Политика конфиденциальности

Оператор: Индивидуальный предприниматель Морозов Сергей Евгеньевич.
ИНН: 344646600998
ОГРНИП: 323774600841350
Реестр Роскомнадзора: 77-24-168821
Место нахождения: г. Москва, Российская Федерация

Сайт: noditector.com
Личный кабинет: design.noditector.com
Контакт по вопросам ПДн: office@noditector.com

Настоящая Политика конфиденциальности и обработки персональных данных (далее — Политика) определяет порядок обработки и защиты персональных данных пользователей сайта Noditector (noditector.com, далее — Сайт) и Личного кабинета (design.noditector.com, далее — ЛК), предоставляемых в рамках сервиса Noditector (далее — Сервис).

Оператором Сайта и Сервиса является ИП Морозов Сергей Евгеньевич (далее — Оператор). Политика применяется ко всем данным, которые Оператор может получить от пользователя при использовании Сайта, регистрации в ЛК, использовании функциональности Сервиса, направлении обращений через формы связи и в процессе иной коммуникации по адресу office@noditector.com.

Оператор обрабатывает персональные данные пользователя исключительно на основаниях, перечисленных в разделе 5 настоящей Политики. Факт использования Сайта сам по себе не рассматривается как согласие пользователя на обработку его персональных данных; согласие предоставляется явно через формы регистрации и иные формы взаимодействия.

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 14.07.2022 № 266-ФЗ (в части уведомления об инцидентах ПДн) и иными нормативными правовыми актами Российской Федерации.

2.1. Оператор является оператором персональных данных в отношении:

• пользователей Сайта и ЛК, зарегистрировавших учётную запись (далее — Пользователи);
• Сотрудников Пользователей, приглашённых Пользователем в ЛК в рамках действующего Тарифа, в отношении персональных данных, необходимых для функционирования учётной записи Сотрудника (в том числе email, имя, профессиональная роль).

2.2. Оператор является лицом, осуществляющим обработку персональных данных по поручению оператора (ч. 3 ст. 6 № 152-ФЗ) в отношении:

• персональных данных клиентов, контрагентов и иных третьих лиц Пользователя (далее — Клиенты Пользователя), размещаемых Пользователем в Сервисе в рамках ведения проектов, подготовки коммерческих предложений, брифов, реквизитов, комплектации и иных модулей Сервиса.

В этом случае оператором персональных данных Клиентов Пользователя выступает сам Пользователь; правовым основанием обработки таких данных Оператором является поручение Пользователя, зафиксированное в разделе 7 Публичной оферты Noditector.

2.3. Пользователь самостоятельно обеспечивает наличие надлежащих правовых оснований для размещения персональных данных Клиентов Пользователя в Сервисе и несёт ответственность за получение необходимых согласий субъектов в соответствии с законодательством Российской Федерации.

Персональные данные обрабатываются для:

• регистрации Пользователя в ЛК, аутентификации и авторизации при входе;
• предоставления Пользователю доступа к функциональности Сервиса в соответствии с условиями Публичной оферты Noditector;
• хранения и обработки Пользовательского контента в рамках использования Сервиса;
• обработки персональных данных Клиентов Пользователя по поручению Пользователя в целях оказания услуг;
• учёта платежей, ведения баланса Нодиков, формирования кассовых чеков и иных документов, предусмотренных законодательством о применении контрольно-кассовой техники;
• направления Пользователю сервисных и организационных уведомлений, связанных с работой Сервиса (подтверждение регистрации, восстановление доступа, уведомления о транзакциях, изменения в оферте и политиках);
• ответа на обращения Пользователя, технической и консультативной поддержки;
• обеспечения информационной безопасности Сервиса, выявления и предотвращения инцидентов, расследования случаев несанкционированного доступа или нарушения работы Сервиса;
• исполнения обязанностей Оператора, предусмотренных законодательством Российской Федерации, в том числе налогового и бухгалтерского учёта, противодействия легализации доходов, полученных преступным путём.

Обезличенные и агрегированные данные могут использоваться для анализа использования Сервиса, планирования развития функциональности, формирования статистики без идентификации конкретных Пользователей.

При наличии отдельного согласия Пользователя Оператор вправе использовать контактные данные для направления информационных и маркетинговых сообщений о проекте Noditector. Такое согласие может быть отозвано Пользователем в любой момент.

Оператор обрабатывает персональные данные на основании:

• согласия субъекта (ст. 6 п. 1 № 152-ФЗ);
• исполнения договора, стороной которого является субъект либо заключения договора по инициативе субъекта (ст. 6 п. 5 № 152-ФЗ) — Публичной оферты Noditector;
• исполнения обязанностей, установленных законодательством Российской Федерации (ст. 6 п. 2 № 152-ФЗ);
• осуществления прав и законных интересов Оператора при условии, что это не нарушает права и свободы субъекта (ст. 6 п. 7 № 152-ФЗ);
• поручения оператора — в отношении персональных данных Клиентов Пользователя, размещаемых Пользователем в Сервисе (ч. 3 ст. 6 № 152-ФЗ).

Обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без их использования. Оператор принимает меры, необходимые для обеспечения точности, достаточности и актуальности обрабатываемых данных.

Персональные данные хранятся не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Российской Федерации. Для данных, собранных при исполнении договора оказания услуг, срок хранения определяется требованиями бухгалтерского и налогового учёта (НК РФ, ст. 23 п. 1 подп. 8 — 4 года; Федеральный закон «О бухгалтерском учёте» № 402-ФЗ — 5 лет).

Персональные данные граждан Российской Федерации первично записываются, систематизируются, накапливаются, хранятся, уточняются и извлекаются с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 № 152-ФЗ. Основная база данных Сервиса размещена на серверах на территории Российской Федерации (Санкт-Петербург), в инфраструктуре, самостоятельно развёрнутой и администрируемой Оператором. Наименование хостинг-провайдера предоставляется по письменному запросу субъекта персональных данных.

Оператор не раскрывает и не распространяет персональные данные Пользователя без его согласия, за исключением случаев, прямо предусмотренных законом.

Передача данных третьим лицам допускается в объёме, необходимом для работы Сервиса и сопутствующей инфраструктуры. Категории получателей и цели передачи:

Трансграничная передача персональных данных Оператором не осуществляется. Подключение сервисов, предполагающих трансграничную передачу, возможно только с отдельным согласием субъектов в порядке ст. 12 № 152-ФЗ и уведомлением Роскомнадзора.

По запросу уполномоченных государственных органов персональные данные могут быть переданы в порядке и объёме, установленном законодательством Российской Федерации.

Инфраструктура Личного кабинета на поддомене design.noditector.com администрируется тем же Оператором, в связи с чем передача данных между noditector.com и ЛК не является передачей третьим лицам.

7.1. Настоящий раздел применяется к персональным данным Клиентов Пользователя, размещаемым Пользователем в Сервисе в рамках ведения проектов, подготовки коммерческих предложений, брифов, реквизитов и иных операций.

7.2. Оператор обрабатывает данные Клиентов Пользователя в целях оказания Пользователю услуг по Публичной оферте Noditector. Состав действий Оператора ограничивается функциями, необходимыми для работы Сервиса: запись, систематизация, накопление, хранение, уточнение, извлечение, использование, блокирование, удаление и обезличивание.

7.3. Оператор применяет к данным Клиентов Пользователя те же технические и организационные меры защиты, которые применяются к данным Пользователей (раздел 8).

7.4. Оператор уведомляет Пользователя о выявленных инцидентах, затронувших данные Клиентов Пользователя, не позднее 24 (двадцати четырёх) часов с момента обнаружения инцидента — в срок, позволяющий Пользователю исполнить собственные обязанности оператора в соответствии с № 266-ФЗ.

7.5. При прекращении настоящих отношений Оператор удаляет или возвращает Пользователю данные Клиентов Пользователя в порядке, установленном разделом 10 настоящей Политики.

Оператор применяет правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Меры включают, в частности:

• разграничение доступа к данным на уровне базы данных (Row Level Security) и на уровне приложения;
• передачу данных по защищённым каналам (HTTPS/TLS);
• защиту соединений с платёжным сервисом по технологии 3-D Secure;
• регулярное резервное копирование базы данных с хранением в защищённом хранилище;
• мониторинг и журналирование операций в Сервисе;
• организационные меры: разграничение ролей и прав Оператора и Сотрудников Пользователей, политики обработки секретов.

Отдельные категории чувствительных данных могут шифроваться на уровне приложения с использованием криптографических средств. Перечень таких категорий определяется Оператором и расширяется по мере необходимости.

Внутренний доступ к персональным данным предоставляется только тем лицам и подрядчикам, которым он необходим для выполнения соответствующих задач и обязанностей. С лицами, получающими доступ к персональным данным по поручению Оператора, заключаются соответствующие соглашения о конфиденциальности.

Несмотря на принимаемые меры, Пользователь понимает, что передача данных через сеть Интернет не может быть абсолютно защищённой, и Оператор не может гарантировать устранение всех без исключения рисков.

Субъект персональных данных вправе:

• получить сведения об обработке его персональных данных Оператором;
• потребовать уточнения, блокирования или уничтожения данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не нужны для заявленной цели обработки;
• в любой момент отозвать согласие на обработку персональных данных, направив обращение по адресу office@noditector.com;
• обратиться с жалобой в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), если считает, что Оператор нарушает его права;
• запросить удаление учётной записи в ЛК и связанных с ней данных в порядке, установленном разделом 10.

Субъект, чьи персональные данные размещены в Сервисе Пользователем (Клиент Пользователя), направляет свой запрос непосредственно Пользователю как оператору таких данных. Оператор по запросу Пользователя содействует в исполнении полученных Пользователем запросов субъектов.

10.1. Пользователь вправе в любой момент направить Оператору запрос на удаление учётной записи и связанных с ней персональных данных по адресу office@noditector.com.

10.2. После получения запроса на удаление Оператор:

• в течение 30 календарных дней отключает учётную запись Пользователя от Сервиса, блокируя дальнейшую обработку данных для целей оказания услуг;
• в течение 90 календарных дней с момента отключения (срок периода отложенного удаления, «grace period») производит окончательное удаление персональных данных Пользователя и Клиентов Пользователя, за исключением данных, подлежащих обязательному хранению в силу законодательства (бухгалтерские, налоговые, фискальные документы).

10.3. Пользователь может запросить немедленное удаление, без применения периода отложенного удаления. В этом случае Оператор производит удаление в течение 30 календарных дней с момента запроса, за исключением данных, подлежащих обязательному хранению.

10.4. Период отложенного удаления предусмотрен на случай ошибочного запроса и позволяет Пользователю восстановить учётную запись обращением по тому же адресу до истечения периода.

10.5. Данные, подлежащие обязательному хранению в силу налогового и бухгалтерского законодательства, хранятся Оператором в течение установленных законом сроков и используются исключительно для целей, для которых установлен такой срок.

При обнаружении неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, распространения либо иных неправомерных действий Оператор:

1. В течение 24 часов с момента обнаружения инцидента направляет уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) — в соответствии с требованиями Федерального закона № 266-ФЗ.
2. В течение 72 часов с момента обнаружения инцидента направляет дополнительное уведомление с установленным составом сведений — в соответствии с требованиями Федерального закона № 266-ФЗ.
3. Информирует затронутых субъектов персональных данных по контактным адресам, которые они предоставили Оператору, в срок, установленный Федеральным законом № 266-ФЗ.
4. Проводит внутреннее расследование и принимает меры по устранению причин инцидента и минимизации его последствий.

В случае, когда инцидент затронул данные Клиентов Пользователя, Оператор уведомляет Пользователя в срок, позволяющий Пользователю как оператору таких данных исполнить собственные обязанности в соответствии с № 266-ФЗ.

Сайт и ЛК могут использовать файлы cookie и аналогичные технологии для корректной работы страниц, запоминания пользовательских настроек, анализа посещаемости и улучшения структуры материалов.

Аналитические cookie (Яндекс.Метрика) устанавливаются только после явного согласия Пользователя, выраженного через баннер согласия на Сайте. В Личном кабинете согласие на аналитические cookie выражается при регистрации в составе согласия на обработку персональных данных и может быть отозвано через тумблер «Cookie и аналитика» в настройках профиля.

Подробные правила использования файлов cookie раскрываются в Политике cookie.

Пользователь может в любой момент изменить, обновить или дополнить предоставленную им персональную информацию через настройки профиля в ЛК либо направив обращение по адресу office@noditector.com.

В случае отзыва согласия Оператор прекращает обработку персональных данных и удаляет их в порядке, установленном разделом 10, если иное не установлено договором, стороной которого является Пользователь, или законодательством Российской Федерации.

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция Политики размещается на Сайте по адресу noditector.com/privacy и в Личном кабинете по адресу design.noditector.com/legal/privacy. Об изменениях, существенно влияющих на права и обязанности субъектов, Оператор дополнительно уведомляет Пользователей по адресу электронной почты, указанному при регистрации, не менее чем за 30 календарных дней до вступления изменений в силу.

При создании Пользователем первой карточки клиента в модуле «Реквизитница» (либо ином модуле, предполагающем размещение персональных данных Клиентов Пользователя) Пользователю предлагается отдельно подтвердить, что он располагает правовыми основаниями для размещения таких данных в Сервисе. Без такого подтверждения создание карточки клиента блокируется. Факт подтверждения и его дата сохраняются в истории акцептов Пользователя.

По всем вопросам, связанным с обработкой персональных данных, Пользователь может обратиться к Оператору по адресу office@noditector.com.

К настоящей Политике и отношениям между Пользователем и Оператором применяется законодательство Российской Федерации.