Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые Обществом с ограниченной ответственностью «ГРИБ ТЕХНОЛОГИИ» (далее — «Оператор»).

1.2. Оператор ставит соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, важнейшим условием своей деятельности.

1.3. Настоящая Политика применяется ко всей информации, которую Оператор может получить о посетителях и пользователях сайта grib.cloud и связанных с ним сервисов, включая поддомены *.grib.cloud (далее совместно — «Сервис»).

1.4. Действующая редакция Политики постоянно доступна по адресу https://grib.cloud/privacy.

1.5. Настоящая Политика является публичным документом и опубликована в соответствии с частью 2 статьи 18.1 152-ФЗ.

2. Сведения об Операторе

Полное наименование

Общество с ограниченной ответственностью «ГРИБ ТЕХНОЛОГИИ»

Сокращённое наименование

ООО «ГРИБ ТЕХНОЛОГИИ»

Наименование на английском языке

GRIB TECHNOLOGIES LLC

ОГРН

1267700129102

ИНН / КПП

7730348788 / 773001001

Юридический адрес

121059, г. Москва, вн. тер. г. муниципальный округ Дорогомилово, ул. Брянская, д. 5, помещ. 1/2

Почтовый адрес

совпадает с юридическим

Email для запросов по обработке ПДн

privacy@grib.cloud

Email общего назначения

contact@grib.tech

Сайт

https://grib.cloud

3. Ответственный за организацию обработки персональных данных (ст. 22.1 152-ФЗ)

Фамилия, имя, отчество

Сосновчик Мирослава Юрьевна

Должность

Генеральный директор

Контактный email

privacy@grib.cloud

Назначение оформлено внутренним приказом Оператора. Запросы субъектов персональных данных, направленные по указанному адресу, рассматриваются в сроки, установленные пунктом 15 настоящей Политики.

4. Основные понятия

Используемые в настоящей Политике термины применяются в значениях, определённых статьёй 3 152-ФЗ.

5. Категории субъектов персональных данных

Оператор обрабатывает персональные данные следующих категорий субъектов:

• Посетители сайта — лица, посещающие сайт grib.cloud без регистрации учётной записи;
• Зарегистрированные пользователи — физические лица, создавшие учётную запись в Сервисе;
• Платные подписчики и плательщики — пользователи, оформившие подписку на платный тариф, а также лица, осуществившие платёж в адрес Оператора;
• Подписчики маркетинговой рассылки — лица, отдельно выразившие согласие на получение информационных и рекламных сообщений;
• Представители контрагентов — юридических лиц — лица, действующие от имени организаций, заключивших договор с Оператором, в части ФИО, должности, контактных данных;
• Работники и подрядчики Оператора, имеющие доступ к информационной системе персональных данных — лица, выполняющие функции в рамках трудовых или гражданско-правовых отношений с Оператором.

6. Категории обрабатываемых персональных данных

6.1. Посетители сайта

• IP-адрес устройства;
• Идентификатор сеанса (cookie __Host-grib_token — только при наличии активной авторизованной сессии);
• Сведения о браузере и устройстве (User-Agent);
• Сведения о посещённых страницах и времени посещения (в обезличенном виде в системе аналитики).

6.2. Зарегистрированные пользователи

• Адрес электронной почты (email);
• Имя пользователя (username);
• Хешированное значение пароля (хранится в виде криптографического хеша, исходный пароль Оператору недоступен);
• При входе через поставщика аутентификации VK ID (OAuth) — идентификатор пользователя у поставщика (provider_id) и адрес электронной почты, переданный поставщиком (область запрашиваемых сведений минимизирована до необходимой для аутентификации);
• Хешированные значения API-токенов (исходные значения после однократной выдачи Оператору недоступны);
• Сведения о созданных туннелях, поддоменах, кастомных доменах (subdomain, domain, статус верификации DNS) и временные метки операций;
• Дата регистрации, дата и IP-адрес последнего входа.

6.3. Платные подписчики и плательщики

В дополнение к данным, перечисленным в пункте 6.2:

• Сведения о выбранном тарифе и сроке его действия;
• Идентификатор платежа в системе платёжного агрегатора (токен платёжного средства; реквизиты банковских карт Оператору не передаются и Оператором не хранятся);
• Для расчётов с юридическими лицами и индивидуальными предпринимателями: наименование / ФИО плательщика, ИНН, адрес для выставления счёта, сведения о фактическом платеже (сумма, дата, назначение).

6.4. Подписчики маркетинговой рассылки

• Адрес электронной почты;
• Статус и дата подписки / отписки;
• Сведения о доставке и открытии писем (в обезличенном виде, для оценки эффективности рассылки).

6.5. Представители контрагентов — юридических лиц

• ФИО;
• Должность;
• Контактный email и/или телефон;
• Реквизиты доверенности или иного документа, подтверждающего полномочия (при наличии).

6.6. Работники и подрядчики Оператора с доступом к ПДн

• ФИО, должность, корпоративный email;
• Реквизиты приказа о допуске к обработке ПДн;
• Сведения о прохождении инструктажа по обработке ПДн.

6.7. Исключения

Оператор не обрабатывает биометрические персональные данные, специальные категории персональных данных в соответствии со статьёй 10 152-ФЗ (расовая или национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь, судимость), а также персональные данные несовершеннолетних, не достигших 14-летнего возраста. Согласие на распространение персональных данных по статье 10.1 152-ФЗ Оператор не получает, поскольку самостоятельно не публикует персональные данные Пользователей для неограниченного круга лиц.

7. Цели обработки персональных данных

8. Правовые основания обработки

9. Способы обработки

Обработка персональных данных осуществляется Оператором с использованием средств автоматизации (информационные системы и базы данных Оператора) и без использования таких средств (на бумажных носителях — в части первичных бухгалтерских документов и кадровых документов).

Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

10. Сроки обработки и хранения

По достижении целей обработки или в случае отзыва согласия и отсутствия иных правовых оснований обработки персональные данные подлежат уничтожению в срок, не превышающий 30 (тридцати) календарных дней с момента достижения цели или поступления соответствующего требования субъекта.

11. Локализация (часть 5 статьи 18 152-ФЗ)

11.1. Базы данных, содержащие персональные данные граждан Российской Федерации, физически расположены на территории Российской Федерации, в дата-центре msk-1 (г. Москва) хостинг-провайдера ООО «Облачные технологии» (Timeweb Cloud). Запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации осуществляются с использованием указанных баз данных. Доступ приложения к базе данных осуществляется через приватную сеть хостинг-провайдера; публичный сетевой доступ к серверу баз данных отключён.

11.2. Серверные журналы, метаданные туннельных соединений, метрики работы Сервиса и резервные копии информационных систем, содержащих персональные данные граждан Российской Федерации, размещаются и обрабатываются на территории Российской Федерации.

11.3. Edge-серверы Сервиса осуществляют маршрутизацию пользовательского трафика и формирование технических журналов в объёме, минимально необходимом для оказания услуги. Долгосрочного хранения персональных данных граждан Российской Федерации на edge-серверах не осуществляется; технические журналы edge-серверов хранятся в сроки, указанные в разделе 10 настоящей Политики.

12. Передача персональных данных третьим лицам

Оператор передаёт персональные данные третьим лицам (обработчикам) только при наличии правового основания и в объёме, необходимом для достижения цели передачи. С каждым обработчиком заключается договор-поручение по части 3 статьи 6 152-ФЗ.

12.1. Перечень обработчиков

Транзакционные служебные письма (подтверждение регистрации, верификация email, восстановление пароля, кассовые чеки, уведомления о платежах и состоянии подписки) направляются с собственного почтового сервера Оператора (mail.gribmail.ru), эксплуатируемого Оператором, и не передаются сторонним сервисам массовых рассылок.

12.2. Поставщик аутентификации (OAuth)

При выборе пользователем входа в Сервис через стороннего поставщика аутентификации — ООО «В Контакте» (сервис VK ID, Российская Федерация) — пользователь по собственной инициативе авторизуется на стороне поставщика и подтверждает передачу Оператору минимального набора сведений (идентификатор пользователя у поставщика и адрес электронной почты).

Оператор не передаёт персональные данные пользователя поставщику аутентификации. Передача данных от поставщика Оператору осуществляется по инициативе самого пользователя и в целях заключения и исполнения договора оказания услуг между Пользователем и Оператором (пункт 5 части 1 статьи 6 152-ФЗ).

12.3. Передача по требованию закона

Оператор передаёт персональные данные государственным органам, должностным лицам и иным лицам в случаях, прямо предусмотренных законодательством Российской Федерации, в том числе по мотивированным запросам правоохранительных органов, судебных приставов, налоговых органов, судов.

13. Трансграничная передача персональных данных (статья 12 152-ФЗ)

Оператор не осуществляет трансграничной передачи персональных данных. Все обработчики и поставщики аутентификации, перечисленные в пунктах 12.1 и 12.2 настоящей Политики, расположены на территории Российской Федерации. Базы данных и серверная инфраструктура Оператора, на которой обрабатываются персональные данные граждан Российской Федерации, также расположены на территории Российской Федерации (раздел 11).

В случае введения Оператором в будущем поставщиков аутентификации или иных обработчиков, расположенных за пределами Российской Федерации, до начала такой передачи будет подано отдельное уведомление в Роскомнадзор в порядке, установленном частью 3 статьи 12 152-ФЗ, а в настоящую Политику будут внесены соответствующие изменения с уведомлением Пользователей в порядке, установленном разделом 18.

14. Меры по обеспечению безопасности персональных данных (статья 19 152-ФЗ)

Оператор реализует следующие правовые, организационные и технические меры для защиты персональных данных:

Правовые и организационные меры:

• Назначен ответственный за организацию обработки персональных данных (см. пункт 3 настоящей Политики);
• Изданы внутренние локальные акты, регулирующие обработку персональных данных (положение об обработке ПДн, перечень должностей с допуском к ПДн, регламент уничтожения ПДн, регламент реагирования на инциденты безопасности персональных данных);
• Работники и подрядчики, имеющие доступ к персональным данным, ознакомлены с требованиями 152-ФЗ и внутренних локальных актов Оператора под подпись;
• Ведётся журнал учёта обращений субъектов персональных данных.

Технические меры:

• Шифрование канала передачи данных между пользователем и сайтом по протоколу HTTPS (TLS 1.2+);
• Использование сертификатов TLS, выпускаемых удостоверяющим центром Let's Encrypt;
• Шифрование канала передачи данных между приложением и базой данных средствами TLS, либо изоляция канала средствами приватной сети хостинг-провайдера;
• Хранение паролей пользователей в форме криптографического хеша (исходные пароли Оператору недоступны);
• Хранение API-токенов в форме криптографического хеша (исходные значения после однократной выдачи Оператору недоступны; токены формируются из источника криптографической стойкости);
• Использование короткоживущих сессионных токенов с ограниченным временем жизни;
• Защита OAuth-потока подписанным параметром state;
• Защита внутреннего канала между Edge-сервером и API общим секретом;
• Ограничение скорости запросов (rate limit) на формы входа и регистрации, а также на эндпоинты, потребляющие ресурсы;
• Изоляция базы данных от публичной сети — доступ к серверу базы данных возможен только из приватной сети хостинг-провайдера;
• Регулярное автоматическое резервное копирование базы данных средствами хостинг-провайдера.

15. Права субъекта персональных данных и порядок их реализации

В соответствии со статьями 14, 20 и 21 152-ФЗ субъект персональных данных имеет право:

• Получить от Оператора подтверждение факта обработки своих персональных данных и сведения, связанные с такой обработкой (объём, сроки, цели, способы, перечень обработчиков, наличие трансграничной передачи и иные сведения, предусмотренные статьёй 14 152-ФЗ);
• Требовать уточнения, блокирования или уничтожения своих персональных данных в случае их неполноты, неточности, неправомерности обработки или достижения целей обработки;
• В любое время отозвать согласие на обработку персональных данных, поданное на основании пункта 1 части 1 статьи 6 152-ФЗ;
• Обжаловать действия или бездействие Оператора в Роскомнадзор и в судебном порядке.

Порядок направления запроса. Запрос направляется на адрес электронной почты privacy@grib.cloud либо почтовым отправлением по юридическому адресу Оператора, указанному в пункте 2 настоящей Политики. Запрос должен содержать сведения, позволяющие идентифицировать субъекта (или его представителя), и существо запроса.

Сроки ответа Оператора. Оператор рассматривает запрос субъекта в следующие сроки:

Самостоятельное удаление учётной записи. Зарегистрированный пользователь может самостоятельно удалить свою учётную запись через настройки личного кабинета. После удаления учётной записи персональные данные подлежат уничтожению в порядке и сроки, установленные пунктом 10 настоящей Политики, за исключением сведений, которые Оператор обязан хранить в силу требований закона.

16. Уведомление об инцидентах с персональными данными (статья 22.3 152-ФЗ)

В случае установления факта неправомерной или случайной передачи персональных данных, повлёкшей нарушение прав субъектов, либо факта несанкционированного доступа к персональным данным, Оператор:

• В течение 24 (двадцати четырёх) часов с момента обнаружения инцидента уведомляет Роскомнадзор о факте инцидента, его предполагаемых причинах и затронутых категориях персональных данных;
• В течение 72 (семидесяти двух) часов с момента обнаружения инцидента направляет в Роскомнадзор результаты внутреннего расследования и сведения о принятых мерах;
• В случаях, предусмотренных законом, и (или) по требованию Роскомнадзора, при наличии у Оператора такой возможности, уведомляет затронутых субъектов персональных данных о факте инцидента и о мерах, которые субъект может предпринять для снижения возможных негативных последствий.

17. Cookie и аналогичные технологии

17.1. Сайт использует технические (функциональные) cookie, необходимые для работы Сервиса — в частности, идентификатор сеанса (__Host-grib_token) для поддержания авторизованной сессии пользователя. Без указанных cookie аутентификация и работа в личном кабинете невозможны; они обрабатываются на основании пункта 5 части 1 статьи 6 152-ФЗ (исполнение договора).

17.2. Аналитические cookie устанавливаются сервисом «Яндекс.Метрика» в обезличенной форме и используются для статистического анализа посещаемости. Установка и обработка таких cookie осуществляется только после получения согласия пользователя, выраженного посредством нажатия кнопки «Принять» в баннере cookie-уведомления на сайте. До получения согласия аналитические cookie не устанавливаются и сервис аналитики не инициализируется. Пользователь может в любое время отозвать согласие, нажав соответствующую кнопку в cookie-уведомлении или удалив сохранённую запись согласия в настройках браузера.

17.3. Маркетинговые cookie на сайте в настоящее время Оператором не устанавливаются.

18. Изменения настоящей Политики

18.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на сайте по адресу https://grib.cloud/privacy, если иное не предусмотрено самой новой редакцией.

18.2. Дата последней редакции указана в начале документа.

18.3. О существенных изменениях, затрагивающих права субъектов персональных данных (расширение целей обработки, добавление новых категорий обрабатываемых данных, изменение перечня обработчиков, изменение режима трансграничной передачи), Оператор уведомляет зарегистрированных пользователей по электронной почте не позднее чем за 10 (десять) календарных дней до их вступления в силу.

19. Заключительные положения

19.1. Все вопросы, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации.

19.2. Если какое-либо положение настоящей Политики будет признано недействительным или не подлежащим применению, это не влияет на действительность остальных положений.

19.3. Контакт для запросов и обращений по вопросам обработки персональных данных: privacy@grib.cloud.

История версий