Политика в отношении обработки персональных данных

1. Общие положения

1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) определяет порядок сбора, хранения, использования, передачи и защиты персональных данных пользователей сайта bigmoneychina.ru и личного кабинета BMC Forum (далее — Сайт).
2. Оператором персональных данных является Индивидуальный предприниматель Неретина Людмила Васильевна (далее — Оператор). Полные реквизиты приведены в конце документа.
3. Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и применяется ко всей информации, которую Оператор получает о Пользователях через Сайт, его поддомены и связанные с ним сервисы.
4. Настоящая Политика является общедоступным документом. Актуальная редакция размещена по адресу bigmoneychina.ru/privacy.html.
5. Использование Сайта и услуг означает согласие Пользователя с настоящей Политикой и условиями обработки его персональных данных.

2. Основные понятия

1. Персональные данные — любая информация, прямо или косвенно относящаяся к определённому или определяемому физическому лицу (Пользователю).
2. Оператор — ИП Неретина Людмила Васильевна, самостоятельно определяющая цели и средства обработки персональных данных Пользователей Сайта.
3. Пользователь — физическое лицо, использующее Сайт и/или личный кабинет, и предоставившее Оператору согласие на обработку своих персональных данных.
4. Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без них: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
5. Автоматизированная обработка — обработка с помощью средств вычислительной техники.
6. Обезличивание — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Пользователю.
7. Уничтожение персональных данных — действия, в результате которых персональные данные безвозвратно уничтожаются с невозможностью дальнейшего восстановления.
8. Трансграничная передача — передача персональных данных на территорию иностранного государства иностранному физическому или юридическому лицу.

3. Права и обязанности Оператора и Пользователей

3.1. Оператор имеет право:

• получать от Пользователей достоверные персональные данные, необходимые для оказания услуг;
• в случае отзыва Пользователем согласия на обработку персональных данных продолжить обработку без согласия при наличии законных оснований (например, для исполнения уже заключённого договора);
• самостоятельно определять состав и перечень мер, необходимых для обеспечения требований законодательства о персональных данных.

3.2. Оператор обязан:

• предоставлять Пользователю по его запросу информацию, касающуюся обработки его персональных данных;
• организовывать обработку в соответствии с действующим законодательством РФ;
• отвечать на обращения и запросы Пользователей в установленные законом сроки;
• сообщать в уполномоченный орган по защите прав субъектов персональных данных необходимую информацию в течение 10 (десяти) дней с момента получения соответствующего запроса;
• публиковать настоящую Политику и обеспечивать неограниченный доступ к ней;
• принимать правовые, организационные и технические меры для защиты персональных данных;
• прекращать обработку и уничтожать персональные данные в случаях, предусмотренных законом.

3.3. Пользователи имеют право:

• получать информацию об обработке своих персональных данных;
• требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными или незаконно полученными;
• отозвать согласие на обработку персональных данных;
• обжаловать действия или бездействие Оператора в Роскомнадзоре (rkn.gov.ru) или в судебном порядке.

3.4. Пользователи обязаны:

• предоставлять Оператору достоверные данные о себе при регистрации;
• сообщать Оператору об изменении своих персональных данных, если это влияет на качество оказываемых услуг.

4. Принципы обработки персональных данных

1. Обработка персональных данных осуществляется на законной и справедливой основе.
2. Обработка ограничивается достижением конкретных, заранее определённых и законных целей. Обработка, несовместимая с целями сбора, не допускается.
3. Не допускается объединение баз данных, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, отвечающие заявленным целям.
5. Объём обрабатываемых персональных данных соответствует заявленным целям. Избыточность не допускается.
6. При обработке обеспечивается точность и актуальность персональных данных.
7. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта, не дольше, чем этого требуют цели обработки. По достижении целей данные уничтожаются или обезличиваются.

5. Состав обрабатываемых персональных данных

Оператор обрабатывает следующие категории персональных данных, предоставленных Пользователем при регистрации и использовании Сайта:

6. Цели и правовые основания обработки

Оператор обрабатывает персональные данные в следующих целях и на следующих правовых основаниях:

1. Регистрация и аутентификация Пользователя на Сайте, ведение личного кабинета — основание: исполнение договора (ст. 6 ч. 1 п. 5 ФЗ № 152-ФЗ).
2. Оказание услуг по предоставлению доступа к онлайн-форуму «Бизнес с Китаем» и связанным материалам — основание: исполнение договора (ст. 6 ч. 1 п. 5 ФЗ № 152-ФЗ).
3. Информирование о ходе исполнения обязательств: подтверждение оплаты, ссылка на эфир, напоминание о начале Форума, ссылка на запись после Форума — основание: исполнение договора (ст. 6 ч. 1 п. 5 ФЗ № 152-ФЗ).
4. Восстановление доступа при утрате пароля — основание: исполнение договора (ст. 6 ч. 1 п. 5 ФЗ № 152-ФЗ).
5. Реферальная программа — учёт пригласившего, начисление виртуальных очков рейтинга, отображение базовых данных приглашённого Партнёру — основание: согласие субъекта (ст. 6 ч. 1 п. 1 ФЗ № 152-ФЗ).
6. Геймификация — формирование рангов, достижений, рейтинга сообщества — основание: согласие субъекта (ст. 6 ч. 1 п. 1 ФЗ № 152-ФЗ).
7. Безопасность — защита от перебора паролей, защита от мошеннических операций, расследование инцидентов — основание: законные интересы Оператора (ст. 6 ч. 1 п. 7 ФЗ № 152-ФЗ).
8. Соблюдение требований закона — налоговый учёт, ответы на запросы государственных органов в установленных законом случаях — основание: исполнение обязанности, возложенной законом (ст. 6 ч. 1 п. 2 ФЗ № 152-ФЗ).
9. Push-уведомления — отправляются только при явном разрешении Пользователя в настройках браузера и могут быть отозваны Пользователем самостоятельно в любой момент — основание: согласие субъекта (ст. 6 ч. 1 п. 1 ФЗ № 152-ФЗ).

7. Согласие на обработку и его отзыв

1. Согласие на обработку персональных данных предоставляется Пользователем при регистрации на Сайте путём проставления отметки в специальном поле формы регистрации с подтверждением ознакомления с настоящей Политикой и Договором публичной оферты.
2. Согласие является добровольным, конкретным, информированным и сознательным.
3. Пользователь вправе в любой момент отозвать согласие на обработку персональных данных, направив соответствующее заявление на адрес reklama.roman@mail.ru с пометкой «Отзыв согласия на ПД».
4. Отзыв согласия не влечёт автоматического удаления данных, необходимых для исполнения уже оплаченных услуг и соблюдения требований налогового и иного законодательства Российской Федерации, однако прекращает дальнейший сбор и использование данных в целях, выходящих за рамки указанных обязательств.
5. Согласие на отправку push-уведомлений предоставляется в момент нажатия кнопки «Включить уведомления» в личном кабинете и подтверждения разрешения в браузере. Это согласие может быть отозвано в любой момент в настройках браузера или путём отключения уведомлений в личном кабинете.

8. Передача персональных данных третьим лицам

Оператор передаёт персональные данные Пользователей следующим третьим лицам исключительно в объёме, необходимом для выполнения соответствующих функций:

1. Передача персональных данных третьим лицам в иных случаях допускается только при наличии соответствующего правового основания, установленного законодательством РФ.
2. Третьи лица, получившие доступ к персональным данным по поручению Оператора, обязаны соблюдать конфиденциальность полученной информации и обеспечивать её защиту в соответствии с требованиями применимого законодательства.
3. Оператор не передаёт и не продаёт персональные данные Пользователей в маркетинговых, рекламных или иных коммерческих целях третьим лицам, не указанным в настоящем разделе.

9. Трансграничная передача персональных данных

1. Оператор осуществляет трансграничную передачу персональных данных в Ирландию (Европейский Союз) при использовании сервиса Resend для отправки email-уведомлений.
2. Передача осуществляется на основании согласия Пользователя, явно выраженного при регистрации, и в объёме, минимально необходимом для отправки email (email-адрес и имя Пользователя, содержимое письма).
3. В остальных случаях трансграничная передача персональных данных Оператором не осуществляется.

10. Хранение и сроки

1. Персональные данные Пользователей хранятся:
   • Основное хранилище — защищённый сервер Оператора, расположенный на территории Российской Федерации;
   • Резервные копии — на том же сервере с разграничением доступа.
2. Хранение персональных данных осуществляется не дольше срока, необходимого для достижения целей обработки, или срока, установленного законом, договором или иными правовыми основаниями.
3. Сроки хранения по категориям:
   • Учётная запись и данные оплат — на протяжении всего срока действия учётной записи и 3 (трёх) лет после её удаления Пользователем (в целях соблюдения требований налогового законодательства).
   • Хеши паролей — на протяжении всего срока действия учётной записи; при сбросе пароля — старый хеш безвозвратно перезаписывается.
   • Токены сброса пароля — 1 (один) час с момента выпуска или до момента использования (что наступит раньше); затем помечаются как использованные и не подлежат восстановлению.
   • Логи входов и IP-адресов — 90 (девяносто) дней.
   • Push-подписки — до момента отзыва Пользователем или до момента, когда подписка становится невалидной (Push-провайдер возвращает ошибку 410 Gone).
4. По истечении срока хранения персональные данные уничтожаются или обезличиваются.

11. Меры защиты

1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа, уничтожения, изменения, блокирования, копирования и распространения.
2. К применяемым мерам защиты относятся:
   • передача данных между Пользователем и Сайтом по защищённому протоколу HTTPS с использованием современных версий TLS;
   • хранение паролей исключительно в виде криптографических хешей (алгоритм bcrypt) — пароль в открытом виде не хранится и не может быть восстановлен Оператором;
   • токены восстановления пароля хранятся в виде SHA-256-хешей со сроком действия 1 час и одноразовым использованием;
   • защита от перебора паролей: ограничение количества попыток входа на email и на IP-адрес;
   • защита от подделки реферальных переходов и CSRF-атак;
   • разграничение прав доступа к серверу — доступ к персональным данным имеют только Оператор и привлечённые им технические специалисты в рамках исполнения служебных обязанностей;
   • регулярное обновление программного обеспечения и операционной системы сервера;
   • резервное копирование с шифрованием;
   • журналирование действий с персональными данными.
3. В случае выявления факта неправомерного доступа к персональным данным Оператор уведомляет Роскомнадзор и затронутых Пользователей в порядке, предусмотренном Федеральным законом № 152-ФЗ.

12. Реализация прав субъекта персональных данных

Пользователь вправе в любое время:

1. Запросить информацию об обрабатываемых персональных данных — направив запрос на reklama.roman@mail.ru с пометкой «Запрос о ПД». Ответ предоставляется в течение 30 (тридцати) дней.
2. Потребовать удаления своих персональных данных — направив заявление на reklama.roman@mail.ru с пометкой «Удаление ПД». Оператор уничтожает данные в течение 30 (тридцати) дней, за исключением данных, хранение которых обязательно по закону или необходимо для завершения исполнения договора.
3. Отозвать согласие на обработку персональных данных — направив заявление с пометкой «Отзыв согласия на ПД».
4. Потребовать уточнения неверных данных — направив запрос с пометкой «Актуализация ПД»; либо самостоятельно изменить данные в личном кабинете (для тех полей, которые доступны для редактирования).
5. Отписаться от уведомлений — отозвать push-разрешение в браузере либо запросить прекращение email-рассылки. Транзакционные email (подтверждение оплаты, восстановление пароля) не относятся к рекламной рассылке и не отключаются.

При нарушении своих прав Пользователь вправе обратиться с жалобой в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): rkn.gov.ru.

13. Cookies и технические идентификаторы

1. Сайт использует cookie-файлы и технологию localStorage для:
   • поддержания сеанса входа в личный кабинет (cookie bmc_session);
   • запоминания реферального кода при первичном переходе на Сайт (cookie bmc_ref);
   • сохранения предпочтений интерфейса (тема оформления, флаг «push-уведомления отложены»);
   • сбора обезличенной аналитики (Яндекс.Метрика).
2. Cookie сеанса входа имеют атрибуты HttpOnly, Secure, SameSite=Lax и не доступны для чтения JavaScript-кодом сторонних доменов.
3. Пользователь вправе отключить cookies в настройках своего браузера. Отключение cookies приведёт к невозможности использования личного кабинета (для входа требуется cookie сессии).

14. Заключительные положения

1. Настоящая Политика вступает в силу с даты публикации и действует бессрочно до замены новой редакцией.
2. Оператор вправе вносить изменения в настоящую Политику. При существенных изменениях Пользователи уведомляются по электронной почте, указанной при регистрации, и/или через уведомление в личном кабинете. Продолжение использования Сайта после публикации изменений означает согласие Пользователя с новой редакцией.
3. По всем вопросам, связанным с обработкой персональных данных, Пользователь вправе обратиться к Оператору по контактам, указанным в реквизитах.

Реквизиты Оператора