Редакция от 14 марта 2025 г. Действует с момента публикации.
Оглавление
- Общие положения
- Определение терминов
- Нормативная основа
- Принципы и условия обработки персональных данных
- Категории субъектов, цели, состав ПДн, сроки хранения
- Cookie и данные браузера
- Порядок и условия обработки ПДн
- Права субъектов ПДн
- Согласие на обработку ПДн
- Обязанности Оператора
- Конфиденциальность ПДн
- Реализуемые требования к защите ПДн
- Порядок обращения субъектов ПДн
- Уведомление уполномоченного органа об инцидентах
- Заключительные положения
- Реквизиты Оператора
1. Общие положения
- Настоящая Политика определяет порядок обработки и защиты персональных данных (ПДн) пользователей веб-сервиса «RanVol», расположенного по адресу https://ranvol.live.
- Цель: защита прав и свобод субъектов ПДн, соблюдение законодательства Российской Федерации в области персональных данных и информационной безопасности.
- Оператор: Администрация сервиса «RanVol», e-mail: support@ranvol.live.
- Политика размещена по адресу https://ranvol.live/docs/privacy в открытом доступе и актуализируется по мере изменений процессов обработки данных и требований законодательства.
- Использование Сервиса означает безоговорочное принятие настоящей Политики. При несогласии пользователь обязан прекратить использование Сервиса.
2. Определение терминов
| Термин | Определение |
|---|---|
| Персональные данные (ПДн) | Любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн) |
| Обработка ПДн | Любое действие (операция) с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение |
| Оператор | Лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, определяющее цели и состав обрабатываемых ПДн |
| Субъект ПДн | Физическое лицо — пользователь Сервиса, чьи ПДн обрабатываются Оператором |
| Сервис | Программно-аппаратный комплекс и информационные ресурсы на домене ranvol.live |
| ИСПДн | Информационная система персональных данных Оператора |
| Инцидент ИБ | Событие, свидетельствующее о возможной компрометации или утечке ПДн |
3. Нормативная основа
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями, внесёнными Федеральным законом от 14.07.2022 № 266-ФЗ).
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн».
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Иные нормативные правовые акты РФ в области обработки и защиты персональных данных и информационной безопасности.
4. Принципы и условия обработки ПДн
- Законность и справедливость: обработка осуществляется на законных основаниях — согласие субъекта, исполнение договора (Пользовательского соглашения), выполнение требований законодательства.
- Минимизация данных: обрабатывается только тот объём ПДн, который необходим для достижения конкретных целей.
- Ограничение цели: ПДн не обрабатываются в целях, несовместимых с целями, для которых они были собраны.
- Точность и актуальность: Оператор принимает меры к поддержанию ПДн в актуальном состоянии.
- Ограничение хранения: ПДн хранятся не дольше, чем требуется для достижения целей обработки; по истечении срока — уничтожаются или обезличиваются.
- Целостность и конфиденциальность: применяются организационные и технические меры защиты ПДн от несанкционированного доступа и утечки.
5. Категории субъектов, цели, состав ПДн, сроки хранения
| Категория субъектов | Цели обработки | Состав ПДн | Срок хранения |
|---|---|---|---|
| Посетители Сервиса (неавторизованные) | Обеспечение работы интерфейса, анализ использования, защита от DDoS и ботов | IP-адрес, user-agent, данные cookie и localStorage (настройки языка, темы), технические журналы | До достижения целей или очистки пользователем; журналы — не более 90 суток |
| Авторизованные пользователи | Предоставление и персонализация функционала, уведомления, поддержка аккаунта, безопасность | Адрес электронной почты, идентификатор учётной записи, дата регистрации, настройки уведомлений и отображения | На весь период существования аккаунта; после удаления — не более 30 суток, затем уничтожение |
| Лица, направившие обращение | Рассмотрение обращений и поддержка | E-mail, содержимое обращения, переписка | Не более 12 месяцев с даты последнего обращения либо до достижения целей |
- Специальные категории ПДн (здоровье, религия, политические взгляды и т.д.) и биометрические ПДн Оператором не обрабатываются.
- Первичная запись и хранение ПДн граждан РФ осуществляются на серверах, расположенных на территории Российской Федерации. Трансграничная передача ПДн не осуществляется.
6. Cookie и данные браузера
- Сервис использует технические cookie (файлы куки) и механизм localStorage браузера для хранения сессий авторизации, пользовательских предпочтений (язык, тема) и настроек интерфейса.
- Cookie не содержат финансовых данных или паролей. Сервис не использует сторонние рекламные cookie.
- Пользователь вправе настроить или заблокировать cookie в браузере; это может ограничить функциональность Сервиса.
- Данные cookie и localStorage хранятся локально на устройстве пользователя и передаются на серверы Оператора в минимально необходимом объёме при каждом обращении к Сервису.
7. Порядок и условия обработки ПДн
- Сбор: осуществляется непосредственно у субъекта через форму регистрации / входа по ссылке из e-mail; субъекту предоставляется возможность ознакомиться с Политикой и Согласием до передачи ПДн.
- Передача третьим лицам: допускается только на основании договора поручения обработки, в объёме, необходимом для оказания конкретной услуги (хостинг, защита от DDoS, телекоммуникационные услуги, сервисы доставки электронной почты). Государственным органам и иным уполномоченным лицам — в порядке, установленном законодательством РФ.
- Хранение: ПДн хранятся в ИСПДн Оператора на территории РФ, резервные копии также хранятся в РФ.
- Прекращение и уничтожение: при достижении целей обработки, при отзыве согласия субъектом, при ликвидации Сервиса, а также по требованиям, установленным законодательством РФ. Уничтожение осуществляется путём безвозвратного удаления данных.
8. Права субъектов ПДн
В соответствии со статьями 14–17 ФЗ-152 субъект ПДн вправе:
- Получать информацию о целях, составе, сроках обработки своих ПДн и иных сведениях, предусмотренных ч. 7 ст. 14 ФЗ-152.
- Требовать уточнения, блокирования или уничтожения своих ПДн в случае их неполноты, устарелости, неточности, незаконности получения или нецелевого использования.
- Отозвать согласие на обработку ПДн, направив заявление Оператору по адресу support@ranvol.live.
- Возражать против обработки ПДн в целях продвижения товаров, работ, услуг.
- Возражать против принятия решений, основанных исключительно на автоматизированной обработке ПДн.
- Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн — Роскомнадзор (rkn.gov.ru) или в судебном порядке.
9. Согласие на обработку ПДн
- Согласие на обработку ПДн оформляется в электронной форме через интерфейс Сервиса (нажатие кнопки «Принять» или иное активное действие), фиксируется Оператором с указанием даты и IP-адреса.
- Согласие может быть отозвано субъектом в любое время посредством направления письменного или электронного заявления на support@ranvol.live.
- Отзыв согласия не влияет на законность обработки, проводившейся до его отзыва. После получения отзыва Оператор прекращает обработку ПДн в течение 30 дней и уничтожает ПДн, если иное не предусмотрено законом.
10. Обязанности Оператора
- Публиковать Политику в открытом доступе на Сервисе и предоставлять субъекту информацию о его ПДн по запросу в срок не более 10 рабочих дней.
- Обеспечивать локализацию ПДн граждан РФ в соответствии с ч. 5 ст. 18 ФЗ-152.
- Не раскрывать и не распространять ПДн третьим лицам без законных оснований.
- Прекращать обработку в целях продвижения по требованию субъекта немедленно.
- Уведомлять Роскомнадзор об инцидентах с ПДн в установленные сроки (см. раздел 14).
11. Конфиденциальность ПДн
- Доступ к ПДн субъектов ограничен принципом минимальных привилегий: лица, обрабатывающие ПДн, принимают на себя обязательства о конфиденциальности.
- Сотрудники и подрядчики Оператора, имеющие доступ к ПДн, проинструктированы о требованиях законодательства и несут ответственность за соблюдение конфиденциальности.
- Третьи лица, которым передаются ПДн по договору поручения, обязаны соблюдать конфиденциальность и принятые меры защиты не ниже уровня Оператора.
12. Реализуемые требования к защите ПДн
В соответствии с ПП РФ № 1119 и Приказом ФСТЭК № 21 Оператором реализуются:
- Организационные меры: назначение лица, ответственного за обработку ПДн; ведение локальных актов; управление правами доступа; инструктаж сотрудников; учёт действий с ПДн.
- Технические меры: сегментация сетевой инфраструктуры; межсетевое экранирование; шифрование каналов передачи данных (TLS 1.2 / 1.3); хэширование паролей; журналирование событий; резервное копирование; контроль целостности ПО; актуализация программного обеспечения и устранение уязвимостей.
- Контроль и аудит: периодическая проверка состояния защиты ПДн и мер технической защиты информации.
- Реагирование на инциденты: процедуры обнаружения, реагирования и восстановления при инцидентах ИБ, включая уведомление РКН в установленные сроки.
13. Порядок обращения субъектов ПДн
- Запросы направляются по адресу support@ranvol.live с указанием: имени (или иного идентификатора), контактных данных и содержания запроса.
- Оператор рассматривает запросы в сроки, установленные ст. 14–21 ФЗ-152: как правило, не более 10 рабочих дней с возможным продлением до 30 дней при обоснованной необходимости.
- При невозможности идентифицировать субъекта или при явно неправомерном запросе Оператор вправе отказать в его удовлетворении с обоснованием отказа.
14. Уведомление уполномоченного органа об инцидентах
- В соответствии со ст. 21.1 ФЗ-152 (введена Федеральным законом от 14.07.2022 № 266-ФЗ) Оператор обязан уведомить Роскомнадзор об инциденте, повлёкшем неправомерную передачу (утечку) ПДн:
- В течение 24 часов с момента обнаружения — первичное уведомление с описанием инцидента, предполагаемых причин и принятых мер.
- В течение 72 часов с момента обнаружения — расширенное уведомление с результатами внутреннего расследования.
- Уведомление направляется через государственную систему ГосСОПКА или иными установленными способами.
- Оператор также уведомляет субъектов ПДн об инциденте, если нарушение несёт существенный риск для их прав.
15. Заключительные положения
- Политика вступает в силу с момента размещения на Сервисе и действует бессрочно до принятия новой редакции.
- Оператор вправе вносить изменения в одностороннем порядке; новая редакция вступает в силу с даты публикации.
- Если отдельные положения Политики противоречат законодательству РФ, такие положения не применяются.
- По всем вопросам, не урегулированным настоящей Политикой, применяется законодательство РФ.
16. Реквизиты Оператора
Администрация сервиса «RanVol»
E-mail: support@ranvol.live