Политика обработки персональных данных

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и определяет порядок обработки и защиты персональных данных физических лиц (далее — Субъектов ПДн), полученных Оператором при взаимодействии через сайт kod9.ru, личный кабинет app.kod9.ru, электронную почту и мессенджеры.

1. Оператор персональных данных

Оператором, организующим и (или) осуществляющим обработку персональных данных по настоящей Политике, является:

• ФИО: Кочик Давид Валерьевич
• Статус: самозанятый (плательщик налога на профессиональный доход по Федеральному закону № 422-ФЗ)
• ИНН: 230819500603
• Регион регистрации: Краснодарский край, г. Краснодар
• Электронная почта для обращений по вопросам обработки ПДн: david.valerjevich@yandex.ru
• Дополнительный контакт: admin@kod9.ru
• Сайт: https://kod9.ru

Ответственным за организацию обработки персональных данных в соответствии со ст. 22.1 152-ФЗ является сам Оператор. Все запросы и обращения Субъектов ПДн направляются по указанным выше контактам.

2. Категории Субъектов персональных данных

Оператор обрабатывает персональные данные следующих категорий Субъектов:

• посетители сайта kod9.ru, оставившие заявку через форму обратной связи или мини-квиз;
• пользователи личного кабинета app.kod9.ru (Заказчики услуг разработки);
• лица, обратившиеся к Оператору через мессенджеры (Telegram, WhatsApp) или по электронной почте;
• контрагенты Оператора по заключённым договорам возмездного оказания услуг.

3. Категории обрабатываемых персональных данных

В зависимости от стадии взаимодействия Оператор обрабатывает следующие категории ПДн:

3.1. Общие персональные данные

• фамилия, имя, отчество (при наличии);
• адрес электронной почты;
• номер мобильного телефона;
• идентификатор и имя пользователя в мессенджерах (Telegram username, chat_id);
• содержание обращений, сообщений и описаний задач, переданных Субъектом;
• сведения о выбранных услугах, бюджете, сроках проекта.

3.2. Идентификационные данные (для заключения договоров)

• паспортные данные (серия, номер, дата выдачи, кем выдан, код подразделения, дата рождения, адрес регистрации) — для договоров с физическими лицами;
• ИНН (для физических лиц, индивидуальных предпринимателей и юридических лиц);
• ОГРНИП / ОГРН, КПП — для индивидуальных предпринимателей и юридических лиц;
• сведения о статусе плательщика налога на профессиональный доход (для самозанятых);
• банковские реквизиты (расчётный счёт, БИК, корреспондентский счёт, наименование банка) — для проведения расчётов и формирования первичных документов.

3.3. Метаданные и технические данные

• IP-адрес устройства Субъекта;
• информация о браузере (тип, версия, User-Agent), операционной системе, разрешении экрана;
• cookies-файлы и идентификаторы сессии;
• журналы действий в личном кабинете (входы, факты подписания документов, нажатия на ключевые кнопки) с метками времени;
• данные систем веб-аналитики (Яндекс.Метрика).

3.4. Сведения о подписании документов простой электронной подписью

• факт и время подписания (по МСК);
• IP-адрес, с которого совершено подписание;
• маска адреса электронной почты, на которую направлен код подтверждения;
• криптографический хеш (SHA-256) подписанного документа;
• факт принятия пользовательских соглашений (включая Соглашение об использовании ПЭП).

Оператор не обрабатывает специальные категории персональных данных в смысле ст. 10 152-ФЗ (расовая или национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь), а также биометрические персональные данные.

4. Цели обработки персональных данных

Оператор обрабатывает персональные данные исключительно для достижения следующих целей:

• обработка обращений и заявок, поступающих через сайт, мессенджеры или электронную почту;
• подготовка коммерческого предложения и расчёт стоимости проекта;
• заключение и исполнение договоров возмездного оказания услуг по разработке программного обеспечения и автоматизации;
• формирование первичных бухгалтерских документов (счета, акты, чеки НПД);
• идентификация пользователей в личном кабинете и обеспечение доступа к функционалу;
• фиксация юридически значимых действий пользователей (подписание документов простой электронной подписью);
• информирование пользователей о статусе их проектов и обновлениях в личном кабинете;
• анализ статистики посещений сайта в целях оптимизации интерфейса, выявления технических ошибок и проведения A/B-тестирования улучшений;
• исполнение обязанностей, установленных законодательством Российской Федерации (налоговый и бухгалтерский учёт, ответы на запросы государственных органов).

5. Правовые основания обработки

Обработка персональных данных осуществляется на следующих правовых основаниях, предусмотренных ст. 6 152-ФЗ:

• п. 1 ч. 1 ст. 6 152-ФЗ — согласие Субъекта ПДн. Согласие Субъекта в отношении общих персональных данных (имя, email, телефон, сообщения) выражается в форме конклюдентных действий — заполнения и отправки соответствующей формы на сайте либо обращения через мессенджер. Факт направления обращения признаётся согласием на обработку указанных в нём данных в целях ответа Оператора.
• п. 5 ч. 1 ст. 6 152-ФЗ — исполнение договора. Обработка идентификационных и банковских данных Заказчиков осуществляется для исполнения договора возмездного оказания услуг, стороной которого является Субъект ПДн.
• п. 2 ч. 1 ст. 6 152-ФЗ — исполнение обязанностей по закону. Обработка данных, необходимых для налогового и бухгалтерского учёта, осуществляется на основании 422-ФЗ (НПД) и 402-ФЗ (бухгалтерский учёт).

Согласие на обработку идентификационных данных (паспортные данные, банковские реквизиты) предоставляется Заказчиком отдельно — в момент их ввода в личном кабинете перед заключением договора. Факт предоставления такого согласия фиксируется в системе с указанием даты, времени и IP-адреса Субъекта.

6. Способы и условия обработки

Обработка ПДн осуществляется как с использованием средств автоматизации (программное обеспечение Оператора и его поставщиков услуг), так и без использования таковых (хранение бумажных копий документов при их формировании).

Оператор обрабатывает персональные данные следующими способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

7. Локализация и трансграничная передача

В соответствии с ч. 5 ст. 18 152-ФЗ Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Физическое размещение серверов и баз данных Оператора осуществляется в дата-центрах хостинг-провайдера ООО «Веб-сервис» (Timeweb Cloud), расположенных на территории Российской Федерации.

Оператор не осуществляет трансграничную передачу персональных данных. Использование сторонних сервисов, серверы которых могут находиться за пределами РФ, минимизировано и описано в разделе 9.

8. Сроки хранения персональных данных

Сроки хранения определяются Оператором в зависимости от категории данных и целей обработки:

• Заявки и обращения без заключения договора — 1 (один) год с момента последнего обращения Субъекта.
• Данные Заказчиков по заключённым договорам — в течение срока действия договора и 5 (пяти) лет после его прекращения (на основании срока исковой давности ст. 196 ГК РФ и требований ст. 29 Федерального закона № 402-ФЗ «О бухгалтерском учёте»).
• Первичные документы и налоговые сведения — 5 (пять) лет (ст. 29 402-ФЗ, ст. 23 НК РФ).
• Журналы действий и подписаний документов — 5 (пять) лет с момента подписания соответствующего документа.
• Технические данные и метаданные веб-сессий — до 1 (одного) года.
• В случае отзыва согласия Субъекта — обработка прекращается в течение 30 (тридцати) дней с момента получения отзыва, за исключением случаев, когда сохранение данных предписано законом (например, до истечения 5-летнего срока хранения первичных документов).

9. Передача персональных данных третьим лицам

Оператор не передаёт и не продаёт персональные данные третьим лицам за исключением случаев, прямо предусмотренных законом, либо с прямого согласия Субъекта, либо когда передача необходима для исполнения договора со Субъектом. В частности, в указанных целях Оператор может передавать ограниченный объём данных следующим третьим лицам:

• ООО «Веб-сервис» (Timeweb Cloud) — хостинг-провайдер. Получает доступ к данным в объёме, необходимом для предоставления услуг хостинга и обеспечения работоспособности инфраструктуры.
• Telegram FZ-LLC (мессенджер Telegram) — для отправки уведомлений администратору Оператора о новых заявках и для коммуникации с Заказчиками. Передаются идентификаторы и тексты уведомлений в соответствии с пользовательским соглашением Telegram.
• ООО НКО «ЮMoney» (ЮKassa) и операторы Системы быстрых платежей (СБП) — при проведении платежей по договорам. Передаются сведения, необходимые для проведения платежа в соответствии с законодательством о национальной платёжной системе.
• ООО «Яндекс» (Яндекс.Метрика) — обезличенные данные веб-аналитики (IP-адрес, поведенческие данные, идентификаторы сессий) — в целях анализа статистики посещений сайта.
• Государственные органы Российской Федерации — в объёме и порядке, установленных законодательством, при поступлении соответствующих запросов.

При взаимодействии с указанными третьими лицами Оператор стремится минимизировать объём передаваемых данных и руководствуется принципом необходимости и соразмерности.

10. Меры по защите персональных данных

В соответствии со ст. 19 152-ФЗ Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий:

• шифрование канала передачи данных по протоколу HTTPS/TLS с использованием действующих сертификатов;
• хранение паролей пользователей исключительно в хешированном виде с применением криптостойких алгоритмов;
• разграничение доступа к данным по ролям пользователей (заказчик / администратор) и по принципу минимальных привилегий;
• защита от автоматизированного перебора и распределённых атак (rate-limit, fail2ban);
• регулярное резервное копирование баз данных;
• обновление программного обеспечения и операционной системы серверов с целью устранения уязвимостей;
• физическое размещение серверов в защищённой инфраструктуре сертифицированного российского хостинг-провайдера;
• обработка персональных данных ограниченным кругом лиц (фактически — самим Оператором);
• фиксация юридически значимых действий пользователей с указанием даты, времени, IP-адреса и криптографического хеша (для документов, подписываемых ПЭП).

11. Использование cookies-файлов

Сайт kod9.ru использует cookies-файлы следующих категорий:

• Необходимые cookies — обеспечивают работу сессии пользователя, авторизацию в личном кабинете, корректное отображение интерфейса. Использование данных cookies является обязательным условием функционирования сервиса.
• Аналитические cookies — устанавливаются системой Яндекс.Метрика для сбора обезличенной статистики посещений.

Согласие на использование cookies может быть выражено через соответствующий баннер на сайте либо изменено через настройки браузера. Отключение cookies в настройках браузера не препятствует ознакомлению с информационным контентом сайта, однако может ограничить отдельные функции (например, авторизацию в личном кабинете).

12. Права Субъекта персональных данных

В соответствии со ст. 14 152-ФЗ Субъект имеет право:

• получать информацию о факте обработки своих персональных данных Оператором, целях, способах и сроках обработки;
• требовать уточнения, блокирования или уничтожения своих персональных данных в случае их неточности, неполноты или незаконности обработки;
• в любой момент отозвать своё согласие на обработку персональных данных, направив письменное обращение Оператору;
• получить ответ Оператора на свой запрос в течение 30 (тридцати) дней с момента его получения (ст. 14, 20, 21 152-ФЗ);
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), https://rkn.gov.ru;
• защищать свои права в суде в порядке, установленном законодательством РФ.

Для реализации указанных прав Субъект направляет письменное обращение по адресу электронной почты Оператора. К обращению должна быть приложена копия документа, удостоверяющего личность Субъекта (либо его представителя). Оператор предоставляет ответ в установленный законом срок.

13. Изменения Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда доступна по адресу https://kod9.ru/privacy.html. Каждая редакция Политики имеет номер версии и дату вступления в силу, указанные в начале документа.

В случае существенных изменений (расширение перечня обрабатываемых данных, добавление новых третьих лиц-получателей, изменение целей обработки) Оператор уведомляет авторизованных пользователей через личный кабинет или по электронной почте.

14. Заключительные положения

Все вопросы, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации.

Применимое право — право Российской Федерации.