Юридический документ

Политика конфиденциальности

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных физических лиц (далее — «Субъект», «Пользователь», «вы»), осуществляемой Оператором сервиса «Премиум Кириешка» (Telegram-бот, веб-кабинет на базе FastAPI и связанные сервисы, совместно — «Сервис»), при использовании вами Сервиса. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), Гражданским кодексом Российской Федерации и иными нормативными правовыми актами Российской Федерации. Для Пользователей из Европейского союза дополнительно учитываются положения Общего регламента по защите данных (Регламент (ЕС) 2016/679, «GDPR»). Используя Сервис, вы подтверждаете, что ознакомились с настоящей Политикой и в установленных законом случаях даёте согласие на обработку своих персональных данных на изложенных ниже условиях. Настоящая Политика является неотъемлемой частью Условий использования и не является юридической консультацией.

Раздел 1

Оператор и контактные данные

Оператором, то есть лицом, самостоятельно определяющим цели и состав обрабатываемых персональных данных, а также действия (операции), совершаемые с ними (ст. 3 152-ФЗ), является владелец Сервиса «Премиум Кириешка» — физическое лицо, осуществляющее деятельность без образования юридического лица.

В целях защиты персональных данных самого Оператора как физического лица его фамилия, имя, отчество, адрес и иные идентифицирующие реквизиты в настоящей Политике не раскрываются и сообщаются по обоснованному запросу уполномоченных органов в установленном законом порядке.

По всем вопросам, связанным с обработкой персональных данных, реализацией прав субъекта и иными обращениями, вы можете связаться с Оператором:

Оператор рассматривает обращения в порядке и сроки, установленные разделом 11 настоящей Политики и 152-ФЗ.

Раздел 2

Термины и определения

В настоящей Политике используются следующие термины:

  • Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
  • Обработка ПДн — любое действие (операция) или совокупность действий с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
  • Оператор — лицо, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и состав обрабатываемых ПДн (см. раздел 1).
  • Субъект ПДн — физическое лицо, к которому относятся персональные данные.
  • Согласие — свободное, конкретное, информированное и сознательное волеизъявление субъекта на обработку его ПДн.
  • Трансграничная передача — передача ПДн на территорию иностранного государства органу власти, физическому или юридическому лицу.
  • OAuth-провайдер — сторонний сервис авторизации (Google, Yandex, VK, GitHub), через который Пользователь может войти в веб-кабинет.
  • «Ириски», coins, iris_gold — внутренняя (неденежная) виртуальная валюта Сервиса; Telegram Stars (XTR) — платёжное средство Telegram, имеющее реальную денежную стоимость.
  • Сервис — Telegram-бот «Премиум Кириешка», веб-кабинет (FastAPI), API и все связанные функции.

Иные термины используются в значениях, установленных 152-ФЗ.

Раздел 3

Правовые основания обработки персональных данных

Оператор обрабатывает персональные данные на следующих правовых основаниях, предусмотренных ст. 6 152-ФЗ:

  • Согласие субъекта (п. 1 ч. 1 ст. 6 152-ФЗ) — в частности, для обработки данных, получаемых при регистрации и через OAuth-провайдеров, для обработки изображений и производных от них данных (аватар, вектор лица), для маркетинговых и сервисных уведомлений. Согласие даётся посредством совершения конклюдентных действий (регистрация, авторизация через провайдера, отправка данных) и (или) проставления отметки в соответствующих формах.
  • Исполнение договора (Условий использования), стороной которого является субъект (п. 5 ч. 1 ст. 6 152-ФЗ) — для предоставления функций Сервиса, ведения аккаунта, начисления и учёта виртуальной валюты, проведения платежей, выдачи сертификатов и проведения тестов.
  • Законный интерес Оператора и третьих лиц (п. 7 ч. 1 ст. 6 152-ФЗ) — для обеспечения безопасности Сервиса и сообщества, предотвращения мошенничества, скама и злоупотреблений, модерации, ведения журналов и работы межсетевого экрана (firewall), защиты прав Оператора и иных пользователей. При этом Оператор соблюдает баланс интересов и не нарушает прав и свобод субъектов.
  • Исполнение обязанностей, возложенных законодательством (п. 2 ч. 1 ст. 6 152-ФЗ) — для ответов на законные запросы государственных органов и судов.

Для Пользователей из Европейского союза в качестве дополнительных правовых оснований применяются положения ст. 6 GDPR: согласие (ст. 6(1)(a)), исполнение договора (ст. 6(1)(b)), соблюдение юридической обязанности (ст. 6(1)(c)) и законный интерес (ст. 6(1)(f)). Обработка особых категорий данных (включая изображения и производные от них), при наличии, осуществляется на основании явного согласия (ст. 9(2)(a) GDPR).

Раздел 4

Категории обрабатываемых персональных данных

Оператор обрабатывает следующие категории персональных данных. Конкретный объём зависит от используемых вами функций Сервиса.

4.1. Данные Telegram-аккаунта: числовой идентификатор пользователя (user_id), имя пользователя (username), имя и фамилия, языковой код (language_code), метки и показатели активности, признак Telegram Premium.

4.2. Регистрационные данные веб-кабинета: фамилия, имя, отчество, номер телефона.

4.3. Данные, получаемые через OAuth-провайдеров (Google, Yandex, VK, GitHub): идентификатор у провайдера (provider_id), имя, фамилия, пол, дата рождения, номер телефона, адрес электронной почты, ссылка на аватар, а также полный «сырой» ответ провайдера (raw_json). При авторизации через VK запрашиваемая область доступа (scope) включает дату рождения (bdate), пол (sex), контактные данные (contacts), фотографию (photo).

4.4. Данные авторизации и сессий: одноразовые коды и коды подтверждения (OTP), в том числе email-OTP, хеш пароля (пароль в открытом виде не хранится), IP-адрес последнего входа, метка времени последней активности (last_seen).

4.5. Логи сообщений: полный текст сообщений, идентификаторы файлов (file_id), идентификаторы чата и сообщения (chat_id, message_id), время отправки (таблица message_context), а также журнал личной переписки пользователя с ботом (private_messages_log).

4.6. Данные модерации и поведения: предупреждения, нарушения, страйки, баны (включая глобальные), показатели репутации, флаги подозрений в скаме/фейке.

4.7. Профильные и демографические данные: пол, дата рождения, страна, город, часовой пояс (таймзона), признак наличия Telegram Premium.

4.8. Данные межсетевого экрана (firewall): IP-адрес, строка User-Agent, причина и период действия блокировки (таблица ip_bans).

4.9. Данные социального графа и сервисных функций: список друзей, задачи, события календаря, тикеты, жалобы и обращения, включая их текст.

4.10. Платёжные и экономические данные: история покупок, балансы виртуальных валют («ириски», iris_gold, coins), история транзакций, выданные сертификаты, результаты тестов.

4.11. Изображения и производные от них данные (повышенная категория чувствительности): аватары и вектор лица (photo_vector) — числовое представление, производное от изображения лица. Обработка таких данных осуществляется при наличии вашего согласия; вы вправе отозвать согласие и потребовать их удаления (раздел 11).

Оператор не ставит целью сбор сведений о расовой, национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья и интимной жизни. Если такие сведения попадают в тексты сообщений или обращений по вашей инициативе, они обрабатываются исключительно в составе соответствующих логов в указанных ниже целях.

Раздел 5

Цели обработки персональных данных

Персональные данные обрабатываются в следующих целях, соотнесённых с категориями данных:

  • Идентификация и аутентификация (данные Telegram, регистрации, OAuth, авторизации/сессий) — предоставление доступа к боту и веб-кабинету, ведение аккаунта, восстановление доступа.
  • Исполнение договора и предоставление функций Сервиса (профильные, платёжные, экономические данные, социальный граф) — работа функций, начисление и списание виртуальной валюты, проведение платежей через Telegram Stars, выдача сертификатов, проведение тестов, задачи и календарь.
  • Модерация и обеспечение безопасности сообщества (логи сообщений, данные модерации/поведения, firewall) — выявление и пресечение нарушений, спама, скама, мошенничества, ведение страйков и банов, в том числе с применением автоматизированной ИИ-модерации (модель BERT).
  • Поддержка и обработка обращений (тикеты, жалобы, контактные данные) — рассмотрение запросов, переписка с Пользователем, разрешение споров.
  • Соблюдение требований законодательства — ответы на законные запросы государственных органов, защита прав Оператора и третьих лиц.
  • Сервисные и (при наличии согласия) маркетинговые уведомления (email, Telegram) — информирование о работе Сервиса, изменениях условий, событиях.
  • Обработка изображений и вектора лица (photo_vector) — выполнение функций, для которых вы предоставили соответствующее согласие.

Оператор не обрабатывает ПДн в целях, несовместимых с заявленными, и не объединяет базы данных, обработка которых осуществляется в несовместимых целях.

Раздел 6

Источники получения персональных данных

Персональные данные поступают Оператору из следующих источников:

  • Непосредственно от субъекта — при регистрации, заполнении профиля, отправке сообщений боту и в чатах, создании обращений, совершении покупок.
  • От платформы Telegram — через Bot API (user_id, username, имя/фамилия, language_code, признак Premium и иные доступные боту сведения) в соответствии с политикой Telegram.
  • От OAuth-провайдеров при вашей авторизации — в объёме запрошенной области доступа (scope):
    • Google — идентификатор, имя, email, аватар (и иные поля профиля в зависимости от согласия);
    • Yandex — идентификатор, имя, email, телефон, пол, дата рождения, аватар;
    • VK — идентификатор, имя, а также (в запрашиваемом scope) дата рождения (bdate), пол (sex), контактные данные (contacts), фотография (photo);
    • GitHub — идентификатор, имя пользователя, email, аватар.
    От каждого провайдера сохраняется в том числе полный сырой ответ (raw_json).
  • Автоматически при использовании Сервиса — технические данные: IP-адрес, User-Agent, метки времени, данные сессий и журналов.

Передавая Оператору данные третьих лиц (например, упоминая иных пользователей в обращении), вы подтверждаете наличие у вас законных оснований для такой передачи.

Раздел 7

Способы и сроки хранения персональных данных

Обработка ПДн осуществляется как с использованием средств автоматизации, так и без таковых. Данные хранятся в базах данных Сервиса (в том числе SQLite-хранилища бота и веб-кабинета) с применением мер защиты, указанных в разделе 9. Сроки хранения по категориям:

  • Данные аккаунта, профиля, регистрации, OAuth (включая raw_json), платежей и экономики — в течение всего срока действия аккаунта и использования Сервиса; после удаления аккаунта — до завершения холд-периода (см. ниже), если иной срок не установлен законом (например, для платёжной отчётности).
  • Логи сообщений и личной переписки с ботом (message_context, private_messages_log) — до ~2 (двух) лет с момента создания записи, после чего подлежат удалению или обезличиванию, если их хранение не требуется для расследования инцидента или исполнения требований закона.
  • Данные модерации, страйков, банов, репутации — в течение срока, необходимого для обеспечения безопасности сообщества; глобальные баны и связанные с ними сведения могут храниться бессрочно в целях защиты пользователей.
  • Данные межсетевого экрана (ip_bans: IP, User-Agent, причина и окно блокировки) — в течение срока действия блокировки и разумного периода после её снятия для предотвращения повторных нарушений.
  • Изображения и вектор лица (photo_vector) — до отзыва согласия либо до удаления аккаунта (с учётом холд-периода).
  • Коды/OTP и временные токены — в течение короткого срока действия, после чего уничтожаются.

Удаление аккаунта и холд-период. По запросу на удаление данные блокируются и удаляются в срок до 180 (ста восьмидесяти) календарных дней (холд) — для борьбы с мошенничеством и защиты иных пользователей. В течение холда доступ к аккаунту прекращается, окончательное удаление производится по завершении проверки. Резервные копии очищаются по графику ротации. По достижении целей обработки или истечении сроков ПДн уничтожаются или обезличиваются.

Раздел 8

Передача персональных данных третьим лицам и трансграничная передача

Оператор не продаёт персональные данные. Передача данных третьим лицам осуществляется только в объёме, необходимом для функционирования Сервиса, либо на основании закона. В обработке участвуют следующие сторонние сервисы (поставщики инфраструктуры и сервисов):

  • Telegram (Telegram Messenger Inc. / Telegram FZ-LLC) — функционирование бота, доставка сообщений, платежи Telegram Stars;
  • Google, Yandex, VK, GitHub — авторизация через OAuth и получение данных профиля в объёме scope;
  • Brevo — отправка транзакционных и сервисных email-сообщений и кодов подтверждения;
  • хостинг- и инфраструктурные провайдеры — размещение Сервиса.

Трансграничная передача. Часть указанных лиц (в частности Telegram, Google, GitHub, Brevo) использует серверы и обрабатывает данные на территории иностранных государств, то есть за пределами Российской Федерации. Используя соответствующие функции (авторизация через провайдера, отправка email, работа через Telegram), вы информированы о трансграничной передаче и в установленных ст. 12 152-ФЗ случаях даёте на неё согласие. Оператор принимает доступные меры для того, чтобы получатели обеспечивали защиту передаваемых данных. Для Пользователей из ЕС такая передача осуществляется на основаниях, предусмотренных главой V GDPR.

Оператор также вправе раскрывать ПДн по законным требованиям государственных органов и судов в порядке, установленном законодательством.

Раздел 9

Меры защиты персональных данных

Оператор принимает правовые, организационные и технические меры для защиты ПДн от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий (ст. 18.1, ст. 19 152-ФЗ), в том числе:

  • шифрование передаваемых данных по защищённому протоколу TLS (HTTPS);
  • хранение паролей исключительно в виде криптографического хеша; пароли в открытом виде не хранятся и не передаются;
  • разграничение прав доступа по ролям и уровням; доступ к данным предоставляется по принципу минимальной достаточности;
  • работа межсетевого экрана (firewall) и блокировка вредоносного трафика по IP/User-Agent;
  • ведение журналов доступа и действий для выявления инцидентов;
  • применение одноразовых кодов (OTP) для подтверждения операций.

Несмотря на принимаемые меры, передача данных через сеть Интернет не может быть гарантированно безопасной; Пользователю рекомендуется соблюдать цифровую гигиену и использовать двухфакторную аутентификацию в Telegram.

Раздел 10

Файлы cookie и аналогичные технологии

Веб-кабинет использует файлы cookie и аналогичные технологии (включая токены сессий) для обеспечения работы авторизации, сохранения состояния входа, настроек интерфейса и безопасности. Часть cookie является строго необходимой — без них вход и работа кабинета невозможны; они устанавливаются на основании исполнения договора и законного интереса.

Вы можете управлять файлами cookie через настройки своего браузера, в том числе блокировать или удалять их. Отключение строго необходимых cookie может привести к недоступности авторизации и отдельных функций. Оператор не использует cookie для скрытого профилирования за пределами заявленных целей.

Раздел 11

Права субъекта персональных данных и порядок их реализации

В соответствии со ст. 14–16, 20–21 152-ФЗ (а для Пользователей ЕС — ст. 15–21 GDPR) вы имеете право:

  • на доступ — получить подтверждение факта обработки, сведения о составе, целях, источниках и сроках обработки ваших ПДн;
  • на уточнение (исправление) неточных, неполных или неактуальных данных;
  • на удаление данных и аккаунта (с учётом холд-периода до 180 дней и случаев, когда хранение требуется по закону или для защиты прав);
  • на блокирование обработки в установленных законом случаях;
  • на отзыв согласия — в любой момент в отношении данных, обрабатываемых на основании согласия (включая OAuth-данные, изображения и вектор лица); отзыв не затрагивает законность обработки, осуществлённой до отзыва, и не прекращает обработку, имеющую иное правовое основание;
  • на возражение против обработки, основанной на законном интересе, и (для ЕС) на переносимость данных.

Для реализации прав направьте обращение через форму «Связаться с нами» или в Telegram @Avrrorka02. Оператор вправе запросить сведения для подтверждения личности заявителя. Ответ предоставляется в срок не более 30 (тридцати) дней со дня обращения (с возможностью продления в установленных законом случаях с уведомлением заявителя). Реализация прав может быть ограничена, если это необходимо для защиты прав иных лиц, предотвращения мошенничества или исполнения требований закона.

Раздел 12

Обработка данных несовершеннолетних

Сервис ориентирован на пользователей в возрасте от 13 лет (в соответствии с правилами Telegram). Регистрируясь и используя Сервис, вы подтверждаете, что вам исполнилось 13 лет.

Платные функции — оплата через Telegram Stars (XTR), приобретение премиум-возможностей, прав администратора, пополнение «ирисок» и иные операции, имеющие денежную стоимость, — доступны лицам, достигшим 18 лет, либо лицам младше 18 лет при наличии согласия законного представителя (родителя, опекуна, попечителя).

Обработка ПДн несовершеннолетних осуществляется с учётом требований законодательства; при обработке данных лиц младше возраста, с которого допускается самостоятельное согласие, требуется согласие законного представителя. Если вам стало известно, что данные несовершеннолетнего были предоставлены без необходимого согласия, сообщите Оператору через форму обращения — такие данные будут удалены.

Раздел 13

Уведомление об инцидентах безопасности

В случае выявления нарушения безопасности персональных данных (несанкционированного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения), повлёкшего риск для прав и интересов субъектов, Оператор принимает меры по локализации и устранению последствий инцидента.

Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о факте и обстоятельствах инцидента в сроки и в порядке, установленные 152-ФЗ. При наличии высокого риска для ваших прав и свобод Оператор информирует затронутых Пользователей доступными способами (через Сервис, email или Telegram). Для Пользователей ЕС применяются сроки и порядок уведомления, установленные ст. 33–34 GDPR.

Раздел 14

Изменение Политики конфиденциальности

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда размещается на странице /privacy с указанием версии и даты. Существенные изменения могут дополнительно доводиться до Пользователей через Сервис, email или Telegram.

Изменения вступают в силу с момента публикации новой редакции, если иное не указано в ней. Продолжение использования Сервиса после публикации изменений означает ваше согласие с обновлённой Политикой. Рекомендуем периодически проверять актуальность Политики.

Раздел 15

Надзорный орган и право на жалобу

Надзор за обработкой персональных данных на территории Российской Федерации осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Если вы считаете, что обработка ваших персональных данных нарушает закон, вы вправе обратиться к Оператору через форму «Связаться с нами» для досудебного урегулирования, а также подать жалобу в Роскомнадзор или в суд в порядке, установленном законодательством Российской Федерации.

Перед обращением в суд стороны принимают меры к досудебному урегулированию путём переговоров в течение 30 (тридцати) дней с момента направления письменного обращения. Срок исковой давности по требованиям, вытекающим из обработки данных в рамках Сервиса, составляет 1 (один) год с момента, когда субъекту стало известно или должно было стать известно о нарушении, если иной срок не установлен императивными нормами закона.

Для Пользователей — резидентов Европейского союза: вы вправе подать жалобу в надзорный орган по защите данных страны вашего обычного пребывания, места работы или места предполагаемого нарушения (ст. 77 GDPR).

Раздел 16

Обработка биометрических персональных данных (вектор лица) и условия согласия

Числовое представление, производное от изображения лица (photo_vector), и иные данные, характеризующие физиологические особенности, на основании которых можно установить личность субъекта, обрабатываются Оператором как биометрические персональные данные в значении статьи 11 152-ФЗ.

Обработка таких данных осуществляется исключительно при наличии отдельного, конкретного, информированного и сознательного согласия субъекта в письменной форме (включая форму электронного документа/подтверждения, фиксируемого Оператором), запрашиваемого до начала обработки. Согласие на биометрию запрашивается отдельно от иных согласий и не является условием предоставления базовых функций Сервиса, не требующих такой обработки.

Цель обработки вектора лица ограничивается функциями, для которых субъект предоставил согласие; данные не используются для целей, несовместимых с заявленными, не передаются третьим лицам без отдельного правового основания и не размещаются в общедоступных источниках. Субъект вправе в любой момент отозвать согласие на обработку биометрических данных через каналы, указанные в разделе о контактных данных; по получении отзыва Оператор прекращает обработку и удаляет (уничтожает) соответствующие данные в срок, не превышающий тридцати (30) дней, если иное не предусмотрено законом. К биометрическим данным применяются повышенные меры защиты, указанные в разделе о безопасности. Для Пользователей из ЕС обработка осуществляется на основании явного согласия (ст. 9(2)(a) GDPR).

Раздел 17

Трансграничная передача персональных данных

Оператор стремится осуществлять обработку и хранение персональных данных на территории Российской Федерации. Трансграничная передача персональных данных может иметь место в силу архитектуры используемых сторонних сервисов — в частности, при взаимодействии с платформой Telegram и OAuth-провайдерами (Google, Yandex, VK, GitHub), серверы и инфраструктура которых могут располагаться за пределами Российской Федерации.

Трансграничная передача осуществляется в соответствии со статьёй 12 152-ФЗ. До начала такой передачи Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о намерении осуществлять трансграничную передачу и учитывает, обеспечивает ли иностранное государство адекватную защиту прав субъектов. При передаче в государства, не обеспечивающие адекватной защиты, передача осуществляется при наличии предусмотренных законом оснований, в том числе согласия субъекта в письменной форме на трансграничную передачу и/или для исполнения договора, стороной которого является субъект.

Передавая данные через интеграции с указанными платформами, вы информированы о возможной трансграничной передаче и, в установленных законом случаях, выражаете согласие на неё. Для Пользователей из ЕС передача за пределы Европейского экономического пространства осуществляется при наличии надлежащих гарантий в соответствии с главой V GDPR.

Раздел 18

Локализация баз данных граждан Российской Федерации

В соответствии с частью 5 статьи 18 152-ФЗ при сборе персональных данных, в том числе через сеть «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Последующая обработка и передача данных, включая использование сторонних сервисов и трансграничную передачу, осуществляется с соблюдением требований раздела о трансграничной передаче и иных применимых положений 152-ФЗ. Технические особенности отдельных интеграций третьих лиц не освобождают Оператора от обязанности первичной локализации в объёме, предусмотренном законом.

Раздел 19

Поручение обработки персональных данных третьим лицам (обработчики)

Оператор вправе поручать обработку персональных данных третьим лицам (обработчикам) на основании договора (поручения), как это предусмотрено частями 3 и 4 статьи 6 152-ФЗ, с согласия субъекта, если иное не установлено законом. К таким лицам относятся, в частности, поставщики хостинга и серверной инфраструктуры, провайдеры рассылок и уведомлений, сервисы авторизации и иные подрядчики, обеспечивающие функционирование Сервиса.

В договоре с обработчиком Оператор закрепляет перечень действий с персональными данными, цели обработки, обязанность обработчика соблюдать конфиденциальность и требования к защите данных, предусмотренные статьёй 19 152-ФЗ, и обрабатывать данные исключительно по поручению Оператора. Ответственность перед субъектом за действия обработчика несёт Оператор; обработчик несёт ответственность перед Оператором. Оператор не передаёт персональные данные третьим лицам в целях, несовместимых с заявленными, и не осуществляет их продажу.

Раздел 20

Права субъекта персональных данных и порядок их реализации

В соответствии со статьями 14, 20 и 21 152-ФЗ субъект персональных данных имеет право: получать сведения, касающиеся обработки его данных Оператором (факт, правовые основания, цели, способы, сроки, перечень данных и их источник, сведения о трансграничной передаче); требовать уточнения (исправления) неполных, неточных или неактуальных данных, их блокирования или удаления (уничтожения), если данные обрабатываются с нарушением закона; отозвать согласие на обработку; возражать против обработки; обжаловать действия или бездействие Оператора в уполномоченный орган (Роскомнадзор) или в суд.

Запрос направляется через каналы обратной связи, указанные в разделе о контактных данных, с указанием сведений, позволяющих идентифицировать субъекта (для предотвращения раскрытия данных неуполномоченному лицу Оператор вправе запросить дополнительные данные для верификации). Оператор предоставляет ответ в течение десяти (10) рабочих дней с даты получения запроса или обращения; указанный срок может быть продлён, но не более чем на пять (5) рабочих дней, с уведомлением субъекта о причинах продления. По требованию об отзыве согласия или прекращении обработки Оператор прекращает обработку (обеспечивает прекращение обработчиком) в срок, не превышающий тридцати (30) дней с даты поступления требования, если иное не предусмотрено законом.

Оператор вправе отказать в удовлетворении запроса в случаях, предусмотренных частью 8 статьи 14 152-ФЗ (в том числе если обработка необходима для исполнения возложенных законом обязанностей, осуществляется в целях обеспечения безопасности или защиты прав иных лиц), с мотивированным обоснованием отказа. Для Пользователей из ЕС дополнительно применяются права по GDPR, включая право на доступ, исправление, удаление, ограничение обработки, переносимость данных и возражение (ст. 15–22 GDPR).

Раздел 21

Автоматизированная обработка и ИИ-модерация; права при автоматизированных решениях

Оператор применяет средства автоматизированной обработки персональных данных, в том числе ИИ-модерацию сообщений (модель BERT) и автоматическую классификацию для целей безопасности, выявления спама, скама и нарушений, а также применения предупреждений, страйков и ограничений доступа.

В соответствии со статьёй 16 152-ФЗ запрещается принятие на основании исключительно автоматизированной обработки решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, кроме случаев, предусмотренных законом, или при наличии согласия субъекта. Решения, существенно затрагивающие права Пользователя (например, блокировка Аккаунта), могут быть пересмотрены с участием человека: Пользователь вправе изложить свою позицию и потребовать пересмотра автоматизированного решения через каналы обратной связи. Оператор информирует субъекта о порядке принятия такого решения и его возможных последствиях. Для Пользователей из ЕС применяется статья 22 GDPR.

Раздел 22

Меры по обеспечению безопасности персональных данных

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в соответствии со статьёй 19 152-ФЗ.

К таким мерам относятся, в частности: хранение паролей исключительно в виде криптографического хеша; разграничение прав доступа и применение уровней доступа к функциям Сервиса; ведение журналов доступа и действий; применение средств межсетевого экранирования (firewall) и блокировок по IP; шифрование каналов передачи данных; ограничение круга лиц, допущенных к обработке, и обязательство о конфиденциальности; повышенные меры защиты в отношении биометрических данных. Несмотря на принимаемые меры, Оператор не может гарантировать абсолютную безопасность передаваемых через сеть «Интернет» данных; Пользователь обязан соблюдать собственные меры безопасности (раздел Соглашения о безопасности Аккаунта).

Раздел 23

Уведомление об инцидентах, связанных с персональными данными

При выявлении инцидента (нарушения), повлёкшего неправомерную или случайную передачу (предоставление, доступ, распространение) персональных данных, повлёкшую нарушение прав субъектов, Оператор принимает меры по локализации и устранению последствий инцидента.

В соответствии с частями 3.1 и 3.2 статьи 21 152-ФЗ Оператор уведомляет уполномоченный орган (Роскомнадзор): в течение двадцати четырёх (24) часов — о факте инцидента, предполагаемых причинах и предполагаемом вреде правам субъектов, а также о принятых мерах; и в течение семидесяти двух (72) часов — о результатах внутреннего расследования и о лицах, действия которых стали причиной инцидента (при их установлении). При необходимости и в порядке, установленном законом, Оператор информирует затронутых субъектов. Для Пользователей из ЕС применяются положения статей 33–34 GDPR об уведомлении надзорного органа и субъектов о нарушении.

Раздел 24

Обработка данных несовершеннолетних

Сервис не предназначен для лиц младше тринадцати (13) лет (раздел Соглашения о возрасте). Оператор не осуществляет целенаправленный сбор персональных данных лиц, не достигших указанного возраста.

Обработка данных несовершеннолетних осуществляется с учётом требований законодательства и, в установленных законом случаях, при наличии согласия законных представителей. Если Оператору станет известно, что им получены персональные данные лица младше тринадцати (13) лет без надлежащего правового основания, такие данные подлежат удалению в разумный срок. Законный представитель несовершеннолетнего вправе обратиться к Оператору через каналы, указанные в разделе о контактных данных, для реализации прав субъекта, включая ознакомление, исправление и удаление данных. Для Пользователей из ЕС учитываются требования статьи 8 GDPR к согласию в отношении услуг информационного общества, предоставляемых детям.

Раздел 25

Изменение Политики, версии и приоритет языка

Оператор вправе изменять настоящую Политику. Актуальная редакция размещается в Сервисе с указанием версии и даты вступления в силу. Существенные изменения, затрагивающие объём обрабатываемых данных, цели или правовые основания, доводятся до сведения субъектов доступными средствами уведомления; в случаях, когда требуется согласие, оно запрашивается дополнительно.

Основным и приоритетным языком Политики является русский язык; при расхождениях с переводами на иные языки преимущественную силу имеет русскоязычная редакция. Продолжение использования Сервиса после вступления изменений в силу означает, что субъект ознакомлен с актуальной редакцией. К отношениям сторон применяется редакция Политики, действующая на момент совершения соответствующего действия по обработке данных.

cookie

Мы используем cookies для поддержания вашей сессии авторизации.
Подробнее в Политике конфиденциальности.