Политика обработки персональных данных

Сервис «подай-жалобу.рф»

Редакция № [номер] · Дата утверждения: [дата] · Опубликована: https://подай-жалобу.рф/policy

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика) определяет порядок обработки персональных данных Пользователей сервиса «подай-жалобу.рф» и меры по обеспечению их безопасности. Политика опубликована Оператором во исполнение обязанности, предусмотренной частью 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), и определяет политику Оператора в отношении обработки персональных данных с учётом перечня сведений, рекомендованного статьёй 18.1 ФЗ-152.

1.2. Оператор персональных данных: - Индивидуальный предприниматель Мысов Александр Эдуардович - ОГРНИП 323784700198484 - ИНН 272499338299 - Почтовый адрес для обращений: [юридический адрес] - Адрес электронной почты по вопросам персональных данных: [email для публикации]

1.3. Сервис «подай-жалобу.рф» (далее — Сервис) — программный сервис Оператора, с помощью которого Пользователь самостоятельно формирует проекты документов (претензий в управляющие организации, жалоб в государственную жилищную инспекцию и иных связанных документов) в сфере жилищно-коммунального хозяйства — путём автоматического воспроизведения по введённым Пользователем данным.

1.4. Оператор обрабатывает персональные данные на законной и справедливой основе, для конкретных заранее определённых целей, в объёме, не избыточном по отношению к этим целям (статья 5 ФЗ-152).

1.5. Все персональные данные Пользователей — граждан Российской Федерации обрабатываются и хранятся с использованием баз данных, расположенных на территории Российской Федерации. Привлечённые Оператором обработчики являются резидентами Российской Федерации и обрабатывают персональные данные на территории Российской Федерации.

1.6. Действующая редакция Политики постоянно доступна по адресу https://подай-жалобу.рф/policy и по ссылке из футера каждой страницы Сервиса.

2. Термины

2.1. Термины используются в значениях, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»: - Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). - Субъект персональных данных — физическое лицо, к которому относятся соответствующие персональные данные. - Оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператор по настоящей Политике указан в её реквизитах. - Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. - Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники. - Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц. - Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц. - Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). - Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. - Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. - Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. - Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. - Специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни (статья 10 ФЗ-152).

2.2. Дополнительно: - Пользователь — физическое лицо, использующее Сервис на основании договора (оферты). - Обработчик — лицо, осуществляющее обработку персональных данных по поручению Оператора в порядке части 3 статьи 6 ФЗ-152. - ПЭП — простая электронная подпись в значении статьи 5 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее — ФЗ-63). - Текст обращения — введённый Пользователем свободный текст с описанием проблемы в сфере ЖКХ, используемый для генерации документа.

3. Категории субъектов персональных данных

3.1. Пользователи, оформляющие и оплачивающие заказ на сайте Сервиса.

3.2. Пользователи, обратившиеся в поддержку Сервиса.

3.3. Пользователи, давшие отдельное согласие на получение информационных и рекламных сообщений.

3.4. Третьи лица, персональные данные которых Пользователь может самостоятельно указать в Тексте обращения. Оператор не запрашивает такие данные специально и обрабатывает их только в объёме, введённом Пользователем, в транзитном режиме для подготовки документа (раздел 11 Политики).

3.5. Оператор не осуществляет целенаправленную обработку персональных данных несовершеннолетних и недееспособных лиц, за исключением случаев, когда Пользователь самостоятельно вводит такие данные в Тексте обращения (ответственность за это несёт Пользователь — раздел 11).

4. Категории обрабатываемых персональных данных

4.1. Идентификационные и контактные данные (хранятся в базе данных Оператора): - фамилия, имя, отчество (при наличии); - адрес электронной почты; - номер мобильного телефона; - почтовый (домашний) адрес — адрес жилого помещения, в отношении которого подаётся обращение; - статус Пользователя в отношении жилого помещения (собственник / наниматель); - метаданные заказа: уникальный номер заказа, дата и время оформления, тип документа, статус заказа и оплаты.

4.2. Данные платежа обрабатываются банком-эквайером самостоятельно как оператором. Оператор не получает и не хранит полный номер банковской карты, CVC/CVV-код и иные чувствительные платёжные реквизиты. От эквайера Оператор получает сведения о факте, сумме и идентификаторе транзакции.

4.3. Текст обращения — свободный текст, вводимый Пользователем. Не сохраняется в базе данных Оператора (раздел 11). Может содержать персональные данные Пользователя и третьих лиц, а также — потенциально — специальные категории персональных данных (сведения о состоянии здоровья) в значении статьи 10 ФЗ-152.

4.4. Технические данные, передаваемые автоматически: IP-адрес, дата и время обращения, сведения о браузере и устройстве, технические идентификаторы сессии, cookie, необходимые для работы сайта, оплаты и безопасности.

4.5. Оператор не запрашивает паспортные данные, СНИЛС, ИНН физического лица, банковские реквизиты карты, биометрические персональные данные. Биометрические персональные данные Оператором не обрабатываются.

5. Цели обработки и правовые основания

5.7. Оператор не опирается на пункт 6 части 2 статьи 10 ФЗ-152 («установление или осуществление прав субъекта или третьих лиц, а равно осуществление правосудия») как на основание обработки специальной категории персональных данных, поскольку является коммерческим оператором программного сервиса и не выступает представителем Пользователя в правовой процедуре.

5.8. Маркетинговые сообщения направляются только при наличии отдельного предварительного согласия Пользователя, оформленного отдельно от иных согласий (часть 1 статьи 9 ФЗ-152 в редакции Федерального закона от 24.06.2025 № 156-ФЗ). Пользователь вправе в любой момент отозвать это согласие.

6. Принципы обработки

6.1. Обработка осуществляется в соответствии с принципами статьи 5 ФЗ-152: законность и справедливость; ограничение конкретными, заранее определёнными и законными целями; недопустимость объединения баз данных с несовместимыми целями; соответствие объёма и содержания данных целям обработки; точность и актуальность; ограничение сроков хранения достижением целей.

7. Перечень действий с персональными данными и способы обработки

7.1. В отношении данных, указанных в пп. 4.1, 4.2, 4.4, совершаются (статья 3 ФЗ-152): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление обработчику и/или уполномоченным органам), блокирование, удаление, уничтожение.

7.2. В отношении Текста обращения (описания обстоятельств) совершаются: сбор, передача обработчику (российскому облачному AI-сервису) без идентификаторов Пользователя, использование (подготовка документа), предоставление результата Пользователю. Идентификаторы (ФИО, телефон, email, адрес) обработчику не передаются и подставляются в готовый документ на стороне Оператора (раздел 9.4). Хранение, систематизация, накопление и извлечение Текста обращения не осуществляются — он не записывается в базу данных Оператора и не сохраняется в логах обработчика.

7.3. Обработка осуществляется автоматизированным способом с использованием информационной системы Оператора.

7.4. Сервис использует автоматизированную обработку для подготовки проекта документа по данным Пользователя. Сервис не принимает решений, порождающих юридические последствия для Пользователя или иным образом затрагивающих его права, исключительно на основании автоматизированной обработки (статья 16 ФЗ-152). Пользователь самостоятельно решает, проверять, редактировать, подписывать и направлять ли подготовленный документ.

8. Поручение обработки. Передача персональных данных

8.1. Оператор вправе поручить обработку персональных данных другому лицу с согласия Пользователя на основании заключаемого договора (поручения оператора) в порядке части 3 статьи 6 ФЗ-152. Поручение содержит: перечень персональных данных, перечень действий (операций), цели обработки, обязанность обработчика соблюдать конфиденциальность, требования части 5 статьи 18 и статьи 18.1 ФЗ-152, требования к защите по статье 19 ФЗ-152, обязанность по запросу Оператора предоставлять подтверждающие документы и обязанность уведомлять Оператора о случаях, предусмотренных частью 3.1 статьи 21 ФЗ-152 (инциденты безопасности).

8.2. Для функционирования Сервиса Оператор привлекает: - 8.2.1. российского хостинг-провайдера — для размещения информационной системы и базы данных метаданных (серверы на территории РФ); - 8.2.2. российский облачный сервис искусственного интеллекта — для обработки Текста обращения и генерации документа. Серверы обработчика расположены на территории РФ; логирование пользовательского ввода на стороне обработчика отключено; персональные данные не используются для обучения моделей; Текст обращения не сохраняется; - 8.2.3. банк-эквайер — для приёма оплаты (самостоятельный оператор в части данных платежа); - 8.2.4. иных обработчиков, привлечение которых необходимо для исполнения договора (оператор фискальных данных, провайдер электронной почты, провайдер SMS-сообщений).

8.3. Актуальный перечень привлечённых обработчиков с указанием наименований, реквизитов, состава обрабатываемых ими персональных данных и реквизитов договоров поручения приводится в Приложении № 1 к настоящей Политике «Перечень привлечённых обработчиков». Приложение является неотъемлемой частью Политики, актуализируется по мере изменения состава обработчиков, публикуется по адресу https://подай-жалобу.рф/policy/processors. Изменение Приложения № 1 не требует изменения тела Политики.

8.4. Конкретное наименование AI-обработчика в тексте Политики не указывается в целях защиты коммерческой информации Оператора и раскрывается в Приложении № 1.

8.5. Оператор вправе менять привлечённых обработчиков без изменения тела Политики при условии, что новый обработчик обрабатывает персональные данные на территории Российской Федерации и включён в актуальную редакцию Приложения № 1.

8.6. Ответственность перед Пользователем за действия привлечённых обработчиков несёт Оператор (часть 5 статьи 6 ФЗ-152).

8.7. Продажа персональных данных не осуществляется. Передача персональных данных для маркетинга третьих лиц не осуществляется.

9. Специальная категория персональных данных и использование ПЭП

9.1. Оператор не запрашивает специальные категории персональных данных намеренно и не предназначает для их ввода отдельных полей. Текст обращения может содержать сведения о состоянии здоровья и иные сведения специальной категории, если Пользователь самостоятельно их укажет при описании обстоятельств.

9.2. Обработка сведений специальной категории, которые могут содержаться в Тексте обращения, осуществляется исключительно в транзитном режиме в момент подготовки документа на основании пункта 1 части 2 статьи 10 ФЗ-152 — согласия Пользователя в письменной форме по правилам части 4 статьи 9 ФЗ-152, подписываемого ПЭП в соответствии с ФЗ-63.

9.3. Порядок получения согласия — у всех, перед генерацией. Согласие на обработку специальной категории запрашивается у всех Пользователей перед формированием документа — до передачи описания на обработку, без какого-либо детектирования содержимого обращения (до согласия описание держится транзитно и AI-обработчику не передаётся). Оператор сознательно не применяет автоматических фильтров, детектирующих специальную категорию в Тексте обращения. Порядок: - 9.3.1. перед формированием документа (после заполнения обращения в чате) Пользователю отображается экран согласий с пакетом документов об обработке персональных данных, включая отдельный документ «Согласие на обработку специальной категории персональных данных», оформленный отдельно от иных согласий и соглашений (часть 1 статьи 9 ФЗ-152 в редакции ФЗ от 24.06.2025 № 156-ФЗ); - 9.3.2. Пользователь указывает номер мобильного телефона и подтверждает согласия вводом одноразового кода, направленного на этот номер по SMS; совокупность проставления непредустановленной отметки и ввода SMS-кода является ПЭП Пользователя по статье 5 ФЗ-63; - 9.3.3. до подтверждения согласий сбор данных и доступ к полю описания обстоятельств заблокированы; - 9.3.4. правила использования ПЭП, в том числе правила определения подписавшего лица и обязанность сохранять конфиденциальность ключа ПЭП, установлены Соглашением об использовании простой электронной подписи, акцептуемым Пользователем и доступным по адресу https://подай-жалобу.рф/pep-agreement.

9.4. Обезличивание перед передачей обработчику (декомпозиция). Идентификаторы Пользователя (ФИО, телефон, адрес электронной почты, адрес помещения) собираются в отдельных полях формы и не включаются в текст, передаваемый AI-обработчику для подготовки документа. Обработчику передаётся только содержательная часть обращения (описание обстоятельств) без идентификаторов. Сведения, относимые к специальной категории, при их наличии в описании обстоятельств передаются обработчику в отрыве от идентификаторов Пользователя, что исключает возможность соотнести их с конкретным лицом на стороне обработчика. Идентификаторы подставляются в готовый документ на стороне Оператора при финальной сборке. Соотнесение данных с конкретным Пользователем возможно только Оператором при помощи сведений заказа (декомпозиция и псевдонимизация — методы обезличивания по Приказу Роскомнадзора от 19.06.2025 № 140).

9.5. Согласие на обработку специальной категории содержит сведения, предусмотренные частью 4 статьи 9 ФЗ-152 (наименование/ФИО и адрес Оператора, цель обработки, перечень персональных данных, перечень действий и общее описание способов обработки, срок действия и порядок отзыва согласия, иные сведения).

9.6. Оператор фиксирует и хранит в защищённом журнале сведения о факте предоставления согласия (дата, время, IP-адрес, номер телефона, хеш-значение направленного SMS-кода, факт ввода кода) в течение срока действия согласия и 3 (трёх) лет после его прекращения. Сам Текст обращения, включая возможные сведения специальной категории, не сохраняется (транзитный режим, раздел 10).

10. Выдача результата

10.1. Сгенерированный документ предоставляется Пользователю в момент завершения генерации двумя способами: (а) предоставлением возможности скачать файл на сайте Сервиса; (б) предоставлением доступа к документу по адресу электронной почты, указанному Пользователем. Одновременно Пользователю предоставляются введённые им исходные данные.

10.2. Поскольку Текст обращения и сгенерированный документ не сохраняются в информационной системе Оператора, повторное предоставление документа Оператором не осуществляется. Обязанность сохранить полученный результат лежит на Пользователе. Соответствующее уведомление отображается в момент выдачи.

11. Персональные данные третьих лиц в Тексте обращения

11.0. Правовое основание обработки персональных данных третьих лиц, которые Пользователь может указать в Тексте обращения, — пункт 7 части 1 статьи 6 ФЗ-152 (обработка необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей, при условии ненарушения прав и свобод субъекта персональных данных). Подготовка претензии в управляющую организацию или жалобы в государственную жилищную инспекцию является реализацией конституционного права Пользователя на обращение (статья 33 Конституции Российской Федерации; Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» в редакции Федерального закона от 28.12.2024 № 547-ФЗ), без указания персональных данных адресата или упоминаемых лиц объективно невозможной. Персональные данные должностных лиц управляющих организаций обрабатываются в связи с их служебной (публичной) ролью и в объёме, необходимом для обращения, что, как правило, не нарушает их прав (абзац 2 пункта 1 статьи 152.2 ГК РФ). Получение персональных данных от лица, не являющегося их субъектом, осуществляется при наличии подтверждения оснований в порядке части 8 статьи 9 ФЗ-152, которое реализуется через заверение Пользователя (пункт 11.1).

11.1. Указывая в Тексте обращения персональные данные третьих лиц (соседей, сотрудников управляющих организаций, иных лиц), Пользователь подтверждает и гарантирует, что: - 11.1.1. указывает такие данные в целях защиты собственных прав потребителя жилищно-коммунальных услуг и/или прав собственника (нанимателя) жилого помещения и реализации права на обращение; - 11.1.2. действует от своего имени и под свою ответственность, имеет правовые основания для указания таких данных и самостоятельно несёт ответственность перед третьими лицами за правомерность и достоверность сведений; - 11.1.3. обязуется возместить Оператору убытки, возникшие в связи с предоставлением Пользователем недостоверных или неправомерно полученных данных третьих лиц (заверения об обстоятельствах — статья 431.2 ГК РФ; возмещение убытков — статьи 15 и 393 ГК РФ; неустойка — статья 330 ГК РФ). Развёрнутые условия такой ответственности устанавливаются Пользовательским соглашением (офертой).

11.2. Оператор обрабатывает персональные данные третьих лиц, содержащиеся в Тексте обращения, исключительно в целях генерации документа, в транзитном режиме, не сохраняет их в базе данных и не передаёт иным лицам, кроме привлечённого AI-обработчика. Оператор не проверяет наличие у Пользователя законных оснований на передачу таких данных и исходит из добросовестности Пользователя.

11.3. Оператор вправе отказать в генерации документа, если Текст обращения содержит явно избыточные или не относящиеся к цели обращения персональные данные третьих лиц.

12. Локализация хранения

12.1. В соответствии с частью 5 статьи 18 ФЗ-152 (в редакции Федерального закона от 28.02.2025 № 23-ФЗ) Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

12.2. Информационные системы и базы данных, в которых обрабатываются персональные данные граждан Российской Федерации, размещены на серверах на территории Российской Федерации. Все привлечённые обработчики являются резидентами Российской Федерации и обрабатывают персональные данные на территории Российской Федерации.

12.3. Трансграничная передача персональных данных Оператором не осуществляется. Персональные данные не передаются на территорию иностранных государств, иностранным физическим или иностранным юридическим лицам; статья 12 ФЗ-152 к деятельности Оператора не применяется. Все привлекаемые обработчики (включая российский облачный AI-сервис, используемый для генерации документов) обрабатывают персональные данные исключительно на территории Российской Федерации.

13. Сроки обработки и хранения

13.1. Идентификационные и контактные данные (п. 4.1) хранятся в течение срока действия договора (оферты) и 5 (пяти) лет с момента последней операции Пользователя — для целей налогового и бухгалтерского учёта (подп. 8 п. 1 ст. 23 НК РФ).

13.2. Метаданные заказа и фискальные данные хранятся 5 (пять) лет — в соответствии с Федеральным законом от 22.05.2003 № 54-ФЗ и подп. 8 п. 1 ст. 23 НК РФ.

13.3. Текст обращения и сгенерированный документ — не сохраняются (пп. 7.2, 11.2).

13.4. Согласие на обработку специальной категории и журнал ПЭП — в течение срока действия согласия и 3 (трёх) лет после его прекращения (п. 9.5).

13.5. Данные для маркетинга — до отзыва Пользователем соответствующего согласия.

13.6. По достижении цели обработки персональные данные подлежат уничтожению в порядке статьи 21 ФЗ-152 в срок не более 30 (тридцати) дней, если иное не предусмотрено договором или законодательством Российской Федерации (для метаданных — сроки хранения по пп. 13.1–13.2).

13.7. При отсутствии возможности уничтожения в установленный срок Оператор осуществляет блокирование таких данных и обеспечивает их уничтожение в срок не более 6 (шести) месяцев (часть 6 статьи 21 ФЗ-152).

14. Права субъекта персональных данных

14.1. Пользователь имеет право: - 14.1.1. получать сведения об обработке своих персональных данных в объёме части 7 статьи 14 ФЗ-152; - 14.1.2. требовать уточнения, блокирования или уничтожения персональных данных, если они неполны, устарели, неточны, незаконно получены или не являются необходимыми для заявленной цели; - 14.1.3. отозвать согласие на обработку персональных данных (часть 2 статьи 9 ФЗ-152), в том числе отдельное согласие на специальную категорию и согласие на маркетинг; - 14.1.4. требовать прекращения обработки (часть 5.1 статьи 21 ФЗ-152); - 14.1.5. обжаловать действия или бездействие Оператора в Роскомнадзор или в суд.

14.2. Порядок направления запроса. Запрос направляется на адрес электронной почты [email для публикации] (с адреса, указанного Пользователем при заказе, что признаётся ПЭП Пользователя для целей идентификации) либо в письменной форме на почтовый адрес [юридический адрес]. Запрос содержит: ФИО Пользователя; email/телефон, использованный при заказе; номер заказа (при наличии); суть требования; способ обратной связи. Оператор вправе запросить дополнительные сведения для идентификации.

14.3. Сроки реагирования Оператора: - 14.3.1. ответ на запрос о доступе и предоставление информации по части 7 статьи 14 — 10 (десять) рабочих дней (часть 1 статьи 20 ФЗ-152); срок может быть продлён не более чем на 5 (пять) рабочих дней с мотивированным уведомлением; - 14.3.2. уточнение неточных данных — 7 (семь) рабочих дней со дня представления подтверждающих сведений (часть 2 статьи 21 ФЗ-152); - 14.3.3. прекращение обработки по требованию Пользователя — 10 (десять) рабочих дней (+ 5 рабочих дней продление) (часть 5.1 статьи 21 ФЗ-152); - 14.3.4. прекращение обработки и уничтожение при отзыве согласия — 30 (тридцать) дней (часть 5 статьи 21 ФЗ-152); - 14.3.5. прекращение неправомерной обработки — не более 3 (трёх) рабочих дней; уничтожение при невозможности обеспечить правомерность — не более 10 (десяти) рабочих дней с даты выявления (часть 3 статьи 21 ФЗ-152).

14.4. Если Пользователь запрашивает Текст обращения или готовый документ после завершения генерации, Оператор мотивированно сообщает, что такие данные не хранятся и не могут быть предоставлены повторно (пп. 7.2, 10.2).

14.5. Систематические однотипные обращения. Оператор добросовестно реагирует на запросы субъектов в установленные сроки. Многократные однотипные обращения по уже разрешённому вопросу, направленные на злоупотребление правом (статья 10 Гражданского кодекса Российской Федерации), Оператор вправе рассматривать с учётом ранее данных ответов и ранее предоставленных разъяснений. Идентификация заявителя осуществляется по пункту 14.2.

15. Меры по обеспечению безопасности

15.1. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий (статья 19 ФЗ-152).

15.2. Организационные меры: - 15.2.1. функции ответственного за организацию обработки персональных данных исполняет лично Индивидуальный предприниматель Мысов А. Э. (контакты в п. 1.2); - 15.2.2. утверждены Политика и локальные акты по вопросам обработки персональных данных (включая Соглашение об использовании ПЭП); - 15.2.3. определён перечень лиц, имеющих доступ к персональным данным; с ними оформлены обязательства о конфиденциальности; - 15.2.4. проводится оценка вреда, который может быть причинён субъектам, в соответствии с требованиями Роскомнадзора; - 15.2.5. с привлечёнными обработчиками заключены договоры поручения с условиями части 3 статьи 6 ФЗ-152; - 15.2.6. при инцидентах безопасности Оператор уведомляет Роскомнадзор в порядке части 3.1 статьи 21 ФЗ-152: в течение 24 часов — о произошедшем инциденте; в течение 72 часов — о результатах внутреннего расследования.

15.3. Технические меры (в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 и Приказом ФСТЭК России от 18.02.2013 № 21, исходя из определённого уровня защищённости информационной системы): - 15.3.1. идентификация и аутентификация пользователей информационной системы; - 15.3.2. разграничение и управление доступом по ролевой модели; - 15.3.3. регистрация событий безопасности (журналирование без сохранения Текста обращения); - 15.3.4. антивирусная защита и защита периметра (межсетевое экранирование); - 15.3.5. использование защищённых протоколов передачи данных (TLS) с Пользователями и обработчиками; - 15.3.6. резервное копирование баз данных метаданных и контроль целостности; - 15.3.7. исключение сохранения Текста обращения в постоянных логах; отключение логирования пользовательского ввода на стороне AI-обработчика; - 15.3.8. договорное закрепление запрета использования данных для обучения моделей.

15.4. Уровень защищённости информационной системы персональных данных определён внутренним актом Оператора в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119.

16. Конфиденциальность

16.1. Оператор и привлечённые лица не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом (статья 7 ФЗ-152).

16.2. Доступ к персональным данным предоставляется только лицам, которым он необходим для выполнения задач, связанных с работой Сервиса.

17. Уведомление Роскомнадзора

17.1. Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о намерении осуществлять обработку персональных данных до её начала в порядке статьи 22 ФЗ-152 (форма — Приказ Роскомнадзора от 28.10.2022 № 180). Регистрационный номер в реестре операторов: [номер] от [дата].

18. Актуализация Политики

18.1. Политика актуализируется при изменении законодательства, состава обрабатываемых персональных данных, целей обработки, состава обработчиков, мер защиты или иных существенных условий.

18.2. Действующая редакция публикуется по адресу https://подай-жалобу.рф/policy и доступна по ссылке из футера каждой страницы (часть 2 статьи 18.1 ФЗ-152).

18.3. Изменение Приложения № 1 осуществляется без изменения тела Политики путём публикации новой редакции Приложения с обновлением даты актуализации.

18.4. Существенные изменения Политики доводятся до Пользователей размещением уведомления на сайте и/или направлением на адрес электронной почты.

19. Заключительные положения

19.1. К отношениям, не урегулированным Политикой, применяется законодательство Российской Федерации.

19.2. По вопросам обработки персональных данных Пользователь обращается к Оператору по контактам в пункте 1.2.

19.3. Уполномоченный орган по защите прав субъектов персональных данных — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), rkn.gov.ru.

Оператор: ИП Мысов Александр Эдуардович · Дата утверждения: [дата]

---