Политика обработки персональных данных

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

1. Основные понятия

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Оператор – организация, самостоятельно или совместно с другими лицами организующая и/или осуществляющая обработку ПДн, а также определяющая цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. Оператор указан выше.

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.

Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Субъект ПДн – физическое лицо (Пользователь Сервиса Artigen), к которому относятся ПДн.

2. Цели обработки ПДн

Оператор обрабатывает ПДн Пользователей исключительно для достижения следующих целей:

- Заключение и исполнение договора публичной оферты на оказание услуг сервиса Artigen (регистрация, аутентификация, предоставление доступа к функционалу, генерация изображений, обработка платежей, поддержка пользователей).

- Информирование о новых функциях, тарифных планах, изменениях в Сервисе (только при наличии согласия субъекта ПДн, где это требуется по закону).

- Выполнение требований законодательства Российской Федерации (включая налоговое, бухгалтерское законодательство).

- Обеспечение безопасности Сервиса, предотвращение мошенничества.

- Анализ использования Сервиса для его улучшения (на основе обезличенных данных).

3. Перечень обрабатываемых ПДн

Оператор обрабатывает следующие категории ПДн Пользователей:

- Идентификационные данные: Имя (псевдоним), адрес электронной почты (логин).

- Контактные данные: Адрес электронной почты (для связи).

- Данные для авторизации: Логин и хэш пароля.

- Данные об использовании Сервиса: История действий в аккаунте (время входа/выхода, факты генерации изображений, настройки аккаунта, история платежей - без данных карт), IP-адрес, данные файлов cookie (см. Политику Конфиденциальности).

- Платежные данные: Информация о совершенных транзакциях (дата, сумма, статус, идентификатор платежа). Данные банковских карт не обрабатываются Оператором, их сбор и обработку осуществляют интегрированные платежные агрегаторы в соответствии со своими политиками.

- Данные, содержащиеся в промтах: Текстовые описания, вводимые Пользователем для генерации изображений. [Важно: Эти данные сами по себе обычно не являются ПДн, если не содержат явной информации, идентифицирующей субъекта. Однако их обработка тесно связана с услугами и регулируется Политикой Конфиденциальности.]

- Данные обращений в поддержку: Содержание обращений, данные, предоставленные в обращении.

4. Правовые основания обработки ПДн

Обработка ПДн осуществляется на следующих правовых основаниях:

- Заключение и исполнение договора (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ): Обработка ПДн, необходимая для регистрации, предоставления доступа к Сервису, генерации изображений, обработки платежей, оказания поддержки.

- Согласие субъекта ПДн (п. 1 ч. 1 ст. 6, ст. 9 Закона № 152-ФЗ): Для целей рассылки маркетинговых материалов (если применимо и требуется по закону). Согласие запрашивается отдельно и может быть отозвано.

- Выполнение обязанностей, возложенных законодательством (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ): Обработка данных для соблюдения налогового, бухгалтерского и иного законодательства РФ.

- Законные интересы Оператора (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ): Обработка технических данных (IP, cookie) для обеспечения безопасности Сервиса, предотвращения мошенничества, анализа использования (обезличенного) для улучшения Сервиса. Законные интересы не должны нарушать права и свободы субъектов ПДн.

5. Порядок и условия обработки ПДн

5.1. Обработка ПДн осуществляется Оператором как с использованием средств автоматизации, так и без их использования.

5.2. Оператор не обрабатывает биометрические ПДн, специальные категории ПДн (раса, политические взгляды и т.д.) или касающиеся состояния здоровья, за исключением случаев, прямо предусмотренных законом или при наличии явно выраженного согласия субъекта ПДн.

5.3. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Меры соответствуют требованиям Постановления Правительства РФ № 1119 и приказа ФСТЭК России № 21, ФСБ России № 378.

5.4. Субъект ПДн самостоятельно принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.

6. Сроки обработки (хранения) ПДн

6.1. ПДн обрабатываются в течение сроков, необходимых для достижения целей обработки, указанных в разделе 2 настоящей Политики, если иное не предусмотрено законодательством РФ.

6.2. Сроки хранения:

- Данные учетной записи (логин, email, хэш пароля, имя): Хранятся до удаления Пользователем аккаунта или до истечения [ВСТАВЬТЕ СРОК, напр., 3] лет с момента последней активности, если иное не требуется по закону (например, финансовые данные).

- Данные платежных транзакций: Хранятся в соответствии с требованиями налогового и бухгалтерского законодательства РФ (не менее 5 лет).

- Данные промтов и сгенерированных изображений: Хранятся в аккаунте Пользователя до их удаления Пользователем или до удаления аккаунта.

- Логи действий и технические данные (IP, cookie): Хранятся в течение срока, необходимого для анализа, безопасности и устранения инцидентов, но не более [ВСТАВЬТЕ СРОК, напр., 1] года, если иное не требуется для расследования инцидента безопасности или по закону.

- Данные обращений в поддержку: Хранятся в течение [ВСТАВЬТЕ СРОК, напр., 3] лет после закрытия обращения.

6.3. После достижения целей обработки или истечения сроков хранения ПДн уничтожаются или обезличиваются.

7. Передача ПДн

7.1. Оператор может передавать ПДн третьим лицам только в следующих случаях:

- Обработчикам: Передача необходима для исполнения договора или достижения целей обработки (провайдеры хостинга, платежные агрегаторы, сервисы аналитики и мониторинга, email-сервисы, службы поддержки). С такими лицами заключены договоры, обязывающие их соблюдать требования Закона № 152-ФЗ и обеспечивать конфиденциальность и безопасность ПДн. Список текущих Обработчиков доступен по запросу.

- По требованию законодательства: В случаях, предусмотренных законодательством РФ, по законному запросу суда, правоохранительных или иных уполномоченных государственных органов.

- В рамках корпоративных сделок: При смене контроля над Оператором в результате слияния, поглощения или продажи активов.

7.2. Трансграничная передача ПДн: Оператор может передавать ПДн для обработки на территории иностранных государств только при соблюдении требований Закона № 152-ФЗ (гл. 5). Основные условия:

- Страна должна обеспечивать адекватную защиту прав субъектов ПДн (включена в перечень Роскомнадзора).

- Или должно быть получено письменное согласие субъекта ПДн на такую передачу (если страна не в перечне).

- Или должны быть заключены договоры с Обработчиками, включающие стандартные договорные clauses, обеспечивающие защиту ПДн в соответствии с требованиями РФ.

[Внимание: Укажите, передаете ли вы ПДн за рубеж (например, если используете облачные сервисы типа AWS/GCP/Azure) и на каком основании. Если да, уточните страны и меры.]

8. Права субъекта ПДн

Субъект ПДн имеет право в соответствии с Законом № 152-ФЗ:

- На доступ к ПДн: Получать подтверждение обработки, сведения о целях, категориях, сроках обработки, о лицах, которым переданы ПДн, саму обрабатываемую информацию.

- На уточнение (исправление) ПДн: Требовать исправления неточных или неполных ПДн.

- На блокирование или удаление ПДн: Требовать блокирования или удаления ПДн в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не необходимыми для заявленной цели обработки.

- На отзыв согласия: Отозвать ранее данное согласие на обработку ПДн (если обработка основана на согласии).

- На ограничение обработки: Требовать ограничения обработки при наличии законных оснований (например, оспаривание точности данных).

- На обжалование действий/бездействия Оператора: Обратиться с жалобой в уполномоченный орган (Роскомнадзор) или в суд.

9. Порядок реализации прав субъекта ПДн

9.1. Для реализации своих прав субъект ПДн должен направить Оператору письменный запрос по почте на юридический адрес Оператора или в форме электронного документа, подписанного квалифицированной электронной подписью, по адресу электронной почты: [ВСТАВЬТЕ ЭЛЕКТРОННУЮ ПОЧТУ ДЛЯ ЗАПРОСОВ ПО ПД].

9.2. Запрос должен содержать:

- Номер основного документа, удостоверяющего личность субъекта ПДн или его представителя (с приложением копии).

- Сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (например, email, логин).

- Подпись субъекта ПДн или его представителя.

- Суть запроса.

9.3. Оператор обязуется рассмотреть запрос и дать ответ в течение 30 (тридцати) дней с момента его получения. Ответ направляется по адресу, указанному в запросе.

10. Контроль и ответственность

10.1. Оператор назначает лицо, ответственное за организацию обработки ПДн: [ВСТАВЬТЕ ДОЛЖНОСТЬ, ФИО ответственного лица, контакты].

10.2. Оператор обеспечивает проведение внутреннего контроля соответствия обработки ПДн Закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам.

10.3. Оператор несет ответственность за нарушение требований законодательства о персональных данных в соответствии с законодательством РФ.

11. Заключительные положения

11.1. Настоящая Политика является общедоступной и подлежит размещению на Сайте в сети Интернет по адресу https://artigen.su в разделе [УКАЖИТЕ РАЗДЕЛ, напр., "Правовая информация"].

11.2. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.

11.3. Актуальная версия Политики всегда доступна по ссылке: [ВСТАВЬТЕ ПОЛНЫЙ URL ЭТОЙ ПОЛИТИКИ].

11.4. По вопросам обработки ПДн обращайтесь: [ВСТАВЬТЕ ЭЛЕКТРОННУЮ ПОЧТУ ДЛЯ ЗАПРОСОВ ПО ПД].