Политика обработки информации

1.1. Настоящая Политика обработки информации (далее — «Политика») разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», иными нормативными правовыми актами Российской Федерации.

1.2. Политика применяется к интернет-сервису, размещённому по адресу atlorium.com (далее — «Сервис»). «Atlorium» используется в качестве коммерческого обозначения Сервиса в значении статьи 1538 Гражданского кодекса Российской Федерации.

1.3. Использование Сервиса в любой форме (в том числе просмотр страниц, обращение к программному интерфейсу, регистрация учётной записи) означает, что Пользователь ознакомлен с настоящей Политикой и принимает её условия. Если Пользователь не согласен с условиями — он обязан прекратить использование Сервиса.

1.4. Политика не распространяется на сторонние ресурсы и сервисы, ссылки на которые могут размещаться в Сервисе. Оператор не несёт ответственности за политики и практики таких ресурсов.

1.5. Оператор не проверяет достоверность сведений, сообщаемых Пользователем, и не имеет возможности оценивать его дееспособность; Оператор исходит из добросовестности Пользователя.

2.1. Оператором, осуществляющим обработку информации в рамках настоящей Политики, а также лицом, с которым Пользователь вступает в правоотношения при использовании Сервиса, является:

2.2. Оператор обеспечивает выполнение обязанностей, предусмотренных законодательством Российской Федерации в сфере обработки информации, в объёме, соответствующем фактически обрабатываемым сведениям.

3.1. Для целей настоящей Политики используются следующие термины:

4.1. Обработка осуществляется на следующих правовых основаниях:

• Конституция Российской Федерации (статьи 23, 24);
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 21.07.2014 № 242-ФЗ (требования к локализации хранения персональных данных граждан Российской Федерации);
• Гражданский кодекс Российской Федерации (часть IV — права на средства индивидуализации);
• заключение договора (Условия использования Сервиса) и его исполнение в качестве правового основания, предусмотренного п. 5 ч. 1 ст. 6 ФЗ-152 (если в составе обрабатываемой информации присутствуют персональные данные);
• законные интересы Оператора (п. 7 ч. 1 ст. 6 ФЗ-152) — обеспечение безопасности и работоспособности Сервиса.

5.1. Сведения обрабатываются исключительно в следующих целях:

• создание и обслуживание Учётной записи Пользователя, аутентификация при входе;
• предоставление функционала Сервиса в объёме, выбранном Пользователем (включая бесплатные и платные тарифы);
• учёт лимитов использования и тарификация платных функций;
• направление сервисных уведомлений (восстановление доступа, технические оповещения, изменения условий);
• обеспечение информационной безопасности и предупреждение злоупотреблений;
• исполнение требований применимого законодательства Российской Федерации.

5.2. Сервис не осуществляет веб-аналитику, поведенческое отслеживание (трекинг), рекламное профилирование и сбор статистики посещений с помощью каких-либо систем третьих лиц (включая, но не ограничиваясь: Google Analytics, Yandex Metrika, Plausible, Umami, Matomo, Adobe Analytics, Hotjar, Mixpanel, Amplitude и аналогичные сервисы). Обрабатываемые сведения не передаются третьим лицам для целей рекламы и не продаются. Маркетинговая рассылка не осуществляется. Подробное описание используемых технических cookie приведено в разделе 11.

6.1. Сервис придерживается принципа минимизации: собираются только сведения, необходимые для заявленных в разделе 5 целей.

6.2. Учётная запись физического лица, индивидуального предпринимателя, самозанятого:

• логин (произвольная строка, выбираемая Пользователем);
• адрес электронной почты (для входа, восстановления доступа и сервисных уведомлений);
• пароль — хранится в виде криптографического хеша (PBKDF2/HMAC-SHA256 или эквивалент); открытый пароль Оператору неизвестен и не сохраняется.

6.3. Учётная запись организации (юридического лица):

• логин;
• идентификационный номер налогоплательщика (ИНН) организации — реквизит юридического лица, относится к организации, а не к физическому лицу;
• адрес электронной почты;
• пароль (в виде хеша).

6.4. Оператор не запрашивает и не сохраняет следующие сведения, относящиеся к физическому лицу: фамилию, имя, отчество; паспортные данные; дату рождения; адрес проживания; ИНН физического лица или индивидуального предпринимателя; СНИЛС; номер телефона; платёжные реквизиты (карты, счета); биометрические данные; сведения о состоянии здоровья; сведения о расовой/этнической/религиозной принадлежности.

6.5. Правовая квалификация состава сведений по п. 6.2. Сервис исходит из того, что адрес электронной почты, сообщённый Пользователем, не сопоставляется Оператором с фамилией, именем, отчеством, паспортными данными, датой рождения или иными сведениями, прямо идентифицирующими физическое лицо, и не используется в совокупности с такими сведениями. При данных условиях обработки изолированный адрес электронной почты, не позволяющий по самой своей структуре определить конкретное физическое лицо, рассматривается Оператором как идентификатор Учётной записи. Оператор тем не менее применяет к таким сведениям меры защиты, установленные настоящей Политикой и применимым законодательством, как если бы они являлись персональными данными.

6.6. Технические данные, фиксируемые автоматически:

• IP-адрес обращения (используется для контроля лимитов, защиты от атак и расследования инцидентов);
• сведения о браузере (User-Agent), языковых предпочтениях;
• дата, время и адрес запрошенного ресурса (URL);
• служебные журналы ошибок и параметров запросов.

6.7. Запросы к функциям искусственного интеллекта. При использовании AI-функционала текст запроса (промпт) Пользователя передаётся внешнему провайдеру модели без идентификаторов Учётной записи, адреса электронной почты, IP-адреса и иных сведений, позволяющих сопоставить запрос с конкретным Пользователем. Содержание промпта определяется самим Пользователем; Пользователь обязуется не вводить в промпт чужие персональные данные либо сведения, составляющие охраняемую законом тайну.

6.8. Платёжная информация. Оператор не получает и не хранит реквизиты платёжных карт, счетов и иные платёжные реквизиты. Приём платежей осуществляется через лицензированного платёжного агрегатора (см. раздел 8); всю обработку платёжных данных осуществляет агрегатор в соответствии с собственной политикой и применимым законодательством.

7.1. Сведения Учётной записи обрабатываются и хранятся в течение всего срока действия учётной записи Пользователя. После удаления учётной записи (по инициативе Пользователя или Оператора в случаях, предусмотренных Условиями использования) сведения подлежат уничтожению в срок, не превышающий 30 (тридцати) календарных дней, за исключением сведений, которые Оператор обязан хранить в силу требований законодательства.

7.2. Технические журналы хранятся в течение срока, необходимого для целей информационной безопасности и расследования инцидентов (как правило, не более 12 месяцев), после чего подлежат удалению или обезличиванию.

7.3. Сведения, связанные с проведёнными платежами и налоговым учётом, хранятся в течение сроков, установленных Налоговым кодексом Российской Федерации и законодательством о бухгалтерском учёте (по общему правилу — 5 лет).

8.1. Оператор не передаёт сведения Пользователя третьим лицам, за исключением случаев, прямо предусмотренных настоящим разделом и применимым законодательством.

8.2. Платёжный агрегатор. Для приёма платежей по платным тарифам Сервис использует лицензированный платёжный сервис ООО НКО «Робокасса» (далее — «Агрегатор»). При совершении платежа Пользователь переходит на страницу Агрегатора и вводит платёжные реквизиты непосредственно на инфраструктуре Агрегатора. Оператор получает от Агрегатора только факт и сумму успешного платежа, идентификатор операции и идентификатор Учётной записи плательщика. Условия обработки платёжных сведений определяются политикой Агрегатора. Кассовый чек по требованиям Федерального закона от 22.05.2003 № 54-ФЗ формируется Агрегатором как платёжным агентом и направляется плательщику в порядке, установленном указанным законом.

8.3. Провайдеры функций искусственного интеллекта. При использовании AI-функционала текст запроса передаётся внешнему провайдеру (агрегатору моделей) в обезличенном виде согласно п. 6.7. Состав сведений, передаваемых провайдеру, не включает персональных данных Пользователя.

8.4. Государственные органы. Сведения могут быть предоставлены уполномоченным государственным органам на основании мотивированного запроса в порядке и пределах, установленных законодательством Российской Федерации.

8.5. Инфраструктурные подрядчики. Оператор может привлекать хостинг-провайдеров и поставщиков сетевой инфраструктуры исключительно для технического обеспечения работы Сервиса. Такие лица действуют по поручению Оператора и не вправе использовать сведения в собственных целях.

9.1. Серверная инфраструктура Сервиса размещена на территории Королевства Нидерландов — государства, обеспечивающего адекватную защиту прав субъектов персональных данных в значении части 4 статьи 12 Федерального закона № 152-ФЗ (Нидерланды как государство — участник Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 и член Европейского Союза, к которому применяются требования Регламента (ЕС) 2016/679 «GDPR»).

9.2. С учётом ограниченного состава сведений, обрабатываемых Сервисом (раздел 6), и применяемых принципов их обработки, Оператор обеспечивает соответствие требованиям части 5 статьи 18 Федерального закона № 152-ФЗ в отношении сведений, относящихся к персональным данным граждан Российской Федерации.

9.3. Трансграничная передача сведений осуществляется в порядке и с соблюдением условий, установленных статьёй 12 Федерального закона № 152-ФЗ. До начала такой передачи Оператор уведомляет уполномоченный орган в случаях, когда такое уведомление является обязательным.

10.1. Оператор принимает разумные и достаточные правовые, организационные и технические меры для защиты обрабатываемых сведений от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования и распространения.

10.2. Несмотря на принимаемые меры, ни один способ передачи и хранения данных в сети Интернет не является абсолютно безопасным. Оператор не гарантирует абсолютной защищённости и в максимально допустимом законодательством объёме не несёт ответственности за последствия событий, выходящих за пределы его разумного контроля.

11.1. Сервис использует файлы cookie и аналогичные технологии локального хранения (в частности, LocalStorage) исключительно для технического обеспечения собственной работы и в минимально необходимом объёме:

• сессионные cookie — для поддержания состояния авторизации после входа Пользователя;
• защитные токены — для защиты от подделки межсайтовых запросов (CSRF) и аналогичных атак;
• настройки интерфейса — для сохранения выбранного Пользователем языка интерфейса и аналогичных предпочтений (хранятся локально в браузере Пользователя).

11.2. Веб-аналитика и трекинг отсутствуют. Сервис не использует и не подключает системы веб-аналитики, статистики посещений, поведенческого отслеживания и пользовательских сессий, в том числе (но не ограничиваясь): Google Analytics, Yandex Metrika, Plausible, Umami, Matomo, Adobe Analytics, Hotjar, Mixpanel, Amplitude, Heap, Smartlook, FullStory и иные. На страницах Сервиса не размещаются пиксели рекламных сетей, теги отслеживания, сторонние трекинговые скрипты, fingerprinting-библиотеки и сервисы поведенческой аналитики. Сведения о Пользователях во внешние аналитические или рекламные системы не передаются.

11.3. Сторонние cookie. Сторонние cookie (third-party cookies) Сервисом не устанавливаются. Сторонние cookie могут быть установлены платёжным агрегатором (раздел 8.2) исключительно при переходе Пользователя на страницу оплаты — на инфраструктуре агрегатора и в соответствии с его собственной политикой; за указанные cookie Оператор ответственности не несёт.

11.4. Серверные технические журналы. Параметры обращений (IP-адрес, User-Agent, URL, дата и время, коды ответов, журналы ошибок) фиксируются на серверной стороне Сервиса в технических журналах (см. п. 6.6) исключительно для целей информационной безопасности и расследования инцидентов. Указанные журналы не передаются третьим лицам и не используются для построения профилей Пользователей.

11.5. Пользователь вправе отключить файлы cookie в настройках своего браузера. В этом случае часть функционала Сервиса (в первую очередь, требующая авторизации) может стать недоступной.

12.1. В отношении сведений, относящихся к персональным данным, Пользователь обладает правами, предусмотренными главой 3 Федерального закона № 152-ФЗ, в том числе:

12.2. Запрос направляется на адрес privacy@atlorium.com и должен содержать сведения, позволяющие идентифицировать Пользователя и его учётную запись (логин и/или адрес электронной почты, указанные при регистрации). Оператор отвечает в срок, установленный частью 1 статьи 14 и частью 4 статьи 20 Федерального закона № 152-ФЗ (как правило, в течение 10 рабочих дней с возможностью продления).

13.1. Оператор вправе вносить изменения в настоящую Политику. Действующая редакция размещается по адресу atlorium.com/privacy-policy; дата редакции указана в шапке документа.

13.2. О существенных изменениях, затрагивающих состав сведений или цели обработки, Пользователи уведомляются через интерфейс Сервиса и/или по адресу электронной почты, указанному при регистрации, не позднее чем за 7 (семь) календарных дней до вступления изменений в силу.

13.3. Продолжение использования Сервиса после вступления изменений в силу означает их принятие Пользователем. Если Пользователь не согласен с новой редакцией — он обязан прекратить использование Сервиса и вправе удалить учётную запись.

Жалобы, связанные с обработкой персональных данных, могут также быть направлены в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — уполномоченный орган по защите прав субъектов персональных данных.