Политика обработки персональных данных

Оператор — Индивидуальный предприниматель Шашков Егор Леонидович, ИНН 461107464616, ОГРНИП 321463200046106, адрес: г. Москва, Скандинавский бульвар, д. 17. Контактный email по вопросам обработки персональных данных: support@momentbook.ru.

Сайт / Сервис — сайт https://beframe.io и связанные с ним программные продукты Оператора (личный кабинет, онлайн-редактор, мобильное приложение, чат поддержки).

Пользователь — любое физическое лицо, посещающее Сайт, регистрирующееся в Сервисе, оформляющее заказ или иным образом взаимодействующее с Сервисом.

Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому Пользователю.

Используя Сайт, Пользователь подтверждает, что ознакомился с настоящей Политикой и согласен с условиями обработки своих персональных данных в порядке, описанном ниже.

Оператор обрабатывает персональные данные на следующих основаниях:

• согласие субъекта персональных данных, выражаемое путём заполнения форм на Сайте, регистрации в Личном кабинете, оформления заказа, подписки на рассылку или продолжения использования Сайта;
• исполнение договора, стороной которого является Пользователь — в первую очередь Публичной оферты (см. Публичная оферта);
• исполнение требований законодательства РФ (бухгалтерский, налоговый учёт, защита прав потребителей);
• законные интересы Оператора и третьих лиц — обеспечение безопасности Сервиса, противодействие мошенничеству, аналитика и улучшение качества услуг.

Оператор обрабатывает данные следующих категорий лиц:

• посетители Сайта (включая неавторизованных пользователей);
• зарегистрированные пользователи Личного кабинета;
• покупатели изделий и получатели заказов;
• авторы обращений в чат поддержки, формы обратной связи, email;
• подписчики email- и push-рассылок;
• лица, изображённые на загружаемых пользователями фотографиях (обработка осуществляется для исполнения заказа, см. п. 11).

Оператор обрабатывает только те данные, которые необходимы для целей обработки. Конкретный перечень зависит от взаимодействия Пользователя с Сервисом.

Идентификационные данные

• фамилия, имя, отчество (при добровольном указании);
• адрес электронной почты;
• номер телефона или Telegram-логин;
• дата регистрации в Сервисе.

Платёжно-заказные данные

• состав, конфигурация и сумма заказа;
• адрес доставки и контактные данные получателя;
• история заказов, бонусный/денежный баланс Личного кабинета;
• применённые промокоды и подарочные сертификаты.

Реквизиты банковских карт Оператор не получает и не хранит. Оплата проводится непосредственно на стороне платёжного провайдера ООО «Озон Платежные Системы» (Ozon Acquiring); Оператор получает только подтверждение факта платежа.

Контентные данные

• фотографии и иные изображения, загружаемые Пользователем для изготовления заказа;
• метаданные (EXIF) загружаемых изображений;
• тексты подписей, комментариев и иной пользовательский контент;
• конфигурации макетов, созданных в онлайн-редакторе.

Технические данные

• IP-адрес и сведения о провайдере;
• User-Agent (тип и версия браузера, ОС, устройства);
• идентификаторы cookies и аналогичные технологии;
• время и факт входа в Личный кабинет.

Поведенческая аналитика

• события Яндекс.Метрики (счётчик 104046831), включая Вебвизор — запись действий Пользователя на странице (нажатия, прокрутка, ввод в поля без значения паролей и платёжных данных);
• переходы между страницами, источники трафика (UTM-метки, referrer);
• результаты A/B-тестов и эксперименты в интерфейсе.

Технические ошибки

• данные об ошибках клиентской и серверной части, собираемые сервисом Sentry: тип ошибки, стек вызова, контекст, фрагменты URL и идентификатор пользователя.

Оператор обрабатывает персональные данные для следующих целей:

• регистрация и аутентификация Пользователя в Личном кабинете, восстановление доступа;
• приём, оформление, оплата, изготовление и доставка заказа, включая взаимодействие с курьерскими службами и службами маркетплейсов;
• исполнение требований налогового и бухгалтерского законодательства (хранение первичных документов);
• предоставление поддержки через чат, email и телефон, обработка обращений и претензий;
• отправка транзакционных сообщений (статусы заказа, технические уведомления, восстановление пароля);
• отправка маркетинговых рассылок и push-уведомлений — только при наличии отдельного согласия, с возможностью отписаться в любой момент;
• анализ посещаемости и поведения для улучшения интерфейса, исправления ошибок и развития новых функций;
• обеспечение информационной безопасности Сервиса, противодействие мошенничеству, защита от ботов и автоматизированных атак.

• Аккаунт и профиль. До удаления аккаунта по запросу Пользователя или до 1 года после последнего входа при признаках утраты интереса; после этого данные обезличиваются либо удаляются.
• Данные заказов и первичные документы. Не менее 5 лет с даты оформления заказа — в соответствии с требованиями ст. 23 НК РФ и Федерального закона «О бухгалтерском учёте».
• Загруженные фотографии и макеты. Хранятся в период исполнения заказа и в течение 12 месяцев после доставки — чтобы обеспечить переделку при браке и повторный заказ. По истечении срока удаляются автоматически. Пользователь может запросить удаление раньше — см. п. 11.
• История чата поддержки. До 2 лет с момента последнего сообщения — для контроля качества и обучения операторов.
• Маркетинговые согласия. До отзыва согласия Пользователем (через ссылку «Отписаться» в письме либо в настройках Личного кабинета).
• Cookies. В течение срока жизни конкретного cookie или до явного отказа Пользователя в настройках браузера.

Оператор привлекает третьих лиц к обработке персональных данных на основании договоров поручения (ч. 3 ст. 6 152-ФЗ). Полный перечень обработчиков:

О трансграничной передаче. При взаимодействии с Sentry и Firebase данные могут передаваться в страны, не входящие в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных по ст. 12 152-ФЗ (страна получателя — Германия и США соответственно). Передача осуществляется только в объёме, необходимом для целей мониторинга ошибок и доставки push-уведомлений, на основании согласия Пользователя, выраженного при использовании соответствующего функционала.

Оператор не передаёт персональные данные иным третьим лицам без отдельного согласия Пользователя, за исключением случаев, предусмотренных законодательством РФ (запросы уполномоченных государственных органов).

Серверы Оператора и объектное хранилище (S3-совместимое) физически размещены на территории Российской Федерации (дата-центры FirstVDS) — в соответствии с ч. 5 ст. 18 152-ФЗ. Резервные копии также хранятся в РФ.

Оператор применяет следующие меры защиты персональных данных:

• ограничение доступа сотрудников к персональным данным по принципу минимально необходимого; доступ предоставляется только на основании внутренних регламентов;
• обязательство о неразглашении конфиденциальной информации со всеми сотрудниками и подрядчиками;
• журналирование действий пользователей административной панели;
• передача данных по защищённым каналам с использованием TLS;
• хранение паролей в виде криптографических хэшей с солью, без возможности восстановления исходного значения;
• использование JWT и сессионных токенов с ограниченным сроком действия;
• регулярное резервное копирование и контроль целостности.

Сайт использует следующие категории cookies:

• Строго необходимые. Авторизация, корзина, чат поддержки, защита от CSRF. Отключение этих cookies сделает работу Сайта невозможной.
• Аналитические. Cookies Яндекс.Метрики (`_ym_*`) — анонимная аналитика посещаемости.
• Функциональные. Сохранение пользовательских настроек: темы оформления, последнего просмотренного шаблона, языковых предпочтений.

Пользователь может в любой момент удалить cookies или настроить браузер на их блокировку. Это может привести к ограничению функциональности Сайта.

В соответствии со ст. 14, 20, 21 152-ФЗ Пользователь имеет право:

• получать информацию об обработке своих персональных данных, включая основания и цели обработки, перечень обрабатываемых данных, источники их получения, сроки обработки и хранения;
• требовать уточнения, блокирования или уничтожения своих данных;
• отзывать согласие на обработку персональных данных;
• требовать прекращения обработки в маркетинговых целях (отписаться от рассылок, отключить push-уведомления);
• обжаловать действия или бездействие Оператора в Роскомнадзоре (rkn.gov.ru) или в судебном порядке.

Для реализации прав следует направить обращение на адрес support@momentbook.ru либо на почтовый адрес: г. Москва, Скандинавский бульвар, д. 17. В обращении необходимо указать ФИО, контактные данные для ответа, суть требования и сведения, позволяющие идентифицировать Пользователя в Сервисе (например, email учётной записи). Срок ответа — 30 дней с момента получения обращения.

Фотографии и иные изображения, которые Пользователь загружает в Сервис для изготовления заказа, обрабатываются на следующих принципах:

• изображения используются исключительно для целей создания макета, изготовления и доставки заказа Пользователя;
• изображения не используются Оператором для маркетинга, демонстрации в портфолио, обучения моделей машинного обучения или иных целей без отдельного письменного согласия Пользователя;
• доступ к загруженным изображениям имеет ограниченный круг сотрудников, выполняющих pre-press, печать и контроль качества;
• изображения хранятся в защищённом объектном хранилище в РФ в течение срока, указанного в п. 6, после чего удаляются автоматически;
• Пользователь может в любой момент запросить досрочное удаление изображений (после выполнения заказа), направив обращение на support@momentbook.ru.

Загружая фотографии, на которых изображены другие люди, Пользователь подтверждает, что получил их согласие на обработку изображений в соответствии со ст. 152.1 Гражданского кодекса РФ. Ответственность за наличие такого согласия несёт Пользователь.

Сервис не предназначен для самостоятельного использования лицами, не достигшими 14 лет. При оформлении заказов на изделия с фотографиями детей (например, выпускных альбомов школ и детских садов) договор заключается с совершеннолетним заказчиком — родителем, законным представителем или представителем учебного заведения. Заказчик подтверждает, что получил согласие законных представителей детей, изображённых на загружаемых фотографиях, на обработку их изображений в целях исполнения заказа.

Сведения об Операторе включены в Реестр операторов, осуществляющих обработку персональных данных, ведение которого возложено на Роскомнадзор (pd.rkn.gov.ru/operators-registry/operators-list).

Если на момент чтения Политики номер ещё не присвоен или не обновлён в реестре — Пользователь может уточнить статус регистрации, направив обращение на support@momentbook.ru.

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда доступна по адресу https://beframe.io/privacy с указанием даты последнего обновления. О существенных изменениях Оператор уведомляет Пользователей через Сайт; при наличии email — также письмом.

Продолжение использования Сайта после публикации новой редакции означает согласие Пользователя с изменениями.

По всем вопросам, связанным с обработкой персональных данных:

• email: support@momentbook.ru;
• почтовый адрес: г. Москва, Скандинавский бульвар, д. 17;
• страница «Контакты» на этом сайте: /contacts.