Политика конфиденциальности
«Политика конфиденциальности» (далее – Политика) является документом, определяющим порядок обработки, систематизации и раскрытия персональной информации, предоставленной пользователем сети Интернет (далее – Пользователь), использующим цифровой сервис «ICQR» (далее – Сервис). Политика конфиденциальности является неотъемлемой частью пользовательского соглашения Сервиса (далее – Соглашение) и документом, регламентирующим обработку персональных данных Пользователей.
1. Основные определения
1.1 В связи с отношениями сторон, относящимся к обработке персональных данных, применяются следующие определения.
1.1.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – Пользователю Сервиса.
1.1.2. Оператор персональных данных (Оператор) – лицо, самостоятельно или совместно с другими лицами (третьими лицами на основе специальных соглашений/оговорок в соглашениях) организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках Политики Оператором является ООО «МЕДИА-ИНКОД», ОГРН: 1127847243138, ИНН: 7814535230.
1.1.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
— сбор;
— запись;
— систематизацию;
— накопление;
— хранение;
— уточнение (обновление, изменение);
— извлечение;
— использование;
— передачу (распространение, предоставление, доступ);
— обезличивание;
— блокирование;
— удаление;
— уничтожение.
1.1.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.1.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.1.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.1.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.1.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.1.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.1.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.1.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.2. Иные термины, употребляемые в Политике и (или) в отношениях, вытекающих из нее, подлежат трактовке в соответствии с законодательством Российской Федерации, а в случае отсутствия в законодательстве их трактовки – в соответствии с обычаями делового оборота и научной доктриной.
1.3. Термины и определения, указанные в Соглашении применимы в отношениях сторон в рамках Политики.
2. Общие положения
2.1. Приобретая QR-билет, используя Сервис, Пользователь совершает акцепт Соглашения и Политики, как его неотъемлемой части, а также дает свое согласие на обработку своих Персональных данных в соответствии с настоящей Политикой. Если Пользователь не согласен с положениями Политики полностью или в части – он обязан незамедлительно прекратить использование Сервиса во всех браузерах и на всех своих устройствах соответственно.
2.2. Под персональной информацией (помимо Персональных данных) понимается загруженная Пользователем в Сервисе либо переданная Оператору, а также полученная Оператором в процессе использования Пользователем Сервиса личная информация, позволяющая идентифицировать Пользователя, как физическое лицо.
2.3. Передавая Оператору свои данные в Сервисе, Пользователь дает Оператору свое безоговорочное согласие на обработку его персональной информации, как загруженной самим Пользователем, так и полученной Оператором в автоматизированном режиме, в результате действий Пользователя на Сервисе. Пользователю надлежит самостоятельно определять риски, связанные с предоставлением персональной информации Оператору в процессе использования Сервиса.
2.4. Акцепт Политики означает, что Пользователь соглашается на получение от Оператора:
2.4.1. Системных сообщений по электронной почте, связанных с работой Сервиса;
2.4.2. Маркетинговых сообщений в электронной форме.
2.5. Оператор принимает и обрабатывает персональные данные Пользователя без предварительной проверки на предмет:
2.5.1. Достоверности представленной информации;
2.5.2. Законности представления информации;
2.5.3. Точности представленной информации.
Любая персональная информация Пользователя, переданная Оператору в рамках Политики, воспринимается Оператором «как есть» и не подлежит предварительной проверке. Таким образом, бремя ответственности за достоверность, законность и точность предоставленной Оператору информации несет лично Пользователь.
2.6. Для любых обращений к Оператору Пользователю надлежит использовать средства коммуникаций, принадлежащие Пользователю лично (свой адрес электронной почты, свой телефон и т. п.).
2.7. При раскрытии или предоставлении информации Оператором соблюдаются требования обеспечения конфиденциальности, установленные статье 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и меры по обеспечению безопасности персональных данных при их обработке, установленные статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2.8. Оператор вправе также осуществлять автоматизированную обработку представленной Пользователем информации.
3. Цели сбора персональных данных
3.1. Главной целью обработки персональных данных Пользователя является предоставление Пользователю персонифицированного доступа к Сервису с правом приобретения QR-билетов в соответствии с Соглашением.
3.2. Обеспечение надлежащей защиты информации о Пользователях, в том числе их персональных данных, от несанкционированного доступа и разглашения является основной задачей Оператора, разрешаемой при обработке Персональных данных.
3.3. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, перечисленных в Политике. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.4. Оператор вправе использовать персональные данные Пользователей Сервиса для осуществления любых информационных, организационных и прочих рассылок, связанных с деятельностью Сервиса. Акцепт Политики означает безоговорочное согласие Пользователя на обработку его персональных данных в указанных в настоящем пункте целях, однако, Пользователь имеет право в любой момент отозвать свое согласие на обработку его персональных данных в указанных в настоящем пункте целях, направив Оператору соответствующее уведомление. При этом Оператор вправе продолжать обработку данных с главной целью, указанной в пункте 3.1. Политики до тех пор, пока Пользователь прямо не отзовет такое согласие и, если прекращение обработки данных не нарушит права Оператора и (или) третьих лиц.
4. Правовые основания обработки персональных данных
4.1. Правовыми основаниями обработки Персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку Персональных данных, в том числе:
4.1.1. Согласие Пользователя на обработку его персональных данных;
4.1.2. Соглашение, принимаемое Пользователем в момент регистрации на Сервисе;
4.1.3. Настоящая Политика;
4.1.4. Конституция Российской Федерации;
4.1.5. Гражданский кодекс Российской Федерации;
4.1.6. Трудовой кодекс Российской Федерации;
4.1.7. Налоговый кодекс Российской Федерации;
4.1.8. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
4.1.9. Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
4.2. Оператор обязуется придерживаться указанных правовых оснований обработки персональных данных Пользователей, а также поддерживать в актуальном состоянии список нормативно-правовых актов, регламентирующих обработку данных.
5. Обрабатываемые данные
5.1. Оператор обрабатывает, а Пользователь дает безоговорочное согласие Оператору на обработку следующих данных:
5.1.1. Данные QR-номера (ICQR.RU): гео-позиция (координаты (локация)) и время загрузки QR-панели анонимного Пользователя, используя QR-код, ярлык, адрес или псевдоним адреса сайта; гео-позиция (координаты (локация)) и время QR-запроса анонимного Пользователя, при отправке QR-номера в информационную систему Сервиса; данные владельцев QR-номеров (бизнес-пользователи): короткий номер, локация, URL-ссылка (для переадресации), короткий номер, локация, название зоны, гео-позиция периметра (для гипер-зоны), короткий номер, локация, адрес сайта, URL-ссылка, URL-гео-ссылка, коммерческое обозначение, изображение, e-mail, номер телефона, адреса страниц в соц. сетях, адреса мобильных приложений в магазинах приложений (для QR-превью);
5.1.2. Данные QR-билета (TRANSPORT.ICQR.RU, ICQR.RU/TRANSPORT): маршруты и их описание (остановки, расписание, цена проезда), Транспортные средства, ПИН-коды водителей, гео-позиция, дата и время загрузки карты (от бизнес-пользователей), гео-позиция, дата и время покупки QR-билета (от пользователей-пассажиров), гео-позиция, дата и время гашения QR-билета (от представителей бизнес-пользователей), статус QR-билета: оплачен или предоплачен (от пассажира), дата и время оплаты разового проезда, Payment ID (от Банка-партнера), данные фискального чека (от оператора фискальных данных).
5.1.3. Данные QR-маркета (MARKET.ICQR.RU, ICQR.RU/MARKET): координаты, название и описание точек интересов Пользователей (торговые точки), а также связанные с ними маршруты, остановки и публичная коммерческая информация (от бизнес-пользователей).
5.2. Если Пользователь самостоятельно передает Оператору иные собственные данные, которые, возможно, понадобятся во время использования Сервиса и (или) обмена информацией в иных случаях взаимодействия с Оператором – это означает, что Пользователь согласен на обработку предоставленных данных в рамках Политики, в противном случае Пользователь обязуется воздерживаться от передачи дополнительных данных.
5.3. Все данные Пользователя используются Оператором исключительно в целях, указанных в Политике конфиденциальности, обрабатываются и хранятся в течение неопределенного срока, до отзыва согласия Пользователем.
6. Порядок и условия обработки персональных данных
6.1. Оператор хранит следующие данные:
6.1.1. QR-номера: короткий номер, локация, дата активации (срок действия), данные переадресации, для QR-превью, для образования гипер-зоны.
6.1.2. QR-билеты: номер QR-билета, его тип и срок годности, QR-номера ТС, маршрут Транспортного средства, наименование Перевозчика, тип Транспортного средства, дата и время покупки/погашения QR-билета, Payment ID.
6.2. Оператор осуществляет передачу следующих данных третьим лицам для исполнения ими соответствующих обязательств, связанных с Соглашением:
6.2.1. В Банк-партнер и оператору фискальных данных: дата и время совершения платежа, User ID, наименование бизнес-пользователя, ИНН, цена услуги.
6.2.2. Перевозчику: номер QR-билета, дата и время покупки/погашения, признак возврата денег за QR-билет, тип QR-билета/погашения, ПИН-код Контролера, маршрут и QR-номер Транспортного средства.
6.2.3. Бизнес-пользователю: количество использований QR-номеров бизнес-пользователей, в привязке ко времени и местоположению.
6.3. Предоставление персональной информации Пользователя по запросу государственных органов (органов местного самоуправления) осуществляется в порядке, предусмотренном законодательством РФ.
6.4. По заявлению Пользователя, направленного Оператору по электронной почте, персональная информация Пользователя подлежит удалению в соответствии с требованиями, указанными в заявлении полностью или в части из базы данных Оператора в течение 10 (десяти) рабочих дней, при этом обязательства в рамках Соглашения прекращаются по истечении указанного в настоящем пункте срока.
6.5. Оператор вправе осуществлять передачу данных Пользователя третьим лицам, для осуществления ими своих служебных и профессиональных обязанностей, связанных с функционированием Сервиса, если такая передача данных необходима в конкретном случае (например, при обработке пользовательского запроса).
6.6. В связи с отсутствием предварительной проверки данных Оператор вправе, но не обязан удалять данные и информацию Пользователя, нарушающие Политику, Соглашение и (или) действующее законодательство РФ без соответствующего на такое удаление указания со стороны заинтересованных лиц.
7. Обеспечение безопасности обработки данных
7.1. Оператор принимает технические и организационно-правовые меры в целях обеспечения защиты персональной информации Пользователя от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
7.2. На программном обеспечении Сервиса обеспечено предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации.
7.3. Также в целях обеспечения безопасности персональной информации Оператором проводятся следующие мероприятия:
7.3.1. Определяются угрозы безопасности персональной информации при ее обработке;
7.3.2. Применяются организационные и технические меры по обеспечению безопасности персональной информации при их обработке;
7.3.3. Назначаются ответственные за обработку персональных данных Пользователя;
7.3.4. Применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
7.3.5. Проводится оценка эффективности принимаемых мер по обеспечению безопасности персональной информации;
7.3.6. Принимаются процедуры, направленные на выявление фактов несанкционированного доступа к персональной информации;
7.3.7. Производится восстановление персональной информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
7.3.8. Устанавливаются правила доступа к персональной информации, а также обеспечивается регистрация и учет всех действий, совершаемых с персональной информацией;
7.3.9. Используется только лицензионное программное обеспечение на рабочих станциях Оператора, задействованных в обработке данных Пользователей Сервиса;
7.3.10. Обеспечивается ограничение доступа на техническом и организационном уровне к рабочим станциям Оператора, задействованным в обработке персональных данных;
7.3.11. Осуществляется постоянный контроль над принимаемыми мерами по обеспечению безопасности персональной информации.
7.4. Оператор не несет ответственности за действия третьих лиц, получивших доступ к персональной информации Пользователя в результате несанкционированного доступа к Сервису, а также вследствие иных противоправных действий, совершенных третьими лицами, когда Оператор не мог их предвидеть либо воспрепятствовать им. В таком случае Оператор обязуется незамедлительно уведомить Пользователя в максимально возможный короткий срок о неправомерном доступе третьих лиц к Персональным данным и (или) информации, в том числе сообщений Пользователя.
8. Хранение данных
8.1. Хранение Персональных данных осуществляется в течение срока, установленного в Политике.
8.2. Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки. Обрабатываемые Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
8.3. Хранение персональных данных, цели обработки которых различны, осуществляется раздельно в рамках информационной системы Оператора.
8.4. Оператор обеспечивает хранение информации, содержащей Персональные данные, исключающее несанкционированный доступ к ним третьих лиц.
8.5. В соответствии с пунктом 7 части 4 статьи 16 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» все персональные данные хранятся на сервере, находящимся на территории РФ.
9. Политика резервного копирования
9.1. Оператор обеспечивает резервное копирование персональных данных в своей архитектуре с целью предотвращения потери информации при сбоях оборудования; программного обеспечения; аппаратных сбоях; сбоях операционной системы и прикладного программного обеспечения; заражении вредоносными программами; непреднамеренном уничтожении информации, ошибках пользователей; преднамеренном уничтожении информации и т.п.
9.2. Резервное копирование создает возможность перемещения персональных данных от одной рабочей станции Оператора к другой, таким образом, снимает зависимость целостности персональных данных от конкретной рабочей станции и (или) конкретного помещения.
9.3. Резервному копированию подлежит информация следующих основных категорий:
9.3.1. Персональные данные Пользователей;
9.3.2. Информация, необходимая для восстановления серверов и систем управления базами данных Сервиса;
9.3.3. Сообщения Пользователей;
9.3.4. Информация о факте передачи сообщений Пользователей;
9.3.5. Информация автоматизированных систем архитектуры Оператора, в том числе баз данных.
9.4. Вся резервная информация является конфиденциальной и охраняется Оператором в соответствии с действующим законодательством.
9.5. Основными резервного копирования, являются:
9.5.1. Планирование резервного копирования и восстановления;
9.5.2. Установление жизненного цикла и календаря операций;
9.5.3. Ежедневный обзор логов процесса резервного копирования;
9.5.4. Защита базы данных резервного копирования;
9.5.5. Ежедневное определение временного окна резервного копирования;
9.5.6. Создание и поддержка открытых отчетов, отчетов об открытых проблемах;
9.5.7. Консультации с вендорами и поставщиками программного обеспечения для резервного копирования;
9.5.8. Развитие системы резервного копирования;
9.5.9. Мониторинг заданий в сфере резервного копирования;
9.5.10. Подготовка отчетов о сбоях и успешном выполнении;
9.5.11. Анализ и разрешение проблем;
9.5.12. Манипуляции с резервными копиями и управление библиотекой;
9.5.13. Анализ производительности архитектуры;
9.5.14. Рассмотрение и анализ методики резервного копирования;
9.5.15. Планирование развития архитектуры, определение ежедневных, еженедельных и ежемесячных заданий.
9.6. Резервное копирование персональных данных производится с периодичностью 1 (один) раз в месяц.
9.7. Контроль результатов всех процедур резервного копирования осуществляется Оператором в течение 5 (Пяти) рабочих дней с момента выполнения этих процедур.
9.8. Проверка резервных копий осуществляется выборочно не реже 1 (Одного) раза в месяц.
10. Политика реагирования на инциденты
10.1. Инцидентом информационной безопасности персональных данных является любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность архитектуры Оператора и привести к раскрытию Персональных данных, иной персональной информации или к угрозе такого раскрытия.
10.2. Источником информации об инциденте информационной безопасности может служить следующее:
10.2.1. Сообщения Пользователей, контрагентов и сотрудников Оператора, направленные Оператору по электронной почте, в виде служебных записок, писем, заявлений и т. д.
10.2.2. Уведомления и (или) сообщения надзорного органа в области обработки Персональных данных и персональной информации.
10.2.3. Данные, полученные Оператором, на основании анализа журналов регистрации информационных систем, систем защиты персональных данных.
10.3. Оператор, получивший информацию об инциденте, регистрирует его в электронном журнале, присваивая ему порядковый номер, фиксируя дату инцидента и его суть. База инцидентов информационной безопасности актуализируется по мере их поступления.
10.4. Пользователю, чьи права затронуты в результате инцидента, сообщается об инциденте по электронной почте, в минимально возможный срок, но не позднее 30 (Тридцати) рабочих дней с момента совершения инцидента. В этот же срок принимаются все возможные меры для уменьшения или пресечения дальнейшего ущерба правам Пользователя.
10.5. Разбор инцидентов производится Оператором, который по каждому инциденту:
10.5.1. Собирает и анализирует все данные об обстоятельствах инцидента (электронные письма, лог-файлы информационных систем, показания Пользователей);
10.5.2. Устанавливает, в каком объеме имела место утечка персональных данных, обстоятельства, сопутствующие утечке;
10.5.3. Выявляет лиц, виновных в нарушении предписанных мероприятий по защите персональных данных;
10.5.4. Устанавливает причины и условия, способствовавшие нарушению;
10.5.5. По окончании разбора инцидента оформляет отчет.
10.6. После окончания разбора инцидента и формирования отчета Оператор принимает решение о наказании виновных лиц.
11. Заключительные положения
11.1. Политика конфиденциальности является общедоступным документом, его действующая редакция всегда расположена на соответствующей странице Сервиса.
11.2. Оператор имеет право в любое время в одностороннем порядке изменить текст Политики без предварительного уведомления об этом Пользователя. В таком случае надлежащим уведомлением Пользователя будет являться публикация новой редакции Политики в Сервисе в общедоступном месте. Ответственность за своевременное ознакомление с действующей редакцией Политики целиком и полностью лежит на Пользователе.
11.3. Политика составлена на русском языке. К отношениям сторон применяется право Российской Федерации. Акцепт Политики конфиденциальности иностранным Пользователем означает, что ее текст ему понятен и в переводе он не нуждается. В случае необходимости в переводе иностранные Пользователи обязуются осуществить перевод на нужный им язык своими силами и за свой счет. При разночтениях между русскоязычной и иностранной версии Политики конфиденциальности, приоритет возникает у русскоязычной версии.
11.4. Все разногласия и споры, возникающие в связи с использованием Персональных данных, сообщений и иной персональной информации Пользователя, разрешаются в порядке, предусмотренном действующим законодательством РФ в претензионном досудебном порядке. Срок ответа на претензию по вопросам обработки персональных данных составляет 30 (тридцать) рабочих дней. В случае если спор не нашел разрешения в досудебном порядке – он подлежит рассмотрению в суде по месту нахождения Оператора.
© ООО "МЕДИА-ИНКОД", 2022
«Политика конфиденциальности» (далее – Политика) является документом, определяющим порядок обработки, систематизации и раскрытия персональной информации, предоставленной пользователем сети Интернет (далее – Пользователь), использующим цифровой сервис «ICQR» (далее – Сервис). Политика конфиденциальности является неотъемлемой частью пользовательского соглашения Сервиса (далее – Соглашение) и документом, регламентирующим обработку персональных данных Пользователей.
1. Основные определения
1.1 В связи с отношениями сторон, относящимся к обработке персональных данных, применяются следующие определения.
1.1.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – Пользователю Сервиса.
1.1.2. Оператор персональных данных (Оператор) – лицо, самостоятельно или совместно с другими лицами (третьими лицами на основе специальных соглашений/оговорок в соглашениях) организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках Политики Оператором является ООО «МЕДИА-ИНКОД», ОГРН: 1127847243138, ИНН: 7814535230.
1.1.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
— сбор;
— запись;
— систематизацию;
— накопление;
— хранение;
— уточнение (обновление, изменение);
— извлечение;
— использование;
— передачу (распространение, предоставление, доступ);
— обезличивание;
— блокирование;
— удаление;
— уничтожение.
1.1.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.1.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.1.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.1.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.1.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.1.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.1.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.1.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.2. Иные термины, употребляемые в Политике и (или) в отношениях, вытекающих из нее, подлежат трактовке в соответствии с законодательством Российской Федерации, а в случае отсутствия в законодательстве их трактовки – в соответствии с обычаями делового оборота и научной доктриной.
1.3. Термины и определения, указанные в Соглашении применимы в отношениях сторон в рамках Политики.
2. Общие положения
2.1. Приобретая QR-билет, используя Сервис, Пользователь совершает акцепт Соглашения и Политики, как его неотъемлемой части, а также дает свое согласие на обработку своих Персональных данных в соответствии с настоящей Политикой. Если Пользователь не согласен с положениями Политики полностью или в части – он обязан незамедлительно прекратить использование Сервиса во всех браузерах и на всех своих устройствах соответственно.
2.2. Под персональной информацией (помимо Персональных данных) понимается загруженная Пользователем в Сервисе либо переданная Оператору, а также полученная Оператором в процессе использования Пользователем Сервиса личная информация, позволяющая идентифицировать Пользователя, как физическое лицо.
2.3. Передавая Оператору свои данные в Сервисе, Пользователь дает Оператору свое безоговорочное согласие на обработку его персональной информации, как загруженной самим Пользователем, так и полученной Оператором в автоматизированном режиме, в результате действий Пользователя на Сервисе. Пользователю надлежит самостоятельно определять риски, связанные с предоставлением персональной информации Оператору в процессе использования Сервиса.
2.4. Акцепт Политики означает, что Пользователь соглашается на получение от Оператора:
2.4.1. Системных сообщений по электронной почте, связанных с работой Сервиса;
2.4.2. Маркетинговых сообщений в электронной форме.
2.5. Оператор принимает и обрабатывает персональные данные Пользователя без предварительной проверки на предмет:
2.5.1. Достоверности представленной информации;
2.5.2. Законности представления информации;
2.5.3. Точности представленной информации.
Любая персональная информация Пользователя, переданная Оператору в рамках Политики, воспринимается Оператором «как есть» и не подлежит предварительной проверке. Таким образом, бремя ответственности за достоверность, законность и точность предоставленной Оператору информации несет лично Пользователь.
2.6. Для любых обращений к Оператору Пользователю надлежит использовать средства коммуникаций, принадлежащие Пользователю лично (свой адрес электронной почты, свой телефон и т. п.).
2.7. При раскрытии или предоставлении информации Оператором соблюдаются требования обеспечения конфиденциальности, установленные статье 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и меры по обеспечению безопасности персональных данных при их обработке, установленные статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2.8. Оператор вправе также осуществлять автоматизированную обработку представленной Пользователем информации.
3. Цели сбора персональных данных
3.1. Главной целью обработки персональных данных Пользователя является предоставление Пользователю персонифицированного доступа к Сервису с правом приобретения QR-билетов в соответствии с Соглашением.
3.2. Обеспечение надлежащей защиты информации о Пользователях, в том числе их персональных данных, от несанкционированного доступа и разглашения является основной задачей Оператора, разрешаемой при обработке Персональных данных.
3.3. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, перечисленных в Политике. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.4. Оператор вправе использовать персональные данные Пользователей Сервиса для осуществления любых информационных, организационных и прочих рассылок, связанных с деятельностью Сервиса. Акцепт Политики означает безоговорочное согласие Пользователя на обработку его персональных данных в указанных в настоящем пункте целях, однако, Пользователь имеет право в любой момент отозвать свое согласие на обработку его персональных данных в указанных в настоящем пункте целях, направив Оператору соответствующее уведомление. При этом Оператор вправе продолжать обработку данных с главной целью, указанной в пункте 3.1. Политики до тех пор, пока Пользователь прямо не отзовет такое согласие и, если прекращение обработки данных не нарушит права Оператора и (или) третьих лиц.
4. Правовые основания обработки персональных данных
4.1. Правовыми основаниями обработки Персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку Персональных данных, в том числе:
4.1.1. Согласие Пользователя на обработку его персональных данных;
4.1.2. Соглашение, принимаемое Пользователем в момент регистрации на Сервисе;
4.1.3. Настоящая Политика;
4.1.4. Конституция Российской Федерации;
4.1.5. Гражданский кодекс Российской Федерации;
4.1.6. Трудовой кодекс Российской Федерации;
4.1.7. Налоговый кодекс Российской Федерации;
4.1.8. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
4.1.9. Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
4.2. Оператор обязуется придерживаться указанных правовых оснований обработки персональных данных Пользователей, а также поддерживать в актуальном состоянии список нормативно-правовых актов, регламентирующих обработку данных.
5. Обрабатываемые данные
5.1. Оператор обрабатывает, а Пользователь дает безоговорочное согласие Оператору на обработку следующих данных:
5.1.1. Данные QR-номера (ICQR.RU): гео-позиция (координаты (локация)) и время загрузки QR-панели анонимного Пользователя, используя QR-код, ярлык, адрес или псевдоним адреса сайта; гео-позиция (координаты (локация)) и время QR-запроса анонимного Пользователя, при отправке QR-номера в информационную систему Сервиса; данные владельцев QR-номеров (бизнес-пользователи): короткий номер, локация, URL-ссылка (для переадресации), короткий номер, локация, название зоны, гео-позиция периметра (для гипер-зоны), короткий номер, локация, адрес сайта, URL-ссылка, URL-гео-ссылка, коммерческое обозначение, изображение, e-mail, номер телефона, адреса страниц в соц. сетях, адреса мобильных приложений в магазинах приложений (для QR-превью);
5.1.2. Данные QR-билета (TRANSPORT.ICQR.RU, ICQR.RU/TRANSPORT): маршруты и их описание (остановки, расписание, цена проезда), Транспортные средства, ПИН-коды водителей, гео-позиция, дата и время загрузки карты (от бизнес-пользователей), гео-позиция, дата и время покупки QR-билета (от пользователей-пассажиров), гео-позиция, дата и время гашения QR-билета (от представителей бизнес-пользователей), статус QR-билета: оплачен или предоплачен (от пассажира), дата и время оплаты разового проезда, Payment ID (от Банка-партнера), данные фискального чека (от оператора фискальных данных).
5.1.3. Данные QR-маркета (MARKET.ICQR.RU, ICQR.RU/MARKET): координаты, название и описание точек интересов Пользователей (торговые точки), а также связанные с ними маршруты, остановки и публичная коммерческая информация (от бизнес-пользователей).
5.2. Если Пользователь самостоятельно передает Оператору иные собственные данные, которые, возможно, понадобятся во время использования Сервиса и (или) обмена информацией в иных случаях взаимодействия с Оператором – это означает, что Пользователь согласен на обработку предоставленных данных в рамках Политики, в противном случае Пользователь обязуется воздерживаться от передачи дополнительных данных.
5.3. Все данные Пользователя используются Оператором исключительно в целях, указанных в Политике конфиденциальности, обрабатываются и хранятся в течение неопределенного срока, до отзыва согласия Пользователем.
6. Порядок и условия обработки персональных данных
6.1. Оператор хранит следующие данные:
6.1.1. QR-номера: короткий номер, локация, дата активации (срок действия), данные переадресации, для QR-превью, для образования гипер-зоны.
6.1.2. QR-билеты: номер QR-билета, его тип и срок годности, QR-номера ТС, маршрут Транспортного средства, наименование Перевозчика, тип Транспортного средства, дата и время покупки/погашения QR-билета, Payment ID.
6.2. Оператор осуществляет передачу следующих данных третьим лицам для исполнения ими соответствующих обязательств, связанных с Соглашением:
6.2.1. В Банк-партнер и оператору фискальных данных: дата и время совершения платежа, User ID, наименование бизнес-пользователя, ИНН, цена услуги.
6.2.2. Перевозчику: номер QR-билета, дата и время покупки/погашения, признак возврата денег за QR-билет, тип QR-билета/погашения, ПИН-код Контролера, маршрут и QR-номер Транспортного средства.
6.2.3. Бизнес-пользователю: количество использований QR-номеров бизнес-пользователей, в привязке ко времени и местоположению.
6.3. Предоставление персональной информации Пользователя по запросу государственных органов (органов местного самоуправления) осуществляется в порядке, предусмотренном законодательством РФ.
6.4. По заявлению Пользователя, направленного Оператору по электронной почте, персональная информация Пользователя подлежит удалению в соответствии с требованиями, указанными в заявлении полностью или в части из базы данных Оператора в течение 10 (десяти) рабочих дней, при этом обязательства в рамках Соглашения прекращаются по истечении указанного в настоящем пункте срока.
6.5. Оператор вправе осуществлять передачу данных Пользователя третьим лицам, для осуществления ими своих служебных и профессиональных обязанностей, связанных с функционированием Сервиса, если такая передача данных необходима в конкретном случае (например, при обработке пользовательского запроса).
6.6. В связи с отсутствием предварительной проверки данных Оператор вправе, но не обязан удалять данные и информацию Пользователя, нарушающие Политику, Соглашение и (или) действующее законодательство РФ без соответствующего на такое удаление указания со стороны заинтересованных лиц.
7. Обеспечение безопасности обработки данных
7.1. Оператор принимает технические и организационно-правовые меры в целях обеспечения защиты персональной информации Пользователя от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
7.2. На программном обеспечении Сервиса обеспечено предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации.
7.3. Также в целях обеспечения безопасности персональной информации Оператором проводятся следующие мероприятия:
7.3.1. Определяются угрозы безопасности персональной информации при ее обработке;
7.3.2. Применяются организационные и технические меры по обеспечению безопасности персональной информации при их обработке;
7.3.3. Назначаются ответственные за обработку персональных данных Пользователя;
7.3.4. Применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
7.3.5. Проводится оценка эффективности принимаемых мер по обеспечению безопасности персональной информации;
7.3.6. Принимаются процедуры, направленные на выявление фактов несанкционированного доступа к персональной информации;
7.3.7. Производится восстановление персональной информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
7.3.8. Устанавливаются правила доступа к персональной информации, а также обеспечивается регистрация и учет всех действий, совершаемых с персональной информацией;
7.3.9. Используется только лицензионное программное обеспечение на рабочих станциях Оператора, задействованных в обработке данных Пользователей Сервиса;
7.3.10. Обеспечивается ограничение доступа на техническом и организационном уровне к рабочим станциям Оператора, задействованным в обработке персональных данных;
7.3.11. Осуществляется постоянный контроль над принимаемыми мерами по обеспечению безопасности персональной информации.
7.4. Оператор не несет ответственности за действия третьих лиц, получивших доступ к персональной информации Пользователя в результате несанкционированного доступа к Сервису, а также вследствие иных противоправных действий, совершенных третьими лицами, когда Оператор не мог их предвидеть либо воспрепятствовать им. В таком случае Оператор обязуется незамедлительно уведомить Пользователя в максимально возможный короткий срок о неправомерном доступе третьих лиц к Персональным данным и (или) информации, в том числе сообщений Пользователя.
8. Хранение данных
8.1. Хранение Персональных данных осуществляется в течение срока, установленного в Политике.
8.2. Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки. Обрабатываемые Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
8.3. Хранение персональных данных, цели обработки которых различны, осуществляется раздельно в рамках информационной системы Оператора.
8.4. Оператор обеспечивает хранение информации, содержащей Персональные данные, исключающее несанкционированный доступ к ним третьих лиц.
8.5. В соответствии с пунктом 7 части 4 статьи 16 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» все персональные данные хранятся на сервере, находящимся на территории РФ.
9. Политика резервного копирования
9.1. Оператор обеспечивает резервное копирование персональных данных в своей архитектуре с целью предотвращения потери информации при сбоях оборудования; программного обеспечения; аппаратных сбоях; сбоях операционной системы и прикладного программного обеспечения; заражении вредоносными программами; непреднамеренном уничтожении информации, ошибках пользователей; преднамеренном уничтожении информации и т.п.
9.2. Резервное копирование создает возможность перемещения персональных данных от одной рабочей станции Оператора к другой, таким образом, снимает зависимость целостности персональных данных от конкретной рабочей станции и (или) конкретного помещения.
9.3. Резервному копированию подлежит информация следующих основных категорий:
9.3.1. Персональные данные Пользователей;
9.3.2. Информация, необходимая для восстановления серверов и систем управления базами данных Сервиса;
9.3.3. Сообщения Пользователей;
9.3.4. Информация о факте передачи сообщений Пользователей;
9.3.5. Информация автоматизированных систем архитектуры Оператора, в том числе баз данных.
9.4. Вся резервная информация является конфиденциальной и охраняется Оператором в соответствии с действующим законодательством.
9.5. Основными резервного копирования, являются:
9.5.1. Планирование резервного копирования и восстановления;
9.5.2. Установление жизненного цикла и календаря операций;
9.5.3. Ежедневный обзор логов процесса резервного копирования;
9.5.4. Защита базы данных резервного копирования;
9.5.5. Ежедневное определение временного окна резервного копирования;
9.5.6. Создание и поддержка открытых отчетов, отчетов об открытых проблемах;
9.5.7. Консультации с вендорами и поставщиками программного обеспечения для резервного копирования;
9.5.8. Развитие системы резервного копирования;
9.5.9. Мониторинг заданий в сфере резервного копирования;
9.5.10. Подготовка отчетов о сбоях и успешном выполнении;
9.5.11. Анализ и разрешение проблем;
9.5.12. Манипуляции с резервными копиями и управление библиотекой;
9.5.13. Анализ производительности архитектуры;
9.5.14. Рассмотрение и анализ методики резервного копирования;
9.5.15. Планирование развития архитектуры, определение ежедневных, еженедельных и ежемесячных заданий.
9.6. Резервное копирование персональных данных производится с периодичностью 1 (один) раз в месяц.
9.7. Контроль результатов всех процедур резервного копирования осуществляется Оператором в течение 5 (Пяти) рабочих дней с момента выполнения этих процедур.
9.8. Проверка резервных копий осуществляется выборочно не реже 1 (Одного) раза в месяц.
10. Политика реагирования на инциденты
10.1. Инцидентом информационной безопасности персональных данных является любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность архитектуры Оператора и привести к раскрытию Персональных данных, иной персональной информации или к угрозе такого раскрытия.
10.2. Источником информации об инциденте информационной безопасности может служить следующее:
10.2.1. Сообщения Пользователей, контрагентов и сотрудников Оператора, направленные Оператору по электронной почте, в виде служебных записок, писем, заявлений и т. д.
10.2.2. Уведомления и (или) сообщения надзорного органа в области обработки Персональных данных и персональной информации.
10.2.3. Данные, полученные Оператором, на основании анализа журналов регистрации информационных систем, систем защиты персональных данных.
10.3. Оператор, получивший информацию об инциденте, регистрирует его в электронном журнале, присваивая ему порядковый номер, фиксируя дату инцидента и его суть. База инцидентов информационной безопасности актуализируется по мере их поступления.
10.4. Пользователю, чьи права затронуты в результате инцидента, сообщается об инциденте по электронной почте, в минимально возможный срок, но не позднее 30 (Тридцати) рабочих дней с момента совершения инцидента. В этот же срок принимаются все возможные меры для уменьшения или пресечения дальнейшего ущерба правам Пользователя.
10.5. Разбор инцидентов производится Оператором, который по каждому инциденту:
10.5.1. Собирает и анализирует все данные об обстоятельствах инцидента (электронные письма, лог-файлы информационных систем, показания Пользователей);
10.5.2. Устанавливает, в каком объеме имела место утечка персональных данных, обстоятельства, сопутствующие утечке;
10.5.3. Выявляет лиц, виновных в нарушении предписанных мероприятий по защите персональных данных;
10.5.4. Устанавливает причины и условия, способствовавшие нарушению;
10.5.5. По окончании разбора инцидента оформляет отчет.
10.6. После окончания разбора инцидента и формирования отчета Оператор принимает решение о наказании виновных лиц.
11. Заключительные положения
11.1. Политика конфиденциальности является общедоступным документом, его действующая редакция всегда расположена на соответствующей странице Сервиса.
11.2. Оператор имеет право в любое время в одностороннем порядке изменить текст Политики без предварительного уведомления об этом Пользователя. В таком случае надлежащим уведомлением Пользователя будет являться публикация новой редакции Политики в Сервисе в общедоступном месте. Ответственность за своевременное ознакомление с действующей редакцией Политики целиком и полностью лежит на Пользователе.
11.3. Политика составлена на русском языке. К отношениям сторон применяется право Российской Федерации. Акцепт Политики конфиденциальности иностранным Пользователем означает, что ее текст ему понятен и в переводе он не нуждается. В случае необходимости в переводе иностранные Пользователи обязуются осуществить перевод на нужный им язык своими силами и за свой счет. При разночтениях между русскоязычной и иностранной версии Политики конфиденциальности, приоритет возникает у русскоязычной версии.
11.4. Все разногласия и споры, возникающие в связи с использованием Персональных данных, сообщений и иной персональной информации Пользователя, разрешаются в порядке, предусмотренном действующим законодательством РФ в претензионном досудебном порядке. Срок ответа на претензию по вопросам обработки персональных данных составляет 30 (тридцать) рабочих дней. В случае если спор не нашел разрешения в досудебном порядке – он подлежит рассмотрению в суде по месту нахождения Оператора.
© ООО "МЕДИА-ИНКОД", 2022