Политика обработки персональных данных

Оператор: не указан

Адрес оператора: не указан

ИНН/ОГРН(ИП): не указан

Лицо, ответственное за организацию обработки ПД: не указан

Email для запросов по ПД: не указан

Телефон: не указан

Настоящая Политика определяет порядок обработки и защиты персональных данных (далее — ПД) пользователей сервиса ГРОГРОН (далее — Сервис): покупателей, продавцов и администраторов. Политика является общедоступным документом и размещена в открытом доступе на сайте Сервиса.

1. Правовая основа

Обработка ПД осуществляется в соответствии с законодательством РФ, включая:

Конституцию Российской Федерации;
Федеральный закон № 152-ФЗ «О персональных данных»;
Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
подзаконные акты и требования Роскомнадзора, применимые к работе онлайн-сервисов в РФ.

2. Категории субъектов и состав ПД

Оператор обрабатывает ПД следующих категорий субъектов: покупатели, продавцы, администраторы Сервиса.

Обрабатываются следующие категории ПД (специальные категории и биометрические ПД не обрабатываются):

данные, получаемые при входе через VK OAuth: идентификатор VK (VK ID), имя/фамилия, email;
данные учётной записи: роль, номер бутика (для продавца), имя покупателя, служебные идентификаторы;
технические данные и данные безопасности: IP-адрес, user-agent, идентификатор устройства, журнал сессий;
контент, размещаемый пользователем: фото, описания товаров, сообщения и обращения в техподдержку.

Пользователь несёт ответственность за то, чтобы размещаемый им контент (в том числе фотографии) не содержал ПД третьих лиц без законного основания.

3. Цели и правовые основания обработки

регистрация, авторизация и управление доступом в личный кабинет — основание: заключение и исполнение пользовательского соглашения (п. 5 ч. 1 ст. 6 152-ФЗ) и согласие субъекта;
подтверждение нового устройства (код на email) и защита аккаунта — основание: исполнение соглашения и законные интересы оператора по обеспечению безопасности;
предоставление доступа к каталогу, публикация карточек и альбомов — основание: исполнение соглашения и согласие;
поддержка чатов с техподдержкой — основание: исполнение соглашения и согласие;
администрирование, модерация, предотвращение спама и злоупотреблений — основание: законные интересы оператора и исполнение требований закона;
выполнение требований законодательства РФ — основание: исполнение обязанностей, возложенных на оператора законом;
маркетинговые рассылки — основание: отдельное согласие, оформляемое сверх настоящей Политики (по умолчанию не ведутся).

4. Принципы и условия обработки

обрабатываются только данные, необходимые и достаточные для указанных целей (минимизация);
обработка выполняется как с использованием средств автоматизации, так и без них;
обработка ПД для маркетинговых рассылок ведётся только при наличии отдельного согласия;
актуальная редакция документов принимается пользователем до входа через VK OAuth;
оператор не принимает на основании одной лишь автоматизированной обработки решений, порождающих юридические последствия для субъекта.

5. Файлы cookie и технические данные

Сервис использует строго необходимые технические cookie и локальное хранилище браузера (localStorage) для авторизации, поддержания сессии и защиты входа (например, временный идентификатор состояния OAuth, идентификатор устройства, токен доступа). Рекламные и трекинговые cookie, а также сторонние системы веб-аналитики Сервисом не используются. Отключение технических cookie может сделать вход и работу в личном кабинете невозможными.

6. Передача данных и поручение обработки

Оператор вправе привлекать к обработке третьих лиц на основании договоров с соблюдением требований 152-ФЗ:

VK (ООО «В Контакте») — для OAuth-аутентификации по правилам платформы VK;
почтовый (SMTP) провайдер — для отправки кода подтверждения нового устройства и служебных писем;
провайдер облачного хранилища и хостинг-провайдер (на территории РФ) — для размещения Сервиса и хранения загруженных изображений;
госорганы и иные лица — только в случаях и объёме, предусмотренных законом.

ПД не продаются и не передаются третьим лицам в целях, не предусмотренных настоящей Политикой.

7. Трансграничная передача и локализация

Сбор, запись, систематизация, накопление, хранение, уточнение и извлечение ПД граждан РФ осуществляются с использованием баз данных, расположенных на территории Российской Федерации (ст. 18 152-ФЗ). Трансграничная передача ПД не осуществляется. В случае её появления оператор предварительно выполнит требования ст. 12 152-ФЗ, включая уведомление Роскомнадзора.

8. Сроки хранения

ПД хранятся не дольше, чем требуется для целей обработки, исполнения обязательств и соблюдения требований закона. Ориентировочные сроки (уточняются оператором):

данные учётной записи — в течение срока действия аккаунта и до 3 лет после его удаления или последней активности;
журналы безопасности (IP, user-agent, сведения о сессиях и устройствах) — до 1 года;
переписка и обращения в техподдержку — до 1 года после закрытия обращения;
сведения, подтверждающие принятие документов и согласие (версия, дата, IP), — в течение срока обработки и срока исковой давности.

По достижении целей обработки либо при получении законного требования субъекта данные подлежат удалению или обезличиванию в установленные законом сроки.

9. Защита данных

OAuth-токены хранятся на сервере в зашифрованном виде;
при несовпадении устройства требуется подтверждение входа через код на email;
ограничивается число привязанных устройств и одновременно активных сессий;
доступ к данным ограничивается по ролям и журналируется на уровне Сервиса;
применяются организационные и технические меры защиты в соответствии со ст. 18.1 и 19 152-ФЗ.

10. Права субъекта персональных данных

Пользователь вправе:

получать сведения об обработке своих ПД и доступ к ним;
требовать уточнения, блокирования или уничтожения ПД, если они неполны, устарели, неточны либо обрабатываются неправомерно;
отозвать согласие на обработку ПД;
обжаловать действия или бездействие оператора в Роскомнадзоре или в судебном порядке.

Запрос направляется на email: не указан. Для идентификации заявителя оператор вправе запросить сведения, подтверждающие личность субъекта или его связь с аккаунтом. Ответ предоставляется в сроки, установленные 152-ФЗ.

11. Изменение Политики

При изменении Политики публикуется новая версия документа с обновлением номера версии. Для продолжения использования Сервиса требуется принять актуальную редакцию.

Документ подготовлен для применения в РФ. Перед промышленным запуском требуется юридическая финализация: заполнение реквизитов оператора и ответственного лица, подача уведомления об обработке ПД в Роскомнадзор и проверка сроков хранения под фактическую бизнес-модель.

Источники и правила

152-ФЗ «О персональных данных» 149-ФЗ «Об информации» VK Platform Offer VK Developer Rules