Политика обработки персональных данных и конфиденциальности

Оператор: [OPERATOR_NAME].

ОГРН/ОГРНИП: [OPERATOR_OGRN]. ИНН: [OPERATOR_INN].

Юридический адрес: [OPERATOR_ADDRESS].

Контакт по вопросам обработки персональных данных: [PRIVACY_EMAIL].

Лицо, ответственное за организацию обработки персональных данных, определяется приказом Оператора и доступно по запросу на указанный адрес.

2.1. Категории субъектов: посетители сайта [DOMAIN], зарегистрированные клиенты, верифицированные мастера, представители юридических лиц-партнёров, лица, обратившиеся в службу поддержки.

2.2. Категории персональных данных: фамилия, имя; контактный телефон; email; дата рождения (для расчёта показателей методологии); часовой пояс; платёжные идентификаторы (без хранения полных номеров карт — токены платёжных провайдеров); IP-адрес и технические идентификаторы устройства; история бронирований, переписки и звонков на Платформе; данные о подписке мастеров и финансовых операциях.

2.3. Биометрические и специальные категории персональных данных Оператор не собирает.

2.4. Полные номера платёжных карт Оператор не получает и не хранит — оплата проходит на стороне сертифицированных PCI DSS платёжных провайдеров (CloudPayments, ЮKassa).

3.1. Регистрация и аутентификация пользователя, верификация мастеров, восстановление доступа.

3.2. Исполнение договора-оферты: поиск и подбор мастеров, бронирование и проведение консультаций, расчёт и перечисление вознаграждений.

3.3. Обеспечение работы платёжного контура: проведение платежей, возвратов, отчётность перед платёжными провайдерами и налоговыми органами.

3.4. Связь с пользователями: уведомления по email, push, SMS, мессенджерам о статусе бронирований, изменениях в Учётной записи и сервисных операциях.

3.5. Безопасность и аудит: предотвращение мошенничества, расследование инцидентов, ведение журналов доступа.

3.6. Аналитика и улучшение сервиса в обезличенной форме.

3.7. Маркетинговые рассылки — только при наличии отдельного согласия Пользователя и с возможностью отписаться в каждом письме.

4.1. Согласие субъекта персональных данных (ст. 6 ч. 1 п. 1 152-ФЗ), полученное в интерфейсе Платформы при регистрации и при отдельных действиях (например, согласие на маркетинговые рассылки).

4.2. Договор, стороной которого является субъект персональных данных (ст. 6 ч. 1 п. 5 152-ФЗ), — настоящая публичная оферта.

4.3. Исполнение обязанностей, возложенных на Оператора законодательством Российской Федерации (налоговое, бухгалтерское, антиотмывочное законодательство, требования Роскомнадзора).

4.4. Защита прав и законных интересов Оператора и третьих лиц (ст. 6 ч. 1 п. 7 152-ФЗ) — в части аудита, противодействия мошенничеству и разрешения споров.

5.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без таковых. Запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение производятся в соответствии с настоящей Политикой.

5.2. Хранение персональных данных граждан Российской Федерации производится с использованием баз данных, расположенных на территории Российской Федерации (требование ч. 5 ст. 18 152-ФЗ). Перечень фактических площадок размещения серверов и обработчиков — [HOSTING_DETAILS].

5.3. Сроки обработки соответствуют целям обработки. После достижения целей или отзыва согласия данные удаляются или обезличиваются в течение 30 рабочих дней, если иное не предусмотрено законодательством Российской Федерации (например, налоговый учёт — 5 лет, бухгалтерская отчётность — 5 лет, журналы доступа — 1 год).

6.1. Оператор привлекает следующие категории обработчиков, действующих по поручению Оператора в соответствии с ч. 3 ст. 6 152-ФЗ: платёжные провайдеры (CloudPayments, ЮKassa) — для приёма платежей; провайдер email-рассылок ([EMAIL_PROVIDER]); провайдер push-уведомлений (Expo / VK Push Service для RuStore); провайдер транскрибации голосовых сообщений и видеозвонков ([TRANSCRIPTION_PROVIDER]); провайдер видеосессий (LiveKit); провайдер хостинга и систем мониторинга ([HOSTING_PROVIDER]).

6.2. С каждым обработчиком заключён договор поручения, содержащий обязательство соблюдать конфиденциальность и применять меры защиты, соответствующие требованиям Оператора.

6.3. Передача данных государственным органам производится только по основаниям и в порядке, предусмотренным законодательством Российской Федерации.

6.4. Трансграничная передача персональных данных в страны, не обеспечивающие адекватную защиту, осуществляется только при наличии письменного согласия субъекта (ст. 12 152-ФЗ) либо в иных случаях, предусмотренных указанной статьёй; перечень фактической трансграничной передачи — [CROSS_BORDER_DETAILS].

7.1. Платформа использует строго необходимые cookies (аутентификация, защита от CSRF), функциональные cookies (выбранный язык, региональные настройки) и cookies аналитики в обезличенной форме.

7.2. Маркетинговые cookies и трекеры третьих лиц подключаются только при наличии явного согласия Пользователя, выраженного через cookie-баннер.

7.3. Пользователь вправе отказаться от необязательных cookies или удалить их средствами браузера; отказ от строго необходимых cookies делает невозможным корректную работу Платформы.

Согласно ст. 14 152-ФЗ субъект имеет право: получать информацию об обработке его персональных данных; требовать их уточнения, блокирования или уничтожения; отзывать согласие на обработку; обжаловать действия Оператора в Роскомнадзор и суд.

Запросы направляются на [PRIVACY_EMAIL] с указанием ФИО, контактных данных и существа запроса, а также способа подтверждения личности (например, скан паспорта с закрашенным фото — для отдельных запросов). Срок ответа — 30 календарных дней с даты получения запроса (ч. 1 ст. 20 152-ФЗ).

Жалобы Пользователь вправе направлять также в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

9.1. Оператор применяет правовые, организационные и технические меры, направленные на защиту персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

9.2. К техническим мерам относятся: шифрование чувствительных полей в базе данных и backup-копиях; шифрование канала передачи данных (TLS 1.2+); двухфакторная аутентификация для административных учётных записей; ведение журналов доступа и операций; регулярный аудит уязвимостей и обновление компонентов.

9.3. К организационным мерам относятся: внутренние политики и инструкции для сотрудников; ограничение доступа по принципу минимально необходимых полномочий; обязательства о неразглашении персональных данных.

10.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция размещается по адресу [DOMAIN]/privacy и вступает в силу с момента опубликования, если в ней не указан более поздний срок.

10.2. О существенных изменениях, затрагивающих права субъектов, Оператор уведомляет Пользователей по email или иным каналам не менее чем за 14 календарных дней до вступления изменений в силу.

По любым вопросам обработки персональных данных, реализации прав субъекта или отзыва согласия — [PRIVACY_EMAIL].

Для официальной корреспонденции: [OPERATOR_ADDRESS], с пометкой «Запрос по персональным данным».