Политика конфиденциальности — понятное руководство по защите данных и соблюдению нормативных требований

Проверяйте свою политику конфиденциальности каждые 90 дней, чтобы убедиться, что она точно отражает, как мы собираем, используем и передаем данные в наших сервисах.

См. также: Понимание нашей политики конфиденциальности.

Ведите учет операций обработки данных, документируя категории данных, цели, законные основания, получателей, трансграничные передачи и сроки хранения. Эта прозрачность помогает командам соответствовать политике и упрощает аудит.

Минимизация данных и ограничение целей определяют, что мы собираем и почему. Мы храним только то, что строго необходимо для *предусмотренных* целей, и настраиваем параметры по умолчанию для ограничения сбора дополнительных данных.

Предоставьте четкий механизм **обработки прав** пользователей для запроса доступа, исправления, удаления, переносимости и возражения. Отвечайте в течение 30 дней и эскалируйте сложные запросы.

Меры безопасности включают шифрование при передаче (TLS 1.2+) и при хранении (AES-256), многофакторную аутентификацию для администраторов и ролевой контроль доступа. Проводите ежеквартальные проверки и своевременно управляйте патчами для снижения рисков.

Согласие и договоры обеспечивают документирование сбора данных на основе согласия, позволяют его отозвать и поддерживать соглашения об обработке данных с каждым внешним *обработчиком*, работающим с нашими данными.

План **реагирования на утечки данных**: определите рабочие процессы обнаружения, уведомляйте власти в течение 72 часов, где это требуется, и информируйте затронутых пользователей при высоком риске. Ведите журналы инцидентов и проводите обзоры после инцидентов в течение 30 дней.

Хранение и удаление устанавливают графики хранения, автоматизируют удаление по окончании сроков и надежно уничтожают резервные копии. Проверяйте хранимые данные не реже двух раз в год, чтобы предотвратить избыточное хранение.

Управление: назначьте ответственного за конфиденциальность или *сотрудника по защите данных*, проводите ежегодное обучение персонала и требуйте проведения Оценка воздействия на защиту данных (DPIA) для проектов с высокой степенью риска. Ведите проверяемый журнал для обеспечения подотчетности.

Какую информацию мы собираем и почему?

Проверьте настройки своей учетной записи, чтобы понять, что мы собираем и почему, чтобы вы могли контролировать разрешения и защищать свою конфиденциальность. Эта информация предназначена для вашей защиты и улучшения наших услуг.

Какую информацию мы собираем

• Личная информация: Имя, адрес электронной почты, номер телефона, изображение профиля и идентификатор пользователя. Эти данные предназначены для вашей идентификации и управления доступом, и мы гарантируем, что наши услуги работают для вас бесперебойно.
• Данные об использовании: Посещенные страницы, использованные функции, поисковые запросы и временные метки взаимодействия. Мы собираем их для повышения надежности и производительности, а также для персонализации вашего опыта.
• Данные устройства и подключения: IP-адрес, тип браузера, операционная система, язык, часовой пояс и идентификаторы устройства. Это помогает нам точно доставлять контент и выявлять проблемы.
• Данные о местоположении: Приблизительное местоположение на основе IP-адреса или явно предоставленное пользователем местоположение. Это позволяет использовать локализованные функции и ускорить поддержку.
• Платежная информация: Токены от платежных процессоров, сведения о подписке и последние четыре цифры. Мы не храним полные номера карт; токены и ссылки используются для безопасной обработки платежей.
• Коммуникации: Сообщения в службу поддержки, отзывы и ответы на опросы. Мы сохраняем их для решения проблем и улучшения наших услуг.
• Файлы cookie и технологии отслеживания: Идентификаторы и аналитические данные для анализа использования сайта и производительности услуг. Вы можете управлять предпочтениями для контроля сбора данных.

Почему мы собираем данные

• Для предоставления и эксплуатации наших услуг: Обеспечение доступа, поддержание функциональности и удовлетворение ваших потребностей.
• Для персонализации вашего опыта: Рекомендация контента и настройка макетов на основе использования.
• Для защиты вас и наших систем: Обнаружение мошеннической деятельности, обеспечение соблюдения политик и поддержание безопасности.
• Для анализа и улучшения: Проведение аналитики для понимания вовлеченности, надежности и роста.
• Для соблюдения законов и контрактов: Хранение записей, как того требуют законы, и реагирование на законные запросы.
• Для связи: Информирование вас об обновлениях, техническом обслуживании и важных уведомлениях, касающихся вашей учетной записи и услуг.

Вы можете осуществлять контроль, просматривая и обновляя свои данные в настройках, экспортируя копию или запрашивая удаление. Вы можете изменить настройки файлов cookie и связаться с нашей командой по конфиденциальности с запросами или вопросами.

Как долго хранится информация и как ее можно удалить?

Установите 30-дневный срок для удаления персональных данных после запроса на удаление и включите удаление в один клик в настройках вашей учетной записи, чтобы предоставить пользователям прямой контроль.

Наша политика призвана сбалансировать конфиденциальность с удобством использования. Данные, хранящиеся в наших сервисах, хранятся только до тех пор, пока это необходимо для работы сервиса, обработки запросов и соблюдения юридических обязательств. Мы регулярно пересматриваем настройки хранения для снижения рисков и повышения безопасности, а наши процессы спроектированы для надежной работы во всех частях нашей системы.

Сроки хранения данных в зависимости от типа данных

Персональные данные, такие как идентификаторы и контактные данные, удаляются в течение 30 дней после запроса на удаление или закрытия учетной записи, если более длительный срок не требуется для завершения конкретной транзакции или соблюдения законного обязательства.

Платежные и транзакционные записи хранятся в течение семи лет для удовлетворения налоговых, аудиторских и нормативных требований; по возможности, данные минимизируются, а доступ ограничивается в течение этого периода.

Данные об использовании и аналитика хранятся в форме, поддерживающей улучшения услуг; необработанные журналы могут храниться до 90 дней, в то время как анонимизированные агрегаты хранятся дольше только в случае необходимости для отслеживания безопасности и производительности.

Резервные копии содержат данные в течение до 90 дней в зашифрованном хранилище; после окончания срока хранения резервные копии уничтожаются, а новые резервные копии не включают удаленный контент.

Как работает удаление

Пользователи могут инициировать удаление через настройки учетной записи или связавшись со службой поддержки. После подтверждения процесс удаления запускается и завершается в течение 30 дней, удаляя данные из активных систем и уничтожая их из связанных служб.

В процессе обработки данные могут быть деактивированы в рабочих средах для предотвращения дальнейшего использования, а любые данные, хранящиеся в резервных копиях, обрабатываются в соответствии с правилами хранения. Вы получите подтверждение после завершения удаления, а также сводку того, что было удалено.

Каковы цели и законные основания для обработки?

Определите каждую цель обработки и прикрепите законное основание перед сбором данных.

При документировании своих практик убедитесь, что цели ясны, ограничены необходимым и соответствуют ожиданиям пользователей. Наши предполагаемые операции обработки сопоставлены с законными основаниями, а действующая политика подчеркивает прозрачность, минимизацию и подотчетность. Это сопоставление помогает пользователям понять, почему данные используются и какие элементы управления применяются.

Для эффективной реализации следуйте этим шагам: определите категории данных, укажите цели, назначьте законные основания, установите сроки хранения и предоставьте уведомление простым языком. Сделайте согласие по-настоящему добровольным и документируйте варианты отзыва, чтобы пользователи могли отказаться в любое время.

Сопоставление целей с законными основаниями

Цель	Законное основание	Собираемые данные	Срок хранения	Примечания
Создание и управление учетной записью	Исполнение договора	Электронная почта, имя пользователя, пароль, данные профиля	До удаления учетной записи; резервные копии до 90 дней	Обеспечивает безопасный доступ и поддержку клиентов
Обработка платежей и выполнение заказов	Исполнение договора	Способ оплаты, платежный адрес, история заказов	7 лет	Поддерживает финансовое соответствие и отслеживаемость
Предотвращение мошенничества и безопасность	Законные интересы	Данные об использовании, IP-адрес, идентификаторы устройств, метаданные транзакций	6-24 месяца	Сбалансировано с правами пользователей и минимизацией данных
Маркетинговые коммуникации (с согласия)	Согласие	Электронная почта, предпочтения, взаимодействия	До отзыва согласия	Простой отказ от подписки и точное управление предпочтениями
Соблюдение законодательства и нормативных требований	Юридическая обязанность	Записи об учетных записях, сообщения, налоговые данные	Как требуется по закону (обычно 6-7 лет)	Включает обработку запросов субъектов данных

Какие меры безопасности защищают вашу информацию и что произойдет в случае утечки?

См. также: Реестр конечных бенефициаров Кипра: что нужно знать компаниям.

См. также: Информация об оффшорных банковских счетах.

Включите двухфакторную аутентификацию для всех сервисов, чтобы добавить критически важный уровень защиты. Наши меры безопасности разработаны для обеспечения защиты ваших данных в соответствии с намерениями.

Мы шифруем данные при хранении с помощью AES-256 и при передаче с помощью TLS 1.2+, а также хешируем и добавляем "соль" к паролям с помощью bcrypt. Контроль доступа основан на RBAC, MFA для конфиденциальных действий и строгом управлении сеансами для минимизации рисков. Наши системы отслеживаются 24/7 автоматизированной аналитикой, которая генерирует оповещения при аномальном поведении.

Мы сегментируем сети, развертываем межсетевой экран веб-приложений (WAF) и поддерживаем систему обнаружения/предотвращения вторжений (IDS/IPS), непрерывное управление патчами и уязвимостями. Критические уязвимости устраняются в течение 24 часов; внешние тесты на проникновение проводятся ежеквартально, а ежегодные аудиты SOC 2 Type II подтверждают эффективность мер контроля.

Резервные копии шифруются и хранятся в нескольких регионах с RTO (время восстановления) 4 часа и RPO (точка восстановления) 60 минут. Мы храним журналы в течение 12 месяцев для поддержки расследований, соблюдения нормативных требований и улучшения услуг. Наша обработка данных минимизирует личные данные на основе принципа «необходимо знать» и использует псевдонимизацию, где это возможно.

В случае утечки наша команда по реагированию на инциденты работает над локализацией инцидента и уведомлением затронутых пользователей в течение 72 часов, предоставляя четкие инструкции по сбросу учетных данных и мониторингу учетных записей. Мы публикуем обновления об утечках на нашей странице статуса и предоставляем персонализированную помощь через наш портал конфиденциальности.

Чтобы помочь нам защитить вашу информацию, включите MFA, еженедельно просматривайте активность учетной записи, включите оповещения и обновляйте свои устройства. Используйте надежные, уникальные пароли и избегайте повторного использования учетных данных в разных сервисах. Если вы заметили необычную активность, немедленно сообщите об этом через наши каналы поддержки, чтобы мы могли быстро отреагировать.

С кем мы делимся информацией и как мы проверяем сторонних обработчиков?

Мы делимся информацией только с надежными поставщиками услуг, которые помогают нам предоставлять наши услуги и обеспечивать надежную работу. Перед обменом мы определяем, какие данные необходимы, и проверяем, что партнеры работают — под четкими, поддающимися принудительному исполнению инструкциями. Мы требуем, чтобы они имели доступ к данным только в том объеме, который необходим для выполнения их задач, и обрабатывали их в соответствии с намерениями.

Проверяйте сторонних обработчиков с помощью формализованного рабочего процесса: определяйте категории получателей, оценивайте риски, проверяйте меры безопасности и подтверждайте доступ субобработчиков. Мы проверяем, что поставщики поддерживают шифрование при передаче и хранении, ограничивают доступ и имеют процедуры уведомления об утечках.

Соглашения об обработке данных четко определяют роли, правила обработки данных и меры безопасности. Они охватывают минимизацию данных, сроки хранения, удаление при прекращении действия договора, правила субобработки, трансграничные передачи с гарантиями и ответственность за нарушения.

Мониторинг и аудит: Мы проводим ежегодные проверки, запрашиваем подтверждения и отслеживаем отчеты об инцидентах. Мы требуем уведомлений в установленные сроки и проверяем доказательства применения мер контроля. Мы ведем актуальный список субобработчиков и уведомляем клиентов об изменениях.

Практические шаги для клиентов: запрашивайте DPA, проверяйте субобработчиков, уточняйте сроки хранения данных и понимайте поддержку прав субъектов данных. Если поставщик не может предоставить четкую документацию, смените поставщика.

Какие права у вас есть и как их реализовать (доступ, удаление, возражение)?

Подайте запрос на доступ непосредственно из панели управления вашей учетной записью или на адрес [email protected], чтобы начать. Мы отвечаем в течение 30 дней, и вы получите копию в формате CSV или JSON с категориями, источниками и получателями. Эта политика дает вам контроль в соответствии с намерениями, гарантирует, что наши услуги четкие и удобные в использовании.

Ваши права в общих чертах

Доступ: Вы можете просматривать данные, которые мы храним о вас, включая сведения профиля, журналы активности и любую информацию, которую вы предоставили в формах. Удаление: Вы можете запросить удаление данных из активных систем, при условии соблюдения юридических обязательств и законных деловых потребностей. Возражение: Вы можете возражать против обработки, включая прямое маркетинговое воздействие или обработку, основанную на наших законных интересах. Мы удовлетворим обоснованные запросы, которые не противоречат этим обязательствам.

Как реализовать каждое право

Запросы на доступ: подтвердите свою личность с помощью минимального набора идентификаторов (имя, адрес электронной почты, идентификатор учетной записи) и подайте запрос через свою учетную запись или на адрес [email protected]. Мы предоставим экспорт данных в предпочитаемом вами формате в течение 30 дней и краткое изложение целей, категорий и получателей.

Запросы на удаление: подтвердите личность, укажите данные или объем для удаления, и мы удалим их из активных систем в течение 30 дней, за исключением случаев, когда срок хранения требуется по закону или для завершения транзакции. Вы получите подтверждение после завершения удаления; данные в резервных копиях могут быть уничтожены в течение последующего периода в соответствии с нашей политикой хранения.

Запросы на возражение: опишите обработку, против которой вы возражаете, и предпочитаете ли вы немедленное прекращение или временную приостановку. Мы приостановим обработку на время рассмотрения и ответим в течение 30 дней; если мы определим обоснованную причину для продолжения, мы уведомим вас и предоставим обоснование. Вы также можете обновить предпочтения в своей учетной записи, чтобы прекратить маркетинговые коммуникации.

Как мы обновляем Политику и проверяем постоянное соблюдение конфиденциальности?

Рекомендация по внедрению: Настройте ежеквартальный цикл пересмотра политики и автоматическое отслеживание изменений. Наши услуги работают в соответствии с намерениями, когда мы следуем этому подходу — четкое версионирование, межфункциональное согласование и своевременное уведомление пользователей.

Мы обновляем политику посредством документированного, проверяемого процесса, который соответствует обработке данных в наших продуктах и услугах. Каждое обновление проходит определенные этапы, от триггеров до публикации, чтобы мы поддерживали точность и подотчетность.

Рабочий процесс обновления

• Триггеры для обновления включают изменения в законодательстве, новые потоки данных, запуск новых функций или изменения у поставщиков. Мы составляем изменения с кратким резюме и сопоставляем затронутые разделы с операциями обработки.
• Контроль версий и журнал изменений: каждое обновление создает новую версию с датой, объемом и доступностью для пользователей.
• Утверждение заинтересованными сторонами: конфиденциальность, юристы, безопасность, продуктовый отдел и инженеры проводят обзор и утверждают изменения.
• Оценка воздействия: повторно оцениваем цели, категории данных, сроки хранения и законные основания; обеспечиваем согласованность наших услуг и операций обработки.
• Документация: обновляем DPIA, карты данных, соглашения с поставщиками и графики хранения; прикрепляем подтверждающие материалы к записи политики.
• Публикация и информирование: публикуем пересмотренную политику на нашем сайте и уведомляем пользователей через примечания к выпуску или встроенные уведомления.
• Доступность и интероперабельность: обеспечиваем машиночитаемые форматы и четкие ссылки на связанные политики.

Постоянная проверка

1. Ежеквартальные проверки конфиденциальности сравнивают фактические операции обработки с политикой; оперативно устраняйте пробелы.
2. Ежегодные оценки третьими сторонами, когда это требуется по нормативным актам или договорам; соответствующим образом обновляйте меры контроля.
3. Регулярное обучение персонала и проверка завершенных модулей; отслеживайте процент выполнения.
4. KPI по конфиденциальности: время ответа на запросы субъектов данных, управление согласием, локализация инцидентов и уведомления об утечках.
5. Аудиторские журналы: ведите централизованный журнал изменений и историю версий для внутренних обзоров и внешних аудитов.
6. Постоянное совершенствование: собирайте отзывы от пользователей и команд; внедряйте улучшения в следующем цикле.