Политика конфиденциальности

«Политика конфиденциальности» (далее – Политика) является документом, определяющим порядок обработки, систематизации и раскрытия персональной информации, предоставленной пользователем сети Интернет (далее – Пользователь), использующим цифровой сервис «ICQR» (далее – Сервис). Политика конфиденциальности является неотъемлемой частью пользовательского соглашения Сервиса (далее – Соглашение) и документом, регламентирующим обработку персональных данных Пользователей.

1. Основные определения

1.1 В связи с отношениями сторон, относящимся к обработке персональных данных, применяются следующие определения.

1.1.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – Пользователю Сервиса.

1.1.2. Оператор персональных данных (Оператор) – лицо, самостоятельно или совместно с другими лицами (третьими лицами на основе специальных соглашений/оговорок в соглашениях) организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках Политики Оператором является ООО «МЕДИА-ИНКОД», ОГРН: 1127847243138, ИНН: 7814535230.

1.1.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

— сбор;

— запись;

— систематизацию;

— накопление;

— хранение;

— уточнение (обновление, изменение);

— извлечение;

— использование;

— передачу (распространение, предоставление, доступ);

— обезличивание;

— блокирование;

— удаление;

— уничтожение.

1.1.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

1.1.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.1.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.1.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.1.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.1.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.1.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.1.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.2. Иные термины, употребляемые в Политике и (или) в отношениях, вытекающих из нее, подлежат трактовке в соответствии с законодательством Российской Федерации, а в случае отсутствия в законодательстве их трактовки – в соответствии с обычаями делового оборота и научной доктриной.

1.3. Термины и определения, указанные в Соглашении применимы в отношениях сторон в рамках Политики.

2. Общие положения

2.1. Приобретая QR-билет, используя Сервис, Пользователь совершает акцепт Соглашения и Политики, как его неотъемлемой части, а также дает свое согласие на обработку своих Персональных данных в соответствии с настоящей Политикой. Если Пользователь не согласен с положениями Политики полностью или в части – он обязан незамедлительно прекратить использование Сервиса во всех браузерах и на всех своих устройствах соответственно.

2.2. Под персональной информацией (помимо Персональных данных) понимается загруженная Пользователем в Сервисе либо переданная Оператору, а также полученная Оператором в процессе использования Пользователем Сервиса личная информация, позволяющая идентифицировать Пользователя, как физическое лицо.

2.3. Передавая Оператору свои данные в Сервисе, Пользователь дает Оператору свое безоговорочное согласие на обработку его персональной информации, как загруженной самим Пользователем, так и полученной Оператором в автоматизированном режиме, в результате действий Пользователя на Сервисе. Пользователю надлежит самостоятельно определять риски, связанные с предоставлением персональной информации Оператору в процессе использования Сервиса.

2.4. Акцепт Политики означает, что Пользователь соглашается на получение от Оператора:

2.4.1. Системных сообщений по электронной почте, связанных с работой Сервиса;

2.4.2. Маркетинговых сообщений в электронной форме.

2.5. Оператор принимает и обрабатывает персональные данные Пользователя без предварительной проверки на предмет:

2.5.1. Достоверности представленной информации;

2.5.2. Законности представления информации;

2.5.3. Точности представленной информации.

Любая персональная информация Пользователя, переданная Оператору в рамках Политики, воспринимается Оператором «как есть» и не подлежит предварительной проверке. Таким образом, бремя ответственности за достоверность, законность и точность предоставленной Оператору информации несет лично Пользователь.

2.6. Для любых обращений к Оператору Пользователю надлежит использовать средства коммуникаций, принадлежащие Пользователю лично (свой адрес электронной почты, свой телефон и т. п.).

2.7. При раскрытии или предоставлении информации Оператором соблюдаются требования обеспечения конфиденциальности, установленные статье 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и меры по обеспечению безопасности персональных данных при их обработке, установленные статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

2.8. Оператор вправе также осуществлять автоматизированную обработку представленной Пользователем информации.

3. Цели сбора персональных данных

3.1. Главной целью обработки персональных данных Пользователя является предоставление Пользователю персонифицированного доступа к Сервису с правом приобретения QR-билетов в соответствии с Соглашением.

3.2. Обеспечение надлежащей защиты информации о Пользователях, в том числе их персональных данных, от несанкционированного доступа и разглашения является основной задачей Оператора, разрешаемой при обработке Персональных данных.

3.3. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, перечисленных в Политике. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.4. Оператор вправе использовать персональные данные Пользователей Сервиса для осуществления любых информационных, организационных и прочих рассылок, связанных с деятельностью Сервиса. Акцепт Политики означает безоговорочное согласие Пользователя на обработку его персональных данных в указанных в настоящем пункте целях, однако, Пользователь имеет право в любой момент отозвать свое согласие на обработку его персональных данных в указанных в настоящем пункте целях, направив Оператору соответствующее уведомление. При этом Оператор вправе продолжать обработку данных с главной целью, указанной в пункте 3.1. Политики до тех пор, пока Пользователь прямо не отзовет такое согласие и, если прекращение обработки данных не нарушит права Оператора и (или) третьих лиц.

4. Правовые основания обработки персональных данных

4.1. Правовыми основаниями обработки Персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку Персональных данных, в том числе:

4.1.1. Согласие Пользователя на обработку его персональных данных;

4.1.2. Соглашение, принимаемое Пользователем в момент регистрации на Сервисе;

4.1.3. Настоящая Политика;

4.1.4. Конституция Российской Федерации;

4.1.5. Гражданский кодекс Российской Федерации;

4.1.6. Трудовой кодекс Российской Федерации;

4.1.7. Налоговый кодекс Российской Федерации;

4.1.8. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

4.1.9. Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

4.2. Оператор обязуется придерживаться указанных правовых оснований обработки персональных данных Пользователей, а также поддерживать в актуальном состоянии список нормативно-правовых актов, регламентирующих обработку данных.

5. Обрабатываемые данные

5.1. Оператор обрабатывает, а Пользователь дает безоговорочное согласие Оператору на обработку следующих данных:

5.1.1. Данные QR-номера (ICQR.RU): гео-позиция (координаты (локация)) и время загрузки QR-панели анонимного Пользователя, используя QR-код, ярлык, адрес или псевдоним адреса сайта; гео-позиция (координаты (локация)) и время QR-запроса анонимного Пользователя, при отправке QR-номера в информационную систему Сервиса; данные владельцев QR-номеров (бизнес-пользователи): короткий номер, локация, URL-ссылка (для переадресации), короткий номер, локация, название зоны, гео-позиция периметра (для гипер-зоны), короткий номер, локация, адрес сайта, URL-ссылка, URL-гео-ссылка, коммерческое обозначение, изображение, e-mail, номер телефона, адреса страниц в соц. сетях, адреса мобильных приложений в магазинах приложений (для QR-превью);

5.1.2. Данные QR-билета (TRANSPORT.ICQR.RU, ICQR.RU/TRANSPORT): маршруты и их описание (остановки, расписание, цена проезда), Транспортные средства, ПИН-коды водителей, гео-позиция, дата и время загрузки карты (от бизнес-пользователей), гео-позиция, дата и время покупки QR-билета (от пользователей-пассажиров), гео-позиция, дата и время гашения QR-билета (от представителей бизнес-пользователей), статус QR-билета: оплачен или предоплачен (от пассажира), дата и время оплаты разового проезда, Payment ID (от Банка-партнера), данные фискального чека (от оператора фискальных данных).

5.1.3. Данные QR-маркета (MARKET.ICQR.RU, ICQR.RU/MARKET): координаты, название и описание точек интересов Пользователей (торговые точки), а также связанные с ними маршруты, остановки и публичная коммерческая информация (от бизнес-пользователей).

5.2. Если Пользователь самостоятельно передает Оператору иные собственные данные, которые, возможно, понадобятся во время использования Сервиса и (или) обмена информацией в иных случаях взаимодействия с Оператором – это означает, что Пользователь согласен на обработку предоставленных данных в рамках Политики, в противном случае Пользователь обязуется воздерживаться от передачи дополнительных данных.

5.3. Все данные Пользователя используются Оператором исключительно в целях, указанных в Политике конфиденциальности, обрабатываются и хранятся в течение неопределенного срока, до отзыва согласия Пользователем.

6. Порядок и условия обработки персональных данных

6.1. Оператор хранит следующие данные:

6.1.1. QR-номера: короткий номер, локация, дата активации (срок действия), данные переадресации, для QR-превью, для образования гипер-зоны.

6.1.2. QR-билеты: номер QR-билета, его тип и срок годности, QR-номера ТС, маршрут Транспортного средства, наименование Перевозчика, тип Транспортного средства, дата и время покупки/погашения QR-билета, Payment ID.

6.2. Оператор осуществляет передачу следующих данных третьим лицам для исполнения ими соответствующих обязательств, связанных с Соглашением:

6.2.1. В Банк-партнер и оператору фискальных данных: дата и время совершения платежа, User ID, наименование бизнес-пользователя, ИНН, цена услуги.

6.2.2. Перевозчику: номер QR-билета, дата и время покупки/погашения, признак возврата денег за QR-билет, тип QR-билета/погашения, ПИН-код Контролера, маршрут и QR-номер Транспортного средства.

6.2.3. Бизнес-пользователю: количество использований QR-номеров бизнес-пользователей, в привязке ко времени и местоположению.

6.3. Предоставление персональной информации Пользователя по запросу государственных органов (органов местного самоуправления) осуществляется в порядке, предусмотренном законодательством РФ.

6.4. По заявлению Пользователя, направленного Оператору по электронной почте, персональная информация Пользователя подлежит удалению в соответствии с требованиями, указанными в заявлении полностью или в части из базы данных Оператора в течение 10 (десяти) рабочих дней, при этом обязательства в рамках Соглашения прекращаются по истечении указанного в настоящем пункте срока.

6.5. Оператор вправе осуществлять передачу данных Пользователя третьим лицам, для осуществления ими своих служебных и профессиональных обязанностей, связанных с функционированием Сервиса, если такая передача данных необходима в конкретном случае (например, при обработке пользовательского запроса).

6.6. В связи с отсутствием предварительной проверки данных Оператор вправе, но не обязан удалять данные и информацию Пользователя, нарушающие Политику, Соглашение и (или) действующее законодательство РФ без соответствующего на такое удаление указания со стороны заинтересованных лиц.

7. Обеспечение безопасности обработки данных

7.1. Оператор принимает технические и организационно-правовые меры в целях обеспечения защиты персональной информации Пользователя от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

7.2. На программном обеспечении Сервиса обеспечено предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации.

7.3. Также в целях обеспечения безопасности персональной информации Оператором проводятся следующие мероприятия:

7.3.1. Определяются угрозы безопасности персональной информации при ее обработке;

7.3.2. Применяются организационные и технические меры по обеспечению безопасности персональной информации при их обработке;

7.3.3. Назначаются ответственные за обработку персональных данных Пользователя;

7.3.4. Применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;

7.3.5. Проводится оценка эффективности принимаемых мер по обеспечению безопасности персональной информации;

7.3.6. Принимаются процедуры, направленные на выявление фактов несанкционированного доступа к персональной информации;

7.3.7. Производится восстановление персональной информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

7.3.8. Устанавливаются правила доступа к персональной информации, а также обеспечивается регистрация и учет всех действий, совершаемых с персональной информацией;

7.3.9. Используется только лицензионное программное обеспечение на рабочих станциях Оператора, задействованных в обработке данных Пользователей Сервиса;

7.3.10. Обеспечивается ограничение доступа на техническом и организационном уровне к рабочим станциям Оператора, задействованным в обработке персональных данных;

7.3.11. Осуществляется постоянный контроль над принимаемыми мерами по обеспечению безопасности персональной информации.

7.4. Оператор не несет ответственности за действия третьих лиц, получивших доступ к персональной информации Пользователя в результате несанкционированного доступа к Сервису, а также вследствие иных противоправных действий, совершенных третьими лицами, когда Оператор не мог их предвидеть либо воспрепятствовать им. В таком случае Оператор обязуется незамедлительно уведомить Пользователя в максимально возможный короткий срок о неправомерном доступе третьих лиц к Персональным данным и (или) информации, в том числе сообщений Пользователя.

8. Хранение данных

8.1. Хранение Персональных данных осуществляется в течение срока, установленного в Политике.

8.2. Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки. Обрабатываемые Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

8.3. Хранение персональных данных, цели обработки которых различны, осуществляется раздельно в рамках информационной системы Оператора.

8.4. Оператор обеспечивает хранение информации, содержащей Персональные данные, исключающее несанкционированный доступ к ним третьих лиц.

8.5. В соответствии с пунктом 7 части 4 статьи 16 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» все персональные данные хранятся на сервере, находящимся на территории РФ.

9. Политика резервного копирования

9.1. Оператор обеспечивает резервное копирование персональных данных в своей архитектуре с целью предотвращения потери информации при сбоях оборудования; программного обеспечения; аппаратных сбоях; сбоях операционной системы и прикладного программного обеспечения; заражении вредоносными программами; непреднамеренном уничтожении информации, ошибках пользователей; преднамеренном уничтожении информации и т.п.

9.2. Резервное копирование создает возможность перемещения персональных данных от одной рабочей станции Оператора к другой, таким образом, снимает зависимость целостности персональных данных от конкретной рабочей станции и (или) конкретного помещения.

9.3. Резервному копированию подлежит информация следующих основных категорий:

9.3.1. Персональные данные Пользователей;

9.3.2. Информация, необходимая для восстановления серверов и систем управления базами данных Сервиса;

9.3.3. Сообщения Пользователей;

9.3.4. Информация о факте передачи сообщений Пользователей;

9.3.5. Информация автоматизированных систем архитектуры Оператора, в том числе баз данных.

9.4. Вся резервная информация является конфиденциальной и охраняется Оператором в соответствии с действующим законодательством.

9.5. Основными резервного копирования, являются:

9.5.1. Планирование резервного копирования и восстановления;

9.5.2. Установление жизненного цикла и календаря операций;

9.5.3. Ежедневный обзор логов процесса резервного копирования;

9.5.4. Защита базы данных резервного копирования;

9.5.5. Ежедневное определение временного окна резервного копирования;

9.5.6. Создание и поддержка открытых отчетов, отчетов об открытых проблемах;

9.5.7. Консультации с вендорами и поставщиками программного обеспечения для резервного копирования;

9.5.8. Развитие системы резервного копирования;

9.5.9. Мониторинг заданий в сфере резервного копирования;

9.5.10. Подготовка отчетов о сбоях и успешном выполнении;

9.5.11. Анализ и разрешение проблем;

9.5.12. Манипуляции с резервными копиями и управление библиотекой;

9.5.13. Анализ производительности архитектуры;

9.5.14. Рассмотрение и анализ методики резервного копирования;

9.5.15. Планирование развития архитектуры, определение ежедневных, еженедельных и ежемесячных заданий.

9.6. Резервное копирование персональных данных производится с периодичностью 1 (один) раз в месяц.

9.7. Контроль результатов всех процедур резервного копирования осуществляется Оператором в течение 5 (Пяти) рабочих дней с момента выполнения этих процедур.

9.8. Проверка резервных копий осуществляется выборочно не реже 1 (Одного) раза в месяц.

10. Политика реагирования на инциденты

10.1. Инцидентом информационной безопасности персональных данных является любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность архитектуры Оператора и привести к раскрытию Персональных данных, иной персональной информации или к угрозе такого раскрытия.

10.2. Источником информации об инциденте информационной безопасности может служить следующее:

10.2.1. Сообщения Пользователей, контрагентов и сотрудников Оператора, направленные Оператору по электронной почте, в виде служебных записок, писем, заявлений и т. д.

10.2.2. Уведомления и (или) сообщения надзорного органа в области обработки Персональных данных и персональной информации.

10.2.3. Данные, полученные Оператором, на основании анализа журналов регистрации информационных систем, систем защиты персональных данных.

10.3. Оператор, получивший информацию об инциденте, регистрирует его в электронном журнале, присваивая ему порядковый номер, фиксируя дату инцидента и его суть. База инцидентов информационной безопасности актуализируется по мере их поступления.

10.4. Пользователю, чьи права затронуты в результате инцидента, сообщается об инциденте по электронной почте, в минимально возможный срок, но не позднее 30 (Тридцати) рабочих дней с момента совершения инцидента. В этот же срок принимаются все возможные меры для уменьшения или пресечения дальнейшего ущерба правам Пользователя.

10.5. Разбор инцидентов производится Оператором, который по каждому инциденту:

10.5.1. Собирает и анализирует все данные об обстоятельствах инцидента (электронные письма, лог-файлы информационных систем, показания Пользователей);

10.5.2. Устанавливает, в каком объеме имела место утечка персональных данных, обстоятельства, сопутствующие утечке;

10.5.3. Выявляет лиц, виновных в нарушении предписанных мероприятий по защите персональных данных;

10.5.4. Устанавливает причины и условия, способствовавшие нарушению.

10.5.5. По окончании разбора инцидента оформляет отчет.

10.6. После окончания разбора инцидента и формирования отчета Оператор принимает решение о наказании виновных лиц.

11. Заключительные положения

11.1. Политика конфиденциальности является общедоступным документом, его действующая редакция всегда расположена на соответствующей странице Сервиса.

11.2. Оператор имеет право в любое время в одностороннем порядке изменить текст Политики без предварительного уведомления об этом Пользователя. В таком случае надлежащим уведомлением Пользователя будет являться публикация новой редакции Политики в Сервисе в общедоступном месте. Ответственность за своевременное ознакомление с действующей редакцией Политики целиком и полностью лежит на Пользователе.

11.3. Политика составлена на русском языке. К отношениям сторон применяется право Российской Федерации. Акцепт Политики конфиденциальности иностранным Пользователем означает, что ее текст ему понятен и в переводе он не нуждается. В случае необходимости в переводе иностранные Пользователи обязуются осуществить перевод на нужный им язык своими силами и за свой счет. При разночтениях между русскоязычной и иностранной версии Политики конфиденциальности, приоритет возникает у русскоязычной версии.

11.4. Все разногласия и споры, возникающие в связи с использованием Персональных данных, сообщений и иной персональной информации Пользователя, разрешаются в порядке, предусмотренном действующим законодательством РФ в претензионном досудебном порядке. Срок ответа на претензию по вопросам обработки персональных данных составляет 30 (тридцать) рабочих дней. В случае если спор не нашел разрешения в досудебном порядке – он подлежит рассмотрению в суде по месту нахождения Оператора.