1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — Политика) определяет порядок обработки и защиты персональных данных, осуществляемых Правообладатель платформы Flyer (далее — Оператор) при использовании платформы Flyer, сайта, CRM, мобильных приложений, API, форм обратной связи и иных связанных сервисов.
1.2. Политика применяется ко всем персональным данным, которые Оператор получает от пользователей, представителей организаций, сотрудников и специалистов организаций, клиентов, посетителей сайта, лиц, обращающихся в поддержку, а также иных физических лиц, взаимодействующих с Оператором.
1.3. Оператор исходит из того, что персональные данные обрабатываются законно, добросовестно и только в объёме, необходимом для заранее определённых целей.
2. Основные принципы обработки
обработка персональных данных осуществляется на законной и справедливой основе;
обрабатываются только те данные, которые необходимы для конкретных целей;
не допускается объединение баз данных, обработка в которых ведётся для несовместимых целей, если иное не вытекает из закона и фактической архитектуры сервиса;
точность и актуальность данных поддерживаются в разумно необходимом объёме;
хранение осуществляется не дольше, чем этого требуют цели обработки и применимое законодательство;
для защиты данных применяются правовые, организационные и технические меры, соразмерные характеру и рискам обработки.
3. Категории субъектов, цели обработки, состав данных и правовые основания
Ниже приведён ориентировочный перечень основных процессов обработки. Перед публикацией его нужно сверить с реальными интеграциями, экранными формами и потоками данных.
4. Состав обрабатываемых персональных данных
В зависимости от сценария использования Оператор может обрабатывать следующие категории данных:
идентификационные данные: фамилия, имя, отчество, наименование должности, сведения о роли в организации;
контактные данные: телефон, email, адрес, ссылки на мессенджеры, иные средства связи;
учётные и авторизационные данные: логины, хеши паролей, токены, коды подтверждения, история авторизаций, данные о смене доступа;
данные о взаимодействии с сервисом: записи, заказы, бронирования, расписания, услуги, сообщения, отзывы, избранное, обращения в поддержку;
технические данные: IP-адрес, user-agent, cookie и аналогичные идентификаторы, сведения об устройстве, события безопасности и логи;
платёжные и расчётные данные — в том объёме, который необходим для расчётов и исполнения законодательства;
файлы и вложения, загружаемые пользователем или организацией в рамках функционала сервиса.
Оператор не стремится к сбору специальных категорий персональных данных и биометрических персональных данных, если иное прямо не следует из закона, отдельного функционала или действий самого субъекта данных. Если такие сведения всё же попадают в сервис через вложения, обращения или документы, они обрабатываются только в объёме и в течение срока, объективно необходимого для соответствующей цели.
5. Правовые основания обработки
заключение и исполнение договоров, стороной которых является субъект персональных данных, а также договоров, заключаемых по инициативе субъекта;
исполнение обязанностей Оператора, установленных законодательством Российской Федерации;
осуществление прав и законных интересов Оператора и третьих лиц при условии, что при этом не нарушаются права и свободы субъекта;
отдельные согласия субъектов персональных данных — в случаях, когда такие согласия требуются для конкретной цели или канала связи;
документированные поручения организаций-клиентов в той части, где Оператор действует как лицо, обрабатывающее данные по поручению оператора.
6. Способы обработки и перечень операций
Обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без их использования. Оператор может совершать с персональными данными следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
7. Передача данных третьим лицам и обработка по поручению
7.1. Оператор вправе поручать обработку персональных данных подрядчикам и иным лицам, если это необходимо для работы сервиса, приёма платежей, рассылок, облачного хранения, поддержки, аналитики, защиты инфраструктуры и иных операционных функций.
7.2. Во всех случаях, когда обработка поручается третьим лицам, Оператор требует соблюдения конфиденциальности, мер защиты данных и обработки только в пределах согласованных целей.
7.3. Перечень основных категорий таких лиц: хостинг-провайдеры, облачные хранилища, провайдеры email/SMS/push-уведомлений, платёжные сервисы, сервисы техподдержки, инструменты мониторинга и аналитики, интеграционные подрядчики, а также иные лица, указанные в документации сервиса и/или договорных приложениях.
7.4. В части обработки данных клиентов организаций-клиентов, где Flyer действует не как самостоятельный оператор, а как обработчик по поручению, применяется отдельное Поручение на обработку персональных данных.
8. Трансграничная передача и локализация
8.1. Основная запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации, если иное не допускается применимым законодательством.
8.2. Сведения о наличии или отсутствии трансграничной передачи, странах получателях и соответствующих процессах подлежат заполнению перед публикацией настоящей Политики: Трансграничная передача персональных данных не осуществляется, если иное прямо не указано отдельно в интерфейсах сервиса, перечне подрядчиков или обязательных уведомлениях..
9. Сроки обработки, хранения и порядок уничтожения
9.1. Оператор хранит персональные данные не дольше, чем этого требуют цели обработки, условия договоров, сроки исковой давности, требования законодательства о бухгалтерском учёте, налогах, связи, защите информации и иные обязательные нормы.
данные аккаунтов и договорной истории — на срок действия отношений и далее в архиве в пределах, необходимых для исполнения закона и защиты прав;
данные службы поддержки и обращений — до истечения внутреннего срока хранения по категории обращения;
маркетинговые согласия и история отписок — на срок действия согласия и далее столько, сколько необходимо для подтверждения факта его получения/отзыва;
резервные копии — по циклам резервного копирования 30 дней, если иное не требуется инцидентным расследованием или законом;
данные, подлежащие удалению по запросу субъекта либо по окончании цели, уничтожаются или обезличиваются в разумный срок с учётом технической архитектуры сервиса.
10. Права субъектов персональных данных
Субъект персональных данных вправе получать информацию об обработке своих данных, требовать уточнения, блокирования или уничтожения неточных, неполных, устаревших, незаконно полученных или не нужных для заявленной цели данных, отзывать согласия там, где обработка основана именно на согласии, а также обжаловать действия Оператора в уполномоченный орган или в суд.
Запросы субъектов персональных данных направляются по адресу: support@flyer-services.ru. Оператор вправе запросить сведения, позволяющие достоверно идентифицировать заявителя.
11. Меры по защите персональных данных
назначение ответственных лиц и разграничение ролей доступа;
утверждение внутренних локальных актов и процедур обработки данных;
ведение учёта обращений субъектов, инцидентов и изменений схем обработки;
применение средств авторизации, журналирования, резервного копирования, защиты сетевой инфраструктуры и контроля доступа;
договорное закрепление обязанностей по конфиденциальности и безопасности для работников и подрядчиков;
периодическая актуализация перечней данных, целей обработки, подрядчиков и мер защиты.