Политика конфиденциальности

Оператором, осуществляющим обработку персональных данных пользователей сайта Diana Guide, является Индивидуальный предприниматель Карапунарлы Анна Михайловна (далее — «Оператор», «мы»).

ИНН: 500917893038. ОГРНИП: 323508100697536. Расчётный счёт и иные банковские реквизиты опубликованы на странице «Реквизиты».

Контакты по вопросам обработки персональных данных: hello@dianaguide.com. Почтовый адрес Оператора для письменных обращений сообщается по запросу через указанный email.

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и определяет порядок обработки и защиты персональных данных физических лиц, взаимодействующих с сайтом Diana Guide и связанными сервисами.

Политика распространяется на все процессы обработки персональных данных в рамках сайта: публичные страницы и формы обратной связи, регистрация и личный кабинет, оформление подписки Diana Guide, разовая покупка отдельных гидов, доступ к закрытым материалам, обращения в поддержку и почтовые рассылки.

Используя сайт, субъект персональных данных подтверждает, что ознакомлен с настоящей Политикой и принимает её условия. Если пользователь не согласен с условиями обработки, ему следует прекратить использование сайта.

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Обработка персональных данных — любое действие или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без таковых, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Субъект персональных данных — физическое лицо, к которому относятся обрабатываемые персональные данные. Применительно к Diana Guide — посетитель сайта, зарегистрированный пользователь, подписчик, покупатель гида или лицо, обращающееся в поддержку.

Оператор — лицо, организующее и/или осуществляющее обработку персональных данных, а также определяющее цели и состав обработки. Оператор указан в разделе 1.

Обработка персональных данных осуществляется на следующих основаниях, предусмотренных ст. 6 152-ФЗ:

Согласие субъекта персональных данных (п. 1 ч. 1 ст. 6) — для маркетинговых рассылок, аналитики посещений и иных целей, требующих явного согласия. Согласие может быть отозвано в любой момент в порядке, указанном в разделе 11.

Исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6) — для регистрации аккаунта, активации подписки, активации доступа к приобретённому гиду, доставки сервисных уведомлений, обработки возвратов.

Выполнение возложенных на Оператора законом обязанностей (п. 2 ч. 1 ст. 6) — для формирования и хранения первичных учётных документов, выставления фискальных чеков по Федеральному закону № 54-ФЗ, выполнения требований налогового законодательства.

Защита прав и законных интересов Оператора (п. 7 ч. 1 ст. 6) — для предотвращения злоупотреблений, мошенничества, нарушений работы сервиса.

Посетители сайта без регистрации: IP-адрес, данные о браузере и устройстве (user-agent, разрешение экрана, язык), идентификаторы сессии в cookies, страницы посещений, источник перехода. Источник: автоматический сбор при заходе на сайт.

Зарегистрированные пользователи: имя, адрес электронной почты, хешированный пароль, дата и время регистрации, статус подтверждения email, история входов. Источник: указываются пользователем при регистрации и входе.

Подписчики Diana Guide: данные зарегистрированного пользователя, а также идентификатор и статус подписки, выбранный тариф, период действия, идентификаторы платежей у платёжного провайдера, история продлений, способ оплаты (без полного номера карты). Источник: формируются при оформлении подписки.

Покупатели отдельных гидов: данные зарегистрированного пользователя, перечень приобретённых гидов, идентификаторы платежей, даты активации и окончания доступа. Источник: формируются при оформлении покупки.

Лица, обращающиеся через формы обратной связи или по электронной почте: имя, email, содержание обращения, прикреплённые материалы. Источник: указываются заявителем.

Биометрические и иные специальные категории персональных данных Оператором не обрабатываются.

Создание и обслуживание аккаунта пользователя, вход в систему, восстановление доступа, подтверждение адреса электронной почты.

Оформление и поддержание подписки Diana Guide, активация и контроль платного доступа, обработка автоматических списаний и отмен.

Оформление и активация разовой покупки отдельных гидов, контроль срока доступа (12 месяцев с момента подтверждения платежа).

Выставление и доставка фискальных чеков в соответствии с Федеральным законом от 22.05.2003 № 54-ФЗ, формирование и хранение учётных документов.

Обработка обращений пользователей, в том числе запросов на возврат денежных средств в соответствии с Законом РФ от 07.02.1992 № 2300-1 «О защите прав потребителей».

Направление сервисных уведомлений (изменение условий доступа, успешная оплата, истечение срока подписки или доступа к гиду, ответы поддержки).

При наличии отдельного согласия — направление информационных и маркетинговых рассылок (новости редакции, анонсы новых материалов и гидов).

Обеспечение технической работоспособности и безопасности сервиса, предотвращение злоупотреблений и автоматизированных атак.

Деперсонализированная статистика посещений и поведенческая аналитика для улучшения сайта.

Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Обработка осуществляется как с использованием средств автоматизации (через информационные системы Оператора и привлекаемых обработчиков), так и без них (например, при обработке письменных обращений).

Оператор не принимает решений, порождающих юридические последствия для субъекта или иным образом затрагивающих его права и законные интересы, исключительно на основании автоматизированной обработки персональных данных.

Данные аккаунта (имя, email, пароль) — в течение всего срока действия аккаунта и в течение 3 (трёх) лет после его удаления, на случай рассмотрения возможных претензий.

Данные об оплаченных подписках и покупках гидов, фискальные документы — в течение 5 (пяти) лет с даты последней операции, в соответствии с требованиями налогового законодательства РФ (п. 1 ст. 23 НК РФ).

Технические логи доступа (IP-адреса, сессии, ошибки) — в течение 6 (шести) месяцев с момента события.

Cookies — в течение срока, указанного в самом файле cookie (как правило, от одной сессии браузера до 1 года). Технические сессионные cookies удаляются при выходе из аккаунта.

Согласие на маркетинговую рассылку — до момента отзыва согласия.

Содержание обращений в поддержку — 3 (три) года с даты последнего сообщения по обращению.

По истечении срока хранения персональные данные подлежат удалению или обезличиванию.

Оператор привлекает третьих лиц (обработчиков) для технического обеспечения сервиса. Каждому обработчику передаётся только тот объём данных, который необходим для выполнения его функции, на основании договора (поручения на обработку), требующего соблюдения конфиденциальности и обеспечения безопасности данных.

Платёжный провайдер: сервис Robokassa (оператор: ООО «РОБОКАССА», ИНН 5047063929, ОГРН 1055009302215, юридический адрес: 115054, г. Москва, Стремянный переулок, д. 26) — обработка платежей по подписке и разовым покупкам гидов. Передаются: имя, email, сумма и валюта платежа, идентификаторы заказа. Полные данные банковских карт обрабатываются исключительно на стороне провайдера и Оператору не передаются.

Сервис отправки транзакционных писем (Resend, Inc., США) — доставка писем подтверждения email, восстановления пароля, сервисных уведомлений и фискальных чеков. Передаются: имя, email, текст сообщения.

Хостинг и инфраструктура (Vercel Inc., США) — размещение сайта и обработка веб-запросов. Передаются: IP-адрес, данные браузера, содержимое запросов и ответов в рамках работы сайта.

Аналитика посещений (Vercel Analytics) — деперсонализированная статистика посещений без сопоставления с конкретными пользователями.

База данных пользователей и заказов размещается у инфраструктурного провайдера на условиях, обеспечивающих конфиденциальность хранимой информации.

Передача данных государственным органам осуществляется в случаях и в порядке, прямо установленных законом.

При использовании привлекаемых обработчиков, технические серверы которых могут располагаться за пределами Российской Федерации, может осуществляться трансграничная передача персональных данных.

Такая передача осуществляется на основании ст. 12 152-ФЗ — при наличии согласия субъекта персональных данных и/или для исполнения договора, стороной которого является субъект.

Перечень государств, на территории которых может осуществляться обработка, и сведения о подаче уведомления о трансграничной передаче персональных данных в Роскомнадзор сообщаются по запросу через email Оператора.

Сайт использует cookies — небольшие текстовые файлы, сохраняемые в браузере пользователя — для обеспечения работы аккаунта, сохранения авторизации, защиты от автоматизированных атак, корректного отображения интерфейса и сбора деперсонализированной статистики посещений.

Обязательные технические cookies: сессионный токен авторизации (имя файла зависит от конфигурации провайдера аутентификации) — необходим для работы аккаунта и оплаты; без него вход и доступ к платным материалам невозможны.

Аналитические cookies: устанавливаются сервисом Vercel Analytics для подсчёта деперсонализированных показателей посещений (без сопоставления с конкретным пользователем).

Пользователь вправе самостоятельно управлять cookies через настройки своего браузера: блокировать установку, удалять сохранённые файлы, разрешать выборочно. При полном отключении cookies отдельные функции сайта, включая вход в аккаунт, могут работать некорректно или быть недоступны.

Передача данных между браузером пользователя и сайтом осуществляется по защищённому протоколу HTTPS с использованием TLS-шифрования.

Пароли пользователей хранятся в виде криптографических хешей и не доступны Оператору в открытом виде.

Доступ к административным и техническим системам Оператора ограничен и предоставляется на основании ролевой модели; действия в административной панели логируются.

Регулярно выполняется обновление используемого программного обеспечения, мониторинг технических уязвимостей и резервное копирование данных.

Полные данные банковских карт Оператором не собираются, не передаются и не хранятся.

Субъект персональных данных вправе в соответствии со ст. 14 152-ФЗ:

— получать сведения о факте обработки своих персональных данных Оператором, целях, способах, сроках обработки, а также о привлекаемых обработчиках;

— требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— отозвать ранее данное согласие на обработку персональных данных;

— требовать прекращения обработки персональных данных в случаях, предусмотренных законом;

— обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) либо в судебном порядке.

Запросы, заявления и отзыв согласия направляются субъектом персональных данных на электронную почту Оператора: hello@dianaguide.com. Письменные обращения принимаются по почтовому адресу Оператора, сообщаемому по запросу.

Обращение должно содержать: фамилию, имя, отчество (при наличии); реквизиты документа, удостоверяющего личность, или иные сведения, позволяющие однозначно идентифицировать субъекта; сведения, подтверждающие участие в отношениях с Оператором (например, email, использованный для регистрации); собственноручную подпись для письменных обращений либо аналог такой подписи для электронных.

Ответ направляется в течение 30 (тридцати) дней с момента получения обращения в соответствии с ч. 4 ст. 14 152-ФЗ.

Отзыв согласия на обработку персональных данных означает прекращение использования данных в целях, для которых требовалось согласие. Данные, необходимые для исполнения договора и выполнения требований закона, могут продолжать обрабатываться на соответствующих правовых основаниях.

В случае выявления неправомерной или случайной передачи персональных данных, повлёкшей их уничтожение, изменение, блокирование, копирование, предоставление или распространение, Оператор уведомляет Роскомнадзор в течение 24 (двадцати четырёх) часов с момента выявления инцидента, а в течение 72 (семидесяти двух) часов — направляет результаты внутреннего расследования.

Затронутые субъекты персональных данных уведомляются без необоснованной задержки в случаях, когда инцидент может создать угрозу их правам и законным интересам.

Сервис Diana Guide ориентирован на родителей и других взрослых пользователей, выбирающих материалы и среду для ребёнка. Регистрация аккаунта и оформление платных услуг доступны лицам, достигшим возраста, с которого они вправе самостоятельно заключать такие договоры в соответствии с законодательством РФ.

Оператор не собирает целенаправленно персональные данные несовершеннолетних. Пользователей просим не передавать через сайт персональные данные детей сверх того, что необходимо для конкретного обращения.

Оператор вправе вносить изменения в настоящую Политику. Актуальная версия Политики всегда публикуется на этой странице с указанием даты последнего обновления.

О существенных изменениях, затрагивающих права субъектов персональных данных, Оператор уведомляет зарегистрированных пользователей через личный кабинет или по электронной почте.