных основаниях (например, в связи с необходимостью исполнения договора или обязанностей по закону). Отзыв согласия не затрагивает законность обработки, осуществленной до такого отзыва.
  • Право на обжалование действий Оператора. Если пользователь считает, что Оператор нарушает положения законодательства о персональных данных или его законные права и интересы, он вправе обратиться с жалобой в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) либо в судебном порядке отстаивать свои права. Предварительно мы рекомендуем пользователю связаться с Оператором для урегулирования возникающих вопросов.
  • Иные права. Пользователь имеет и другие права, предусмотренные законом, включая право на требование уведомления обо всех действиях с его данными, осуществленных в случае их исправления или уничтожения, право на разъяснение последствий отказа предоставить данные, право на защиту от принятия решений на основе исключительно автоматизированной обработки и т.д., в объеме, установленном действующим законодательством РФ.

Для реализации своих прав и направлений запросов, обращений, отзыва согласия пользователь может связаться с Оператором по контактам, указанным в разделе 11 Политики. Оператор рассмотрит обращение и предоставит ответ в срок не позднее 30 дней с момента получения письменного запроса, либо в иной срок, установленный законодательством. Предоставление информации осуществляется бесплатно, если иное не предусмотрено законом.

10. Меры по защите персональных данных

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных пользователей от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. В частности, для обеспечения безопасности данных реализованы следующие меры (в соответствии со ст.19 Федерального закона № 152-ФЗ):

  • разработаны и применяются локальные акты, определяющие политику Оператора в отношении обработки персональных данных, и документы, устанавливающие процедуры предотвращения и выявления нарушений;
  • назначены ответственные лица за организацию обработки и обеспечение безопасности персональных данных (в случае, если это требуется для ИП или организации);
  • реализованы современные технические меры защиты: использование защищенных каналов передачи данных (SSL-шифрование на сайте), хранение паролей в зашифрованном виде, ограничение доступа к базам данных персональных данных (доступ только уполномоченным сотрудникам);
  • регулярно актуализируются программы и средства защиты информации, применяемые на серверах и в приложении, устанавливаются обновления безопасности;
  • сотрудники Оператора, имеющие доступ к персональным данным, ознакомлены с положениями действующего законодательства о персональных данных, внутренними политиками и обязанностями по неразглашению личной информации;
  • осуществляется внутренний контроль за соответствием обработки персональных данных требованиям закона и настоящей Политики.

Помимо вышеперечисленного, Оператор принимает и другие необходимые меры, достаточные для обеспечения уровня защищенности персональных данных в соответствии с требованиями законодательства РФ. Безопасность персональных данных, в том числе при их обработке в информационных системах, обеспечивается в соответствии со ст.19 Федерального закона № 152-ФЗ и принятими в соответствии с ним подзаконными актами (приказы Роскомнадзора и др.).

Пользователь должен понимать, что ни один способ передачи информации через интернет или способ электронного хранения данных не гарантирует абсолютную безопасность. Однако Оператор прилагает все разумные усилия для защиты персональной информации пользователей. В случае выявления инцидента, затрагивающего персональные данные (утечки, несанкционированного доступа и пр.), Оператор обязуется действовать согласно требованиям законодательства: в необходимых случаях уведомить уполномоченные органы и субъектов данных, принять меры по устранению нарушения и предотвращению аналогичных случаев в будущем.

11. Контактная информация и порядок обращения

Оператор (владелец Сервиса): Индивидуальный предприниматель Крикунов Егор Олегович, ИНН 561406954820.

Если у пользователя имеются вопросы, жалобы, пожелания или требования, связанные с его персональными данными и настоящей Политикой, он может направить письменное обращение Оператору по указанному адресу или на электронную почту. В обращении рекомендуется указать ФИО пользователя, суть запроса, а также контактные данные для обратной связи. Оператор рассмотрит поступившее обращение и направит ответ в адрес заявителя в срок, не превышающий 30 дней с даты получения обращения, либо в иной предусмотренный законодательством срок. При необходимости в ответе будут содержаться запрашиваемые сведения о данных пользователя либо разъяснения и уведомления о предпринимаемых мерах.

12. Изменения в Политике конфиденциальности

Оператор оставляет за собой право вносить изменения в настоящую Политику конфиденциальности. Действующая редакция Политики всегда доступна пользователям на странице по постоянному адресу в интернете. В случае внесения существенных изменений Оператор может проинформировать пользователей посредством дополнительного уведомления (например, через электронную почту либо всплывающее уведомление на сайте/в приложении).

Новая редакция Политики вступает в силу с момента ее размещения (если иное не указано в самой новой редакции). Продолжение использования Сервиса после внесения изменений означает принятие пользователем соответствующей новой редакции Политики. Оператор рекомендует периодически знакомиться с текстом Политики, чтобы быть информированным об актуальных правилах обращения с персональными данными.

Приложение: Настоящая Политика является неотъемлемой частью Пользовательского соглашения (оферты) Оператора. Все вопросы, не урегулированные настоящей Политикой, регулируются в соответствии с Пользовательским соглашением и действующим законодательством Российской Федерации.