Политика обработки персональных данных
Содержание
1. Общие положения
Настоящая Политика обработки персональных данных определяет порядок и условия обработки персональных данных на сайте и в сервисах, размещённых на домене smm-ministr.ru, включая единый SSO-портал и связанные продукты семейства «Министерство соцсетей»: «Бренд-министр», «Контент-министр», «Опрос-министр».
Используя сайт, проходя регистрацию, входя в аккаунт через email/password, Yandex ID или VK ID, заполняя формы, проходя опросы или иным образом взаимодействуя с сервисом, пользователь подтверждает, что ознакомился с настоящей Политикой и понимает её условия.
Оператор персональных данных:
- ИП Луконин Максим Викторович
- ИНН: 190303171421
- ОГРНИП: 319190100020947
- Адрес: 634512, Томская обл., Томский р-н, д. Кисловка, ул. Марины Цветаевой, д. 36, кв. 131
- E-mail для запросов по персональным данным: info@smm-ministr.ru
- Реквизиты уведомления в Роскомнадзор: заполняется после подачи уведомления
Настоящая Политика подготовлена с учётом требований Федерального закона № 152-ФЗ «О персональных данных», общих положений ГК РФ о договорных отношениях, а также принципов локализации персональных данных граждан РФ на территории Российской Федерации.
2. Термины
Стандартные определения 152-ФЗ. Ключевые понятия: персональные данные, обработка, пользователь, респондент, cookie, обезличенные данные, псевдонимизация.
Псевдонимизация — замена прямых идентификаторов (имя, e-mail) на условные токены при сохранении возможности обратного связывания через отдельные ключи. Не эквивалентна обезличиванию.
Обезличивание (anonymization) — необратимое удаление признаков, позволяющих определить субъекта, в соответствии с методикой Роскомнадзора.
Различение этих понятий критично для §9 (передача данных). Псевдонимизированные данные = ПДн (применяется 152-ФЗ полностью). Обезличенные данные = НЕ ПДн.
3. Категории субъектов персональных данных
- зарегистрированные пользователи;
- пользователи через различные способы входа (email/password, Yandex ID, VK ID);
- респонденты опросов;
- подписчики маркетинговых рассылок;
- лица, направившие запросы по 152-ФЗ.
Сервис предназначен для лиц в возрасте от 18 лет (декларация при регистрации).
4. Категории обрабатываемых персональных данных
| Категория | Состав |
|---|---|
| Идентификационные | имя, e-mail, аватар |
| Аутентификационные | хеши паролей (Argon2id), OAuth-идентификаторы Yandex ID и VK ID |
| Технические | IP, User-Agent, метаданные сессии, устройство, ОС |
| Поведенческие | дата/время входа, история действий, настройки, история согласий; анонимные метаданные прохождения опросов: время ответа на вопрос, количество перезаписей, момент закрытия вкладки — без привязки к личности, хранятся не более 90 дней, используются только для агрегированной аналитики улучшения опросов |
| Cookie | файлы cookie (см. §13) |
| Контентные | обращения в поддержку, ответы на опросы, файлы |
| Голосовые | голосовые записи временно сохраняются в защищённом облачном хранилище Yandex Object Storage (серверы в РФ) для расшифровки в текст и удаляются в течение 1 часа после успешной транскрипции. Биометрические данные оператором не обрабатываются. |
5. Источники получения
Персональные данные получаются непосредственно от субъекта при регистрации, прохождении опросов, направлении обращений, а также от OAuth-провайдеров (Yandex ID, VK ID) в объёме предоставленных пользователем разрешений.
Локализация: первичный сбор, запись, систематизация, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации осуществляется на территории Российской Федерации в соответствии с ч. 5 ст. 18 Федерального закона № 152-ФЗ.
6. Цели обработки
- создание и ведение учётной записи пользователя;
- SSO-аутентификация и авторизация;
- предоставление доступа к продуктам семейства «Министерство соцсетей»;
- восстановление доступа;
- направление транзакционных уведомлений;
- оказание технической поддержки;
- проведение опросов и обработка ответов респондентов;
- маркетинговые коммуникации — исключительно при наличии отдельного согласия (см. §3.2 Согласия 152-ФЗ);
- аналитика использования сервиса;
- антифрод и обеспечение информационной безопасности;
- соблюдение требований законодательства РФ.
7. Правовые основания обработки
| Цель | Правовое основание | Норма |
|---|---|---|
| Регистрация, аутентификация | Согласие субъекта | ст. 6 ч. 1 п. 1 + ст. 9 152-ФЗ |
| Предоставление сервиса | Исполнение договора (акцепт ToS) | ст. 6 ч. 1 п. 5 152-ФЗ |
| Безопасность, антифрод, мониторинг аномалий | Исполнение договора + Согласие субъекта | ст. 6 ч. 1 п. 5 + ст. 9 152-ФЗ |
| Транзакционные письма | Исполнение договора | ст. 6 ч. 1 п. 5 152-ФЗ |
| Маркетинговые рассылки | Отдельное согласие (opt-in) | ст. 9 152-ФЗ + ст. 18 ФЗ-38 «О рекламе» |
«Законный интерес» (ст. 6 ч. 1 п. 7 152-ФЗ) применяется ограниченно — только для целей предотвращения мошенничества и обеспечения информационной безопасности, в пределах, не нарушающих права и законные интересы субъектов.
8. Действия с персональными данными
Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка осуществляется как с использованием средств автоматизации, так и без таковых.
9. Передача данных третьим лицам
Режим А — Передача внутри РФ (обычные ПДн)
| Получатель | Цель | Данные |
|---|---|---|
| Yandex Cloud | Хранение БД, бэкапы, инфраструктура | Все ПДн (на серверах в РФ) |
| Yandex ID | OAuth-авторизация, получение профиля | Email, ID, имя, аватар (по scope OAuth) |
| VK ID | OAuth-авторизация, получение профиля | Email, ID, имя, аватар (по scope OAuth) |
| Yandex Cloud Postbox | SMTP-relay для transactional email | Email-адрес, метаданные доставки |
| ЮKassa (ООО НКО «ЮMoney») | Процессинг платежей, эквайринг подписок | Email, ИНН (для юр.лиц), реквизиты платежа через PCI-DSS-сертифицированный шлюз (карточные данные оператором не сохраняются) |
| Authentik (self-hosted на серверах в РФ) | Единая авторизация (SSO), управление сессиями | Email, ID, имя, OAuth-токены сессий |
Все указанные сервисы расположены на территории Российской Федерации в соответствии с ч. 5 ст. 18 152-ФЗ.
Режим Б — Передача обезличенных данных AI-провайдерам в РФ
| Получатель | Цель | Данные |
|---|---|---|
| Yandex GPT | AI-обработка запросов, генерация контента | Обезличенные промпты и транскрипты |
| GigaChat (Сбер) | AI-обработка запросов | Обезличенные промпты и транскрипты |
Перед передачей данные подвергаются процедуре обезличивания в соответствии с Методикой обезличивания персональных данных (внутренний нормативный акт оператора). Имена, контактные данные, упоминания третьих лиц и иные прямые идентификаторы заменяются на анонимные токены, обеспечивающие невозможность восстановления связи с конкретным субъектом без использования дополнительных сведений.
Режим В — Передача обезличенных данных иным AI-провайдерам
При наличии технической необходимости оператор вправе использовать иные AI-сервисы по своему выбору, в том числе сервисы, расположенные за пределами Российской Федерации, исключительно для обезличенных данных, прошедших процедуру обезличивания.
В случае использования таких сервисов оператор обеспечивает:
- применение усиленной методики обезличивания;
- журналирование факта передачи в audit log;
- отсутствие в передаваемых данных прямых и косвенных идентификаторов субъекта.
Использование зарубежных AI-сервисов не является передачей персональных данных, поскольку передаваемые данные не содержат сведений, позволяющих определить субъекта.
10. Сроки обработки и хранения
| Категория | Срок |
|---|---|
| Учётная запись и профиль | До удаления + 3 года (срок исковой давности по ГК РФ) |
| Транзакционные письма | 6 месяцев |
| История согласий и отзывов | 5 лет после прекращения отношений (для аудита соблюдения 152-ФЗ) |
| Технические логи и audit log | 12 месяцев (минимум по требованиям ИБ) |
| Cookie | См. §13 + Политика cookie (от сессии до 13 месяцев в зависимости от категории) |
| Результаты опросов | До удаления аккаунта респондента или явного запроса на удаление |
| Голосовые записи (исходные) | Хранятся в защищённом облачном хранилище Yandex Object Storage (серверы в РФ) в течение 1 часа после успешной транскрипции, затем автоматически удаляются. |
| Транскрипции опросов (анонимизированные) | До удаления аккаунта респондента |
| Бухгалтерские данные (после введения платных тарифов) | 5 лет (НК РФ ст. 23) |
По истечении сроков данные удаляются или обезличиваются, если дальнейшее хранение не требуется по закону или для защиты прав оператора.
11. Права субъекта (ст. 14 и ст. 21 152-ФЗ)
Субъект персональных данных имеет право:
- получать информацию о фактах обработки своих ПДн (ст. 14);
- требовать уточнения, блокирования или уничтожения своих ПДн в случае их неполноты, неточности, устарелости, незаконности обработки или избыточности (ст. 14);
- отозвать ранее данное согласие на обработку ПДн (ст. 9 ч. 2);
- требовать прекращения обработки и удаления своих персональных данных в порядке, предусмотренном ст. 21 152-ФЗ. Запрос направляется на info@smm-ministr.ru с темой «Удаление аккаунта» — учётная запись и связанные ПДн удаляются в течение 30 (тридцати) дней с момента получения запроса (за исключением данных, подлежащих обязательному хранению по закону — бухгалтерские документы, журналы безопасности);
- обжаловать действия или бездействие оператора в Роскомнадзор или в судебном порядке;
- получить копию своих данных в машиночитаемом формате (CSV/JSON) в течение 30 дней с момента запроса.
Срок ответа: до 30 (тридцати) календарных дней. Канал обращения: info@smm-ministr.ru с темой «Запрос по 152-ФЗ» или «Удаление аккаунта».
12. Меры защиты ПДн (ст. 19 152-ФЗ)
Технические меры:
- TLS 1.3 для всех соединений;
- Argon2id для хеширования паролей;
- шифрование резервных копий;
- многофакторная аутентификация (TOTP, WebAuthn) для admin-доступа;
- журналирование действий (audit log с TTL ≥12 месяцев);
- контроль целостности через систему мониторинга;
- регулярное обновление программного обеспечения;
- антивирусная защита серверов;
- изоляция сред (production / staging);
- rate-limiting и защита от brute-force атак.
Организационные меры:
- разграничение доступа по принципу минимальной необходимости;
- договоры с подрядчиками с обязательством соблюдения 152-ФЗ;
- утверждённый Локальный нормативный акт по обработке ПДн;
- управление инцидентами безопасности с уведомлением Роскомнадзора в установленные законом сроки в соответствии с утверждённой внутренней процедурой реагирования на инциденты.
Меры соответствуют требованиям ст. 19 152-ФЗ и применимым рекомендациям Роскомнадзора по обеспечению безопасности персональных данных.
13. Cookie
Сервис использует три категории файлов cookie:
- Необходимые — обеспечивают базовую функциональность (аутентификация, сессия, безопасность). Не требуют согласия пользователя.
- Аналитические — позволяют оценивать использование сервиса (только при согласии через cookie banner, opt-in).
- Маркетинговые — обеспечивают релевантность коммуникаций (только при согласии через cookie banner, opt-in).
Логирование решений по cookie: для каждой категории сохраняется консент-лог (timestamp, IP, версия cookie policy, выбор пользователя) для обеспечения доказуемости перед Роскомнадзором. Подробнее — см. Политику использования cookie.
14. Транзакционные письма
Транзакционные письма (подтверждение регистрации, восстановление доступа, уведомления о действиях с аккаунтом, важные изменения условий) не являются рекламой и направляются на основании договора (ст. 6 ч. 1 п. 5 152-ФЗ) без дополнительного согласия пользователя.
15. Отзыв согласия и удаление
Пользователь вправе в любой момент отозвать своё согласие на обработку персональных данных или потребовать удаления аккаунта, направив запрос на адрес info@smm-ministr.ru.
Срок обработки запроса — до 30 (тридцати) календарных дней. Часть данных может быть сохранена в пределах требований законодательства (НК РФ — 5 лет, ФЗ-149 — резервные копии и audit log в установленных сроках) — об этом субъект уведомляется в ответе на запрос.
16. Контакты
E-mail: info@smm-ministr.ru. Тема: «Запрос по 152-ФЗ» или «Отзыв согласия на обработку ПДн».
Адрес: 634512, Томская обл., Томский р-н, д. Кисловка, ул. Марины Цветаевой, д. 36, кв. 131.
Ответственный за обработку ПДн: ИП Луконин Максим Викторович.
Подробная контактная информация — на странице Контакты.
17. Изменение Политики
Оператор уведомляет пользователей об изменении настоящей Политики за 14 (четырнадцать) дней до вступления изменений в силу — через email и баннер в интерфейсе сервиса. Все версии Политики хранятся с указанием SHA256 hash и даты вступления в силу для возможности аудита.