Политика обработки персональных данных сервиса Zapnoty

1.1. Оператор: Индивидуальный предприниматель Антонов Александр Викторович, ИНН 262517638904, ОГРНИП 312265133100116. Полные реквизиты приведены в §13 настоящей Политики.

1.2. Контактный адрес электронной почты для запросов, связанных с обработкой персональных данных: privacy@zapnoty.ru.

1.3. Политика распространяется на любую обработку персональных данных, осуществляемую Оператором в рамках работы Сервиса, включая обработку данных, поступающих с сайтов zapnoty.ru, zapnoty.com, app.zapnoty.ru, app.zapnoty.com и связанных поддоменов, через API Сервиса, через мессенджер-ботов Telegram и Max, а также через интегрированные с Сервисом формы Заказчиков.

1.4. Использование Сервиса означает согласие пользователя с настоящей Политикой и условиями обработки его персональных данных, изложенными в ней. В случае несогласия с условиями Политики пользователь должен прекратить использование Сервиса.

2.1. Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, совершаемые с использованием средств автоматизации или без таковых: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

2.3. Оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки.

2.4. Обработчик (лицо, осуществляющее обработку по поручению) — лицо, обрабатывающее персональные данные по поручению Оператора.

2.5. Субъект персональных данных — физическое лицо, к которому относятся персональные данные. В контексте Сервиса выделяются две категории субъектов: Разработчик и Конечный пользователь Разработчика (см. §3).

2.6. Разработчик — физическое лицо, индивидуальный предприниматель или представитель юридического лица, зарегистрированный в Сервисе в качестве Заказчика и использующий API и Личный кабинет Сервиса.

2.7. Конечный пользователь Разработчика — физическое лицо, взаимодействующее с Разработчиком через Сервис: получающее от Разработчика уведомления, коды подтверждения, заполняющее формы Разработчика и т. п.

3.1. В отношении Разработчиков Оператор выступает оператором персональных данных в смысле 152-ФЗ. Оператор самостоятельно определяет цели и средства обработки персональных данных Разработчика, необходимые для оказания услуг Сервиса.

3.2. В отношении Конечных пользователей Разработчика Оператор выступает лицом, осуществляющим обработку персональных данных по поручению Разработчика (обработчик в смысле ч. 3 ст. 6 152-ФЗ). Оператором персональных данных Конечных пользователей в этом случае является сам Разработчик; именно Разработчик определяет цели сбора и обработки таких данных, обязан получить согласие Конечных пользователей на обработку и иметь собственный документ, регулирующий обработку этих данных.

3.3. Условия поручения Разработчика Оператору по обработке данных Конечных пользователей определяются Публичной офертой на оказание услуг сервиса Zapnoty и настоящей Политикой. Поручение является возмездным в рамках оплаты услуг по Тарифу.

3.4. В отношении третьих лиц (Эквайер, OAuth-провайдеры, инфраструктурный провайдер, операторы мессенджеров) — см. §6.

4.1. От Разработчика Оператор обрабатывает следующие категории персональных данных:

4.1.1. идентификационные и контактные данные: имя (фамилия и/или никнейм, при наличии), адрес электронной почты, идентификатор OAuth-провайдера (идентификатор пользователя Яндекс, идентификатор пользователя ВКонтакте);

4.1.2. технические данные: IP-адрес, user-agent браузера, время последнего входа в Личный кабинет, локаль интерфейса;

4.1.3. идентификаторы привязанных мессенджер-аккаунтов: внутренние идентификаторы Telegram и Max, имя пользователя, отображаемое имя;

4.1.4. адрес электронной почты для получения фискальных чеков (если отличается от основного);

4.1.5. маскированные платёжные данные (последние четыре цифры номера карты, срок действия, платёжная система — все данные получаются от Эквайера); сам номер карты Оператор не получает и не хранит;

4.1.6. статистика использования API и Личного кабинета, журналы действий (аудит-логи), журнал биллинговых операций.

4.1.7. аналитические идентификаторы и сведения о просмотрах страниц сайта Оператора, обрабатываемые средствами сервиса «Яндекс Метрика»: анонимизированный идентификатор посетителя, обезличенный (с обнулёнными последними октетами) IP-адрес, user-agent, источник перехода, последовательность просмотренных страниц. Данные используются исключительно для агрегированной аналитики и не позволяют по отдельности идентифицировать конкретного субъекта.

4.2. От Конечного пользователя Разработчика Оператор как обработчик по поручению Разработчика обрабатывает:

4.2.1. идентификаторы Конечного пользователя в мессенджерах (chat_id Telegram, идентификатор пользователя Max), локаль, имя пользователя и отображаемое имя — в объёме, в котором их передаёт оператор мессенджера;

4.2.2. содержимое сообщений и обращений, направленных Конечным пользователем в адрес Разработчика через Сервис (диалоги поддержки, ответы на формы и т. п.);

4.2.3. полезную нагрузку (payload) заявок форм, размещаемую Разработчиком на собственных сайтах: состав полей и их содержание полностью определяется Разработчиком; Оператор не контролирует, какие данные Разработчик собирает у своих Конечных пользователей.

4.3. Специальные категории персональных данных (информация о здоровье, расовом или национальном происхождении, политических, религиозных или философских убеждениях, интимной жизни) и биометрические персональные данные Оператором целенаправленно не собираются и не обрабатываются. Разработчик обязуется не направлять такие данные в Сервис без отдельного письменного согласования с Оператором.

5.1. Сводная таблица целей и правовых оснований обработки:

5.2. Обработка персональных данных, не указанная в таблице, осуществляется только при наличии одного из правовых оснований, предусмотренных ст. 6 152-ФЗ.

6.1. Оператор передаёт персональные данные третьим лицам исключительно в объёме и для целей, перечисленных ниже.

6.2. Эквайер — Акционерное общество «ТБанк» (ИНН 7710140679):

6.2.1. в целях приёма оплаты и формирования фискальных чеков (54-ФЗ) Оператор передаёт Эквайеру: адрес электронной почты Заказчика для направления чека, наименование товара/услуги, сумму платежа, идентификатор заказа на стороне Оператора. Реквизиты банковской карты Заказчик вводит непосредственно на стороне Эквайера; Оператор их не получает и не хранит;

6.2.2. от Эквайера Оператор получает: маскированные платёжные данные (последние четыре цифры карты, срок действия, платёжная система), статус операции, идентификатор сохранённой карты для последующих рекуррентных списаний.

6.3. OAuth-провайдеры — ООО «ЯНДЕКС» и ООО «В Контакте»: при выборе Разработчиком авторизации через OAuth Разработчик авторизуется на стороне соответствующего провайдера и предоставляет провайдеру согласие на передачу Оператору части профильных данных (имя, адрес электронной почты, идентификатор пользователя). Оператор данные на сторону OAuth-провайдеров не передаёт; от провайдеров поступают только данные, явно разрешённые Разработчиком при авторизации.

6.4. Инфраструктурный провайдер (хостер): Оператор размещает Сервис на виртуальных частных серверах (VDS) у инфраструктурного провайдера, расположенного на территории Российской Федерации. Провайдер выступает лицом, осуществляющим обработку по поручению Оператора в части предоставления вычислительной инфраструктуры, и не обладает самостоятельным доступом к содержательному наполнению персональных данных.

6.5. Операторы мессенджеров — Telegram (Telegram FZ-LLC) и Max (ООО «Коммуникационная платформа»): при отправке сообщения Конечному пользователю через соответствующего бот-провайдера Оператор передаёт оператору мессенджера: идентификатор чата/пользователя в этом мессенджере, текст сообщения, прикреплённые медиа и кнопки. Передача осуществляется в объёме, необходимом для доставки сообщения. Конечный пользователь, привязавший мессенджер-аккаунт к Сервису, соглашается с тем, что соответствующий оператор мессенджера обрабатывает указанные данные в соответствии со своей политикой конфиденциальности.

6.6. Аналитика — ООО «ЯНДЕКС» (сервис «Яндекс Метрика»): на сайте Оператора используется сервис веб-аналитики «Яндекс Метрика». ООО «ЯНДЕКС» выступает обработчиком по поручению Оператора и осуществляет обработку обезличенных данных о посещениях (см. п. 4.1.7) на серверах, расположенных на территории Российской Федерации, в соответствии с политикой конфиденциальности Яндекса. Сервис обрабатывает данные в обезличенном виде (в том числе с обнулением последних октетов IP-адреса) и не позволяет идентифицировать конкретного субъекта; соответствующие cookies устанавливаются автоматически при заходе на сайт. Использование сайта пользователем означает согласие на такую обработку. Пользователь вправе отказаться от обработки, отключив cookies в настройках браузера либо покинув сайт. Подробности — в Уведомлении об использовании cookies на странице /cookies.

6.7. Государственные органы: Оператор передаёт персональные данные по обоснованным запросам уполномоченных государственных органов в объёме и в порядке, установленных законодательством Российской Федерации.

6.8. Иная передача персональных данных третьим лицам без согласия субъекта или иного законного основания не осуществляется.

7.1. Сводная таблица сроков хранения:

7.2. По достижении установленного срока хранения соответствующие персональные данные подлежат уничтожению либо обезличиванию, за исключением случаев, когда законодательством предусмотрен иной срок хранения.

7.3. Неактивные учётные записи Разработчиков на Бесплатном Тарифе удаляются автоматически по правилам, изложенным в §13 Публичной оферты.

8.1. Трансграничная передача персональных данных Оператором не осуществляется. Все серверы и инфраструктура Сервиса расположены на территории Российской Федерации.

8.2. Версия Сервиса, доступная по доменам в зоне .com, технически размещается на тех же серверах в Российской Федерации; для пользователя любой юрисдикции хранение и обработка данных осуществляются на территории Российской Федерации.

8.3. Уведомление в Роскомнадзор о намерении осуществлять трансграничную передачу Оператором не подавалось. В случае изменения архитектуры Сервиса Оператор отдельно уведомит субъектов и подаст необходимые уведомления в уполномоченный орган.

9.1. Субъект персональных данных в соответствии со ст. 14, 20, 21 152-ФЗ имеет право:

9.1.1. получать сведения о наличии и составе обрабатываемых персональных данных, об источнике их получения, целях, способах и сроках обработки;

9.1.2. требовать уточнения, блокирования или уничтожения своих персональных данных в случаях, когда они неполны, устарели, неточны, незаконно получены или не являются необходимыми для заявленной цели обработки;

9.1.3. отозвать согласие на обработку персональных данных (в случаях, когда обработка осуществляется на основании согласия);

9.1.4. обжаловать действия (бездействие) Оператора в Роскомнадзор и в судебном порядке.

9.2. Для Разработчика (как субъекта, в отношении которого Оператор выступает оператором) реализация прав осуществляется следующим образом:

9.2.1. соответствующий запрос направляется на адрес privacy@zapnoty.ru с того адреса электронной почты, который указан в Личном кабинете Разработчика; в запросе указывается существо требования и сведения, позволяющие идентифицировать субъекта;

9.2.2. Оператор рассматривает запрос и направляет мотивированный ответ в срок не более 30 (тридцати) календарных дней с момента его получения, если законом не установлен более короткий срок;

9.2.3. часть прав (изменение профильных данных, удаление учётной записи, отключение маркетинговых сообщений, отвязка мессенджера) Разработчик может реализовать самостоятельно в Личном кабинете.

9.3. Для Конечного пользователя Разработчика (как субъекта, в отношении которого Оператор выступает обработчиком по поручению Разработчика) канал реализации прав следующий:

9.3.1. Прекращение получения уведомлений (отписка от рассылок конкретного Разработчика). Конечный пользователь отправляет в Telegram-боте или Max-боте, через который он получает уведомления, команду /unsubscribe (или альтернативно /start → «Мои подписки») — в открывшемся списке выбирает соответствующий проект и нажимает кнопку «Отписаться». Команды работают идентично в обоих поддерживаемых Оператором ботах. После подтверждения Конечному пользователю прекращается отправка уведомлений от этого Разработчика, а его идентификатор удаляется из списка подписок соответствующего проекта.

9.3.2. Запрос об обработке и удалении персональных данных у самого Разработчика. Поскольку оператором данных Конечных пользователей является Разработчик, запросы на получение, уточнение, блокирование или удаление данных Конечный пользователь направляет непосредственно Разработчику, в адрес которого он подписан. Оператор содействует Разработчику в исполнении таких запросов в технической части.

9.3.3. Запрос напрямую Оператору. Конечный пользователь вправе обратиться напрямую к Оператору по адресу privacy@zapnoty.ru. В этом случае Оператор перенаправит запрос соответствующему Разработчику либо, при недоступности Разработчика, самостоятельно удалит идентификаторы Конечного пользователя из своих систем в части, где такое удаление технически возможно.

10.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных.

10.2. К применяемым мерам, в частности, относятся:

10.2.1. передача данных по защищённым каналам с использованием протокола TLS;

10.2.2. шифрование секретов (API-ключей, веб-хук-секретов, токенов) в системе хранения;

10.2.3. разграничение прав доступа сотрудников и подрядчиков Оператора к персональным данным по принципу минимально необходимого объёма;

10.2.4. ведение аудит-логов значимых действий пользователей и администраторов;

10.2.5. применение механизмов защиты от автоматизированных злоупотреблений (rate limiting, блок-листы одноразовых почтовых сервисов).

10.3. Подробные сведения о технических мерах защиты не раскрываются во избежание снижения их эффективности.

11.1. Сервис использует файлы cookies и технологии локального хранилища (localStorage), необходимые для работы Сервиса и сохранения пользовательских настроек.

11.2. Состав, классификация и порядок управления файлами cookies описаны в отдельном документе — Уведомление об использовании cookies (см. /cookies).

12.1. Оператор вправе вносить изменения в настоящую Политику.

12.2. Новая редакция Политики публикуется на странице /privacy Сервиса с указанием даты вступления в силу. Отдельное уведомление Разработчика о конкретных изменениях не направляется; Разработчик самостоятельно отслеживает актуальную редакцию Политики.

12.3. Текущей редакцией Политики считается редакция, опубликованная по адресу /privacy на момент обращения. При необходимости получить архивную редакцию Разработчик вправе запросить её по адресу privacy@zapnoty.ru.

Индивидуальный предприниматель Антонов Александр Викторович
ИНН: 262517638904
ОГРНИП: 312265133100116

Контакты по вопросам обработки персональных данных:
— email ответственного за обработку ПДн: privacy@zapnoty.ru
— общая поддержка: support@zapnoty.ru
— юридически значимая переписка: legal@zapnoty.ru