ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ при использовании сервисов 6id

 
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее - «Политика») разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - «152-ФЗ»), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Законом РФ от 07.02.1992 № 2300-1 «О защите прав потребителей», а также иными нормативными правовыми актами Российской Федерации в области защиты персональных данных.
1.2. Настоящая Политика действует в отношении всей информации, включая персональные данные в понимании применимого законодательства (далее - «Персональная информация»), которую Общество с ограниченной ответственностью «Атасора» (ОГРН 1245200032956, ИНН 5260498203, адрес места нахождения: 603000, Нижегородская область, г. Нижний Новгород, ул. Большая Печерская, д. 13а) и/или его аффилированные лица, в том числе входящие в одну группу лиц (далее - «6ID», «Мы», «Оператор»), могут получить о Вас в процессе использования Вами:
·        сайта https://6id.ru и всех его поддоменов (далее - «Сайт»);
·        мобильного приложения «6ID» (далее - «Приложение»);
·        любых других продуктов, сервисов, программ и/или онлайн-платформ, разрабатываемых и/или администрируемых Оператором (далее совместно с Сайтом и Приложением - «Сервисы»).
1.3. Оператор может также получать Персональную информацию от своих партнеров (далее - «Партнеры»), сайты, программы, продукты или сервисы которых Вы используете (например, от рекламодателей, клиник, косметологов, брендов, с которыми Оператор сотрудничает), а также из иных источников, включая общедоступные (в соответствии со ст. 6 152-ФЗ). Передача Персональной информации от Партнеров Оператору возможна только в случаях, установленных применимым законодательством, и осуществляется на основании договоров (поручений) между Оператором и соответствующим Партнером, которые обязывают Партнера обеспечить законность сбора и передачи данных.
1.4. Использование любого из Сервисов может регулироваться дополнительными условиями (правилами пользования, офертами, лицензионными соглашениями), которые могут вносить в настоящую Политику изменения и/или дополнения, и/или иметь специальные условия в отношении Персональной информации, размещенные в соответствующих разделах для таких Сервисов. В случае противоречия между настоящей Политикой и специальными условиями конкретного Сервиса, применяются специальные условия.
1.5. Использование Сервисов означает безоговорочное согласие Пользователя с условиями настоящей Политики и указанными в ней сроками обработки его Персональной информации. В случае несогласия с условиями Политики Пользователь обязан немедленно прекратить использование Сервисов.
1.6. Действующая редакция Политики размещена в открытом доступе в сети Интернет по адресу: https://6id.ru/privacy/. Оператор имеет право вносить изменения в Политику в одностороннем порядке. Новая редакция вступает в силу с момента ее опубликования, если иное не предусмотрено самой редакцией. Пользователь обязуется самостоятельно отслеживать изменения. Пересмотр Политики осуществляется не реже одного раза в год, а также при изменении законодательства РФ или по решению Генерального директора Компании.
1.7.Кто обрабатывает информацию. Для обеспечения использования Вами Сервисов Ваша Персональная информация собирается и используется Оператором - ООО «Атасора». Информация о том, какое именно аффилированное лицо (в случае его привлечения) предоставляет тот или иной Сервис или участвует в обработке данных, доводится до сведения Пользователя в условиях использования соответствующего Сервиса либо в специальных соглашениях с таким лицом. Основным оператором, ответственным за соблюдение законодательства РФ, является ООО «Атасора», если иное не указано в условиях конкретного Сервиса.

2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных в Компании осуществляется с соблюдением следующих принципов, установленных законодательством Российской Федерации:

·        обработка персональных данных осуществляется на законной и справедливой основе;

·        обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

·        не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

·        не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

·        обработке подлежат только персональные данные, которые отвечают целям их обработки;

·        содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не должны быть избыточными по отношению к заявленным целям;

·        при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Компания принимает необходимые меры по удалению или уточнению неполных и (или) неточных данных;

·        хранение персональных данных в форме, позволяющей определить субъекта, осуществляется не дольше, чем этого требуют цели их обработки, если срок хранения не установлен федеральным законом, договором;

·        обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2. Локализация баз данных. Сбор, запись, систематизация, накопление и хранение персональных данных граждан Российской Федерации осуществляются исключительно с использованием баз данных, находящихся на территории Российской Федерации (ст. 18 152-ФЗ).

2.3. Конфиденциальность. Оператор обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом. Доступ к персональным данным предоставляется только авторизованным сотрудникам Оператора, принявшим обязательства о соблюдении конфиденциальности и ознакомленным с настоящей Политикой под подпись.

2.4. Трансграничная передача. Оператор не осуществляет трансграничную передачу персональных данных. В случае необходимости использования зарубежных сервисов, обеспечивающих техническое функционирование Сервиса, Оператор обязуется предварительно уведомить Роскомнадзор и получить согласие субъектов на такую передачу в порядке, установленном законодательством. Порядок трансграничной передачи детально описан в разделе 7 настоящей Политики.

2.5. Правовые основания обработки. Обработка персональных данных осуществляется на следующих основаниях:

·        согласие субъекта персональных данных на обработку его персональных данных;

·        заключение и исполнение договора (Пользовательского соглашения), стороной которого является субъект;

·        осуществление прав и законных интересов Оператора или третьих лиц;

·        обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;

·        иные основания, предусмотренные 152-ФЗ.

2.6. Способы обработки. Обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без их использования. При обработке персональных данных без использования средств автоматизации соблюдаются требования, установленные Постановлением Правительства РФ от 15.09.2008 № 687.

2.7. Отдельные виды согласий. Для обработки специальных категорий персональных данных (в том числе биометрических) Оператор получает отдельное явно выраженное согласие Пользователя. Для обработки файлов cookie и данных статистики Оператор получает согласие в порядке, предусмотренном разделом 9.

2.8. Передача данных третьим лицам. Оператор вправе передавать персональные данные Пользователя только тем третьим лицам, которые обеспечивают техническое функционирование Сервиса и которые приняли на себя обязательства по конфиденциальности и безопасности в соответствии с требованиями 152-ФЗ. Перечень таких лиц и цели передачи указаны в разделе 8. Передача данных государственным органам осуществляется исключительно по основаниям и в порядке, установленном законодательством РФ.

3. ЦЕЛИ, ПРАВОВЫЕ ОСНОВАНИЯ И СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

4. УСЛОВИЯ ОБРАБОТКИ СПЕЦИАЛЬНЫХ КАТЕГОРИЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка специальных категорий персональных данных (фотографии, данные о здоровье) допускается исключительно при наличии отдельного явно выраженного согласия Пользователя, предоставленного в соответствии со ст. 10 152-ФЗ.
4.2. Пользователь предоставляет такое согласие путем активации соответствующего чекбокса в интерфейсе Сервиса при загрузке фотографий, подключении синхронизации с приложениями здоровья или заполнении анкет с данными о состоянии кожи. Текст отдельного согласия размещен по адресу: https://6id.ru/special-consent/.
4.3. Пользователь вправе в любое время отозвать согласие на обработку специальных категорий персональных данных, направив уведомление на адрес электронной почты privacy@6id.ru. Отзыв согласия влечет прекращение обработки соответствующих данных и, возможно, невозможность использования некоторых функций Сервиса (персональные рекомендации, анализ фото), но не прекращает действия основного согласия на обработку ПДн.
4.4. Биометрические персональные данные (фотографии лица) обрабатываются исключительно для целей, указанных в разделе 3, и не используются для идентификации личности в публичном пространстве. Фотографии, загруженные в Эстетический паспорт, могут быть доступны самому Пользователю и, при его желании, специалистам, которым Пользователь предоставит доступ.
4.5. Оператор принимает необходимые меры для защиты специальных категорий персональных данных от неправомерного доступа, уничтожения, модификации и распространения.
4.6. Важное предупреждение: Сервис 6ID не является медицинской организацией и не оказывает медицинские услуги. Данные о состоянии кожи и здоровья, обрабатываемые в Сервисе, используются исключительно для аналитических и информационных целей в рамках функционала Сервиса и не могут рассматриваться как медицинское заключение или диагноз.

5. ОБРАБОТКА ДАННЫХ НЕСОВЕРШЕННОЛЕТНИХ
5.1. Сервис может использоваться лицами, достигшими 14 лет. Лица в возрасте от 14 до 18 лет обязаны получить согласие законных представителей на использование Сервиса и на обработку своих персональных данных.
5.2. Оператор не собирает заведомо персональные данные лиц, не достигших 14 лет, без согласия родителей. В случае выявления факта обработки данных несовершеннолетнего без соответствующего согласия, Оператор принимает меры по удалению таких данных.
5.3. Ответственность за достоверность предоставленной информации о возрасте и наличие согласия законных представителей несет Пользователь.

6. ФАЙЛЫ COOKIE И АНАЛИТИЧЕСКИЕ СЕРВИСЫ
6.1. На Сайте и в Приложении используются файлы cookie и аналогичные технологии для обеспечения корректной работы Сервиса, сбора агрегированной статистики, улучшения качества обслуживания и персонализации контента.
6.2. Файлы cookie подразделяются на:
·        Технические (обязательные) - необходимы для функционирования Сервиса, обеспечивают безопасность и доступ к основным функциям. Обработка таких cookie осуществляется на основании законных интересов Оператора и не требует согласия Пользователя.
·        Аналитические/статистические - собирают обезличенную информацию о поведении пользователей на Сайте, количестве посещений, источниках трафика. Используются для улучшения работы Сервиса. Обработка осуществляется на основании согласия Пользователя.
6.3. При первом посещении Сайта Пользователю отображается баннер с запросом согласия на использование необязательных cookie. Пользователь может настроить параметры cookie или отказаться от их использования (кроме технически необходимых). Отказ от cookie может привести к ограничению функциональности Сервиса.
6.4. Пользователь может в любое время изменить настройки cookie в своем браузере или воспользоваться настройками, доступными в интерфейсе Сервиса (по мере реализации).
6.5. Подробная информация о типах cookie, сроках хранения и целях использования изложена в Политике использования файлов cookie, доступной по адресу: https://6id.ru/cookie-policy/.

7. ПОРЯДОК И УСЛОВИЯ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
7.1. Оператор вправе передавать персональные данные Пользователя третьим лицам только в следующих случаях:
·        Пользователь выразил согласие на такую передачу;
·        Передача необходима для использования Пользователем функциональных возможностей Сервиса (например, отправка SMS-кода через сервис авторизации);
·        Передача происходит в рамках оказания услуг контрагентами Оператора, обеспечивающими техническое функционирование Сервиса, при условии принятия ими обязательств по конфиденциальности и безопасности;
·        Передача предусмотрена российским или иным применимым законодательством в рамках установленной процедуры.
7.2. К числу третьих лиц, которым может быть поручена обработка персональных данных (при необходимости), относятся:
·        Сервисы аутентификации и хостинга базы данных: Supabase (или иной хостинг-провайдер, при условии обеспечения ими хранения данных на территории РФ);
·        Сервисы SMS-авторизации: StreamTelecom (или иной оператор сотовой связи);
·        Сервисы аналитики: ООО «Яндекс» (Яндекс.Метрика), иные системы сбора статистики;
·        Платформы распространения приложений: App Store, Google Play, RuStore и др. - в части, необходимой для распространения Приложения и обработки платежей;
·        Партнеры по рекламным и партнерским программам - в обезличенном виде или в объеме, необходимом для осуществления переходов по ссылкам.
7.3. Оператор заключает с указанными лицами договоры (поручения), содержащие требования о соблюдении конфиденциальности и обеспечении безопасности персональных данных при их обработке. В договоре определяются:
·        перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом;
·        перечень персональных данных;
·        цели обработки;
·        обязанность третьего лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных;
·        обязанность уведомлять Оператора о случаях неправомерной обработки.
7.4. Оператор несет ответственность перед субъектом персональных данных за действия лиц, которым поручена обработка персональных данных.
7.5. Передача данных уполномоченным государственным органам (ФСБ, МВД, Роскомнадзор, налоговые органы и др.) осуществляется на основании и в порядке, установленном законодательством РФ.

8. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Оператор на момент публикации Политики не осуществляет трансграничную передачу персональных данных.
8.2. В случае принятия решения о необходимости трансграничной передачи, Оператор обязуется соблюдать следующие требования:
·        Получить явно выраженное согласие субъекта персональных данных на такую передачу.
·        Убедиться, что иностранное государство, на территорию которого осуществляется передача, обеспечивает адекватную защиту прав субъектов персональных данных (входит в перечень, утвержденный Роскомнадзором).
·        До начала передачи направить уведомление в Роскомнадзор о намерении осуществлять трансграничную передачу.
·        Получить от иностранного лица сведения о принимаемых мерах по защите передаваемых персональных данных.
8.3. Трансграничная передача может быть запрещена или ограничена в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

9. СРОКИ ОБРАБОТКИ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Обработка персональных данных Пользователя осуществляется в течение всего срока использования Сервиса (наличия Учетной записи) до момента ее удаления либо до отзыва соответствующего согласия.
9.2. Хранение персональных данных в форме, позволяющей определить субъекта, осуществляется не дольше, чем этого требуют цели обработки, если иное не установлено федеральным законом или договором.
9.3. Уничтожение персональных данных производится в следующие сроки:
·        при достижении целей обработки или утрате необходимости в их достижении - в течение 30 дней;
·        при отзыве субъектом согласия на обработку персональных данных (если их хранение более не требуется для целей обработки) - в течение 30 дней;
·        при предоставлении субъектом подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 дней;
·        при выявлении неправомерной обработки и невозможности обеспечить правомерность - в течение 10 дней;
·        при требовании субъекта о прекращении обработки персональных данных - в течение 10 дней;
·        при истечении сроков исковой давности для правоотношений, в рамках которых осуществлялась обработка - по окончании соответствующих сроков.
9.4. По истечении сроков хранения либо при наступлении иных законных оснований персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено законом.
9.5. Оператор обеспечивает уничтожение персональных данных способом, исключающим возможность дальнейшего восстановления содержания персональных данных.

10. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Пользователь как субъект персональных данных имеет следующие права:
10.1. Право на получение информации, касающейся обработки его персональных данных. Информация предоставляется в доступной форме и не должна содержать персональные данные, относящиеся к другим субъектам.
10.2. Право на уточнение (обновление, изменение) персональных данных в случае, если они являются неполными, устаревшими или неточными.
10.3. Право на отзыв согласия на обработку персональных данных в любое время.
10.4. Право на блокирование или уничтожение персональных данных, если они являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
10.5. Право на обжалование действий (бездействия) Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
10.6. Право на защиту своих прав и законных интересов, включая возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10.7. Иные права, предусмотренные 152-ФЗ.

11. ОБЯЗАННОСТИ ОПЕРАТОРА
Оператор обязан:
11.1. Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить мотивированный отказ.
11.2. По требованию субъекта уточнять обрабатываемые персональные данные, блокировать или удалять их в случаях, предусмотренных законодательством.
11.3. Вести учет обращений субъектов персональных данных.
11.4. Не раскрывать и не распространять персональные данные без согласия субъекта, если иное не предусмотрено законом.
11.5. В случае получения персональных данных не от субъекта, до начала обработки предоставить субъекту соответствующую информацию.
11.6. Разъяснить субъекту юридические последствия отказа предоставить персональные данные, если их предоставление является обязательным в соответствии с законом.
11.7. Прекратить обработку и уничтожить персональные данные в случаях, предусмотренных 152-ФЗ.
11.8. Принимать необходимые правовые, организационные и технические меры для защиты персональных данных.
11.9. Уведомить Роскомнадзор в случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов, в порядке и сроки, установленные законодательством.
11.10. Выполнять иные обязанности, предусмотренные законодательством РФ.

12. ПОРЯДОК РЕАЛИЗАЦИИ ПРАВ СУБЪЕКТА
12.1. Для реализации своих прав, указанных в разделе 10, Пользователь направляет Оператору запрос в письменной форме по почтовому адресу: 603000, Нижегородская область, г. Нижний Новгород, ул. Большая Печерская, д. 13а, ООО «Атасора» или в электронной форме на адрес электронной почты: privacy@6id.ru.
12.2. Запрос должен содержать:
·        фамилию, имя, отчество (при наличии) субъекта персональных данных;
·        сведения, подтверждающие участие субъекта в отношениях с Оператором (номер Учетной записи, номер телефона, адрес электронной почты, иные идентификаторы);
·        подпись субъекта (для письменного запроса) или иную информацию, позволяющую идентифицировать личность (например, скан паспорта для подтверждения личности);
·        содержание запроса;
·        способ направления ответа (почтовый адрес или адрес электронной почты).
12.3. Если запрос направлен представителем субъекта, он должен содержать документ, подтверждающий полномочия такого представителя.
12.4. Оператор рассматривает запрос и направляет ответ в течение 10 (десяти) рабочих дней с даты получения запроса. В случае необходимости дополнительной проверки срок может быть продлен, но не более чем на 5 рабочих дней, с уведомлением субъекта.
12.5. Отказ в предоставлении информации может быть дан только в случаях, предусмотренных законом (например, наличие в запросе недостоверных сведений, отсутствие возможности идентифицировать субъекта, запрос касается данных третьего лица и т.п.).
12.6. Отзыв согласия на обработку персональных данных осуществляется путем направления уведомления способами, указанными в п. 12.1. При получении отзыва Оператор обязан прекратить обработку персональных данных и уничтожить их в срок, не превышающий 30 дней, за исключением случаев, когда Оператор вправе осуществлять обработку без согласия (например, для исполнения договора, выполнения требований закона).

13. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
13.2. В Компании назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных (Приказ Генерального директора).
13.3. В целях обеспечения безопасности персональных данных в Компании выполняются следующие мероприятия:
·        систематическая оценка угроз безопасности персональных данных при их обработке;
·        определение уровня защищенности персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119;
·        разграничение доступа к информационным системам и материальным носителям;
·        регистрация и учет действий пользователей в информационных системах;
·        предотвращение внедрения вредоносных программ;
·        использование защищенных каналов связи при передаче данных;
·        резервирование и восстановление работоспособности технических средств и баз данных;
·        контроль физического доступа в помещения, где осуществляется обработка персональных данных;
·        выявление инцидентов и реагирование на них;
·        повышение уровня знаний работников в сфере обработки и защиты персональных данных;
·        проведение внутренних проверок соответствия безопасности персональных данных требованиям Политики и законодательства;
·        оценка эффективности принимаемых мер и совершенствование системы защиты.
13.4. Работники Компании, получившие доступ к персональным данным, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых персональных данных. За невыполнение требований Политики работники несут ответственность в соответствии с законодательством РФ.

14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
14.1. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте Компании.
14.2. Пересмотр Политики осуществляется не реже одного раза в год, а также:
·        при изменении законодательства Российской Федерации в области обработки персональных данных;
·        при получении предписаний уполномоченных органов;
·        по решению Генерального директора Компании;
·        при изменении целей, принципов и условий обработки персональных данных.
14.3. В случае признания какого-либо положения Политики недействительным или не имеющим юридической силы, остальные положения сохраняют свою силу.
14.4. Контроль исполнения требований Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности персональных данных.
14.5. Во всем, что не предусмотрено настоящей Политикой, Оператор и Пользователь руководствуются законодательством РФ, в том числе 152-ФЗ.
14.6. Действующая редакция Политики постоянно доступна по адресу: https://6id.ru/privacy/.

15. КОНТАКТНАЯ ИНФОРМАЦИЯ
Оператор: Общество с ограниченной ответственностью «Атасора»
ОГРН: 1245200032956
ИНН: 5260498203
Юридический адрес: 603000, Нижегородская область, г. Нижний Новгород, ул. Большая Печерская, д. 13а
Ответственный за организацию обработки персональных данных:
Электронная почта: privacy@6id.ru
Для обращений пользователей по вопросам персональных данных:
Электронная почта: privacy@6id.ru
Почтовый адрес: 603000, Нижегородская область, г. Нижний Новгород, ул. Большая Печерская, д. 13а, ООО «Атасора» (с пометкой «По вопросам персональных данных»).
Для обращений технической поддержки:
Электронная почта: support@6id.ru