1. Общие положения
Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и определяет порядок обработки и меры по обеспечению безопасности персональных данных, осуществляемые Обществом с ограниченной ответственностью «АВИА ПОИНТ» (далее — «Оператор»).
Реквизиты Оператора: ООО «АВИА ПОИНТ», ИНН 5032321944, ОГРН 1205000087270, юридический адрес — Российская Федерация, Московская область. Сайт Оператора: dvl-lab.ru (далее — «Сайт» или «Сервис»).
Использование Сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки персональных данных. В случае несогласия с условиями пользователь обязан прекратить использование Сайта.
2. Состав персональных данных
Оператор обрабатывает следующие категории персональных данных пользователей:
- фамилия, имя, отчество;
- адрес электронной почты;
- номер контактного телефона;
- должность и наименование организации (для корпоративных клиентов);
- ИНН/КПП/ОГРН юридического лица (для оформления счетов и договоров);
- сведения о действиях пользователя в Сервисе (history кадастровых проверок, сохранённые объекты, сгенерированные меморандумы);
- технические данные (IP-адрес, тип браузера, операционная система, время посещения) — собираются автоматически в служебных журналах безопасности.
Специальные категории персональных данных (раса, национальность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь) и биометрические персональные данные Оператором не обрабатываются.
3. Цели обработки
Персональные данные обрабатываются Оператором в следующих целях:
- заключение, исполнение и прекращение договора об оказании услуг доступа к Сервису;
- идентификация пользователя при входе в личный кабинет и сохранение его рабочего пространства;
- оказание услуг аналитики недвижимости, формирование отчётов и инвестиционных меморандумов;
- выставление счетов, оформление актов, ведение бухгалтерского и налогового учёта;
- направление транзакционных уведомлений (счета, подтверждения операций, технические оповещения);
- обеспечение информационной безопасности Сервиса и защита от мошеннических действий;
- исполнение обязанностей Оператора, установленных законодательством РФ.
4. Правовые основания
Обработка персональных данных осуществляется на основаниях, предусмотренных пунктами 1, 2, 5 части 1 статьи 6 152-ФЗ:
- согласие субъекта персональных данных, выраженное при использовании Сайта и при регистрации в Сервисе;
- исполнение договора, стороной которого является субъект персональных данных;
- осуществление прав и законных интересов Оператора при условии, что не нарушаются права и свободы субъекта.
Оператор включён в реестр операторов, осуществляющих обработку персональных данных, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Реквизиты включения в реестр публикуются на настоящей странице после получения уведомления Роскомнадзора.
5. Сроки хранения
- персональные данные, обрабатываемые в рамках договорных отношений, — в течение срока действия договора и 3 года с момента последней активности пользователя;
- данные бухгалтерского и налогового учёта — 5 лет согласно требованиям Федерального закона № 402-ФЗ «О бухгалтерском учёте» и Налогового кодекса РФ;
- служебные журналы безопасности (logs) — 12 месяцев с момента фиксации события;
- cookie-данные — в соответствии с разделом «Политика cookies» настоящего документа.
6. Хранение и трансграничная передача
В соответствии с частью 5 статьи 18 152-ФЗ хранение и обработка персональных данных граждан Российской Федерации осуществляется на технических средствах, расположенных на территории Российской Федерации. Оператор размещает производственную инфраструктуру у российского облачного провайдера в регионе Москва.
Трансграничная передача персональных данных Оператором не осуществляется. Персональные данные не передаются в зарубежные облачные сервисы, зарубежные системы аналитики и зарубежные маркетинговые платформы.
7. Передача данных третьим лицам
Оператор не передаёт персональные данные пользователей третьим лицам, за исключением:
- случаев, прямо предусмотренных действующим законодательством Российской Федерации (требования государственных органов в установленной законом форме);
- передачи поручителям обработки данных (sub-processors), действующим на основании договора с Оператором и обязанных соблюдать конфиденциальность; перечень действующих sub-processors предоставляется по запросу в рамках процедуры due-diligence на адрес security@dvl-lab.ru;
- передачи данных, обезличенных в соответствии с требованиями Приказа Роскомнадзора № 996.
8. Меры защиты
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий:
- шифрование данных at-rest (AES-256) и in-transit (TLS 1.3);
- изоляция данных клиентов на уровне СУБД (per-tenant Row-Level Security);
- контроль доступа на основе ролей с принципом минимальных привилегий;
- журналирование значимых действий с привязкой к учётной записи;
- резервное копирование с возможностью восстановления на любой момент за последние 7 дней;
- регулярный внутренний аудит по контрольному перечню OWASP ASVS уровня 2.
Подробное описание технических мер защиты — на странице /security и в документе /legal/data-location.
9. Права субъекта персональных данных
В соответствии с главой 3 152-ФЗ субъект персональных данных имеет право:
- получать сведения об Операторе, о месте его нахождения, о наличии у Оператора своих персональных данных;
- требовать уточнения, блокирования или уничтожения персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать согласие на обработку персональных данных;
- обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.
Для реализации прав субъект направляет письменное обращение на адрес ответственного за организацию обработки персональных данных (DPO): security@dvl-lab.ru. Срок ответа — не более 30 календарных дней с момента получения обращения. Удаление данных — в течение 30 календарных дней с момента получения обоснованного запроса, за исключением данных, обязательных к хранению по требованиям бухгалтерского и налогового законодательства.
10. Изменение Политики
Оператор вправе в одностороннем порядке вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения на Сайте, если иное не предусмотрено новой редакцией. Действующая редакция всегда доступна по адресу dvl-lab.ru/legal.
11. Контакты
Оператор: ООО «АВИА ПОИНТ», ИНН 5032321944, ОГРН 1205000087270.
Ответственный за обработку ПДн (DPO): security@dvl-lab.ru
Контакт по информационной безопасности: security@dvl-lab.ru
Юридические запросы: security@dvl-lab.ru