Политика обработки персональных данных

Дата вступления в силу: при публикации актуальной версии. Оператор персональных данных: Индивидуальный предприниматель Арзамасцев Илья Юрьевич, ИНН 631927036406, ОГРНИП 318631300006978. Адрес для корреспонденции: г. Самара, ул. Советской Армии, 245 Е. Контакты: ia@cgconferences.com, +7 (495) 744-85-64.

Настоящий документ является черновиком и подлежит юридической экспертизе перед окончательной публикацией.

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных пользователей сервиса CG Community (далее — «Сервис»), доступного по адресу app.cgconferences.ru.

1.2. Оператором персональных данных является Индивидуальный предприниматель Арзамасцев Илья Юрьевич, ИНН 631927036406 (далее — «Оператор»).

1.3. Используя Сервис, Пользователь подтверждает, что ознакомился с настоящей Политикой и принимает её условия.

2. Цели обработки персональных данных

Оператор обрабатывает персональные данные Пользователей в следующих целях:

2.1. Регистрация и идентификация Пользователей в Сервисе.

2.2. Предоставление функциональности Сервиса: создание профиля, размещение статей, общение через мессенджер, участие в конференциях.

2.3. Информирование Пользователей о работе Сервиса (технические уведомления, ответы на запросы, уведомления о действиях в Сервисе).

2.4. Модерация контента и обеспечение безопасности Пользователей (рассмотрение жалоб, расследование нарушений).

2.5. Внутренняя аналитика для улучшения работы Сервиса (агрегированные обезличенные данные о посещаемости, активности, использовании функций).

2.6. Исполнение договорных обязательств — для пользователей с ролью «Вендор», участвующих в платных функциях Сервиса.

2.7. Соблюдение требований законодательства Российской Федерации (бухгалтерская отчётность, ответы на запросы государственных органов).

Оператор не использует персональные данные для маркетинговой рассылки рекламного характера.

3. Состав обрабатываемых персональных данных

3.1. Оператор обрабатывает следующие категории персональных данных Пользователей:

Идентификационные данные:

• фамилия, имя, отчество;
• адрес электронной почты;
• номер мобильного телефона;
• город (населённый пункт).

Профессиональные данные:

• наименование компании-работодателя;
• должность;
• сведения об участии в конференциях (роль: спикер, дискуссант, участник);
• данные о профессиональных регалиях.

Технические данные:

• IP-адрес;
• информация о браузере и устройстве (User-Agent);
• журналы действий в Сервисе (входы, изменения профиля, отправка сообщений);
• cookie-файлы (см. Политику использования файлов cookie).

Контентные данные:

• содержание профиля Пользователя;
• статьи, заметки и иные публикации, размещённые Пользователем;
• сообщения, отправленные через встроенный мессенджер;
• фотография профиля.

Платёжные данные (только для Пользователей с ролью «Вендор», использующих платные функции):

• данные, необходимые для проведения платежей через платёжного агрегатора;
• Оператор не хранит данные банковских карт — обработку осуществляет платёжный агрегатор.

3.2. Оператор не обрабатывает специальные категории персональных данных (расовая принадлежность, политические взгляды, состояние здоровья и т.п.).

4. Правовые основания обработки

4.1. Обработка персональных данных осуществляется на следующих правовых основаниях (ст. 6 152-ФЗ):

• согласие субъекта персональных данных (для основных целей обработки — пункты 2.1–2.5 настоящей Политики);
• исполнение договора между Оператором и Пользователем (Пользовательское соглашение, договоры на платные услуги);
• исполнение обязанностей, возложенных на Оператора законодательством Российской Федерации (бухгалтерская отчётность, ответы государственным органам).

4.2. Согласие на обработку персональных данных предоставляется Пользователем при регистрации в Сервисе путём установки соответствующих галочек в регистрационной форме.

4.3. Дополнительные согласия запрашиваются Оператором отдельно при подаче заявки Пользователя на участие в конкретной конференции (согласие на обработку персональных данных конференции, согласие на фото- и видеосъёмку, согласие с правилами конференции).

5. Передача персональных данных третьим лицам

5.1. Оператор передаёт персональные данные Пользователей третьим лицам в следующих случаях:

5.2. Хостинг-провайдер. Серверы Сервиса размещены на инфраструктуре ООО «Таймвеб», бренд Timeweb Cloud (https://timeweb.cloud/), в дата-центре, расположенном в г. Москва. Хостинг-провайдер обеспечивает физическое хранение и техническую доступность серверов; не осуществляет самостоятельную обработку данных в своих целях.

5.3. Сервис рассылки технических уведомлений. Для отправки транзакционных писем (подтверждение регистрации, восстановление пароля, уведомления о действиях в Сервисе) используется сервис UniSender (ООО «Юнисендер.ру»). Передаются: адрес электронной почты, имя получателя, текст уведомления.

5.4. Платёжный агрегатор. Для обработки платежей Пользователей с ролью «Вендор» используется внешний платёжный агрегатор. Передаются данные, необходимые для проведения платежей; данные банковских карт обрабатываются исключительно агрегатором.

5.5. Государственные органы Российской Федерации — при наличии соответствующего законного запроса (суды, правоохранительные органы, налоговые органы).

5.6. Иные участники Сервиса — в части публично видимой информации профиля: фамилия, имя, отчество, наименование компании, должность, город, профессиональные регалии. Адрес электронной почты, номер телефона и иная контактная информация не отображаются в публичном профиле без отдельного согласия Пользователя.

5.7. Оператор не осуществляет трансграничную передачу персональных данных. Все серверы и сервисы по обработке размещены на территории Российской Федерации.

6. Сроки хранения персональных данных

6.1. Персональные данные обрабатываются Оператором в течение всего периода действия учётной записи Пользователя в Сервисе.

6.2. После удаления учётной записи персональные данные хранятся в течение 3 (трёх) лет в обезличенном или защищённом виде для целей бухгалтерской отчётности и возможных правовых разбирательств, после чего подлежат уничтожению.

6.3. Контентные данные Пользователя (статьи, опубликованные в Сервисе) могут быть сохранены в архиве Сервиса в обезличенном виде после удаления учётной записи, если они представляют ценность для других Пользователей.

6.4. Журналы действий и технические логи хранятся в течение 12 месяцев, после чего подлежат уничтожению.

7. Меры защиты персональных данных

7.1. Оператор принимает технические и организационные меры для защиты персональных данных от неправомерного доступа, изменения, копирования, распространения, уничтожения и иных неправомерных действий:

• передача данных по сети Интернет осуществляется по защищённому протоколу HTTPS;
• пароли Пользователей хранятся в виде криптографических хешей (необратимая трансформация);
• доступ к административной панели защищён двухфакторной аутентификацией;
• регулярное резервное копирование данных;
• ограничение доступа сотрудников Оператора к персональным данным по принципу минимально необходимых полномочий;
• ведение журналов доступа сотрудников Оператора к персональным данным.

7.2. Оператор обязуется незамедлительно уведомить Пользователя о любом инциденте, связанном с несанкционированным доступом к его персональным данным.

8. Права субъектов персональных данных

8.1. Пользователь имеет право:

• получать сведения о составе обрабатываемых персональных данных, целях и сроках обработки;
• требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать согласие на обработку персональных данных в любой момент путём удаления учётной записи через настройки профиля или письменного обращения к Оператору;
• получить копию своих персональных данных (право на портабельность);
• обжаловать действия или бездействие Оператора в Роскомнадзоре или в суде.

8.2. Для реализации указанных прав Пользователь может обратиться к Оператору по контактам, указанным в разделе 11 настоящей Политики. Оператор обязуется предоставить ответ в течение 30 (тридцати) дней с даты получения обращения.

9. Cookie-файлы

9.1. Оператор использует cookie-файлы и аналогичные технологии. Подробное описание содержится в Политике использования файлов cookie, доступной по адресу app.cgconferences.ru/legal/document/cookie_policy.

10. Изменения Политики

10.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная версия публикуется по адресу app.cgconferences.ru/legal/document/privacy_policy.

10.2. О существенных изменениях Оператор уведомляет Пользователей через электронную почту или внутренние уведомления Сервиса. В случае существенных изменений Пользователь должен повторно подтвердить согласие с обновлённой Политикой.

11. Контакты Оператора

По всем вопросам, связанным с обработкой персональных данных, Пользователь может обратиться к Оператору:

• email: ia@cgconferences.com
• телефон: +7 (495) 744-85-64
• адрес для корреспонденции: г. Самара, ул. Советской Армии, 245 Е

Также Пользователь имеет право обратиться в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2; телефон: +7 (495) 198-66-67; сайт: rkn.gov.ru.

Документ подготовлен как черновик. Подлежит юридической экспертизе.