Политика в отношении обработки персональных данных

Настоящая Политика в отношении обработки персональных данных (далее — «Политика») определяет порядок обработки и защиты персональных данных физических лиц (далее — «субъекты персональных данных»), использующих мини-приложение «По Брацки» — клуб взаимных скидок, функционирующее в среде мессенджера Telegram (далее — «Сервис»).

Оператором персональных данных является ИП Смелков Сергей Леонидович (далее — «Оператор»), ОГРНИП: 319237500227177, ИНН: 237000704741, адрес: г. Славянск-на-Кубани, Краснодарский край, Россия.

Политика разработана в соответствии со следующими нормативными правовыми актами:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о персональных данных» или «152-ФЗ»);
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Иные нормативные правовые акты Российской Федерации в области защиты персональных данных.

Использование Сервиса означает безоговорочное согласие субъекта персональных данных с настоящей Политикой и указанными в ней условиями обработки персональных данных. В случае несогласия с условиями Политики субъект персональных данных должен прекратить использование Сервиса.

Оператор оставляет за собой право вносить изменения в настоящую Политику. Актуальная версия Политики всегда доступна на данной странице.

1.1. Определения

В настоящей Политике используются следующие термины и определения:

• Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
• Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
• Оператор — ИП Смелков Сергей Леонидович, самостоятельно или совместно с другими лицами организующее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными.
• Субъект персональных данных — физическое лицо, которое непосредственно или через своего законного представителя обратилось к Оператору с запросом об обработке персональных данных, а также физическое лицо, в отношении которого Оператор осуществляет обработку персональных данных.
• Пользователь — любое физическое лицо, использующее Сервис «По Брацки» через интерфейс Telegram Mini App.
• Клиент (подписчик клуба) — Пользователь, оформивший подписку на участие в клубе взаимных скидок «По Брацки».
• Партнёр — Пользователь, зарегистрированный в Сервисе в качестве представителя бизнеса (индивидуального предпринимателя или юридического лица) и размещающий информацию о своих услугах, скидках и акциях в рамках клуба взаимных скидок.
• Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
• Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

В соответствии со статьёй 5 Закона о персональных данных Оператор обеспечивает обработку персональных данных с соблюдением следующих принципов:

• Законность и справедливость — обработка персональных данных осуществляется на законных и справедливых основаниях.
• Ограничение целями — обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.
• Запрет на объединение баз данных — не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
• Достоверность — обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
• Соразмерность — содержание и объём обрабатываемых персональных данных не должны превышать заявленных целей обработки.
• Точность — при обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки.
• Своевременное уничтожение — хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки.
• Целостность и конфиденциальность — обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
• Обеспечение безопасности — Оператор принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

Правовым основанием обработки персональных данных Оператором является совокупность правовых норм, составляющих нормативную базу, включая:

• Конституция Российской Федерации — статья 24 (право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени).
• Гражданский кодекс Российской Федерации — статья 152.1 (охрана изображения гражданина) и статья 152.2 (охрана частной жизни гражданина).
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в полном объёме.
• Иные нормативные правовые акты, регулирующие отношения, связанные с обработкой персональных данных.

В соответствии со статьёй 6 пункта 1 Закона о персональных данных обработка персональных данных осуществляется в следующих случаях:

• Согласие субъекта персональных данных (подпункт 1) — субъект персональных данных выражает согласие на обработку своих персональных данных путём начала использования Сервиса.
• Исполнение договора (подпункт 5) — обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем.
• Законное обязательство (подпункт 7) — обработка необходима для соблюдения установленных законодательством Российской Федерации обязательств Оператора.
• Защита жизненно важных интересов (подпункт 8) — обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия невозможно.

Оператор обрабатывает персональные данные следующих категорий субъектов:

• Пользователи Сервиса — все физические лица, открывшие мини-приложение «По Брацки» через Telegram.
• Клиенты (подписчики клуба) — Пользователи, оформившие платную подписку на участие в клубе взаимных скидок.
• Партнёры (владельцы бизнес-аккаунтов) — Пользователи, зарегистрировавшие бизнес-аккаунт для размещения информации о скидках и акциях.

4.1. Данные, получаемые автоматически при авторизации

При запуске мини-приложения через платформу Telegram Оператор получает из объекта Telegram initData следующие данные:

• Уникальный идентификатор Telegram (Telegram ID);
• Имя пользователя (username), если указано;
• Имя и фамилия, указанные в профиле Telegram;
• URL фотографии профиля Telegram;
• Язык интерфейса Telegram.

Цель обработки: регистрация, авторизация и идентификация Пользователя, предоставление доступа к функциональности Сервиса.

4.2. Данные, предоставляемые Пользователем дополнительно

• Номер телефона (при добровольном указании);
• Адрес электронной почты (при добровольном указании);
• Информация о себе (био, описание).

Цель обработки: обеспечение связи с Пользователем, восстановление доступа, отправка уведомлений и информации о Сервисе.

4.3. Данные бизнес-аккаунтов (Партнёры)

• Наименование бизнеса;
• Описание бизнеса и предоставляемых услуг;
• Фактический адрес ведения деятельности;
• Перечень услуг и скидок;
• Фотографии и изображения (галерея);
• Контактная информация для клиентов (телефон, адрес, часы работы).

Цель обработки: размещение информации о бизнесе Партнёра в каталоге Сервиса, управление скидочными предложениями, обеспечение взаимодействия между Партнёрами и Клиентами.

4.4. Финансовые данные

При проведении платежей Оператор обрабатывает следующие данные:

• Сумма и дата платежа;
• Идентификатор транзакции;
• Способ оплаты (платёжный провайдер ТБанк);
• Статус платежа.

Цель обработки: оформление и проведение оплаты за подписку клуба, обработка возвратов, ведение бухгалтерского и налогового учёта. Платёжные реквизиты банковских карт Оператором не хранятся — их обработка осуществляется платёжными провайдерами.

4.5. Технические данные

В связи с тем, что Сервис функционирует как Telegram Mini App, объём собираемых технических данных минимален. К ним могут относиться:

• IP-адрес (получается сервером при запросах);
• Информация об устройстве и версии Telegram (из заголовков запроса);
• Логи обращений к серверу (для обеспечения работоспособности).

Цель обработки: обеспечение работоспособности Сервиса, предотвращение мошенничества и злоупотреблений, ведение статистики.

4.6. Передача данных третьим лицам

Оператор не передаёт персональные данные субъектов третьим лицам без их согласия, за исключением следующих случаев:

• Telegram FZ-LLC — данные, необходимые для функционирования Сервиса в рамках Telegram Mini App, передаются через Telegram API в соответствии с Политикой конфиденциальности Telegram. Telegram является международным сервисом, и передача данных осуществляется за пределы территории Российской Федерации. Используя Сервис, Пользователь выражает согласие на такую передачу.
• Платёжные провайдеры (ТБанк) — данные, необходимые для проведения платежей (сумма, идентификатор транзакции), передаются платёжным системам в объёме, достаточном для совершения операции.
• Облачный хостинг-провайдер — данные размещаются на серверах облачного провайдера, расположенных на территории Российской Федерации, для обеспечения работоспособности Сервиса.
• Государственные органы — передача данных осуществляется по запросам уполномоченных государственных органов в соответствии с действующим законодательством Российской Федерации.

Сервис «По Брацки» функционирует как Telegram Mini App — мини-приложение, работающее внутри мессенджера Telegram. В связи с этим Сервис не использует традиционные файлы cookie, применяемые в стандартных веб-браузерах для хранения данных на устройстве пользователя.

Telegram Mini App работает в изолированной среде мессенджера и не имеет доступа к механизмам cookie, localStorage и sessionStorage в том объёме, в котором они доступны обычным веб-сайтам. Идентификация Пользователя осуществляется исключительно через механизм Telegram initData, обеспечиваемый платформой Telegram.

Для анализа использования Сервиса Оператор может применять встроенные средства аналитики Telegram, а также собственные механизмы учёта действий Пользователя внутри Сервиса. Данные, собираемые средствами аналитики, обрабатываются в агрегированном и обезличенном виде и не позволяют напрямую идентифицировать конкретное физическое лицо.

Сбор персональных данных осуществляется следующими способами:

• Автоматически при первом запуске мини-приложения через механизм Telegram initData;
• Путём заполнения Пользователем форм внутри мини-приложения (профиль, данные бизнеса, контакты);
• Автоматически при совершении Пользователем действий внутри Сервиса (просмотры, покупки, использование скидок).

Хранение персональных данных осуществляется на серверах, расположенных на территории Российской Федерации, с использованием сертифицированных средств защиты информации.

6.1. Сроки хранения

• Действующий аккаунт — персональные данные хранятся в течение всего срока использования Сервиса, до момента удаления аккаунта по инициативе субъекта персональных данных или Оператора.
• Финансовые данные — хранятся в течение 5 (пяти) лет с момента совершения транзакции в соответствии с требованиями бухгалтерского и налогового законодательства Российской Федерации.
• Технические логи — хранятся в течение 1 (одного) года с момента их создания.
• Удалённый аккаунт — при удалении аккаунта все персональные данные уничтожаются в течение 30 (тридцати) календарных дней, за исключением данных, подлежащих хранению в соответствии с законодательством Российской Федерации.

6.2. Условия уничтожения данных

Персональные данные уничтожаются в следующих случаях:

• Достижение целей обработки или утрата необходимости в достижении этих целей;
• Отзыв согласия субъектом персональных данных, если обработка осуществляется на основании согласия;
• Поступление требования от уполномоченного государственного органа;
• Истечение срока, установленного законодательством Российской Федерации для хранения соответствующих данных.

Оператор принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:

• Шифрование — использование протокола HTTPS (TLS) для всех соединений между клиентом и сервером, обеспечивающее защиту данных при передаче.
• Контроль доступа — ограничение доступа сотрудников и лиц, осуществляющих обработку персональных данных по поручению Оператора, к персональным данным по принципу минимальных привилегий.
• Аутентификация — проверка подлинности Пользователя через механизм HMAC-SHA256 подписи Telegram initData с использованием секретного ключа бота, исключающая возможность подделки данных авторизации.
• Резервное копирование — регулярное создание резервных копий данных для предотвращения их утраты, повреждения или уничтожения.
• Мониторинг и логирование — непрерывный мониторинг системы безопасности и логирование действий с персональными данными для выявления и предотвращения инцидентов.
• Организационные меры — назначение ответственных за обработку персональных данных, ознакомление сотрудников с требованиями законодательства о персональных данных, установление правил доступа к персональным данным.

В соответствии со статьями 14, 15, 16, 17, 18, 20, 21 Закона о персональных данных субъект персональных данных имеет следующие права:

• Право на получение информации — право получить подтверждение факта обработки персональных данных Оператором, а также сведения, предусмотренные частью 7 статьи 14 Закона о персональных данных, включая правовые основания и цели обработки, способы обработки, сведения о лицах, имеющих доступ к данным, сроки обработки, источник происхождения данных.
• Право на уточнение — право требовать внесения изменений в персональные данные, если они являются неполными, устаревшими или неточными, в том числе путём предоставления Оператору заявления в установленной форме.
• Право на удаление — право требовать удаления персональных данных при отсутствии законных оснований для продолжения их обработки, а также в случае отзыва согласия на обработку.
• Право на отзыв согласия — право в любой момент отозвать своё согласие на обработку персональных данных путём направления соответствующего заявления Оператору. Отзыв согласия не влечёт за собой незаконность обработки до момента отзыва.
• Право на обжалование — право обратиться с жалобой в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

8.1. Порядок подачи и рассмотрения запросов

Для реализации своих прав субъект персональных данных может обратиться к Оператору одним из следующих способов:

• Через Telegram бот Сервиса «По Брацки» — @po_bracki_bot;
• По электронной почте: i@smelkov.group.

Запрос субъекта персональных данных должен содержать:

• Номер основного документа, удостоверяющего личность субъекта персональных данных;
• Сведения о дате выдачи указанного документа и выдавшем его органе;
• Сведения, подтверждающие участие в отношениях с Оператором (Telegram ID);
• Подпись субъекта персональных данных или его законного представителя.

Срок рассмотрения обращения (запроса) составляет не более 30 (тридцати) календарных дней с момента его получения. В исключительных случаях, требующих дополнительной проверки, Оператор вправе продлить срок рассмотрения не более чем на 15 (пятнадцать) календарных дней с обязательным уведомлением субъекта персональных данных о причинах продления.

Оператор вправе отказать субъекту персональных данных в выполнении запроса в следующих случаях:

• При отсутствии информации, позволяющей идентифицировать субъекта персональных данных;
• При отсутствии оснований, предусмотренных законодательством Российской Федерации;
• При обработке персональных данных, необходимой для защиты конституционного строя, обороноспособности или безопасности государства.

Настоящая Политика вступает в силу с момента её публикации и действует бессрочно до её замены новой редакцией.

Оператор оставляет за собой право в одностороннем порядке вносить изменения в настоящую Политику. При внесении существенных изменений Оператор уведомляет Пользователей одним из следующих способов:

• Путём размещения обновлённой версии Политики на данной странице;
• Путём отправки уведомления через Telegram бот Сервиса.

К отношениям между Оператором и субъектом персональных данных, не урегулированным настоящей Политикой, применяется действующее законодательство Российской Федерации.

Если какая-либо часть настоящей Политики будет признана недействительной или не имеющей юридической силы, остальные положения Политики остаются в полной силе и действуют в соответствии с законодательством Российской Федерации.