Политика обработки персональных данных

1. Общие положения

Настоящая Политика обработки персональных данных (далее — «Политика») составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и определяет порядок обработки и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «КАРГОМАТРИЦА» (ИНН 9723270911, ОГРН 1267700092703, далее — «Оператор») при эксплуатации сервиса «Отзыва.РФ», размещённого в сети Интернет по адресу отзыва.рф и его поддоменах (далее — «Платформа»).

Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Настоящая Политика применяется ко всей информации, которую Оператор может получить о Пользователе во время использования им Платформы. Регистрация на Платформе, заполнение форм, размещение отзывов и иные активные действия Пользователя означают безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональных данных.

Основные термины, используемые в Политике: «Персональные данные» (ПДн), «Оператор», «Обработка ПДн», «Автоматизированная обработка», «Распространение», «Предоставление», «Блокирование», «Уничтожение», «Обезличивание» — используются в значениях, определённых статьёй 3 152-ФЗ.

2. Перечень обрабатываемых персональных данных

Оператор обрабатывает следующие категории персональных данных Пользователей:

2.1. Данные, предоставляемые при регистрации:

• фамилия, имя (при желании — отчество);
• адрес электронной почты;
• номер мобильного телефона;
• пароль (хранится исключительно в виде криптографического хэша);
• дата рождения (опционально).

2.2. Данные, предоставляемые в профиле:

• фотография (аватар);
• город проживания;
• сведения об интересах и предпочтениях;
• ссылки на аккаунты в социальных сетях (опционально).

2.3. Данные представителей юридических лиц:

• ИНН и ОГРН организации;
• корпоративный адрес электронной почты;
• фамилия, имя, отчество уполномоченного представителя;
• должность и документ, подтверждающий полномочия (доверенность, приказ).

2.4. Данные, собираемые автоматически:

• IP-адрес и страна его геолокации (на уровне города);
• тип и версия браузера, операционной системы, устройства;
• идентификаторы cookies и Local Storage;
• данные о поведении на Платформе (просмотренные страницы, клики, время сессии) — обезличенные;
• referer (источник перехода).

2.5. Данные, предоставляемые в отзывах и вложениях:

• текст отзыва, оценки, вложенные фото- и видеоматериалы;
• изображения чеков и иных документов, подтверждающих покупку;
• переписка с представителями компаний в личных сообщениях.

Оператор не обрабатывает специальные категории персональных данных (раса, национальность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь), за исключением случаев, когда такие данные сделаны общедоступными самим субъектом.

Оператор не обрабатывает биометрические персональные данные.

3. Цели обработки персональных данных

Оператор обрабатывает персональные данные Пользователей исключительно для следующих целей:

1. создание учётной записи и её дальнейшая идентификация при входе;
2. предоставление Пользователю возможности размещать отзывы, оценки, фотографии и иные материалы;
3. обеспечение обратной связи между пользователями и представителями компаний (личные сообщения, публичные ответы на отзывы);
4. направление сервисных уведомлений (подтверждение регистрации, восстановление доступа, статус модерации отзыва, ответ представителя компании);
5. направление маркетинговых рассылок — только при наличии отдельного согласия Пользователя, с возможностью отписки в каждом письме;
6. противодействие мошенничеству, накрутке оценок, размещению заказных отзывов и иным нарушениям Правил Платформы;
7. формирование обезличенной статистики и аналитики о работе сервиса;
8. исполнение требований законодательства РФ, в том числе хранение данных в сроки, установленные налоговым, архивным и иным применимым законодательством;
9. защита прав и законных интересов Оператора, Пользователей и третьих лиц;
10. реагирование на запросы государственных органов, поступающие в установленном законом порядке.

4. Правовые основания обработки

Обработка персональных данных осуществляется Оператором на следующих правовых основаниях (ст. 6 ч. 1 152-ФЗ):

• п. 1 — согласие субъекта персональных данных на обработку его персональных данных. Согласие предоставляется путём проставления отметки в соответствующем поле при регистрации и/или совершения конклюдентных действий (заполнение формы, размещение отзыва);
• п. 3 — обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (настоящее Пользовательское соглашение и оферты);
• п. 5 — обработка необходима для осуществления прав и законных интересов Оператора или третьих лиц, при условии что при этом не нарушаются права и свободы субъекта персональных данных;
• п. 2 — обработка необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления функций, полномочий и обязанностей Оператора.

Для целей направления маркетинговых сообщений обработка осуществляется исключительно на основании отдельного согласия, которое может быть отозвано Пользователем в любое время.

5. Порядок обработки персональных данных

Обработка персональных данных Оператором включает следующие стадии:

5.1. Сбор

Сбор осуществляется непосредственно у субъекта персональных данных — через формы регистрации, заполнение профиля, публикацию отзывов, загрузку файлов и иные интерактивные элементы Платформы. Часть данных собирается автоматически с использованием файлов cookies и аналогичных технологий (см. Политику Cookies).

5.2. Хранение

Все персональные данные граждан Российской Федерации хранятся и обрабатываются с использованием баз данных, расположенных на территории Российской Федерации, в соответствии с требованиями части 5 статьи 18 152-ФЗ. Оператор использует инфраструктуру сертифицированных российских хостинг-провайдеров, включённых в соответствующие реестры Минцифры РФ.

5.3. Использование

Использование персональных данных осуществляется сотрудниками Оператора, имеющими соответствующий уровень доступа, исключительно в целях, указанных в разделе 3 настоящей Политики.

5.4. Уточнение, блокирование, уничтожение

Уточнение (обновление, изменение) персональных данных производится Пользователем самостоятельно через личный кабинет или по запросу. Блокирование и уничтожение производятся в случаях, предусмотренных законодательством РФ и настоящей Политикой.

6. Способы обработки

Оператор обрабатывает персональные данные с использованием средств автоматизации, а также без их использования (в бумажном виде — при поступлении запросов субъектов ПДн и обращений государственных органов).

К способам автоматизированной обработки относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление и уничтожение.

7. Сроки хранения

Оператор хранит персональные данные в течение следующих сроков:

• данные активной учётной записи — в течение всего срока её существования;
• после удаления учётной записи по инициативе Пользователя — до 30 календарных дней для возможности восстановления, после чего удаляются безвозвратно;
• данные, связанные с отзывами — в течение всего срока их публикации; после удаления отзыва его обезличенная запись может сохраняться в хэш-цепочке в целях противодействия фальсификации;
• данные, содержащиеся в финансовых документах (выставленные счета, чеки, акты) — 5 лет в соответствии с требованиями Налогового кодекса РФ и ФЗ «О бухгалтерском учёте»;
• логи действий (IP-адреса, временные метки) — 12 месяцев, если иной срок не установлен законодательством;
• обезличенные аналитические данные — бессрочно.

8. Меры защиты персональных данных

В соответствии со статьёй 19 152-ФЗ Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

8.1. Организационные меры:

• назначение ответственного за организацию обработки персональных данных;
• утверждение локальных актов (положение об обработке ПДн, инструкции для сотрудников);
• ознакомление сотрудников с требованиями законодательства о персональных данных под роспись;
• заключение соглашений о неразглашении (NDA) с сотрудниками и подрядчиками;
• ограничение доступа сотрудников к персональным данным по принципу минимально необходимого доступа.

8.2. Технические меры:

• шифрование передаваемых данных по протоколу HTTPS/TLS 1.3;
• хранение паролей исключительно в виде криптографических хэшей с солью (алгоритм bcrypt/argon2);
• использование средств защиты от несанкционированного доступа (межсетевые экраны, системы предотвращения вторжений);
• регулярное резервное копирование баз данных с шифрованием резервных копий;
• ведение журналов аудита операций с персональными данными;
• применение средств защиты информации, прошедших оценку соответствия требованиям ФСТЭК России;
• регулярное обновление программного обеспечения и устранение выявленных уязвимостей.

9. Права субъекта персональных данных

В соответствии со статьями 14–17 152-ФЗ Пользователь как субъект персональных данных имеет право:

• получать от Оператора информацию, касающуюся обработки его персональных данных (ст. 14);
• требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 14);
• отозвать согласие на обработку персональных данных (ч. 2 ст. 9 152-ФЗ);
• требовать удаления своей учётной записи и связанных с ней персональных данных;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке;
• на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда.

Для реализации своих прав Пользователь может направить запрос на адрес электронной почты legal@отзыва.рф с приложением копии документа, удостоверяющего личность (при необходимости дополнительной идентификации). Оператор рассматривает запрос в срок не более 10 рабочих дней.

10. Передача персональных данных третьим лицам

Оператор не передаёт персональные данные Пользователей третьим лицам, за исключением следующих случаев:

• с предварительного согласия Пользователя;
• при наличии законного основания (запрос суда, правоохранительных органов, налоговых органов в порядке, установленном законом);
• для исполнения договора, стороной которого является Пользователь (например, отправка сервисных email через почтового провайдера);
• при привлечении подрядчиков на основании заключаемых с ними соглашений о конфиденциальности и обработке персональных данных по поручению Оператора.

10.1. Привлекаемые подрядчики (обработчики):

• хостинг-провайдеры (размещение серверов на территории РФ);
• сервисы отправки email и SMS-сообщений (с заключением соответствующих соглашений);
• сервисы аналитики (с передачей только обезличенных данных);
• платёжные агрегаторы (только реквизиты, необходимые для обработки платежа).

10.2. Использование AI-сервисов для модерации и помощи в написании отзывов

Для целей автоматической модерации контента и работы AI-помощника по составлению отзывов Оператор может использовать сторонние языковые модели (включая DeepSeek и аналогичные сервисы). При передаче данных в такие сервисы Оператор:

• обезличивает передаваемую информацию (удаляет имена, email, телефоны и иные идентификаторы);
• передаёт только текст отзыва без привязки к конкретной учётной записи;
• не передаёт фото документов, паспортных данных и иных чувствительных сведений.

11. Трансграничная передача данных

Оператор не осуществляет трансграничную передачу персональных данных граждан Российской Федерации в страны, не обеспечивающие адекватную защиту прав субъектов персональных данных.

Все серверы, на которых осуществляется хранение персональных данных граждан РФ, физически расположены на территории Российской Федерации.

В случае изменения инфраструктуры Оператор обязуется направить соответствующее уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и получить отдельное согласие субъектов ПДн в случаях, установленных законом.

12. Контакты Оператора

Все вопросы, связанные с обработкой персональных данных, жалобы, запросы субъектов ПДн и иные обращения направляйте по следующим контактам:

• Полное наименование: Общество с ограниченной ответственностью «КАРГОМАТРИЦА»
• ИНН: 9723270911
• КПП: 772301001
• ОГРН: 1267700092703
• Юридический адрес: 109380, г. Москва, муниципальный округ Люблино, ул. Чагинская, д. 4, стр. 13, помещ. 10/2
• Email для запросов субъектов ПДн: legal@отзыва.рф
• Срок ответа на запрос субъекта ПДн: 10 рабочих дней с момента получения
• Ответственный за организацию обработки ПДн: Нахимова Марина Евгеньевна (генеральный директор)

13. Порядок изменения Политики

Настоящая Политика может быть изменена Оператором в одностороннем порядке. Новая редакция вступает в силу с момента её размещения на странице https://отзыва.рф/legal/privacy.html, если иной срок не предусмотрен в самой редакции.

В случае существенных изменений, затрагивающих права субъектов ПДн, Оператор уведомляет Пользователей путём направления соответствующего сообщения на адрес электронной почты, указанный при регистрации, и/или путём размещения баннера на Платформе не менее чем за 14 дней до вступления изменений в силу.

Продолжение использования Платформы после вступления в силу новой редакции означает согласие Пользователя с внесёнными изменениями. В случае несогласия Пользователь вправе прекратить использование Платформы и удалить свою учётную запись.

Действующая редакция Политики всегда доступна по адресу: https://отзыва.рф/legal/privacy.html