Политика конфиденциальности приложения «КтоВзял»

Настоящая Политика конфиденциальности (далее — «Политика») описывает, какие персональные данные обрабатываются в мобильном приложении «КтоВзял» (учёт и контроль выдачи инструмента, далее — «Приложение»), с какими целями, на каком основании, кому передаются и как защищаются.

Политика подготовлена в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»).

1. Оператор персональных данных

Оператором персональных данных пользователей Приложения является:

• Индивидуальный предприниматель Дудка Евгений Борисович
• ИНН: 550705849536
• ОГРНИП: 318554300072580
• Адрес: Омская область, город Омск
• Контактный e-mail по вопросам обработки персональных данных: privacy@ktovzyal.ru

Далее — «Оператор», «мы».

2. Основные понятия

• Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных).
• Обработка ПДн — любое действие с ПДн: сбор, запись, хранение, изменение, использование, передача, удаление.
• Пользователь — лицо, зарегистрировавшее учётную запись в Приложении (как правило, собственник или прораб строительной/инженерной бригады).
• Сотрудники Пользователя — физические лица, сведения о которых Пользователь вносит в Приложение в качестве справочника для учёта выдачи инструмента.

3. Категории субъектов и состав обрабатываемых данных

3.1. Пользователь (владелец учётной записи)

При регистрации и использовании Приложения обрабатываются:

• адрес электронной почты или номер телефона (в зависимости от выбранного способа входа);
• пароль (хранится исключительно в виде криптографического хеша, в открытом виде не хранится и нам недоступен);
• название компании, указанное при регистрации;
• при входе через Google — основные данные профиля Google (адрес электронной почты, имя), предоставляемые сервисом Google в процессе авторизации.

3.2. Сотрудники Пользователя (справочник)

Пользователь может вносить в Приложение данные о своих сотрудниках:

• фамилия, имя, отчество;
• номер телефона;
• должность;
• фотография (по усмотрению Пользователя).

Эти данные вносятся Пользователем самостоятельно. Ответственность за наличие правового основания (в том числе согласия сотрудников) на внесение и обработку их персональных данных несёт Пользователь как лицо, определяющее цели обработки в своей хозяйственной деятельности. В отношении таких данных мы выступаем как лицо, осуществляющее обработку по поручению Пользователя.

3.3. Иные данные, вносимые Пользователем

Сведения об инструменте (наименование, модель, инвентарный номер, фото, заметки), объектах (название, адрес) и журнал перемещений. Эти данные, как правило, не являются персональными, однако адрес объекта может обрабатываться внешним картографическим сервисом (см. раздел 6).

3.4. Технические данные

Для работы с сервером и обеспечения безопасности могут обрабатываться технические данные соединения (IP-адрес, дата и время запросов). Приложение не использует рекламные идентификаторы и сторонние системы аналитики/трекинга.

4. Цели обработки

• регистрация и аутентификация Пользователя, предоставление доступа к учётной записи;
• предоставление основной функциональности Приложения: учёт инструмента, ведение справочников сотрудников и объектов, выдача/возврат инструмента, история перемещений;
• определение координат и отображение объекта на карте по введённому адресу;
• обеспечение безопасности, предотвращение несанкционированного доступа;
• восстановление доступа (сброс пароля), направление сервисных уведомлений.

5. Правовые основания обработки

• согласие субъекта персональных данных (ст. 6 ч. 1 п. 1 152-ФЗ) — предоставляется при регистрации и использовании Приложения;
• исполнение договора (пользовательского соглашения), стороной которого является субъект;
• законные интересы Оператора в обеспечении работоспособности и безопасности сервиса, не нарушающие прав субъектов.

В отношении данных сотрудников правовое основание обеспечивает Пользователь (раздел 3.2).

6. Передача данных третьим лицам

Мы не продаём персональные данные и не передаём их третьим лицам, кроме случаев, описанных ниже и необходимых для работы Приложения:

• Хостинг-провайдер (Cloud.ru, Российская Федерация). Данные хранятся на серверах Оператора, размещённых в инфраструктуре российского облачного провайдера на территории РФ.
• Яндекс (ООО «Яндекс»). При вводе адреса объекта и работе с картой адрес передаётся в сервисы Яндекс.Карт (геокодирование, подсказки адреса, статические карты) для определения координат и отображения карты. Передаётся только текст адреса; ФИО и контактные данные сотрудников в эти сервисы не передаются.
• Google LLC. Только если Пользователь выбирает вход через Google — авторизация выполняется на стороне Google в соответствии с политикой конфиденциальности Google.
• Оператор связи / SMS-провайдер. При входе по номеру телефона номер передаётся провайдеру для доставки одноразового кода подтверждения.

7. Трансграничная передача и местонахождение данных

Персональные данные граждан Российской Федерации записываются, систематизируются, накапливаются и хранятся с использованием баз данных, расположенных на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ). Трансграничная передача данных в целях основной работы Приложения не осуществляется (за исключением случаев, когда сам Пользователь добровольно выбирает вход через Google).

8. Сроки хранения

Персональные данные хранятся в течение срока использования Приложения и до момента удаления учётной записи Пользователем либо по его запросу. После удаления учётной записи связанные данные удаляются в разумный срок, за исключением случаев, когда хранение требуется законодательством.

9. Меры защиты

• передача данных между Приложением и сервером выполняется по защищённому протоколу HTTPS/TLS;
• доступ к данным изолирован между компаниями на уровне базы данных (Row-Level Security): каждый Пользователь видит только данные своей компании;
• пароли хранятся в виде криптографических хешей;
• доступ к серверной инфраструктуре ограничен и защищён.

10. Доступ к данным на устройстве

• Контакты — только для удобного добавления сотрудника из адресной книги. Выбранные данные контакта используются для заполнения карточки сотрудника; адресная книга целиком не выгружается и не сохраняется на сервере.
• Камера / Галерея — для добавления фотографии инструмента или сотрудника. Съёмка выполняется через стороннее приложение камеры устройства; отдельное разрешение «Камера» Приложением не запрашивается.

Эти разрешения можно отозвать в настройках устройства; соответствующие функции станут недоступны.

11. Права субъекта персональных данных

Вы имеете право:

• получить информацию об обработке ваших персональных данных;
• требовать уточнения, блокирования или удаления данных, если они неполны, устарели, неточны или обрабатываются с нарушением закона;
• отозвать согласие на обработку персональных данных;
• обжаловать действия Оператора в Роскомнадзоре или в судебном порядке.

Для реализации прав направьте обращение на privacy@ktovzyal.ru. Мы ответим в сроки, установленные 152-ФЗ.

12. Удаление данных и учётной записи

Вы можете запросить удаление учётной записи и связанных с ней данных, направив обращение на privacy@ktovzyal.ru с адреса электронной почты (или с указанием номера телефона), использованного при регистрации. После подтверждения личности учётная запись и связанные данные будут удалены.

13. Дети

Приложение предназначено для использования в профессиональной деятельности и не адресовано лицам младше 18 лет. Мы не осуществляем целенаправленный сбор данных несовершеннолетних.

14. Изменения Политики

Мы можем обновлять настоящую Политику. Актуальная редакция всегда доступна по постоянной ссылке, указанной в карточке Приложения в магазине и в самом Приложении. Дата последнего обновления указана в начале документа.

15. Контакты

• e-mail: privacy@ktovzyal.ru
• Оператор: Индивидуальный предприниматель Дудка Евгений Борисович, ИНН 550705849536, ОГРНИП 318554300072580