Политика конфиденциальности
Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных физических лиц (далее — «Субъект», «Пользователь», «вы»), осуществляемой Оператором сервиса «Премиум Кириешка» (Telegram-бот, веб-кабинет на базе FastAPI и связанные сервисы, совместно — «Сервис»), при использовании вами Сервиса. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), Гражданским кодексом Российской Федерации и иными нормативными правовыми актами Российской Федерации. Для Пользователей из Европейского союза дополнительно учитываются положения Общего регламента по защите данных (Регламент (ЕС) 2016/679, «GDPR»). Используя Сервис, вы подтверждаете, что ознакомились с настоящей Политикой и в установленных законом случаях даёте согласие на обработку своих персональных данных на изложенных ниже условиях. Настоящая Политика является неотъемлемой частью Условий использования и не является юридической консультацией.
Оператор и контактные данные
Оператором, то есть лицом, самостоятельно определяющим цели и состав обрабатываемых персональных данных, а также действия (операции), совершаемые с ними (ст. 3 152-ФЗ), является владелец Сервиса «Премиум Кириешка» — физическое лицо, осуществляющее деятельность без образования юридического лица.
В целях защиты персональных данных самого Оператора как физического лица его фамилия, имя, отчество, адрес и иные идентифицирующие реквизиты в настоящей Политике не раскрываются и сообщаются по обоснованному запросу уполномоченных органов в установленном законом порядке.
По всем вопросам, связанным с обработкой персональных данных, реализацией прав субъекта и иными обращениями, вы можете связаться с Оператором:
- через форму обратной связи на странице «Связаться с нами»;
- в мессенджере Telegram: @Avrrorka02.
Оператор рассматривает обращения в порядке и сроки, установленные разделом 11 настоящей Политики и 152-ФЗ.
Термины и определения
В настоящей Политике используются следующие термины:
- Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
- Обработка ПДн — любое действие (операция) или совокупность действий с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- Оператор — лицо, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и состав обрабатываемых ПДн (см. раздел 1).
- Субъект ПДн — физическое лицо, к которому относятся персональные данные.
- Согласие — свободное, конкретное, информированное и сознательное волеизъявление субъекта на обработку его ПДн.
- Трансграничная передача — передача ПДн на территорию иностранного государства органу власти, физическому или юридическому лицу.
- OAuth-провайдер — сторонний сервис авторизации (Google, Yandex, VK, GitHub), через который Пользователь может войти в веб-кабинет.
- «Ириски», coins, iris_gold — внутренняя (неденежная) виртуальная валюта Сервиса; Telegram Stars (XTR) — платёжное средство Telegram, имеющее реальную денежную стоимость.
- Сервис — Telegram-бот «Премиум Кириешка», веб-кабинет (FastAPI), API и все связанные функции.
Иные термины используются в значениях, установленных 152-ФЗ.
Правовые основания обработки персональных данных
Оператор обрабатывает персональные данные на следующих правовых основаниях, предусмотренных ст. 6 152-ФЗ:
- Согласие субъекта (п. 1 ч. 1 ст. 6 152-ФЗ) — в частности, для обработки данных, получаемых при регистрации и через OAuth-провайдеров, для обработки изображений и производных от них данных (аватар, вектор лица), для маркетинговых и сервисных уведомлений. Согласие даётся посредством совершения конклюдентных действий (регистрация, авторизация через провайдера, отправка данных) и (или) проставления отметки в соответствующих формах.
- Исполнение договора (Условий использования), стороной которого является субъект (п. 5 ч. 1 ст. 6 152-ФЗ) — для предоставления функций Сервиса, ведения аккаунта, начисления и учёта виртуальной валюты, проведения платежей, выдачи сертификатов и проведения тестов.
- Законный интерес Оператора и третьих лиц (п. 7 ч. 1 ст. 6 152-ФЗ) — для обеспечения безопасности Сервиса и сообщества, предотвращения мошенничества, скама и злоупотреблений, модерации, ведения журналов и работы межсетевого экрана (firewall), защиты прав Оператора и иных пользователей. При этом Оператор соблюдает баланс интересов и не нарушает прав и свобод субъектов.
- Исполнение обязанностей, возложенных законодательством (п. 2 ч. 1 ст. 6 152-ФЗ) — для ответов на законные запросы государственных органов и судов.
Для Пользователей из Европейского союза в качестве дополнительных правовых оснований применяются положения ст. 6 GDPR: согласие (ст. 6(1)(a)), исполнение договора (ст. 6(1)(b)), соблюдение юридической обязанности (ст. 6(1)(c)) и законный интерес (ст. 6(1)(f)). Обработка особых категорий данных (включая изображения и производные от них), при наличии, осуществляется на основании явного согласия (ст. 9(2)(a) GDPR).
Категории обрабатываемых персональных данных
Оператор обрабатывает следующие категории персональных данных. Конкретный объём зависит от используемых вами функций Сервиса.
4.1. Данные Telegram-аккаунта: числовой идентификатор пользователя (user_id), имя пользователя (username), имя и фамилия, языковой код (language_code), метки и показатели активности, признак Telegram Premium.
4.2. Регистрационные данные веб-кабинета: фамилия, имя, отчество, номер телефона.
4.3. Данные, получаемые через OAuth-провайдеров (Google, Yandex, VK, GitHub): идентификатор у провайдера (provider_id), имя, фамилия, пол, дата рождения, номер телефона, адрес электронной почты, ссылка на аватар, а также полный «сырой» ответ провайдера (raw_json). При авторизации через VK запрашиваемая область доступа (scope) включает дату рождения (bdate), пол (sex), контактные данные (contacts), фотографию (photo).
4.4. Данные авторизации и сессий: одноразовые коды и коды подтверждения (OTP), в том числе email-OTP, хеш пароля (пароль в открытом виде не хранится), IP-адрес последнего входа, метка времени последней активности (last_seen).
4.5. Логи сообщений: полный текст сообщений, идентификаторы файлов (file_id), идентификаторы чата и сообщения (chat_id, message_id), время отправки (таблица message_context), а также журнал личной переписки пользователя с ботом (private_messages_log).
4.6. Данные модерации и поведения: предупреждения, нарушения, страйки, баны (включая глобальные), показатели репутации, флаги подозрений в скаме/фейке.
4.7. Профильные и демографические данные: пол, дата рождения, страна, город, часовой пояс (таймзона), признак наличия Telegram Premium.
4.8. Данные межсетевого экрана (firewall): IP-адрес, строка User-Agent, причина и период действия блокировки (таблица ip_bans).
4.9. Данные социального графа и сервисных функций: список друзей, задачи, события календаря, тикеты, жалобы и обращения, включая их текст.
4.10. Платёжные и экономические данные: история покупок, балансы виртуальных валют («ириски», iris_gold, coins), история транзакций, выданные сертификаты, результаты тестов.
4.11. Изображения и производные от них данные (повышенная категория чувствительности): аватары и вектор лица (photo_vector) — числовое представление, производное от изображения лица. Обработка таких данных осуществляется при наличии вашего согласия; вы вправе отозвать согласие и потребовать их удаления (раздел 11).
Оператор не ставит целью сбор сведений о расовой, национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья и интимной жизни. Если такие сведения попадают в тексты сообщений или обращений по вашей инициативе, они обрабатываются исключительно в составе соответствующих логов в указанных ниже целях.
Цели обработки персональных данных
Персональные данные обрабатываются в следующих целях, соотнесённых с категориями данных:
- Идентификация и аутентификация (данные Telegram, регистрации, OAuth, авторизации/сессий) — предоставление доступа к боту и веб-кабинету, ведение аккаунта, восстановление доступа.
- Исполнение договора и предоставление функций Сервиса (профильные, платёжные, экономические данные, социальный граф) — работа функций, начисление и списание виртуальной валюты, проведение платежей через Telegram Stars, выдача сертификатов, проведение тестов, задачи и календарь.
- Модерация и обеспечение безопасности сообщества (логи сообщений, данные модерации/поведения, firewall) — выявление и пресечение нарушений, спама, скама, мошенничества, ведение страйков и банов, в том числе с применением автоматизированной ИИ-модерации (модель BERT).
- Поддержка и обработка обращений (тикеты, жалобы, контактные данные) — рассмотрение запросов, переписка с Пользователем, разрешение споров.
- Соблюдение требований законодательства — ответы на законные запросы государственных органов, защита прав Оператора и третьих лиц.
- Сервисные и (при наличии согласия) маркетинговые уведомления (email, Telegram) — информирование о работе Сервиса, изменениях условий, событиях.
- Обработка изображений и вектора лица (photo_vector) — выполнение функций, для которых вы предоставили соответствующее согласие.
Оператор не обрабатывает ПДн в целях, несовместимых с заявленными, и не объединяет базы данных, обработка которых осуществляется в несовместимых целях.
Источники получения персональных данных
Персональные данные поступают Оператору из следующих источников:
- Непосредственно от субъекта — при регистрации, заполнении профиля, отправке сообщений боту и в чатах, создании обращений, совершении покупок.
- От платформы Telegram — через Bot API (user_id, username, имя/фамилия, language_code, признак Premium и иные доступные боту сведения) в соответствии с политикой Telegram.
- От OAuth-провайдеров при вашей авторизации — в объёме запрошенной области доступа (scope):
- Google — идентификатор, имя, email, аватар (и иные поля профиля в зависимости от согласия);
- Yandex — идентификатор, имя, email, телефон, пол, дата рождения, аватар;
- VK — идентификатор, имя, а также (в запрашиваемом scope) дата рождения (bdate), пол (sex), контактные данные (contacts), фотография (photo);
- GitHub — идентификатор, имя пользователя, email, аватар.
- Автоматически при использовании Сервиса — технические данные: IP-адрес, User-Agent, метки времени, данные сессий и журналов.
Передавая Оператору данные третьих лиц (например, упоминая иных пользователей в обращении), вы подтверждаете наличие у вас законных оснований для такой передачи.
Способы и сроки хранения персональных данных
Обработка ПДн осуществляется как с использованием средств автоматизации, так и без таковых. Данные хранятся в базах данных Сервиса (в том числе SQLite-хранилища бота и веб-кабинета) с применением мер защиты, указанных в разделе 9. Сроки хранения по категориям:
- Данные аккаунта, профиля, регистрации, OAuth (включая raw_json), платежей и экономики — в течение всего срока действия аккаунта и использования Сервиса; после удаления аккаунта — до завершения холд-периода (см. ниже), если иной срок не установлен законом (например, для платёжной отчётности).
- Логи сообщений и личной переписки с ботом (message_context, private_messages_log) — до ~2 (двух) лет с момента создания записи, после чего подлежат удалению или обезличиванию, если их хранение не требуется для расследования инцидента или исполнения требований закона.
- Данные модерации, страйков, банов, репутации — в течение срока, необходимого для обеспечения безопасности сообщества; глобальные баны и связанные с ними сведения могут храниться бессрочно в целях защиты пользователей.
- Данные межсетевого экрана (ip_bans: IP, User-Agent, причина и окно блокировки) — в течение срока действия блокировки и разумного периода после её снятия для предотвращения повторных нарушений.
- Изображения и вектор лица (photo_vector) — до отзыва согласия либо до удаления аккаунта (с учётом холд-периода).
- Коды/OTP и временные токены — в течение короткого срока действия, после чего уничтожаются.
Удаление аккаунта и холд-период. По запросу на удаление данные блокируются и удаляются в срок до 180 (ста восьмидесяти) календарных дней (холд) — для борьбы с мошенничеством и защиты иных пользователей. В течение холда доступ к аккаунту прекращается, окончательное удаление производится по завершении проверки. Резервные копии очищаются по графику ротации. По достижении целей обработки или истечении сроков ПДн уничтожаются или обезличиваются.
Передача персональных данных третьим лицам и трансграничная передача
Оператор не продаёт персональные данные. Передача данных третьим лицам осуществляется только в объёме, необходимом для функционирования Сервиса, либо на основании закона. В обработке участвуют следующие сторонние сервисы (поставщики инфраструктуры и сервисов):
- Telegram (Telegram Messenger Inc. / Telegram FZ-LLC) — функционирование бота, доставка сообщений, платежи Telegram Stars;
- Google, Yandex, VK, GitHub — авторизация через OAuth и получение данных профиля в объёме scope;
- Brevo — отправка транзакционных и сервисных email-сообщений и кодов подтверждения;
- хостинг- и инфраструктурные провайдеры — размещение Сервиса.
Трансграничная передача. Часть указанных лиц (в частности Telegram, Google, GitHub, Brevo) использует серверы и обрабатывает данные на территории иностранных государств, то есть за пределами Российской Федерации. Используя соответствующие функции (авторизация через провайдера, отправка email, работа через Telegram), вы информированы о трансграничной передаче и в установленных ст. 12 152-ФЗ случаях даёте на неё согласие. Оператор принимает доступные меры для того, чтобы получатели обеспечивали защиту передаваемых данных. Для Пользователей из ЕС такая передача осуществляется на основаниях, предусмотренных главой V GDPR.
Оператор также вправе раскрывать ПДн по законным требованиям государственных органов и судов в порядке, установленном законодательством.
Меры защиты персональных данных
Оператор принимает правовые, организационные и технические меры для защиты ПДн от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий (ст. 18.1, ст. 19 152-ФЗ), в том числе:
- шифрование передаваемых данных по защищённому протоколу TLS (HTTPS);
- хранение паролей исключительно в виде криптографического хеша; пароли в открытом виде не хранятся и не передаются;
- разграничение прав доступа по ролям и уровням; доступ к данным предоставляется по принципу минимальной достаточности;
- работа межсетевого экрана (firewall) и блокировка вредоносного трафика по IP/User-Agent;
- ведение журналов доступа и действий для выявления инцидентов;
- применение одноразовых кодов (OTP) для подтверждения операций.
Несмотря на принимаемые меры, передача данных через сеть Интернет не может быть гарантированно безопасной; Пользователю рекомендуется соблюдать цифровую гигиену и использовать двухфакторную аутентификацию в Telegram.
Файлы cookie и аналогичные технологии
Веб-кабинет использует файлы cookie и аналогичные технологии (включая токены сессий) для обеспечения работы авторизации, сохранения состояния входа, настроек интерфейса и безопасности. Часть cookie является строго необходимой — без них вход и работа кабинета невозможны; они устанавливаются на основании исполнения договора и законного интереса.
Вы можете управлять файлами cookie через настройки своего браузера, в том числе блокировать или удалять их. Отключение строго необходимых cookie может привести к недоступности авторизации и отдельных функций. Оператор не использует cookie для скрытого профилирования за пределами заявленных целей.
Права субъекта персональных данных и порядок их реализации
В соответствии со ст. 14–16, 20–21 152-ФЗ (а для Пользователей ЕС — ст. 15–21 GDPR) вы имеете право:
- на доступ — получить подтверждение факта обработки, сведения о составе, целях, источниках и сроках обработки ваших ПДн;
- на уточнение (исправление) неточных, неполных или неактуальных данных;
- на удаление данных и аккаунта (с учётом холд-периода до 180 дней и случаев, когда хранение требуется по закону или для защиты прав);
- на блокирование обработки в установленных законом случаях;
- на отзыв согласия — в любой момент в отношении данных, обрабатываемых на основании согласия (включая OAuth-данные, изображения и вектор лица); отзыв не затрагивает законность обработки, осуществлённой до отзыва, и не прекращает обработку, имеющую иное правовое основание;
- на возражение против обработки, основанной на законном интересе, и (для ЕС) на переносимость данных.
Для реализации прав направьте обращение через форму «Связаться с нами» или в Telegram @Avrrorka02. Оператор вправе запросить сведения для подтверждения личности заявителя. Ответ предоставляется в срок не более 30 (тридцати) дней со дня обращения (с возможностью продления в установленных законом случаях с уведомлением заявителя). Реализация прав может быть ограничена, если это необходимо для защиты прав иных лиц, предотвращения мошенничества или исполнения требований закона.
Обработка данных несовершеннолетних
Сервис ориентирован на пользователей в возрасте от 13 лет (в соответствии с правилами Telegram). Регистрируясь и используя Сервис, вы подтверждаете, что вам исполнилось 13 лет.
Платные функции — оплата через Telegram Stars (XTR), приобретение премиум-возможностей, прав администратора, пополнение «ирисок» и иные операции, имеющие денежную стоимость, — доступны лицам, достигшим 18 лет, либо лицам младше 18 лет при наличии согласия законного представителя (родителя, опекуна, попечителя).
Обработка ПДн несовершеннолетних осуществляется с учётом требований законодательства; при обработке данных лиц младше возраста, с которого допускается самостоятельное согласие, требуется согласие законного представителя. Если вам стало известно, что данные несовершеннолетнего были предоставлены без необходимого согласия, сообщите Оператору через форму обращения — такие данные будут удалены.
Уведомление об инцидентах безопасности
В случае выявления нарушения безопасности персональных данных (несанкционированного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения), повлёкшего риск для прав и интересов субъектов, Оператор принимает меры по локализации и устранению последствий инцидента.
Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о факте и обстоятельствах инцидента в сроки и в порядке, установленные 152-ФЗ. При наличии высокого риска для ваших прав и свобод Оператор информирует затронутых Пользователей доступными способами (через Сервис, email или Telegram). Для Пользователей ЕС применяются сроки и порядок уведомления, установленные ст. 33–34 GDPR.
Изменение Политики конфиденциальности
Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда размещается на странице /privacy с указанием версии и даты. Существенные изменения могут дополнительно доводиться до Пользователей через Сервис, email или Telegram.
Изменения вступают в силу с момента публикации новой редакции, если иное не указано в ней. Продолжение использования Сервиса после публикации изменений означает ваше согласие с обновлённой Политикой. Рекомендуем периодически проверять актуальность Политики.
Надзорный орган и право на жалобу
Надзор за обработкой персональных данных на территории Российской Федерации осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Если вы считаете, что обработка ваших персональных данных нарушает закон, вы вправе обратиться к Оператору через форму «Связаться с нами» для досудебного урегулирования, а также подать жалобу в Роскомнадзор или в суд в порядке, установленном законодательством Российской Федерации.
Перед обращением в суд стороны принимают меры к досудебному урегулированию путём переговоров в течение 30 (тридцати) дней с момента направления письменного обращения. Срок исковой давности по требованиям, вытекающим из обработки данных в рамках Сервиса, составляет 1 (один) год с момента, когда субъекту стало известно или должно было стать известно о нарушении, если иной срок не установлен императивными нормами закона.
Для Пользователей — резидентов Европейского союза: вы вправе подать жалобу в надзорный орган по защите данных страны вашего обычного пребывания, места работы или места предполагаемого нарушения (ст. 77 GDPR).
Обработка биометрических персональных данных (вектор лица) и условия согласия
Числовое представление, производное от изображения лица (photo_vector), и иные данные, характеризующие физиологические особенности, на основании которых можно установить личность субъекта, обрабатываются Оператором как биометрические персональные данные в значении статьи 11 152-ФЗ.
Обработка таких данных осуществляется исключительно при наличии отдельного, конкретного, информированного и сознательного согласия субъекта в письменной форме (включая форму электронного документа/подтверждения, фиксируемого Оператором), запрашиваемого до начала обработки. Согласие на биометрию запрашивается отдельно от иных согласий и не является условием предоставления базовых функций Сервиса, не требующих такой обработки.
Цель обработки вектора лица ограничивается функциями, для которых субъект предоставил согласие; данные не используются для целей, несовместимых с заявленными, не передаются третьим лицам без отдельного правового основания и не размещаются в общедоступных источниках. Субъект вправе в любой момент отозвать согласие на обработку биометрических данных через каналы, указанные в разделе о контактных данных; по получении отзыва Оператор прекращает обработку и удаляет (уничтожает) соответствующие данные в срок, не превышающий тридцати (30) дней, если иное не предусмотрено законом. К биометрическим данным применяются повышенные меры защиты, указанные в разделе о безопасности. Для Пользователей из ЕС обработка осуществляется на основании явного согласия (ст. 9(2)(a) GDPR).
Трансграничная передача персональных данных
Оператор стремится осуществлять обработку и хранение персональных данных на территории Российской Федерации. Трансграничная передача персональных данных может иметь место в силу архитектуры используемых сторонних сервисов — в частности, при взаимодействии с платформой Telegram и OAuth-провайдерами (Google, Yandex, VK, GitHub), серверы и инфраструктура которых могут располагаться за пределами Российской Федерации.
Трансграничная передача осуществляется в соответствии со статьёй 12 152-ФЗ. До начала такой передачи Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о намерении осуществлять трансграничную передачу и учитывает, обеспечивает ли иностранное государство адекватную защиту прав субъектов. При передаче в государства, не обеспечивающие адекватной защиты, передача осуществляется при наличии предусмотренных законом оснований, в том числе согласия субъекта в письменной форме на трансграничную передачу и/или для исполнения договора, стороной которого является субъект.
Передавая данные через интеграции с указанными платформами, вы информированы о возможной трансграничной передаче и, в установленных законом случаях, выражаете согласие на неё. Для Пользователей из ЕС передача за пределы Европейского экономического пространства осуществляется при наличии надлежащих гарантий в соответствии с главой V GDPR.
Локализация баз данных граждан Российской Федерации
В соответствии с частью 5 статьи 18 152-ФЗ при сборе персональных данных, в том числе через сеть «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Последующая обработка и передача данных, включая использование сторонних сервисов и трансграничную передачу, осуществляется с соблюдением требований раздела о трансграничной передаче и иных применимых положений 152-ФЗ. Технические особенности отдельных интеграций третьих лиц не освобождают Оператора от обязанности первичной локализации в объёме, предусмотренном законом.
Поручение обработки персональных данных третьим лицам (обработчики)
Оператор вправе поручать обработку персональных данных третьим лицам (обработчикам) на основании договора (поручения), как это предусмотрено частями 3 и 4 статьи 6 152-ФЗ, с согласия субъекта, если иное не установлено законом. К таким лицам относятся, в частности, поставщики хостинга и серверной инфраструктуры, провайдеры рассылок и уведомлений, сервисы авторизации и иные подрядчики, обеспечивающие функционирование Сервиса.
В договоре с обработчиком Оператор закрепляет перечень действий с персональными данными, цели обработки, обязанность обработчика соблюдать конфиденциальность и требования к защите данных, предусмотренные статьёй 19 152-ФЗ, и обрабатывать данные исключительно по поручению Оператора. Ответственность перед субъектом за действия обработчика несёт Оператор; обработчик несёт ответственность перед Оператором. Оператор не передаёт персональные данные третьим лицам в целях, несовместимых с заявленными, и не осуществляет их продажу.
Права субъекта персональных данных и порядок их реализации
В соответствии со статьями 14, 20 и 21 152-ФЗ субъект персональных данных имеет право: получать сведения, касающиеся обработки его данных Оператором (факт, правовые основания, цели, способы, сроки, перечень данных и их источник, сведения о трансграничной передаче); требовать уточнения (исправления) неполных, неточных или неактуальных данных, их блокирования или удаления (уничтожения), если данные обрабатываются с нарушением закона; отозвать согласие на обработку; возражать против обработки; обжаловать действия или бездействие Оператора в уполномоченный орган (Роскомнадзор) или в суд.
Запрос направляется через каналы обратной связи, указанные в разделе о контактных данных, с указанием сведений, позволяющих идентифицировать субъекта (для предотвращения раскрытия данных неуполномоченному лицу Оператор вправе запросить дополнительные данные для верификации). Оператор предоставляет ответ в течение десяти (10) рабочих дней с даты получения запроса или обращения; указанный срок может быть продлён, но не более чем на пять (5) рабочих дней, с уведомлением субъекта о причинах продления. По требованию об отзыве согласия или прекращении обработки Оператор прекращает обработку (обеспечивает прекращение обработчиком) в срок, не превышающий тридцати (30) дней с даты поступления требования, если иное не предусмотрено законом.
Оператор вправе отказать в удовлетворении запроса в случаях, предусмотренных частью 8 статьи 14 152-ФЗ (в том числе если обработка необходима для исполнения возложенных законом обязанностей, осуществляется в целях обеспечения безопасности или защиты прав иных лиц), с мотивированным обоснованием отказа. Для Пользователей из ЕС дополнительно применяются права по GDPR, включая право на доступ, исправление, удаление, ограничение обработки, переносимость данных и возражение (ст. 15–22 GDPR).
Автоматизированная обработка и ИИ-модерация; права при автоматизированных решениях
Оператор применяет средства автоматизированной обработки персональных данных, в том числе ИИ-модерацию сообщений (модель BERT) и автоматическую классификацию для целей безопасности, выявления спама, скама и нарушений, а также применения предупреждений, страйков и ограничений доступа.
В соответствии со статьёй 16 152-ФЗ запрещается принятие на основании исключительно автоматизированной обработки решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, кроме случаев, предусмотренных законом, или при наличии согласия субъекта. Решения, существенно затрагивающие права Пользователя (например, блокировка Аккаунта), могут быть пересмотрены с участием человека: Пользователь вправе изложить свою позицию и потребовать пересмотра автоматизированного решения через каналы обратной связи. Оператор информирует субъекта о порядке принятия такого решения и его возможных последствиях. Для Пользователей из ЕС применяется статья 22 GDPR.
Меры по обеспечению безопасности персональных данных
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в соответствии со статьёй 19 152-ФЗ.
К таким мерам относятся, в частности: хранение паролей исключительно в виде криптографического хеша; разграничение прав доступа и применение уровней доступа к функциям Сервиса; ведение журналов доступа и действий; применение средств межсетевого экранирования (firewall) и блокировок по IP; шифрование каналов передачи данных; ограничение круга лиц, допущенных к обработке, и обязательство о конфиденциальности; повышенные меры защиты в отношении биометрических данных. Несмотря на принимаемые меры, Оператор не может гарантировать абсолютную безопасность передаваемых через сеть «Интернет» данных; Пользователь обязан соблюдать собственные меры безопасности (раздел Соглашения о безопасности Аккаунта).
Уведомление об инцидентах, связанных с персональными данными
При выявлении инцидента (нарушения), повлёкшего неправомерную или случайную передачу (предоставление, доступ, распространение) персональных данных, повлёкшую нарушение прав субъектов, Оператор принимает меры по локализации и устранению последствий инцидента.
В соответствии с частями 3.1 и 3.2 статьи 21 152-ФЗ Оператор уведомляет уполномоченный орган (Роскомнадзор): в течение двадцати четырёх (24) часов — о факте инцидента, предполагаемых причинах и предполагаемом вреде правам субъектов, а также о принятых мерах; и в течение семидесяти двух (72) часов — о результатах внутреннего расследования и о лицах, действия которых стали причиной инцидента (при их установлении). При необходимости и в порядке, установленном законом, Оператор информирует затронутых субъектов. Для Пользователей из ЕС применяются положения статей 33–34 GDPR об уведомлении надзорного органа и субъектов о нарушении.
Обработка данных несовершеннолетних
Сервис не предназначен для лиц младше тринадцати (13) лет (раздел Соглашения о возрасте). Оператор не осуществляет целенаправленный сбор персональных данных лиц, не достигших указанного возраста.
Обработка данных несовершеннолетних осуществляется с учётом требований законодательства и, в установленных законом случаях, при наличии согласия законных представителей. Если Оператору станет известно, что им получены персональные данные лица младше тринадцати (13) лет без надлежащего правового основания, такие данные подлежат удалению в разумный срок. Законный представитель несовершеннолетнего вправе обратиться к Оператору через каналы, указанные в разделе о контактных данных, для реализации прав субъекта, включая ознакомление, исправление и удаление данных. Для Пользователей из ЕС учитываются требования статьи 8 GDPR к согласию в отношении услуг информационного общества, предоставляемых детям.
Изменение Политики, версии и приоритет языка
Оператор вправе изменять настоящую Политику. Актуальная редакция размещается в Сервисе с указанием версии и даты вступления в силу. Существенные изменения, затрагивающие объём обрабатываемых данных, цели или правовые основания, доводятся до сведения субъектов доступными средствами уведомления; в случаях, когда требуется согласие, оно запрашивается дополнительно.
Основным и приоритетным языком Политики является русский язык; при расхождениях с переводами на иные языки преимущественную силу имеет русскоязычная редакция. Продолжение использования Сервиса после вступления изменений в силу означает, что субъект ознакомлен с актуальной редакцией. К отношениям сторон применяется редакция Политики, действующая на момент совершения соответствующего действия по обработке данных.