BlackLoyalBlackLoyal
Запустить пилот

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Индивидуального предпринимателя [ФИО]
Редакция от [дата]

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Информация об операторе

Оператор персональных данных:

  • Индивидуальный предприниматель [ФИО]
  • ИНН: [ИНН]
  • ОГРНИП: [ОГРНИП]
  • Адрес: [адрес регистрации ИП]
  • Электронная почта: [email]
  • Телефон: [телефон]
  • Официальный сайт: [сайт]

1.2. Назначение политики

Политика определяет порядок обработки и защиты персональных данных, обрабатываемых ИП [ФИО] (далее — «Оператор»), в рамках:

  • предоставления b2b-доступа к программному обеспечению — модулю геймифицированной лояльности для компьютерных клубов (далее — «Сервис»);
  • функционирования официального сайта;
  • договорных отношений с клиентами, подрядчиками и иными контрагентами.

1.3. Основные понятия

  • Персональные данные (ПДн) — любая информация о прямо или косвенно определенном физическом лице.
  • Оператор — ИП [ФИО], самостоятельно определяющий цели и состав ПДн для своих задач (клиентские контакты, сайт).
  • Обработчик по поручению — ИП [ФИО], обрабатывающий ПДн по поручению клиента-оператора (участники программ лояльности клубов).
  • Обработка ПДн, Автоматизированная обработка, Локализация данных — в значениях 152-ФЗ.

1.4. Правовые основания обработки

Оператор обрабатывает ПДн на основаниях ч. 1 ст. 6 152-ФЗ: исполнение договора; исполнение обязанностей, установленных законом; согласие субъекта; реализация прав и законных интересов Оператора или третьих лиц при соблюдении прав и свобод субъекта; иные случаи, предусмотренные федеральным законом. Для целей, где требуется согласие (например, маркетинг), согласие оформляется в соответствии со ст. 9 152-ФЗ (в редакции, действующей с 01.09.2025). Для каждой цели разделы 2.1–2.4 указывают основание.

2. КАТЕГОРИИ СУБЪЕКТОВ И ОБРАБАТЫВАЕМЫЕ ДАННЫЕ

2.1. Представители клиентов и контрагентов (b2b)

Категория: сотрудники и представители юридических лиц/ИП — клиентов и подрядчиков Оператора.

Данные: ФИО, должность, организация, служебные контакты (телефон, email, мессенджеры), служебные учётные записи, подписанты/реквизиты доверенности, платёжные реквизиты при необходимости, деловая переписка, журнал событий (аутентификация, действия в админ-панели).

Цели: переговоры и заключение/исполнение договора; предоставление доступа к Сервису; биллинг и документооборот; сопровождение и поддержка; информационные сообщения по Сервису (не реклама).

Основание: п. 1 ч. 1 ст. 6 152-ФЗ (договор), п. 6/7 ч. 1 ст. 6 (законные интересы — обеспечение ИБ/учёт/контроль доступа).

2.2. Пользователи админ-панели (сотрудники клиентов)

Категория: лица, которым клиент предоставил доступ к админ-панели Сервиса.

Данные: ФИО/никнейм, служебный email/телефон, идентификаторы аккаунта, роли/права, события входов (IP-адрес, user-agent), действия в интерфейсе, техподдержка (тикеты/лог-файлы).

Цели: управление настройками, аудит действий, безопасность, поддержка.

Основание: договор с клиентом (п. 1 ч. 1 ст. 6), законный интерес по ИБ (п. 7 ч. 1 ст. 6).

2.3. Участники программ лояльности клиентов (обработка по поручению)

Статус: Оператор обрабатывает ПДн исключительно по поручению клиента-оператора (заказчика Сервиса) в рамках DPA/Поручения (Приложение № 3 к Оферте).

Типичные данные по поручению: идентификатор участника в системе клиента, никнейм/отображаемое имя, телефон/email (если предусмотрено программой клиента), данные начисления/списания баллов, участие в «луткейсах» (без денежной ценности), идентификаторы клубной сессии/чека, внутриигровая статистика, антифрод-метаданные (IP, device-id), история призов и статусов, обращения в поддержку по программе лояльности.

Цели: реализация функционала программы лояльности клиента; отчётность; предотвращение злоупотреблений; техническая поддержка участников.

Основание: обработка по поручению оператора (клиента) в рамках ст. 6 и 3 152-ФЗ; правовые основания определяет клиент-оператор.

Коммуникации с субъектами: запросы субъектов по их правам в отношении данных программы лояльности направляются соответствующему клиенту-оператору; Оператор оказывает содействие и исполняет инструкции клиента.

2.4. Посетители сайта

Данные: IP-адрес, cookie-файлы, технические параметры браузера и устройства, события веб-аналитики; данные форм обратной связи (ФИО, email/телефон, сообщение).

Цели: обеспечение работы сайта; аналитика и улучшение UX; безопасность; обработка обращений.

Основание: законные интересы Оператора (технические/безопасность/агрегированная аналитика); для форм связи — договор/преддоговорные действия; для необязательных аналитических cookie — согласие.

3. ОПЕРАЦИИ И СПОСОБЫ ОБРАБОТКИ

Операции: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (предоставление/доступ), обезличивание, блокирование, удаление, уничтожение.

Способы: автоматизированная и неавтоматизированная обработка (бумажные носители — договоры, акты).

4. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ

4.1. Общие принципы

Сроки не превышают необходимых для целей обработки, если иные сроки не установлены законом/договором/DPA.

4.2. Конкретные сроки

Представители клиентов/контрагентов:

  • договорная документация — срок действия договора + не менее 5 лет;
  • налоговые/расчётные документы — не менее 5 лет;
  • документы по страховым взносам — 6 лет.

Пользователи админ-панели:

  • учётные записи — на период действия договора/доступа;
  • журналы безопасности/аудита — до 1 года (при необходимости дольше — для расследования инцидентов).

Участники программ лояльности (по поручению):

  • сроки и порядок хранения/удаления — по DPA и инструкциям клиента;
  • по умолчанию после прекращения договора: экспорт по запросу клиента в течение 10 рабочих дней;
  • доступ к админ-панели для выгрузки — 30 календарных дней при отсутствии задолженности;
  • затем удаление в сроки DPA.

Посетители сайта:

  • веб-аналитика — до 24 месяцев;
  • cookie — согласно настройкам браузера, но не более 24 месяцев;
  • обращения через формы — до 3 лет или до разрешения вопроса.

5. ЛОКАЛИЗАЦИЯ И ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА

5.1. Локализация

При сборе ПДн граждан РФ их первая запись, систематизация, накопление, хранение, уточнение и извлечение осуществляются с использованием баз данных на территории РФ. Первичная запись производится в ИСПДн, размещённых на территории РФ.

5.2. Трансграничная передача

По умолчанию Оператор не осуществляет трансграничную передачу ПДн. В случае технологической необходимости (например, по инициативе клиента-оператора при интеграции со сторонними сервисами) трансграничная передача возможна только после выполнения требований законодательства, включая, при необходимости, уведомление Роскомнадзора до начала передачи и оценку условий страны-получателя.

5.3. Субпроцессоры и инфраструктура

Хостинг и БД размещаются на территории РФ; в качестве субпроцессора для хостинга может использоваться ООО «ТАЙМВЭБ.КЛАУД». Перечень субобработчиков предоставляется по запросу и/или в DPA. При привлечении новых субобработчиков Оператор обеспечивает договорные обязательства по ПДн (конфиденциальность, ИБ, локализация).

6. МЕРЫ ЗАЩИТЫ ПДн

6.1. Организационные

Назначение ответственного; локальные акты по ПДн/ИБ; обучение сотрудников; учёт допущенных лиц; регламенты управления доступом; порядок работы с носителями; контроль уровня защищенности.

6.2. Технические

Использование лицензионного ПО; актуальные обновления; межсетевое экранирование; резервное копирование на площадках в РФ; контроль и разграничение доступа (RBAC); 2FA для админ-панели; шифрование при передаче (TLS) и шифрование резервных копий; мониторинг событий безопасности; аудит.

6.3. Правовые

NDA и соглашения о конфиденциальности; политики ИБ; DPA с клиентами/субпроцессорами; периодические внутренние аудиты.

6.4. Взаимодействие с Роскомнадзором и реагирование на инциденты

Оператор до начала обработки подает уведомление для включения в Реестр ОПД и актуализирует сведения. При инциденте (утечке ПДн) Оператор направляет первичное уведомление в РКН в течение 24 часов с момента выявления и предоставляет результаты внутреннего расследования в течение 72 часов.

7. ОТВЕТСТВЕННЫЙ ЗА ПДн

Ответственное лицо:

  • ИП [ФИО] (лично)
  • Телефон: [телефон]
  • Email: [email для обращений по ПД]
  • Время рассмотрения обращений: в рабочие дни с 9:00 до 18:00

8. ПРАВА СУБЪЕКТОВ ПДн И ПОРЯДОК ИХ РЕАЛИЗАЦИИ

8.1. Права субъектов

Доступ к ПДн; получение информации об обработке; внесение изменений/блокирование/уничтожение; отзыв согласия; обжалование в РКН/суде; возмещение ущерба.

8.2. Порядок

Обращения направляются: лично по адресу [адрес]; по email [email]; почтовым отправлением с уведомлением.

Требования к обращению: ФИО, контакты, реквизиты документа, существо обращения, подпись (для бумажных обращений).

Сроки: информирование об обработке — в течение 10 рабочих дней (с возможным продлением не более чем на 5 рабочих дней с мотивированным уведомлением); корректировка/блокирование/уничтожение — не позднее 7 рабочих дней.

8.3. Особенности по данным программ лояльности

Если обращение касается данных программы лояльности клиента (обработка по поручению), Оператор идентифицирует соответствующего клиента-оператора и направляет обращение ему, одновременно предоставляя субъекту контакты оператора; содействует исполнению запроса по инструкциям клиента.

8.4. Основания для отказа

Несоблюдение требований к обращению; нарушение прав третьих лиц; обработка на предусмотренных законом основаниях; данные обезличены способом, не позволяющим идентификацию.

9. COOKIES И ВЕБ-АНАЛИТИКА

Используются технические cookie (для работы сайта) и аналитические cookie (для статистики — при наличии согласия). Пользователь может настроить приём/удаление cookie в браузере и отозвать согласие на аналитические cookie.

10. НЕСОВЕРШЕННОЛЕТНИЕ

Если клиент-оператор привлекает к программам лояльности несовершеннолетних, он обеспечивает получение необходимых согласий законных представителей и соблюдение дополнительных мер защиты. Оператор как обработчик предоставляет технические средства фиксации/хранения подтверждений согласий по инструкциям клиента.

11. ИЗМЕНЕНИЯ ПОЛИТИКИ

Изменения в Политику вносятся приказом ИП [ФИО]; актуальная версия размещается на сайте; о существенных изменениях Оператор уведомляет доступными способами (сайт, email клиентов).

12. КОНТАКТЫ И ЖАЛОБЫ

ИП [ФИО]

  • Адрес: [адрес]
  • Телефон: [телефон]
  • Email: [email]
  • Время работы: [рабочие часы]

Жалобы на обработку ПДн могут быть поданы в Роскомнадзор (https://pd.rkn.gov.ru) либо в суд.

13. ВСТУПЛЕНИЕ В СИЛУ

Политика вступает в силу с момента утверждения и действует до принятия новой редакции.

Политика утверждена приказом ИП [ФИО] № [номер] от [дата]
Последнее обновление: [дата]