Политика обработки персональных данных1. ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ1.1. Оператором персональных данных, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), является:
Индивидуальный предприниматель Павловская Мария Дмитриевна
- ОГРНИП: 318784700341565
- ИНН: 772579627518
- Адрес: г. Санкт-Петербург, Российская Федерация
- Все вопросы и запросы подаются на email: zernoroli.workshop@mail.ru
- Сайт: https://zernoroli.ru
1.2. Оператор зарегистрирован в реестре Роскомнадзора в соответствии с требованиями ст. 22 ФЗ-152.
1.3. Настоящая Политика действует в отношении всех физических лиц, которые предоставили персональные данные Оператору при:
- регистрации и оплате онлайн-курса на сайте https://zernoroli.ru;
- взаимодействии с платёжной системой Prodamus;
- обавлении в учебный канал Telegram;
- иных обстоятельствах, при которых происходит сбор или получение персональных данных.
2. ОПРЕДЕЛЕНИЯ2.1. Персональные данные — информация, которая относится к определённому или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ-152).
2.2. Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с персональными данными, включая сбор, запись, хранение, уточнение, использование, передачу и удаление (ст. 3 ФЗ-152).
2.3. Согласие субъекта — добровольное, конкретное и информированное выражение воли субъекта, на основании которого он даёт согласие на обработку своих персональных данных (ст. 9 ФЗ-152).
2.4. Обработчик — юридическое или физическое лицо, которое обрабатывает персональные данные по поручению Оператора (ст. 3 ФЗ-152).
2.5. Трансграничная передача — передача персональных данных на территорию иностранного государства (ст. 12 ФЗ-152).
2.6. Локализация — обеспечение записи, систематизации, накопления, хранения, уточнения и извлечения персональных данных с использованием баз данных, физически расположенных на территории Российской Федерации (ст. 18 ч. 5 ФЗ-152).
3. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ3.1. Оператор обрабатывает следующие категории персональных данных:
Категория | Данные | Источник | Обязательность |
А. Идентификация | Фамилия, имя, отчество | Форма оплаты | Обязательно |
Дата рождения | Форма оплаты | По выбору |
Б. Контакты | Адрес электронной почты | Форма оплаты | Обязательно |
Номер мобильного телефона | Форма оплаты | По выбору |
В. Платёж | Номер заказа в Prodamus | Платёжная система | Обязательно |
Дата и время платежа | Платёжная система | Обязательно |
Сумма платежа | Платёжная система | Обязательно |
Статус платежа (успешно/отклонено) | Платёжная система | Обязательно |
Г. Технические | IP-адрес | Логи сервера/платформы | Автоматически |
User-Agent браузера | Логи сервера | Автоматически |
Д. Учёбные | Прогресс в курсе | Учебная платформа | При использовании |
Результаты заданий | Учебная платформа | При использовании |
История сообщений в Telegram-чате | Telegram | При участии |
Оператор не запрашивает и не обрабатывает без отдельного явного согласия:
- данные о расе, национальности, политических и религиозных взглядах;
- информацию о состоянии здоровья;
- генетическую информацию;
- биометрические данные (в целях идентификации);
- информацию об уголовных осуждениях;
- информацию об интимной жизни.
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ4.1. Обработка персональных данных осуществляется на следующих правовых основаниях:
Основание 1: исполнение договора об оказании услуг (п. 5 ч. 1 ст. 6 ФЗ-152).
Применяется к: категориям А, Б, В (частично), Г (частично), Д.
Цель:- заключение и исполнение договора об оказании услуг онлайн-обучения;
- предоставление доступа к материалам курса;
- отправка уведомлений об обучении;
- ведение учёта участников;
- выдача сертификата по завершении.
Срок хранения: период обучения плюс 1 (один) год после завершения для выдачи сертификата и разрешения споров.
Специфика: обработка осуществляется с момента оплаты. Отказ от обработки на этом основании делает невозможным оказание услуги.
Основание 2: согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 ФЗ-152).
Применяется к: категориям Г (аналитика), Д (при рассылках).
Цель:- отправка маркетинговых рассылок о новых курсах, скидках и предложениях;
- анализ использования сайта с целью улучшения сервиса;
- уведомление в мессенджерах (Telegram).
Срок хранения: до момента отзыва согласия.
Специфика: согласие является добровольным и опциональным. Его отсутствие не влияет на качество исполнения договора обучения.
Основание 3: требование законодательства (п. 2 ч. 1 ст. 6 ФЗ-152).
Применяется к: категория В (платёжные данные).
Цель:- ведение бухгалтерского учёта в соответствии с требованиями законодательства о бухгалтерском учёте и налогообложении;
- расчёт и уплата налогов в соответствии с Налоговым кодексом РФ;
- предоставление информации налоговым органам при запросе;
- исполнение обязанности по уведомлению Роскомнадзора об условиях обработки персональных данных (ст. 22 ФЗ-152).
Срок хранения:- платёжные данные: в соответствии с требованиями законодательства о бухгалтерском учёте (не менее 4 лет);
- данные об условиях обработки в уведомлении РКН: не менее 3 лет.
Ограничение прав субъектов: данные, обрабатываемые на этом основании, не подлежат удалению при обращении субъекта (с учётом требований Налогового кодекса РФ и ст. 17 ч. 3 п. 3 ФЗ-152).
Основание 4: законный интерес Оператора (п. 7 ч. 1 ст. 6 ФЗ-152).
Применяется к: категория Г (технические логи для безопасности).
Цель:- обеспечение безопасности платформы от несанкционированного доступа;
- выявление и предотвращение мошеннических действий;
- защита от технических сбоев и атак.
Срок хранения: 6–12 месяцев (в зависимости от актуальности для целей безопасности).
Уравновешивание интересов: интерес Оператора в защите безопасности перевешивает потенциальный интерес субъекта в неразглашении технических данных.
Ограничение применения: данное основание НЕ используется для маркетинговых, аналитических или коммерческих целей за исключением предотвращения мошеннических действий в отношении платежей.
5. ЦЕЛИ, СРОКИ И ОСНОВАНИЯ ОБРАБОТКИ № п/п | Цель обработки | Категории данных | Правовое основание | Срок хранения |
1 | Исполнение договора обучения | А, Б, В, Г, Д | П. 5 ч. 1 ст. 6 ФЗ-152 | Обучение + 1 год |
2 | Бухгалтерский учёт и налоговое уведомление | В | П. 2 ч. 1 ст. 6 ФЗ-152 | 4 года |
3 | Маркетинговые рассылки | Б | П. 1 ч. 1 ст. 6 ФЗ-152 | До отзыва согласия |
4 | Аналитика сайта | Г | П. 1 ч. 1 ст. 6 ФЗ-152 | До отзыва согласия |
5 | Коммуникация в Telegram | Д | П. 1 ч. 1 ст. 6 ФЗ-152 | До отзыва согласия |
6 | Информационная безопасность | Г | П. 7 ч. 1 ст. 6 ФЗ-152 | 6–12 месяцев |
7 | Ведение реестра согласий и версий документов (для подтверждения правомерности обработки и защиты прав Оператора) | Метаданные согласий | П. 2 ч. 1 ст. 6 ФЗ-152 | В течение срока возможного предъявления требований по защите прав Оператора |
При обработке персональных данных граждан Российской Федерации Оператор обеспечивает локализацию данных, то есть хранение их на территории РФ, в соответствии с требованиями ст. 18 ч. 5 ФЗ-152.
6.2. Архитектура хранения персональных данных:
Тип данных | Место хранения | Провайдер | Локализация | Документ подтверждения |
Реестры согласий, контакты, учебные данные | Облако Mail.ru (хранилище файлов) | ООО «Рамблер» | Центры обработки Mail.ru в РФ (Москва, Санкт-Петербург) | Договор об использовании услуги, публичные сведения о ЦОД |
Электронная переписка, уведомления | Почта Mail.ru | ООО «Рамблер» | Инфраструктура Mail.ru в РФ | Пользовательское соглашение Mail.ru |
Платёжные данные (номер заказа, сумма, статус) | Платёжная система Prodamus | ООО «Продамус» | Серверы Prodamus в РФ | Договор платёжного агента |
Локальные копии (если создаются) | Компьютер Оператора | ИП Павловская | Санкт-Петербург, РФ | Физический контроль |
Сайт размещён на конструкторе Tilda и используется только как витрина для отображения информации, размещения дизайна и макета. Tilda не используется в качестве постоянного хранилища персональных данных (информационной системы персональных данных по смыслу ст. 3 ФЗ-152). Встроенные сборщики заявок в Tilda отключены и не используются для автоматического сбора или хранения персональных данных.
6.4. Процесс обработки данных в архитектуре:
- Фаза 1 (служебное наличие данных): при внесении данных на странице оплаты (до подтверждения платежа) данные находятся в памяти браузера. Это служебное наличие, необходимое для функционирования платёжного процесса.
- Фаза 2 (выгрузка): Оператор вручную выгружает подтвержденные платежи из системы Prodamus в реестр на Облако Mail.ru (хранилище файлов) в течение 24 часов после получения платежа.
- Фаза 3 (постоянное хранилище): данные хранятся в Облако Mail.ru (хранилище файлов) и почте Mail.ru согласно срокам в разделе 5.
6.5. Все данные, содержащиеся в памяти браузера свыше 24 часов после платежа, удаляются браузером в соответствии с его политикой, либо переносятся в российские Облако Mail.ru (хранилище файлов).
7. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА7.1. На момент публикации настоящей Политики Оператор не осуществляет трансграничную передачу персональных данных граждан Российской Федерации иностранным лицам или иностранным юрисдикциям, в соответствии со ст. 12 ФЗ-152.
7.2. При возможном изменении архитектуры обработки данных, которое предусматривает передачу персональных данных за пределы территории РФ, Оператор обязуется:
- предварительно обновить настоящую Политику с указанием новых оснований и получателей;
- получить отдельное письменное согласие субъектов персональных данных;
- передавать данные только в страны с допустимым уровнем защиты (список см. на https://pd.rkn.gov.ru/international-relations/);
- предоставить субъектам информацию о целях передачи, сроках хранения и механизмах защиты.
7.3. При возникновении предполагаемой необходимости в трансграничной передаче Оператор уведомит Роскомнадзор в соответствии с требованиями ст. 22 ФЗ-152 об изменении условий обработки.
8. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ8.1. Согласие на исполнение договора обучения.
Способ получения:На странице оплаты курса размещается элемент подтверждения согласия в форме, которая отвечает требованиям ст. 9 ФЗ-152 (согласно возможностям конструктора Tilda). Согласие фиксируется при:
- отметке чекбокса (или иного интерактивного элемента подтверждения) перед нажатием кнопки «Оплатить»;
- успешной обработке платежа в системе Prodamus;
- блокировке возможности завершить платеж при отсутствии отметки согласия.
Фиксируемые данные о согласии:- дата и время согласия (московское время, МСК);
- IP-адрес субъекта (в рабочем формате);
- email субъекта;
- номер заказа в системе Prodamus;
- версия Политики конфиденциальности (дата и номер версии);
- версия Договора-оферты (дата и номер версии);
- User-Agent браузера (опционально).
Реестр согласий: информация о согласии вносится в реестр, ведущийся на Облако Mail.ru (хранилище файлов).
8.2. Согласие на маркетинговые рассылки.
Способ получения:На странице оплаты размещается отдельный чекбокс (или иной элемент подтверждения) с текстом согласия. По умолчанию чекбокс не отмечен (opt-in модель).
Согласие является опциональным: его отсутствие не влияет на возможность заключения договора и оплаты курса.
Способ отзыва согласия:- ссылка «Отписаться» в подвале каждого письма маркетинговой рассылки (применяется немедленно);
- письмо на email: zernoroli.workshop@mail.ru с просьбой об отписке;
- письменное заявление любым доступным способом с указанием email и просьбой об отзыве согласия на маркетинг.
Срок удаления после отзыва: не более 10 дней. При нажатии ссылки «Отписаться» удаление осуществляется немедленно.
8.3. Согласие на аналитику и cookie.
Способ получения:На сайте размещается cookie-баннер (в нижней части страницы или в иной видимой позиции) с текстом согласия. Баннер содержит две кнопки: «Согласиться» и «Отклонить». Согласие является опциональным.
Технические требования:При нажатии кнопки «Согласиться» в браузере (localStorage) сохраняется отметка о согласии и дата/время согласия. При нажатии кнопки «Отклонить» аналитика отключается и cookie на основе согласия не устанавливаются.
8.4. Требования к согласию.
Каждое согласие должно соответствовать требованиям ст. 9 ФЗ-152 и быть:
- конкретным: указывать точно на какие категории данных и для какой цели;
- предметным: не содержать размытых формулировок («в том числе всё», «в целях, установленных Оператором»);
- информированным: субъект имеет доступ к полной Политике и Договору перед дачей согласия;
- сознательным: субъект понимает последствия и может их предвидеть;
- добровольным: отсутствует принуждение, условие договора или иное давление на выдачу согласия (за исключением согласия на исполнение договора).
9. ОБРАБОТЧИКИ И ПОРУЧЕНИЕ ОБРАБОТКИ9.1. Для выполнения отдельных операций Оператор может привлекать обработчиков:
- Технический специалист — администрирование сайта, управление облачными сервисами, техническая поддержка пользователей;
- Координатор курса — организация учебного процесса, коммуникация с участниками, проверка и оценка выполненных заданий.
9.2. С каждым обработчиком заключается письменное соглашение о поручении (договор), содержащее в соответствии со ст. 24 ФЗ-152:
- обязанность соблюдать конфиденциальность и режим ограниченного доступа;
- требование локализации данных исключительно на территории Российской Федерации;
- запрет на передачу персональных данных третьим лицам без согласия Оператора;
- обязанность немедленно удалять или возвращать данные Оператору по завершении поручения;
- ответственность за нарушение требований (включая применение штрафных санкций по ФЗ-152 и возмещение убытков);
- условие о том, что обработчик обязан уведомить Оператора о любых нарушениях в обработке данных или неавторизованном доступе.
9.3. Обработчики НЕ имеют права:
- использовать полученные персональные данные в своих целях или целях третьих лиц;
- распространять или передавать данные без письменного разрешения Оператора;
- хранить данные после завершения поручения.
9.4. Обработчики несут ответственность в соответствии с законодательством Российской Федерации.
10. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ10.1. Право на доступ (ст. 17 ч. 1 ФЗ-152).
Субъект имеет право:
- получить информацию о том, какие его персональные данные обрабатывает Оператор;
- получить копию всех хранимых данных в структурированном виде;
- узнать цели обработки, правовые основания, сроки хранения и категории получателей данных.
Способ реализации: письмо на email
zernoroli.workshop@mail.ru с указанием ФИО, email (или иной идентификатор, использованный при регистрации), и конкретной просьбой о предоставлении доступа.
Срок ответа: 10 рабочих дней с момента получения запроса. В исключительных случаях (при необходимости сбора данных из нескольких источников) срок может быть продлён до 30 рабочих дней в соответствии со ст. 19 п. 5 ФЗ-152, при условии уведомления субъекта о продлении и указании причины.
10.2. Право на уточнение (ст. 17 ч. 1 ФЗ-152)
Субъект имеет право:
- исправить неполные или неточные персональные данные;
- обновить устаревшие данные;
- внести изменения в данные, которые изменились (например: номер телефона, адрес электронной почты, семейное положение).
Способ реализации: письмо на email
zernoroli.workshop@mail.ru с указанием текущих неточных данных и их правильного значения.
Срок ответа: 10 рабочих дней.
10.3. Право на удаление (ст. 17 ч. 3 ФЗ-152, «право быть забытым»).
Субъект имеет право требовать удаления (стирания) персональных данных, если:
- они больше не требуются для целей обработки;
- обработка была осуществлена без надлежащего согласия субъекта;
- субъект отозвал согласие (в отношении данных, обработка которых основана исключительно на согласии);
- данные были обработаны незаконно.
Ограничения на право удаления:- платёжные данные (категория В) сохраняются в соответствии с требованиями законодательства о бухгалтерском учёте (не менее 4 лет) независимо от требования субъекта на удаление, в соответствии со ст. 17 ч. 3 п. 3 ФЗ-152;
- данные об участии в курсе (категория Д) сохраняются в течение 1 года после завершения обучения для целей выдачи сертификата и разрешения споров, в соответствии со ст. 17 ч. 3 п. 2 ФЗ-152;
- данные об отметке согласия (категория Г, фиксация согласия) сохраняются в реестре в течение срока возможного предъявления требований по защите прав Оператора для целей доказательства правомерности обработки.
Способ реализации: письмо на email
zernoroli.workshop@mail.ru с указанием конкретной просьбы об удалении данных и оснований (например: «завершено обучение», «отозвано согласие на маркетинг», «данные получены без согласия»).
Срок ответа: 10 рабочих дней.
10.4. Право на ограничение обработки (ст. 17 ч. 2 ФЗ-152).
Субъект имеет право требовать приостановления (ограничения) обработки персональных данных, если:
- субъект оспаривает точность персональных данных (данные ограничиваются обработкой до проверки точности);
- обработка осуществляется незаконно, но субъект не требует удаления (требует лишь ограничения дальнейшей обработки);
- Оператору больше не требуются данные для целей обработки, но они могут потребоваться субъекту для установления, осуществления или защиты судебных притязаний.
Способ реализации: письмо на email
zernoroli.workshop@mail.ru с указанием оснований для ограничения обработки.
Срок ответа: 10 рабочих дней.
Юридический эффект: ограничение предполагает приостановление обработки (за исключением хранения) до устранения оспариваемых обстоятельств или разрешения спора.
10.5. Право на отзыв согласия (ст. 9 ч. 5 ФЗ-152).
Субъект может в любой момент отозвать согласие, данное на:
- маркетинговые рассылки;
- аналитику и cookie;
- иные виды обработки, не связанные с исполнением договора обучения.
Отзыв согласия не влияет на правомерность обработки до момента его отзыва. Обработка, осуществлённая до получения отзыва, остаётся законной.
Способ отзыва:- ссылка «Отписаться» в подвале каждого письма маркетинговой рассылки (применяется немедленно);
- письмо на email: zernoroli.workshop@mail.ru с просьбой об отзыве согласия и указанием типа согласия (маркетинг, аналитика, иное);
- письменное заявление любым доступным способом с указанием email регистрации и типа отзываемого согласия.
Сроки удаления:- для маркетинга: немедленное удаление из базы рассылок при нажатии ссылки «Отписаться», или в течение 10 дней при получении письменного отзыва;
- для согласия на аналитику: в течение 10 рабочих дней.
10.6. Информация о получателях и обработчиках (ст. 17 ч. 1 ФЗ-152)
Субъект имеет право получить информацию о:
- третьих лицах и обработчиках, которым передаются или могут быть переданы его персональные данные;
- целях передачи и юридических основаниях;
- сроках хранения у получателя.
Способ реализации: данная информация содержится в настоящей Политике (разделы 6, 7, 9). При наличии дополнительных вопросов субъект может направить запрос на email
zernoroli.workshop@mail.ru.
Срок ответа: 10 рабочих дней.
10.7. Защита прав и обращение в Роскомнадзор.
Если Оператор не ответит на запрос в установленный срок, отклонит требование субъекта без объяснения причин или субъект считает обработку незаконной, субъект может:
- направить жалобу в Роскомнадзор по адресу: https://pd.rkn.gov.ru (форма подачи жалобы доступна на сайте);
- обратиться в суд по месту нахождения Оператора (г. Санкт-Петербург);
- потребовать возмещения убытков, причинённых незаконной обработкой персональных данных, в соответствии со ст. 15 ГК РФ.
10.8. Порядок подачи запроса.
Все запросы от субъектов персональных данных подаются на email:
zernoroli.workshop@mail.ru.
В запросе должны быть указаны:
- ФИО (полностью);
- email или номер телефона для обратной связи;
- email, номер телефона или иной идентификатор, использованный при регистрации на платформе;
- конкретная просьба (право на доступ, уточнение, удаление, ограничение, отзыв согласия и т.д.);
- желаемый способ получения ответа (email, почтовое письмо, иное).
Субъект имеет право подать запрос в письменном виде любым способом (email, почта, курьер), при условии однозначной идентификации. Устные запросы (по телефону) фиксируются в память протокола и требуют последующего письменного подтверждения.
