Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») разработана в соответствии с:

• Конституцией Российской Федерации (ст. 23, ст. 24);
• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ);
• Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Приказом ФСТЭК России от 18.02.2013 № 21;
• Приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

1.2. Настоящая Политика определяет порядок обработки и защиты персональных данных пользователей веб-приложения ЦИФРОМАРИН, доступного по адресу cifromarin.ru (далее — «Платформа»).

1.3. Оператор персональных данных:

1.4. До начала обработки персональных данных Оператор направляет уведомление в Роскомнадзор в соответствии с ч. 1 ст. 22 152-ФЗ. Актуальный номер уведомления размещается в настоящем разделе после получения подтверждения регистрации.

1.5. Используя Платформу (регистрируясь или совершая любые действия), Пользователь подтверждает, что ознакомился с настоящей Политикой и даёт согласие на обработку своих персональных данных на изложенных условиях.

1.6. Если Пользователь не согласен с условиями настоящей Политики, он обязан прекратить использование Платформы.

2. Термины и определения

Персональные данные

Любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных) (ст. 3 152-ФЗ).

Обработка персональных данных

Любое действие (операция) или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Оператор персональных данных

ООО «Инжиниринг инноваций», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав данных, подлежащих обработке, действия (операции), совершаемые с данными.

Пользователь (Субъект)

Физическое лицо, использующее Платформу, чьи персональные данные обрабатываются Оператором. К Пользователям относятся: владельцы марин, администраторы марин, капитаны (владельцы судов), посетители Платформы.

Платформа

Веб-приложение ЦИФРОМАРИН, доступное по адресу cifromarin.ru, предназначенное для управления маринами, бронирования и оплаты услуг.

Поставщик услуг

Марина, яхт-клуб или иной объект, зарегистрированный на Платформе и оказывающий услуги Пользователям.

Cookie

Небольшой фрагмент данных, отправляемый веб-сервером и хранимый на устройстве Пользователя для обеспечения работы Платформы.

3. Принципы обработки персональных данных

Оператор руководствуется принципами, установленными ст. 5 152-ФЗ:

• Законность и справедливость: обработка осуществляется на законной и справедливой основе.
• Ограничение целями: обработка ограничена конкретными, заранее определёнными и законными целями. Не допускается обработка, несовместимая с целями сбора.
• Соответствие объёма: содержание и объём данных соответствуют заявленным целям. Не допускается избыточность.
• Достоверность: принимаются необходимые меры по удалению или уточнению неполных или неточных данных.
• Ограничение хранения: данные хранятся не дольше, чем этого требуют цели обработки, и подлежат уничтожению по достижении целей, если иное не предусмотрено федеральным законом.
• Конфиденциальность: лица, получившие доступ к данным, обязаны не раскрывать их третьим лицам без согласия субъекта, если иное не предусмотрено законодательством.

4. Категории обрабатываемых персональных данных

4.1. Данные, предоставляемые при регистрации:

• Фамилия, имя, отчество (при наличии)
• Номер мобильного телефона
• Адрес электронной почты

4.2. Данные, предоставляемые при использовании Платформы:

• Характеристики судна (название, тип, размеры, ГИМС-номер)
• Платёжные реквизиты (номер карты в маскированном виде — последние 4 цифры; полные реквизиты обрабатываются исключительно платёжной системой ЮKassa)
• История заказов и транзакций
• Фотографии судна (при загрузке Пользователем)
• Данные о марине (название, адрес, координаты, контакты, реквизиты) — для владельцев марин

4.3. Данные, собираемые автоматически:

• IP-адрес устройства
• Информация о браузере и устройстве (User-Agent, разрешение экрана, операционная система)
• Данные о взаимодействии с Платформой (время входа, просмотренные страницы, совершённые действия)
• Данные cookie-файлов (см. раздел 12)

4.4. Оператор не обрабатывает специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, интимной жизни (ст. 10 152-ФЗ).

4.5. Оператор не обрабатывает биометрические персональные данные (ст. 11 152-ФЗ).

5. Цели обработки персональных данных

5.1. Предоставление доступа к Платформе: регистрация, идентификация, аутентификация, управление учётной записью.

5.2. Оказание услуг: обработка бронирований и заказов, передача информации о заказе Поставщикам услуг (маринам), контроль исполнения.

5.3. Обработка платежей: приём платежей через ЮKassa (включая Split Payments), формирование электронных чеков в соответствии с 54-ФЗ, ведение истории транзакций, возврат денежных средств.

5.4. Коммуникация: уведомления о статусе заказа (по email и SMS), техническая поддержка, ответы на обращения.

5.5. Улучшение качества: анализ использования Платформы (на основе обезличенных данных), выявление и устранение ошибок.

5.6. Маркетинг (при наличии отдельного согласия в соответствии со ст. 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе»): информирование о специальных предложениях и акциях. Пользователь вправе в любой момент отказаться от получения маркетинговых сообщений.

5.7. Обеспечение безопасности: предотвращение мошенничества, защита от несанкционированного доступа, соблюдение требований 115-ФЗ «О противодействии легализации (отмыванию) доходов», исполнение запросов уполномоченных государственных органов.

6. Правовые основания обработки

Обработка персональных данных осуществляется на следующих основаниях (ст. 6 152-ФЗ):

• Согласие субъекта (ч. 1 ст. 6, ст. 9 152-ФЗ) — регистрация на Платформе и акцепт настоящей Политики; отдельное согласие на получение маркетинговых сообщений (опционально).
• Исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ) — предоставление доступа к Платформе, обработка заказов и платежей, оказание агентских услуг по Публичной оферте.
• Исполнение обязанностей, предусмотренных законом (п. 2 ч. 1 ст. 6 152-ФЗ) — налоговая отчётность, требования 115-ФЗ, 54-ФЗ (ККТ и электронные чеки).
• Законные интересы Оператора (п. 7 ч. 1 ст. 6 152-ФЗ) — улучшение качества Платформы, обеспечение безопасности, анализ обезличенной статистики, при условии, что это не нарушает права и свободы субъекта персональных данных.

7. Способы и сроки обработки

7.1. Обработка осуществляется автоматизированным способом (с использованием средств вычислительной техники) и неавтоматизированным способом (при обработке обращений в службу поддержки).

7.2. Сроки хранения:

7.3. Обработка прекращается: по достижении целей; при отзыве согласия субъектом; при удалении учётной записи; по истечении сроков хранения. После прекращения обработки данные уничтожаются в течение 30 календарных дней, за исключением данных, подлежащих хранению в соответствии с законодательством РФ.

8. Передача персональных данных третьим лицам

8.1. Оператор вправе передавать (поручать обработку в соответствии с ч. 3 ст. 6 152-ФЗ) персональные данные следующим категориям лиц:

• Поставщики услуг марин (яхт-клубы, марины) — ФИО, телефон, данные о судне, детали заказа. Цель: исполнение заказа. Основание: исполнение договора, в котором Оператор выступает агентом (ст. 1005 ГК РФ).
• ЮKassa (ООО «ЮМани») — ФИО, email, телефон, сумма платежа. Цель: обработка платежей. Полные платёжные реквизиты обрабатываются исключительно ЮKassa в соответствии с требованиями PCI DSS.
• GreenSMS (ООО «Грин СМС») — номер телефона. Цель: отправка SMS с кодом подтверждения (OTP).
• SMTP-провайдер — адрес электронной почты, имя. Цель: отправка транзакционных уведомлений (статус заказа, подтверждение оплаты).
• Хостинг-провайдер — все данные, размещённые на серверах. Серверы расположены на территории Российской Федерации.
• Государственные органы — по их мотивированному запросу в соответствии с законодательством РФ: ФНС (сведения о транзакциях), МВД (в рамках расследований), Роскомнадзор (проверка соблюдения 152-ФЗ), Центробанк РФ (в рамках 115-ФЗ).

8.2. Все третьи лица, получающие персональные данные от Оператора, обязаны обрабатывать данные только в целях, для которых они переданы, обеспечивать их защиту и соблюдать требования 152-ФЗ. С подрядчиками заключены договоры поручения обработки персональных данных (ч. 3 ст. 6 152-ФЗ) или соглашения о конфиденциальности.

8.3. Оператор не продаёт персональные данные третьим лицам.

8.4. Оператор не передаёт персональные данные для маркетинговых целей третьих лиц без отдельного согласия Пользователя.

9. Трансграничная передача данных

9.1. Хранение и обработка персональных данных осуществляются на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ч. 5 ст. 18 152-ФЗ (локализация данных).

9.2. На момент публикации настоящей Политики трансграничная передача персональных данных не осуществляется. Все используемые сервисы (хостинг, SMS, email, платежи) имеют серверы на территории РФ.

9.3. В случае необходимости трансграничной передачи в будущем (подключение сервисов с серверами за пределами РФ) Оператор обеспечит: передачу только в страны, обеспечивающие адекватную защиту прав субъектов (ст. 12 152-ФЗ); шифрование данных при передаче; получение отдельного согласия Пользователя; обновление настоящей Политики.

10. Права субъектов персональных данных

В соответствии с 152-ФЗ Пользователь имеет право:

• Получение информации (ст. 14) — запросить у Оператора: подтверждение факта обработки, правовые основания, цели и способы обработки, перечень обрабатываемых данных, сведения о лицах, имеющих доступ, сроки хранения. Направить запрос: privacy@cifromarin.ru.
• Уточнение, блокирование или уничтожение (ст. 14) — потребовать уточнения неточных данных, блокирования незаконно обрабатываемых данных, уничтожения незаконно полученных данных. Срок рассмотрения: 7 рабочих дней.
• Отзыв согласия (ч. 2 ст. 9) — в любой момент отозвать согласие на обработку. Направить заявление на email: privacy@cifromarin.ru с темой «Отзыв согласия». Последствия: прекращение обработки данных, невозможность использования Платформы.
• Удаление данных — потребовать удаления учётной записи и связанных персональных данных. Направить запрос на email: privacy@cifromarin.ru. Данные будут удалены в течение 30 дней, за исключением данных, подлежащих обязательному хранению.
• Обжалование (ст. 17) — обжаловать действия или бездействие Оператора в уполномоченный орган — Роскомнадзор (109074, г. Москва, Китайгородский проезд, д. 7, стр. 2, тел. +7 (495) 987-68-00, rkn.gov.ru) или в судебном порядке.

Сроки рассмотрения обращений:

• Запрос на получение информации — 10 рабочих дней (ч. 4 ст. 14 152-ФЗ, но не более 30 дней с даты обращения);
• Уточнение / блокирование / удаление — 7 рабочих дней;
• Жалоба — 30 календарных дней.

11. Обеспечение безопасности персональных данных

11.1. Оператор принимает организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ст. 19 152-ФЗ).

11.2. Организационные меры:

• Назначение ответственного за организацию обработки персональных данных;
• Разработка локальных актов (Политика, Положение об обработке ПДн, инструкции);
• Установление правил доступа к персональным данным (принцип минимальных привилегий);
• Контроль за принимаемыми мерами защиты.

11.3. Технические меры:

• Передача данных по защищённым каналам TLS 1.2+ (HTTPS);
• Хеширование паролей с использованием алгоритма bcrypt;
• Разграничение прав доступа (ролевая модель: SUPERADMIN, OWNER, ADMIN, CAPTAIN);
• Аудит-логирование действий пользователей и администраторов;
• Ограничение частоты запросов (rate limiting) для защиты от атак перебора;
• Защита от CSRF-атак (межсайтовая подделка запросов);
• Валидация и санитизация входных данных (защита от SQL-инъекций и XSS);
• Использование межсетевого экрана (firewall) на серверах;
• Регулярное резервное копирование данных (ежедневно, с хранением 7 дней);
• Регулярное обновление программного обеспечения.

11.4. Уровень защищённости — УЗ-3 (Постановление Правительства РФ № 1119), соответствующий обработке иных категорий персональных данных (без специальных и биометрических) сотрудниками Оператора и неопределённым кругом субъектов.

11.5. Ответственность Пользователей:

Пользователь обязан: хранить свои учётные данные (логин, пароль) в тайне; не передавать доступ к учётной записи третьим лицам; немедленно уведомить Оператора о любом несанкционированном использовании учётной записи по адресу: support@cifromarin.ru.

11.6. Инциденты безопасности:

В случае утечки или иного инцидента с персональными данными Оператор: уведомляет Роскомнадзор в течение 24 часов с момента выявления инцидента (ч. 3.1 ст. 21 152-ФЗ); уведомляет затронутых Пользователей в течение 72 часов; принимает меры по минимизации последствий и предотвращению повторных инцидентов.

12. Файлы cookie

12.1. Платформа использует файлы cookie для обеспечения корректной работы и улучшения качества сервиса.

12.2. Типы cookie:

• Строго необходимые — обеспечивают аутентификацию и безопасность сессии. Без них Платформа не может функционировать. Срок: сессия.
• Функциональные — запоминают настройки и предпочтения Пользователя. Срок: до 1 года.
• Аналитические — собирают обезличенную информацию о взаимодействии с Платформой для улучшения сервиса. Срок: до 2 лет.

12.3. Управление cookie осуществляется через настройки браузера Пользователя. Отключение строго необходимых cookie может ограничить функциональность Платформы.

12.4. Перечень сторонних cookie может быть расширен при подключении аналитических сервисов (Яндекс.Метрика). В этом случае настоящая Политика будет обновлена.

13. Обработка данных несовершеннолетних

13.1. Платформа предназначена для лиц, достигших 18 лет.

13.2. Оператор не осуществляет целенаправленный сбор персональных данных несовершеннолетних. При обнаружении таких данных они будут незамедлительно удалены.

13.3. Если вы являетесь родителем или законным представителем несовершеннолетнего и обнаружили, что ваш ребёнок предоставил персональные данные без вашего согласия, свяжитесь с нами: privacy@cifromarin.ru.

14. Изменение Политики конфиденциальности

14.1. Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке.

14.2. Новая редакция Политики вступает в силу с момента её размещения на Платформе по адресу cifromarin.ru/privacy, если иное не предусмотрено новой редакцией.

14.3. Пользователи уведомляются об изменениях посредством электронной почты (при наличии) и/или уведомления на Платформе.

14.4. Продолжение использования Платформы после вступления в силу новой редакции означает согласие Пользователя с изменениями.

14.5. Действующая редакция Политики всегда доступна по адресу: cifromarin.ru/privacy.

15. Контактная информация