Политика обработки персональных данных
Политика определяет порядок обработки персональных данных пользователей, посетителей сайта, представителей клиентов, заявителей и лиц, сведения о которых могут отображаться в информационно-аналитическом сервисе LeadS.
1. Общие положения
- Настоящая Политика разработана для выполнения требований законодательства Российской Федерации о персональных данных и обеспечения прозрачности обработки данных в LeadS.
- Термины "персональные данные", "оператор", "обработка", "распространение", "предоставление", "блокирование", "уничтожение", "обезличивание", "трансграничная передача" используются в значениях, установленных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".
- Политика применяется к сайту, личному кабинету, API, платежам, поддержке, обработке обращений, карточкам компаний, сведениям о Представителях компаний, журналам безопасности, cookies, local storage и аналитическим событиям.
- Политика применяется совместно с Офертой, Согласием пользователя, Уведомлением о cookies, Основаниями размещения сведений, Порядком реализации прав субъектов, Политикой хранения данных, Правилами допустимого использования и Условиями порученной обработки.
2. Сведения об Операторе
| Оператор | Шалагинов Георгий Александрович |
|---|---|
| ИНН | 561017963420 |
| email по вопросам персональных данных | leads_jdpr@mail.ru |
3. Категории субъектов персональных данных
| Категория субъекта | Описание | Основные сценарии обработки |
|---|---|---|
| Пользователи Сервиса | Представители организаций или ИП, регистрирующиеся и использующие LeadS. | Регистрация, авторизация, договор, тарифы, Кредиты, поддержка, безопасность, история действий. |
| Посетители сайта | Лица, посещающие публичные страницы, формы, страницы документов и входа. | Работа сайта, cookies, local storage, аналитика, безопасность, формы обращения. |
| Представители клиентов и контрагентов | Сотрудники, руководители, администраторы, бухгалтеры, юристы и иные контактные лица клиентов, партнеров и подрядчиков. | Заключение и исполнение договоров, платежи, документооборот, поддержка, претензии. |
| Представители компаний в Результатах поиска | Физические лица, сведения о которых связаны с профессиональной деятельностью, компанией, ИП, сайтом, публичным профилем или открытым источником. | Формирование карточек, аналитика, поиск, актуализация, ограничение отображения, обработка обращений. |
| Заявители | Лица, направляющие запросы на доступ, уточнение, удаление, ограничение, отзыв согласия, претензии или обращения в поддержку. | Идентификация запроса, проверка полномочий, ответ, исполнение требований закона, хранение доказательств обработки. |
4. Категории обрабатываемых данных
| Категория данных | Примеры | Ограничения |
|---|---|---|
| Регистрационные данные | ФИО, корпоративный email, телефон, компания, должность, пароль в хешированном виде, идентификатор Аккаунта. | Используются для доступа и исполнения договора. |
| Договорные и платежные данные | Тариф, счет, сумма, дата платежа, статус платежа, транзакции Кредитов, сведения YooKassa, закрывающие документы. | Реквизиты платежных карт обрабатываются YooKassa, если иное не указано в интерфейсе. |
| Данные использования | История поисков, сохраненные списки, теги, заметки, открытые контакты, экспорт, API-запросы, настройки. | Используются для работы личного кабинета, учета Кредитов и безопасности. |
| Технические данные | сетевой адрес, cookie ID, local storage, строка браузера, устройство, браузер, дата и время действия, логи безопасности. | Используются для безопасности, диагностики, аналитики и предотвращения злоупотреблений. |
| Сведения о компаниях | Наименование, ИНН, ОГРН, адрес, сайт, отрасль, статус, признаки, публичные сведения, ссылки на источники. | Данные юридических лиц сами по себе не являются персональными данными, но могут быть связаны с физическими лицами. |
| Сведения о Представителях компаний | ФИО, должность, место работы, рабочий email, рабочий телефон, публичный профессиональный профиль, источник, дата обнаружения, статус записи. | Специальные категории и биометрические данные не являются целью обработки и не должны целенаправленно собираться. |
| Обращения | Текст запроса, вложения, подтверждение полномочий, техническая переписка, результат рассмотрения. | Оператор запрашивает минимально необходимый объем сведений для проверки запроса. |
5. Цели обработки
| Цель | Категории данных | Ожидаемый результат |
|---|---|---|
| Регистрация и авторизация | Регистрационные и технические данные. | Создание Аккаунта, вход, восстановление доступа, управление ролями. |
| Исполнение договора | Регистрационные, договорные, платежные данные, данные использования. | Предоставление функций LeadS, учет Кредитов, тарифов, лимитов, поддержки. |
| Информационно-аналитический поиск | Сведения о компаниях, Представителях компаний, источниках и статусах записей. | Формирование Результатов поиска, карточек, аналитических признаков и обновлений. |
| Безопасность и антифрод | Технические данные, журналы действий, платежные и учетные события. | Защита Аккаунтов, предотвращение обхода лимитов, расследование инцидентов. |
| Платежи и бухгалтерский учет | Платежные и договорные данные. | Прием оплаты, сверка платежей, возвраты, документы, налоговый и бухгалтерский учет. |
| Поддержка и претензии | Обращения, регистрационные данные, данные использования. | Ответ на запрос, диагностика, урегулирование спора, подтверждение операций. |
| Реализация прав субъектов | Обращения, данные записи, подтверждение принадлежности контакта или полномочий. | Доступ, уточнение, блокирование, удаление, ограничение обработки или отказ с основанием. |
| Маркетинговые коммуникации LeadS | email, телефон, имя, компания, согласие на маркетинг. | Направление новостей, предложений и мероприятий только при наличии отдельного согласия. |
| Аналитика сайта и продукта | Cookies, local storage, технические события, обезличенные метрики. | Оценка работоспособности, ошибок, востребованности функций и улучшение Сервиса. |
6. Правовые основания обработки
| Основание | Где применяется | Примечание |
|---|---|---|
| Согласие субъекта | Маркетинговые рассылки LeadS, необязательные cookies, отдельные формы и обращения. | Согласие оформляется отдельно, может быть отозвано и не подменяет иные основания. |
| Заключение и исполнение договора | Регистрация, доступ, тарифы, Кредиты, платежи, поддержка, личный кабинет. | Обработка необходима для оказания услуг Пользователю. |
| Исполнение обязанностей по закону | Бухгалтерский учет, налоговые документы, ответы органам, уведомления, безопасность ПДн. | Оператор хранит обязательные сведения в установленные сроки. |
| Законные интересы Оператора или третьих лиц | Безопасность, антифрод, журналы, защита прав, претензионная работа, аналитика качества. | Применяется при условии, что не нарушаются права и свободы субъекта. |
| Данные, подлежащие опубликованию или обязательному раскрытию | Сведения из официальных реестров и источников, если раскрытие предусмотрено законом. | Применяется с учетом ограничений первоисточника и специальных режимов. |
| Поручение обработки | Данные, загруженные Пользователем в собственных базах или выгрузках из CRM. | Регулируется Условиями порученной обработки или отдельным договором. |
Отдельность согласия
Согласие Пользователя сервиса касается данных самого Пользователя или представителя клиента. Оно не является согласием сторонних Представителей компаний на получение рекламы, распространение данных или иные действия Пользователя с экспортированными сведениями.
7. Источники получения данных
- Данные Пользователей и посетителей поступают от самих субъектов, из интерфейса Сервиса, платежных событий, обращений, cookies, local storage и технических журналов.
- Сведения о компаниях и Представителях компаний могут поступать из открытых источников, сайтов компаний, публичных страниц, государственных и коммерческих источников, подключенных провайдеров, сервисов обогащения, пользовательских данных и результатов проверки источников.
- Оператор фиксирует категорию источника, ссылку или реквизит источника, дату обнаружения, дату последней проверки и статус записи, если это технически и организационно применимо.
- Оператор не рассматривает сам факт нахождения сведений в сети Интернет как безусловное разрешение на неограниченное распространение, экспорт, рекламное использование или передачу неопределенному кругу лиц.
8. Действия с персональными данными
Оператор может совершать следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, сопоставление, проверка, маркировка статуса, передача в рамках поручения, предоставление в случаях, предусмотренных законом или договором, обезличивание, блокирование, ограничение, удаление и уничтожение.
Обработка может осуществляться с использованием средств автоматизации и без использования таких средств, если это необходимо для обращений, претензий, бухгалтерских документов, договоров, юридических уведомлений и локальных процедур.
9. Сроки обработки и хранения
| Категория | Ориентировочный срок | Условие прекращения |
|---|---|---|
| Аккаунт и договорные данные | Срок действия договора и до 5 лет после прекращения отношений, если более длительный срок не требуется законом или спором. | Удаление Аккаунта, истечение сроков претензий и обязательного учета. |
| Платежи и бухгалтерские документы | Сроки, установленные налоговым, бухгалтерским и платежным законодательством. | Истечение обязательного срока хранения. |
| История поисков, списки, заметки, теги | До удаления Пользователем, удаления Аккаунта или прекращения необходимости хранения. | Удаление, обезличивание или архивирование. |
| Сведения о компаниях и Представителях компаний | До актуализации, удаления, ограничения, утраты основания обработки или прекращения необходимости. | Обновление, удаление, список исключений, ограничение отображения. |
| Логи безопасности | Обычно до 12 месяцев, если больший срок не нужен для расследования, претензии или закона. | Ротация журналов или обезличивание. |
| Обращения субъектов | До 3 лет после закрытия обращения, если больший срок не нужен для защиты прав. | Истечение срока возможного спора. |
| Cookies и local storage | По срокам, указанным в Уведомлении о cookies. | Истечение срока, очистка браузера, отзыв согласия. |
| Резервные копии | По циклу ротации резервного копирования. | Автоматическая перезапись или уничтожение копии. |
10. Передача третьим лицам и поручение обработки
- Оператор может привлекать подрядчиков и провайдеров для хостинга, собственной инфраструктуры баз данных, очередей задач, очередей, платежей, поддержки, почты, телефонии, аналитики, информационной безопасности, резервного копирования, мониторинга, обогащения данных и иных функций Сервиса.
- Передача или поручение обработки осуществляется на основании договора, в котором определяются цели, перечень данных, действия, обязанности по конфиденциальности, безопасности, локализации, уведомлению об инцидентах и возврату или уничтожению данных.
- Категории получателей данных:
| Получатель | Цель | Ограничение |
|---|---|---|
| Хостинг и инфраструктура | Размещение баз данных, приложений, файлов, резервных копий. | Приоритет российской инфраструктуры для баз данных граждан РФ. |
| YooKassa | Оплата, возвраты, антифрод, уведомления о платежах. | Провайдер применяет свои правила и требования закона. |
| Почта, поддержка, CRM | Ответы на обращения, уведомления, учет клиентов. | Обработка только для поддержки и договора. |
| Провайдеры данных и обогащения | Поиск, проверка, актуализация, обогащение карточек. | В пределах договоров, лимитов, статуса источника и закона. |
| Государственные органы | Исполнение законных запросов. | В объеме и порядке, предусмотренных законом. |
| Пользователи | Получение Результатов поиска, Открытие контакта, Экспорт. | Только в пределах Оферты, статуса записи и закона. |
11. Трансграничная передача
- Если Оператор использует иностранные сервисы, облака, системы аналитики, поддержки, почты, мониторинга, платежей или иные инструменты, при которых персональные данные передаются за пределы Российской Федерации, Оператор оценивает правовые основания и выполняет требования о трансграничной передаче.
- Трансграничная передача допускается только при наличии правового основания, соблюдении уведомительных процедур, договорных гарантий, оценки защиты принимающей стороны и иных требований закона.
- Если фактическая инфраструктура LeadS не использует трансграничную передачу персональных данных, в уведомлении РКН и настоящей Политике должно быть отражено отсутствие такой передачи.
- Сведения о конкретных иностранных получателях, государствах и целях передачи должны быть подтверждены владельцем Сервиса до публикации Политики.
12. Локализация баз данных граждан РФ
- При сборе персональных данных граждан Российской Федерации Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение таких данных с использованием баз данных, находящихся на территории Российской Федерации, если это применимо по закону.
- Для LeadS предполагается использование собственной инфраструктуры баз данных и инфраструктуры на территории Российской Федерации. Фактическое размещение, резервное копирование, журналы, аналитика и подрядчики должны быть подтверждены организационно и технически до запуска.
- Передача копий, логов, аналитики или выгрузок в иностранные сервисы не должна нарушать режим локализации и требования к трансграничной передаче.
13. Cookies, local storage и аналитика
- Сервис может использовать cookies, localStorage, сессионное хранилище и аналитические технологии для авторизации, безопасности, сохранения настроек, учета действий, диагностики и улучшения интерфейса.
- Строго необходимые технологии используются для работы Сервиса, безопасности, сохранения выбора пользователя и исполнения договора. Аналитические технологии, включая Яндекс.Метрику, включаются только после согласия пользователя и в порядке, описанном в Уведомлении о cookies.
- Пользователь может отозвать согласие на аналитические cookies через настройки cookies в интерфейсе. После выбора "Только необходимые" счетчик Метрики не должен загружаться при последующих открытиях страниц.
- Данные, передаваемые в Метрику, не должны включать email, телефон, user_id, имена, платежные сведения, сведения о Представителях компаний, ИНН, поисковые запросы, названия компаний или другие идентификационные данные.
- Агрегированная техническая статистика может использоваться для безопасности, диагностики и оценки нагрузки без аналитических cookies, fingerprinting, уникальных visitor id, хранения полного IP в аналитических таблицах и сохранения полного user-agent. Referrer для такой статистики должен храниться только как домен без query-параметров, а user-agent - сразу сводиться к категории устройства или семейству браузера.
- Для авторизованных Пользователей продуктовые события могут логироваться только в объеме, необходимом для договора, безопасности, биллинга, поддержки и подтверждения операций, с раскрытием соответствующих целей в настоящей Политике, Оферте или интерфейсе.
14. Защита данных
- Оператор принимает правовые, организационные и технические меры защиты персональных данных, включая разграничение доступа, учет действий, резервное копирование, контроль подрядчиков, управление правами, журналирование, проверку инцидентов и обучение лиц, имеющих доступ к данным.
- Сервис может логировать действия Пользователей для безопасности, учета Кредитов, расследования инцидентов, выявления обхода лимитов и подтверждения платных действий.
- Оператор не раскрывает детальные параметры технической защиты публично, если раскрытие может снизить безопасность Сервиса.
- В случае инцидента Оператор действует по внутренней процедуре реагирования и уведомляет уполномоченные органы, субъектов или иных лиц в случаях и сроки, предусмотренные законом.
15. Права субъектов персональных данных
| Право | Содержание | Как реализуется |
|---|---|---|
| Доступ | Получить сведения о факте, целях, основаниях, источниках, сроках и способах обработки. | Запрос по правилам Порядка реализации прав субъектов. |
| Уточнение | Потребовать исправить неполные, неточные или устаревшие данные. | Заявитель указывает запись и подтверждающие сведения. |
| Блокирование | Потребовать временно ограничить обработку спорных данных на период проверки. | Оператор может скрыть запись из выдачи до завершения проверки. |
| Уничтожение | Потребовать удалить данные при незаконности, утрате цели или отсутствии основания обработки. | Оператор удаляет, обезличивает, ограничивает или мотивированно отказывает. |
| Отзыв согласия | Отозвать ранее данное согласие, включая маркетинговое согласие. | Через email, форму или настройки, если они доступны. |
| Возражение | Возразить против обработки в случаях, предусмотренных законом. | Оператор оценивает основания и баланс прав. |
| Обжалование | Обратиться в уполномоченный орган или суд. | В порядке, предусмотренном законом. |
16. Порядок направления запросов
- Официальный канал обращений по персональным данным - leads_jdpr@mail.ru. Форма в интерфейсе может использоваться только как дополнительный канал, если она реализована.
- Запрос должен содержать ФИО заявителя, контакт для ответа, суть требования, сведения для поиска записи и подтверждение принадлежности контакта или полномочий, если это необходимо.
- Оператор вправе запросить дополнительные сведения, если без них невозможно идентифицировать запись, подтвердить полномочия заявителя или избежать раскрытия данных третьему лицу.
- Сроки рассмотрения и возможные результаты описаны в Порядке реализации прав субъектов.
17. Особенности сведений о Представителях компаний
- LeadS может отображать сведения о Представителях компаний только в контексте профессиональной, должностной или деловой связи с компанией, ИП, сайтом, источником или публичным профилем.
- Оператор не ставит целью обработку сведений о частной жизни, специальных категориях персональных данных, биометрии, несовершеннолетних или данных, не относящихся к B2B-контексту.
- Наличие сведений о Представителе компании в Сервисе не означает, что такой представитель дал согласие на получение рекламы, массовых рассылок, автоматических звонков или сообщений Пользователя.
- Представитель компании вправе запросить доступ, источник, уточнение, ограничение, удаление или включение в список исключений по правилам Порядка реализации прав субъектов.
18. Ограничение и удаление данных из результатов поиска
- Оператор может временно скрыть спорную запись из Результатов поиска на период проверки обращения субъекта, представителя компании, клиента, источника или уполномоченного органа.
- При подтверждении неточности данные уточняются. При подтверждении незаконности или утраты цели обработки данные удаляются, обезличиваются, ограничиваются или помещаются в список исключений.
- Удаление из LeadS не означает удаление из первоисточника. Если источник является государственным реестром, сайтом компании, публичным профилем или внешним провайдером, субъекту может потребоваться отдельное обращение к владельцу такого источника.
- Оператор может сохранить минимальные сведения в списке исключений, чтобы не показывать запись повторно после обновления или повторного сбора из источника.
19. Изменение Политики
- Оператор вправе изменять Политику при изменении закона, инфраструктуры, функций Сервиса, категорий данных, источников, подрядчиков или внутренних процедур.
- Новая редакция публикуется в разделе правовых документов. Использование Сервиса после публикации означает ознакомление Пользователя с новой редакцией.
- Существенные изменения, затрагивающие права субъектов или условия обработки, могут сопровождаться дополнительным уведомлением в интерфейсе, по email или иным доступным способом.
20. Контакты Оператора
| Вопросы персональных данных | leads_jdpr@mail.ru |
|---|---|
| Юридические уведомления | leads_juridical@mail.ru |
| Оператор | Шалагинов Георгий Александрович |