Политика обработки персональных данных

Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок сбора, хранения, обработки и защиты персональных данных Пользователей при использовании B2B-платформы Оператора.

Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 № 1119, Приказом ФСТЭК России от 18.02.2013 № 21 и Приказом Роскомнадзора от 27.10.2022 № 178.

1. Сведения об операторе

Реквизиты Оператора публикуются на страницах «Политика конфиденциальности», «Пользовательское соглашение» и «Политика cookie», а также в футере сайта. Актуальные контакты ответственного за обработку персональных данных доступны на указанных страницах.

2. Правовые основания обработки

Оператор обрабатывает персональные данные на следующих основаниях (ст. 6 152-ФЗ):

• согласие субъекта (п. 1 ч. 1 ст. 6) — регистрация, аналитика, Telegram-уведомления, cookie;
• исполнение договора или преддоговорные меры (п. 5 ч. 1 ст. 6) — обработка заявок, чат, ведение профиля клиентов;
• законный интерес (п. 7 ч. 1 ст. 6) — безопасность, IP-логирование, аудит;
• исполнение закона (п. 2 ч. 1 ст. 6) — бухгалтерский и налоговый учёт.

3. Цели обработки

Платформа обрабатывает персональные данные исключительно для следующих целей: регистрация и аутентификация пользователей; обработка заявок и запросов коммерческих предложений; ведение переписки в чате по заявкам; аналитика использования платформы; уведомления через Telegram (по отдельному согласию); деловая email-корреспонденция; обеспечение безопасности и аудит.

4. Категории обрабатываемых данных

Имя, телефон, e-mail, наименование организации, должность, ИНН организации, IP-адрес, user-agent, метаданные запросов.

5. Сроки обработки и хранения

• Аккаунты пользователей — до удаления или 3 года неактивности.
• Заявки — 5 лет после завершения (НК РФ ст. 23, ГК РФ ст. 196).
• Чат-сообщения — 3 года после закрытия.
• Аналитика — 2 года.
• Аудит-логи — 5+ лет (неизменяемые записи).
• Email-корреспонденция — 3 года.

6. Права субъекта персональных данных

В соответствии с 152-ФЗ Пользователь имеет право: получить информацию об обработке своих данных (ст. 14); потребовать уточнения данных; потребовать блокирования или уничтожения данных (ст. 21); отозвать согласие на обработку (ст. 9 ч. 2); обжаловать действия Оператора в Роскомнадзор или суд (ст. 17).

7. Отзыв согласия

Пользователь вправе отозвать согласие через личный кабинет (раздел «Конфиденциальность и данные»), либо направив письменное обращение на email ответственного за обработку персональных данных. Срок обработки отзыва — 30 дней (ст. 21 152-ФЗ).

8. Меры защиты

Оператор применяет шифрование Fernet (AES-128-CBC) для чувствительных данных, bcrypt для хеширования паролей, TLS для всех сетевых каналов, JWT с httpOnly cookies для аутентификации, RBAC для разграничения доступа, неизменяемые аудит-записи с SHA-256 контрольными суммами, автоматическую блокировку аккаунтов при неудачных попытках входа, TOTP MFA для администраторов.

9. Третьи лица и трансграничная передача

Оператор привлекает следующих третьих лиц при обработке персональных данных:

• ООО «Яндекс» (Яндекс.Метрика) — аналитика использования платформы. Серверы расположены на территории Российской Федерации. Основание: согласие субъекта (cookie_analytics).
• Telegram FZ Limited (Объединённые Арабские Эмираты / Великобритания) — доставка уведомлений о статусах заявок. Передаются только обезличенные идентификаторы заявок (номер заявки, статус). Персональные данные субъектов (ФИО, email, телефон) не передаются. Основание: законный интерес Оператора в обеспечении оперативного информирования (п. 7 ч. 1 ст. 6 152-ФЗ).
• Хостинг-провайдер — серверы расположены на территории Российской Федерации.

В соответствии со ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», трансграничная передача обезличенных данных через Telegram FZ Limited осуществляется на территории государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Передаваемые данные обезличены и не позволяют идентифицировать субъекта без использования дополнительной информации, хранящейся исключительно на серверах Оператора в Российской Федерации.

10. Обновление Политики

Оператор оставляет за собой право изменять настоящую Политику. Актуальная версия всегда доступна на данной странице. При существенных изменениях Пользователи уведомляются через баннер на сайте и, при необходимости, обязаны переподтвердить согласие при следующем входе.