Политика в отношении обработки персональных данных

 

ИП Тер-Степонянц Антонина Борисовна

Актуально на 16 мая 2025 года

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее – Политика) определяет принципы, цели, состав, правовые основания, порядок обработки, хранения, передачи, удаления и иных юридически значимых действий с персональными данными физических лиц — пользователей сайта https://newtons-apple.ru/, клиентов, контрагентов, а также иных субъектов персональных данных.

1.2. Политика разработана и утверждается на основании Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006, Постановления Правительства РФ от 01.11.2012 № 1119, а также иных актов Российской Федерации.

1.3. Все работники и подрядчики Оператора обязаны ознакомиться с настоящей Политикой, соблюдать ее положения и принимать меры по предотвращению неправомерного доступа и иных противоправных деяний в отношении персональных данных.

1.4. Политика размещается в открытом доступе на сайте Оператора: https://newtons-apple.ru/.

1.5. Оператор не осуществляет трансграничную передачу персональных данных.

2. Правовые основания и цели обработки персональных данных

с детализацией состава персональных данных по каждой цели

2.1. Обработка персональных данных Оператором осуществляется на основании:

• Федерального закона № 152-ФЗ «О персональных данных»;

• иных нормативных правовых актов Российской Федерации.

2.2. Основания обработки:

• Согласие субъекта персональных данных, выраженное через веб форму, электронную почту, мессенджер, заполнение заявки, а равно в иной предусмотренной законом форме;

• Необходимость исполнения договора либо осуществление действий по заявке субъекта персональных данных.

2.3. Оператор осуществляет обработку персональных данных в следующих целях c указанием состава данных, подлежащих обработке для каждой цели:

2.3.1. Заключение и исполнение договоров, оказание услуг

• Персональные данные: фамилия, имя, отчество; телефон; электронная почта; дата рождения; почтовый адрес; никнейм на шахматной платформе; часовой пояс; история занятий; способы оплаты; расписание.

• Обработка необходима для проведения регистрации, коммуникации, оформления счетов, оплаты, предоставления доступа к сервисам, отправки расписаний, учета занятий.

2.3.2. Организация, учёт и планирование занятий и консультаций

• Персональные данные: фамилия, имя, отчество; телефон; электронная почта; никнейм на платформе; история занятий; расписание; часовой пояс.

• Обработка необходима для назначения времени занятий, формирования расписания, уведомления о проведении, фиксации и анализа посещаемости.

2.3.3. Рассылка информационных сообщений, ответы на обращения

• Персональные данные: имя, телефон, электронная почта.

• Используется для оперативной связи, направления информации о мероприятиях и изменениях в расписании, получения обратной связи, иного уведомления субъекта.

2.3.4. Ведение учета, регистрация платежей, исполнение юридических обязанностей

• Персональные данные: фамилия, имя, отчество; телефон; электронная почта; история занятий; способы оплаты; почтовый адрес; реквизиты для чеков.

• Обработка необходима для выполнения требований российского налогового и бухгалтерского законодательства.

2.3.5. Обеспечение качества услуг, анализ деятельности и обращений

• Персональные данные: имя, телефон, электронная почта, история занятий, расписание, никнейм на платформе.

• По этим данным осуществляется сбор статистики, анализ удовлетворенности, оптимизация деятельности.

2.4. Обработка персональных данных осуществляется исключительно по вышеуказанным целям. Для иных целей Оператор осуществляет отдельное информирование субъекта и получает согласие, если это требуется законом.

3. Состав обрабатываемых персональных данных

3.1. В зависимости от цели обработки Оператор собирает, хранит и использует следующие сведения:

• Фамилия, имя, отчество;

• Телефон;

• Электронная почта;

• Дата рождения;

• Никнейм на шахматных платформах (StepChess, NA-chess);

• Часовой пояс;

• Почтовый адрес;

• История занятий, способы оплаты, расписание.

3.2. Оператор не обрабатывает специальные категории персональных данных, а также биометрические данные.

4. Получение, хранение, учёт, исправление и удаление персональных данных

4.1. Получение персональных данных

4.1.1. Персональные данные предоставляются субъектом через:

• Заполнение онлайн-форм на сайте;

• Сообщения через мессенджер;

• Обращения по электронной почте;

• Записи по телефону.

4.1.2. До момента предоставления данных субъект информируется о положениях настоящей Политики, целях, объеме, сроках и способах обработки, а также о формах согласия.

4.2. Хранение и учёт персональных данных

4.2.1. Хранение персональных данных осуществляется исключительно в российских дата-центрах:

• AlfaCRM: ООО «Альфа Компания», ул. Шаболовка, д. 34, стр. 1, Москва, дата-центры Selectel: Москва, Санкт-Петербург;

• Яндекс.Диск: ООО «Яндекс», ул. Льва Толстого, д. 16, Москва, дата-центры: Москва, Санкт-Петербург;

• ТаймВэб: АО «Таймвэб», ул. Захарьевская, д. 9, Санкт-Петербург, дата-центр: Санкт-Петербург;

• StepChess, NA-chess: дата-центры на территории РФ;

• VK: серверы на территории РФ;

• Avito: ООО “КЕХ eКоммерц”, Грузинский Вал, д. 11, Москва, дата-центры РФ;

• Telegram: используются только для срочной коммуникации, хранение критичных персональных данных не осуществляется.

4.2.2. Доступ к персональным данным предоставляется только авторизованным сотрудникам, индивидуально через ограниченные права доступа.

4.2.3. Персональные данные архивируются при отсутствии активности клиента более 3 месяцев. Доступ к архиву возможен только у ответственных лиц.

4.2.4. Все действия с персональными данными (получение, изменение, удаление, блокировка) фиксируются в журнале учёта.

4.3. Исправление, удаление и уничтожение персональных данных

4.3.1. Запрос на исправление или удаление персональных данных может быть направлен субъектом оператору через электронную почту либо через форму обратной связи на сайте.

4.3.2. Оператор в течение 10 календарных дней с даты поступления обращения идентифицирует заявителя, проверяет корректность запроса, выполняет исправление или удаление персональных данных из всех систем хранения (AlfaCRM, Яндекс.Диск, ТаймВэб, StepChess, NA-chess, VK, Avito, Telegram). Действие фиксируется в журнале с указанием даты, времени, состава исправленных/удалённых данных, ответственного лица.

4.3.3. Уничтожение персональных данных осуществляется путем удаления данных из всех автоматизированных и физических носителей. Составляется акт об уничтожении персональных данных, подписывается ответственным лицом и хранится у Оператора не менее 3 лет.

4.3.4. Если персональные данные подлежат хранению в силу требований законодательства (например, в бухгалтерских целях), в отношении них вводится блокировка — доступ разрешён только для предотвращения нарушений закона до истечения установленного срока хранения.

4.3.5. По итогам рассмотрения обращения о корректировке/удалении оператор в течение 10 календарных дней уведомляет субъекта персональных данных о выполнении его требования.

5. Используемые сервисы, технологии, местонахождение серверов

5.1. Хранение и обработка персональных данных осуществляются только в указанных сервисах, серверы которых полностью размещены на территории РФ:

• AlfaCRM: ООО «Альфа Компания», Москва, дата-центры Selectel (Москва, Санкт-Петербург);

• Яндекс.Диск: ООО «Яндекс», Москва, дата-центры (Москва, Санкт-Петербург);

• ТаймВэб: АО «Таймвэб», Санкт-Петербург, дата-центр (Санкт-Петербург);

• StepChess, NA-chess: дата-центры на территории РФ;

• VK: серверы на территории РФ;

• Avito: ООО “КЕХ eКоммерц”, Москва, дата-центры РФ;

• Telegram: используется для связи, обработка и хранение критических персональных данных не производится.

5.2. Использование иных сервисов, дата-центры которых расположены за пределами Российской Федерации, не допускается.

5.3. Оператор ежегодно проводит проверку местоположения серверов сервисов и немедленно прекращает использование сервиса при обнаружении несоответствия указанным требованиям.

6. Третьи лица, порядок передачи и допуска к персональным данным

6.1. Передача персональных данных третьим лицам может осуществляться исключительно для целей, предусмотренных разделом 2, в объемах, необходимых для их достижения, с учетом ограничения по местонахождению соответствующих систем на территории РФ.

6.2. К числу третьих лиц относятся строго определенный круг субъектов, имеющих на законном основании или на основании гражданско-правового, трудового, агентского и иных официальных договоров с Оператором право на обработку персональных данных: лица, оказывающие консультационные услуги, осуществляющие бухгалтерское или техническое обслуживание, ведение обучения, обслуживающие информационные системы, а также лица, чье участие необходимо для исполнения заключенных с субъектом договоров и прямых предписаний закона.

6.3. Алгоритм допуска третьих лиц:

1. До допуска третьего лица к персональным данным заключается договор/обязательство о неразглашении и о мерах по обеспечению конфиденциальности, в том числе в отношении уничтожения и блокирования персональных данных;

2. Доступ третьего лица осуществляется исключительно через индивидуального пользователя (аккаунт) с минимально необходимыми правами доступа;

3. Действия лица фиксируются в журнале учета доступа;

4. Проводится регулярный аудит допусков и действий;

5. Любая передача по требованию госорганов осуществляется с оформлением копии запроса и отметкой в журнале учета.

6.4. Передача или допуск третьих лиц осуществляется по письменному распоряжению Оператора, ведется контроль допусков, в случае необходимости доступ ограничивается незамедлительно.

6.5. Передача персональных данных третьим лицам допускается только в том случае, если это не приведет к нарушению прав и свобод субъектов персональных данных.

7. Обеспечение безопасности персональных данных

7.1. Оператор реализует комплекс правовых, организационных и технических мер защиты персональных данных:

• Назначение ответственного за организацию обработки персональных данных (приказом либо доверенностью);

• Использование уникальных логинов и паролей, регулярную их смену;

• Двухфакторная аутентификация, где это разрешено технически;

• Строгое ограничение числа лиц, имеющих доступ к персональным данным, разграничение прав доступа;

• Контроль введения/вывода/копирования информации;

• Обновление программного обеспечения, регулярный аудит журналов доступа и событий;

• Хранение резервных копий только на защищённых серверах в дата-центре ТаймВэб;

• Фиксация всех действий с персональными данными.

7.2. В случае обнаружения утечки (несанкционированного доступа) Оператор:

• Немедленно ограничивает или прекращает доступ к базам данных и системам, где оказались затронуты персональные данные;

• В течение 24 часов с момента обнаружения инцидента проводит анализ и внутреннее расследование;

• В течение 24 часов информирует уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), сообщает обстоятельства, предполагаемую причину, объем и принятые меры (ст. 19.1 ФЗ № 152-ФЗ);

• Осуществляет информирование субъектов персональных данных, чьи данные были затронуты;

• Регистрирует инцидент, причины, объем утечки, описание принятых мер в журнале безопасности;

• Разрабатывает и внедряет меры по устранению последствий, предотвращению новых случаев, обеспечивает внесение изменений в регламенты безопасности;

• Документирование сохраняется не менее 3 лет.

7.3. Ответственный за обработку ПД ведет журнал инцидентов, контролирует своевременность и полноту устранения их последствий.

8. Файлы cookie, информационные и аналитические системы

8.1. Для достижения целей обработки персональных данных и повышения качества предоставляемых услуг на сайте используются файлы cookie и иные информационные технологии, соответствующие требованиям законодательства о персональных данных.

8.2. На сайте используются:

• Необходимые системные cookie, обеспечивающие техническую работоспособность сайта;

• Яндекс.Метрика: обработка осуществляется на серверах, находящихся только на территории РФ, для анализа статистики посещаемости и безопасности работы сайта;

• VK-виджеты: обработка осуществляется только на серверах на территории РФ.

8.3. При первом посещении сайта пользователя информируют об использовании cookie. Продолжая пользоваться сайтом, пользователь выражает свое согласие на использование файлов cookie для целей, указанных в настоящей Политике.

8.4. Пользователь вправе ограничить или отключить cookie в настройках своего браузера — при этом корректность работы сайта может быть частично ограничена.

8.5. Информация, получаемая посредством cookie и средств аналитики, не передается третьим лицам, за исключением случаев, прямо предусмотренных законодательством РФ и условиями настоящей Политики.

8.6. Использование любых иных аналитических, рекламных и сервисных инструментов не допускается, если их серверы физически размещены вне территории Российской Федерации.

8.7. Оператор предпринимает меры по контролю и предотвращению загрузки и обращения к сторонним ресурсам, способным обработать персональные данные пользователей за пределами Российской Федерации.

9. Сроки хранения, алгоритмы удаления и уничтожения, блокировки и архивации

9.1. Персональные данные хранятся сроком не более трех лет с момента последнего взаимодействия с Оператором, если иной срок не установлен законодательством Российской Федерации.

9.2. По истечении срока хранения либо по письменному заявлению субъекта персональные данные подлежат немедленному уничтожению, а если невозможно — блокируются (переводятся в неактивный, недоступный другим лицам статус).

9.3. Уничтожение осуществляется следующими способами:

• Удаление программными средствами операционных систем или через интерфейс используемых информационных систем (AlfaCRM, Яндекс.Диск, ТаймВэб, StepChess, NA-chess, VK, Avito, Telegram) с невозможностью дальнейшего восстановления по обычным средствам;

• Составление акта об уничтожении персональных данных с указанием перечня уничтоженных данных, даты, способа уничтожения, сведений о лицах, осуществивших уничтожение, подписей ответственных лиц;

• Акт об уничтожении хранится у Оператора не менее 3 лет.

9.4. В случае, если данные должны быть сохранены по закону (например, для целей бухгалтерского учета и налоговой отчетности), в течение установленного срока они блокируются — не используются и не передаются третьим лицам, за исключением случаев, предусмотренных законом.

9.5. О выполнении требования субъекта о блокировке, удалении либо уничтожении его персональных данных Оператор уведомляет субъекта в срок, не превышающий 10 календарных дней с момента обращения.

10. Права субъекта персональных данных

10.1. Субъект персональных данных имеет право:

• Получать информацию об обработке (включая подтверждение факта обработки, перечень и источники собираемых данных, цели обработки, сроки хранения, перечень лиц, имеющих доступ к данным);

• Требовать уточнения, блокирования или уничтожения своих персональных данных, если они являются неполными, устаревшими, недостоверными, либо используются с нарушением требований законодательства;

• Отзывать согласие на обработку персональных данных;

• Обжаловать действия (бездействие) Оператора в Роскомнадзор либо суд;

• Реализовывать иные права, предусмотренные действующим законодательством РФ.

10.2. Оператор обязан предоставить запрошенную субъектом информацию либо мотивированный отказ в срок не более 10 календарных дней с даты поступления обращения.

10.3. Обращения субъектов принимаются через сайт, мессенджер или электронную почту. Ответ направляется в той же форме, в какой поступило обращение.

11. Алгоритм действий при инцидентах

11.1. При выявлении инцидента, связанного с нарушением безопасности персональных данных (несанкционированный доступ, утечка, уничтожение, искажением), Оператор:

• Немедленно инициирует ограничение или приостановление обработки затронутых персональных данных;

• В течение 24 часов организует расследование по выявлению причин, объема утечки и возможных последствий;

• В течение 24 часов уведомляет Роскомнадзор об инциденте с приложением сведений в соответствии со статьёй 19.1 ФЗ № 152 ФЗ: описание обстоятельств, предполагаемого круга затронутых лиц, объёма ущерба, принятых или планируемых мерах;

• Направляет уведомления затронутым субъектам персональных данных с разъяснением принятых мер и рекомендациями по минимизации рисков;

• Принимает (дополнительно внедряет) технические и организационные меры с целью исключения повторения аналогичных инцидентов;

• При необходимости инициирует внеплановое обучение, аудит ИТ инфраструктуры или процедуры допуска.

11.2. Все действия и результаты расследования инцидентов фиксируются в специальном журнале, который хранится не менее чем 3 года.

12. Актуализация политики

12.1. Настоящая политика подлежит пересмотру и актуализации в случае изменения законодательства Российской Федерации, требований уполномоченных органов, изменений организационной или технической инфраструктуры, а также по факту выявления новых угроз безопасности персональных данных и по мере необходимости.

12.2. Новая редакция политики вступает в силу с момента её размещения на сайте Оператора, если иной срок не предусмотрен в тексте политики.

12.3. Оператор своевременно информирует субъектов персональных данных о любых существенных изменениях содержания настоящей Политики путём размещения информации на сайте https://newtons-apple.ru/ либо рассылкой на контактные данные субъектов, если данные таковые имеются.

Контактные данные Оператора:

ИП Тер-Степонянц Антонина Борисовна
ИНН: 614707978676
ОГРНИП: 321619600142211
Юридический адрес: 347800, Ростовская область, г. Каменск-Шахтинский, ул. Карла Маркса, д. 72, кв. 15
E-mail: tersteponyanc@gmail.com
Телефон: +7 (906) 181-23-18
Сайт: https://newtons-apple.ru