Политика обработки персональных данных

1. Общие положения и термины

Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), Постановления Правительства РФ от 01.11.2012 № 1119, Приказа ФСТЭК России от 18.02.2013 № 21, статей 23 и 24 Конституции РФ.

Политика определяет порядок обработки персональных данных пользователей сайта noltis.ru (далее — «Сайт») и применяемые меры по обеспечению безопасности персональных данных Оператором.

Используемые в Политике термины применяются в значениях, определённых статьёй 3 152-ФЗ:

• Персональные данные (ПД) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПД).
• Оператор — индивидуальный предприниматель Загурский Дмитрий Владимирович, организующий и (или) осуществляющий обработку ПД, а также определяющий цели обработки и состав ПД.
• Обработка ПД — любое действие с ПД: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
• Автоматизированная обработка — обработка ПД с помощью средств вычислительной техники.
• Согласие на обработку ПД — конкретное, информированное, сознательное и однозначное волеизъявление субъекта.
• Распространение ПД — раскрытие ПД неопределённому кругу лиц.
• Трансграничная передача ПД — передача ПД на территорию иностранного государства (статья 12 152-ФЗ).

2. Реквизиты Оператора

Ответственным за организацию обработки персональных данных у Оператора является сам Оператор (ИП Загурский Д.В.).

3. Правовые основания обработки

Оператор обрабатывает персональные данные на следующих основаниях:

• пункт 1 части 1 статьи 6 152-ФЗ — согласие субъекта ПД, выраженное при заполнении форм на Сайте;
• пункт 5 части 1 статьи 6 152-ФЗ — исполнение договора, стороной которого либо выгодоприобретателем по которому является субъект ПД, либо для заключения договора по инициативе субъекта ПД;
• пункт 7 части 1 статьи 6 152-ФЗ — осуществление законных интересов Оператора (ведение деловой переписки, рассмотрение обращений, информационная безопасность Сайта), при условии, что не нарушаются права и свободы субъекта.

Обработка специальных категорий ПД (статья 10 152-ФЗ) и биометрических ПД (статья 11 152-ФЗ) Оператором не осуществляется.

4. Категории субъектов и перечень персональных данных

Оператор обрабатывает ПД следующих категорий субъектов:

• пользователи Сайта, заполняющие формы обратной связи;
• потенциальные клиенты, направляющие обращения для консультации, аудита процессов или коммерческого предложения;
• контрагенты Оператора (заказчики услуг по договорам).

Перечень обрабатываемых ПД:

Обработка ПД несовершеннолетних не производится. Сайт ориентирован на физических лиц старше 18 лет, выступающих от себя или от имени юридических лиц.

5. Цели обработки

Персональные данные обрабатываются исключительно в следующих целях:

1. Обработка обращения пользователя, направленного через форму обратной связи: связь с пользователем по указанным контактам, уточнение задачи, подготовка ответа, коммерческого предложения, консультации или аудита.
2. Заключение и исполнение договора на оказание услуг (автоматизация процессов, разработка ИИ-агентов, чат-ботов, парсеров, интеграций), включая выставление счёта и закрывающих документов.
3. Ведение деловой переписки по электронной почте, через мессенджер Telegram и иные согласованные с субъектом каналы коммуникации.
4. Соблюдение требований законодательства РФ, в том числе налогового и бухгалтерского учёта в части требований Федерального закона от 27.11.2018 № 422-ФЗ (для самозанятых ИП).
5. Анализ работы Сайта на основе обезличенных технических данных, собираемых сервисом Яндекс.Метрика (только при наличии явного согласия пользователя в баннере cookie).
6. Обеспечение информационной безопасности Сайта: защита от несанкционированного доступа, противодействие автоматизированному сбору данных и атакам.

Обработка ПД для иных целей, не указанных в настоящем разделе, Оператором не производится.

6. Способы обработки и сроки хранения

Способы обработки ПД: автоматизированная и смешанная обработка с использованием средств вычислительной техники, включая системы управления контентом (WordPress), базы данных, мессенджер Telegram, системы электронной почты.

Хранение ПД осуществляется на серверах, расположенных на территории Российской Федерации, в соответствии с частью 5 статьи 18 152-ФЗ. Хостинг Сайта обеспечивает ООО «Бегет» (ИНН 7801451618, г. Санкт-Петербург, Российская Федерация).

Маршрут движения данных при заполнении формы обратной связи

1. Пользователь заполняет форму на странице noltis.ru/brief/, отмечает обязательный чекбокс согласия и нажимает кнопку отправки.
2. Данные передаются на сервер Сайта (Российская Федерация, г. Санкт-Петербург, ООО «Бегет») по защищённому протоколу HTTPS (TLS 1.2+).
3. Заявка записывается в базу данных Сайта (база данных WordPress) для последующей обработки Оператором.
4. Параллельно сервер Сайта направляет уведомление о новой заявке Оператору в мессенджере Telegram через интеграционный канал.
5. Оператор связывается с субъектом по указанным контактам в течение 24 часов.

Сроки хранения

По истечении сроков хранения ПД уничтожаются Оператором или обезличиваются. ПД уничтожаются также при достижении целей обработки или при отзыве субъектом согласия — в течение 30 дней с момента поступления соответствующего запроса (часть 5 статьи 21 152-ФЗ), если иное не предусмотрено законодательством РФ.

7. Передача персональных данных третьим лицам

Оператор не продаёт и не передаёт ПД третьим лицам в коммерческих целях. Передача ПД осуществляется только в следующих случаях:

• третьим лицам, осуществляющим обработку ПД по поручению Оператора на основании договора, в пределах целей и объёма, указанных в настоящей Политике;
• государственным органам в случаях, прямо предусмотренных законодательством Российской Федерации;
• при наличии отдельного согласия субъекта ПД на конкретную передачу.

Лица, осуществляющие обработку ПД по поручению Оператора

8. Использование мессенджера Telegram

Первичный сбор и хранение ПД, поступающих через формы Сайта, осуществляются в базе данных, размещённой на сервере на территории Российской Федерации (раздел 6, инфраструктура ООО «Бегет», г. Санкт-Петербург). Требование части 5 статьи 18 152-ФЗ о локализации первичного сбора и хранения ПД граждан Российской Федерации соблюдается.

В целях оперативного уведомления Оператора о поступлении новой заявки часть ПД (имя/псевдоним, указанные контакты, краткое описание задачи) дополнительно направляется Оператору в виде сообщения через мессенджер Telegram. Оператор находится на территории Российской Федерации; передача осуществляется между двумя субъектами на территории Российской Федерации, мессенджер используется исключительно как канал электронной связи.

В соответствии с официальной позицией Роскомнадзора, обмен сообщениями, содержащими ПД, между российским субъектом ПД и российским оператором через иностранный мессенджер не является трансграничной передачей персональных данных в смысле статьи 12 Федерального закона «О персональных данных», поскольку получатель ПД находится на территории Российской Федерации, а иностранный мессенджер выступает лишь каналом передачи сообщения.

Иные виды передачи ПД третьим лицам, в том числе трансграничная передача ПД на территорию иностранных государств, в рамках работы Сайта не осуществляются.

9. Файлы cookie и веб-аналитика

Сайт использует файлы cookie — небольшие текстовые файлы, которые сохраняются в браузере пользователя при посещении страниц. Cookie разделены на технические и аналитические.

Технические cookie

Используются для функционирования Сайта и не требуют согласия пользователя:

• noltis_consent — хранит выбор пользователя в баннере согласия на cookie (значения: accepted или rejected; срок жизни: 365 дней);
• сессионные cookie WordPress (срок жизни — до закрытия браузера);
• CSRF-токены и cookie безопасности.

Аналитические cookie (Яндекс.Метрика)

На Сайте используется сервис веб-аналитики Яндекс.Метрика (оператор: ООО «ЯНДЕКС», ИНН 7736207543, Российская Федерация). Скрипт Яндекс.Метрики и устанавливаемые им cookie загружаются только после явного согласия пользователя, выраженного нажатием кнопки «Принять» в баннере согласия на cookie на Сайте.

Перечень cookie, устанавливаемых Яндекс.Метрикой:

Условия использования Яндекс.Метрики и обработка данных сервисом регулируются документами Яндекса: Условия использования Яндекс.Метрики и Политика конфиденциальности Яндекса.

Управление cookie

Пользователь может в любой момент:

• отозвать согласие на аналитические cookie через ссылку «Управление cookies» в подвале Сайта;
• отключить cookie в настройках браузера (это может ограничить часть функций Сайта);
• отказаться от сбора данных Яндекс.Метрикой через официальный сервис: opt-out Яндекс.Метрики.

10. Согласие и отзыв согласия

Согласие на обработку ПД даётся субъектом добровольно, является конкретным, информированным и однозначным. Согласие выражается активным действием: проставлением пользователем отметки в обязательном чекбоксе под формой обратной связи и нажатием кнопки отправки формы. Предустановленные галочки и иные пассивные формы согласия Оператором не используются.

Согласие на использование аналитических cookie выражается отдельным действием — нажатием кнопки «Принять» в баннере согласия на cookie на Сайте.

Содержание согласия (форма обратной связи)

Заполняя форму на Сайте и проставляя отметку в обязательном чекбоксе, субъект подтверждает, что:

• ознакомлен с настоящей Политикой и понимает её содержание;
• предоставляет ИП Загурскому Д.В. (ИНН 261303293753) согласие на обработку указанных в форме персональных данных в целях, указанных в разделе 5;
• согласен с тем, что данные заявки будут переданы в мессенджер Telegram для целей оперативной коммуникации (раздел 8);
• проинформирован о праве отозвать настоящее согласие в любой момент.

Отзыв согласия

Согласие на обработку ПД может быть отозвано субъектом в любой момент путём направления Оператору письменного заявления:

• на адрес электронной почты dima.zag78@mail.ru с темой «Отзыв согласия на обработку ПД»;
• через мессенджер Telegram по контакту, опубликованному на Сайте.

Заявление об отзыве согласия должно содержать: ФИО субъекта, контактные данные, по которым проводилась переписка с Оператором, требование о прекращении обработки и (или) удалении ПД.

В течение 30 дней со дня поступления заявления Оператор прекращает обработку ПД и обеспечивает их уничтожение, если иное не предусмотрено законодательством РФ (часть 5 статьи 21 152-ФЗ).

11. Права субъекта персональных данных

В соответствии со статьями 14–17, 21 152-ФЗ субъект ПД имеет право:

• получать информацию об обработке его ПД (статья 14): подтверждение факта обработки, цели, способы, сроки, источник получения, перечень обрабатываемых данных, наименование Оператора;
• требовать уточнения ПД, их блокирования или уничтожения, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• возражать против обработки ПД в целях продвижения товаров и услуг (статья 15);
• возражать против принятия в отношении субъекта решений на основании исключительно автоматизированной обработки (статья 16);
• отозвать согласие на обработку ПД (статья 21);
• обжаловать действия или бездействие Оператора в Роскомнадзор (rkn.gov.ru/treatments/ask-question) или в судебном порядке (статья 17).

Подача запроса субъекта

Запрос направляется по адресу электронной почты dima.zag78@mail.ru и должен содержать (часть 3 статьи 14):

• ФИО субъекта;
• номер документа, удостоверяющего личность, дата выдачи и выдавший орган (либо иные сведения, подтверждающие факт обработки ПД именно этим субъектом);
• сведения, подтверждающие участие субъекта в отношениях с Оператором (например, контакты, по которым велась переписка);
• текст запроса (что именно требуется);
• подпись субъекта или его электронная подпись.

Срок рассмотрения запроса — 10 рабочих дней с момента получения, с возможностью продления ещё на 5 рабочих дней с уведомлением субъекта.

12. Меры защиты персональных данных

Оператор принимает правовые, организационные и технические меры, необходимые и достаточные для обеспечения безопасности ПД, в соответствии с частью 1 статьи 18.1, статьёй 19 152-ФЗ, Постановлением Правительства РФ от 01.11.2012 № 1119 и Приказом ФСТЭК России от 18.02.2013 № 21.

Правовые меры

• принятие настоящей Политики и иных локальных актов по обработке и защите ПД;
• назначение Оператора ответственным за организацию обработки ПД;
• ознакомление с положениями 152-ФЗ и подзаконных актов.

Организационные меры

• разграничение доступа к ПД: доступ к базе данных Сайта имеет только Оператор;
• ведение учёта поступающих обращений субъектов;
• хранение ПД на серверах, расположенных на территории Российской Федерации;
• оценка вреда, который может быть причинён субъекту в случае нарушения 152-ФЗ;
• план действий на случай инцидента (см. раздел 13).

Технические меры

• передача данных по защищённому протоколу HTTPS (TLS 1.2+);
• административная панель Сайта (/wp-admin/, /wp-login.php) полностью закрыта на уровне веб-сервера и недоступна из публичной сети; управление содержимым осуществляется исключительно через защищённое SSH-соединение с авторизацией по криптографическому ключу (что эквивалентно или превосходит по защищённости двухфакторную аутентификацию);
• регулярные обновления программного обеспечения Сайта (ядро WordPress, плагины, темы);
• средства защиты от автоматизированных атак (rate-limiting, фильтрация подозрительного трафика);
• резервное копирование базы данных и файлового хранилища Сайта в зашифрованном виде с использованием системы restic (шифрование AES-256-CTR с аутентификацией Poly1305-AES, выполняется на стороне сервера-источника до загрузки); зашифрованный репозиторий резервных копий размещается в S3-хранилище ООО «Бегет» (Россия, г. Санкт-Петербург), что соответствует требованию части 5 статьи 18 152-ФЗ; провайдер хранилища не имеет доступа к содержимому резервных копий, поскольку данные шифруются на стороне Оператора и могут быть расшифрованы только с использованием ключа доступа, хранящегося у Оператора; ежедневное автоматическое создание копий и еженедельная проверка целостности (test restore);
• антивирусная защита оборудования Оператора, используемого для обработки ПД;
• применение сертифицированных средств защиты информации в объёме, соответствующем 4 уровню защищённости ПД.

13. Действия при инциденте

В случае выявления неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлёкшей нарушение прав субъектов, Оператор:

1. в течение 24 часов с момента выявления инцидента уведомляет Роскомнадзор через портал РКН о начавшемся инциденте, его предполагаемых причинах, предполагаемом вреде и принятых мерах;
2. в течение 72 часов направляет результаты внутреннего расследования и сведения о виновных лицах;
3. уведомляет затронутых субъектов ПД по доступным контактам;
4. принимает меры по устранению последствий инцидента.

14. Изменения политики

Оператор имеет право вносить изменения в настоящую Политику. Актуальная редакция Политики всегда размещается на странице noltis.ru/privacy-policy. Дата последней редакции указана в начале документа.

Существенные изменения, затрагивающие права субъектов ПД, вступают в силу не ранее чем через 10 дней с момента публикации новой редакции на Сайте.

15. Контакты Оператора