политика в отношении обработки персональных данных

1. Общие положения

Настоящая Политика конфиденциальности (далее – «Политика») разработана в соответствии с Федеральным законом № 152‑ФЗ «О персональных данных», Приказами Роскомнадзора № 18 (от 24.02.2021) и № 180 (от 28.10.2022), а также с учётом рекомендаций Tilda Publishing и типовых требований к договорам с операторами-подрядчиками.

1.1. Используемые термины:

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
Оператор – Индивидуальный предприниматель Мифтахутдинов Евгений Шайхутдинович (ИНН 772270798772, ОГРНИП 313774634501892), определяющий цели и способы обработки ПДн.
Обработка ПДн – любое действие или совокупность действий с ПДн (сбор, хранение, передача, удаление и пр.).
Субъект ПДн – физическое лицо, чьи ПДн обрабатываются Оператором.
Обработка по поручению Оператора – действия третьих лиц по обработке ПДн по договору с Оператором.

1.2. Цель Политики – защитить права субъектов ПДн и определить порядок обработки, хранения и защиты данных.
1.3. Политика распространяется на все ПДн, получаемые Оператором через сайт на платформе Tilda, электронную почту, телефон, мессенджеры и иные каналы связи.

2. Основные понятия, используемые в Политике

2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
2.3. Веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу allmusic-studio.ru.
2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.6. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта allmusic-studio.ru.
2.9. Пользователь — любой посетитель веб-сайта allmusic-studio.ru.
2.10. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.11. Распространение персональных данных — любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.12. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.13. Уничтожение персональных данных — любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

3. Оператор может обрабатывать следующие персональные данные Пользователя

3.1. Категории ПДн:

ФИО, дата рождения, паспортные данные;
Контактные данные: e‑mail, телефон, почтовый адрес;
Платёжные данные (реквизиты банковских карт, оплаты услуг);
Иные данные, предоставляемые Субъектом добровольно.

3.2. Источники получения:

Непосредственно от Субъекта (формы обратной связи, договоры, e‑mail);
От третьих лиц (подрядчиков, исполнителей).

3.3. Cookies и аналогичные технологии:

Сайт использует cookie для работы, аналитики, маркетинга и персонализации;
Собираются данные о настройках, предпочтениях, геолокации, IP, источниках перехода;
Управление cookie через настройки браузера; отключение может ограничить функциональность; Подробнее – в отдельной Политике cookie на сайте Оператора.

3.4. Оператор обеспечивает точность, актуальность и достаточность обрабатываемых персональных данных; Субъект обязан своевременно уведомлять Оператора об изменениях своих данных.

Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.

4. Основания и Цели обработки персональных данных

4.1. Основания обработки:

Согласие Субъекта (п. 1 ст. 6 ФЗ‑152);
Исполнение договора (п. 2 ст. 6 ФЗ‑152);
Выполнение обязанностей Оператора (п. 3 ст. 6 ФЗ‑152);
Требования законодательства (п. 1 ст. 10 ФЗ‑152).

4.2. Цели обработки:

Уточнение деталей заказа;
Заключение и исполнение договоров;
Поддержка обратной связи и рассылки;
Приглашения на мероприятия;
Взаимодействие с подрядчиками;
Отчётность (налоговая, статистическая);
Маркетинговые рассылки с согласия Субъекта.

4.3. Оператор не использует методы автоматизированного принятия решений, включая профилирование, которые могут существенно влиять на права и законные интересы Субъекта персональных данных.

4.4. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты hello@allmusic-studio.ru с пометкой «Отказ от уведомлениях о новых продуктах и услугах и специальных предложениях»

4.5. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

5. СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Сроки хранения (Приказы РКН № 18 и № 180):

Контактные данные: 3 года с последнего контакта;
Паспортные данные, ИНН, СНИЛС: 75 лет;
Договоры с физ. лицами: 5 лет после окончания;
Договоры с юр. лицами: 6 лет после окончания;
Платёжные документы: 5 лет;
Специальные категории данных: 5 лет после завершения;
Журнал инцидентов ИБ: 5 лет;
Резервные копии: до 72 ч после восстановления.

5.2. По истечении сроков данные уничтожаются или обезличиваются.

6.Защита персональных данных

6.1. Технические меры:

Передача данных по HTTPS (TLS 1.2+);
Tilda Publishing: хранение ПДн пользователей из РФ – на сертифицированных ФСТЭК дата‑центрах АО «Селектел» и ООО «Яндекс.Облако» (соглашения об обеспечении безопасности);
Bitrix24: хранение на сертифицированных ФСТЭК дата‑центрах 1С‑Битрикс:
АО «Корп Софт»: г. Москва, Коровинское ш., 41; ул. 8 Марта, 14; ул. Бутлерова, 7;
ООО «Цифровое облако»: г. Москва, пр. Мира, 105, стр. 6; Коровинское ш., 41; Чермянская ул., 4;
Возможен экспорт сайта и БД на сертифицированные ЦОД ФСТЭК/ФСБ по запросу Оператора;
Резервное копирование с возможностью восстановления в течение 72 ч, копии шифруются AES‑256;
Доступ к админ‑панелям и CRM – с 2FA и сложными паролями;
Сеть защищена файрволом и IDS (требования ФСТЭК);
Передача файлов – через SFTP (SSH шифрование).

6.2. Организационные меры:

Принцип минимизации доступа – только необходимый круг сотрудников;
Инструктажи по ИБ и ПДн – не реже 1 раза в полугодие;
Внутренний аудит ИБ – 1 раз в полугодие (отчёт по утверждённой форме);
Ответственное лицо назначено (раздел 6);
Процедуры приёма/хранения электронных носителей с ПДн;
Запрет на хранение ПДн на персональных ПК без централизованного хранилища.

6.3. Реагирование на инциденты (утечки):

Инцидент – любое несанкционированное действие с ПДн;
Уведомление РКН и ФСБ/ФСТЭК – не позднее 24 ч;
Журнал инцидентов ИБ: дата, время, вид, охваченные данные, принятые меры;
Анализ причин и корректирующие меры – отчёт в течение 10 рабочих дней;
При необходимости – внеплановый аудит.

7. Ответственное лицо за обработку персональных данных

7.1. Ответственное лицо:
Мифтахутдинов Евгений Шайхутдинович, индивидуальный предприниматель.
E‑mail: hello@allmusic-studio.ru
Телефон: +7 (916) 505‑82‑70
Адрес: 124527, г. Москва, Зеленоград, корп. 847, кв. 62.
7.2. Обязанности:

Контроль за выполнением Политики;
Информирование сотрудников об изменениях законодательства;
Проведение проверок защищённости ПДн;
Участие в аудитах и актуализация Политики;
Организация обучения сотрудников.

8.Передача персональных данных третьим лицам

8.1. Возможные случаи передачи:

По требованию госорганов;
С согласия Субъекта;
По договору об обработке ПДн (ст. 6, 18.1 ФЗ‑152).

8.2. Текущий перечень подрядчиков:

Tilda Publishing – пользовательское соглашение: https://tilda.ru/ru/terms/; обязательства: шифрование, резервное копирование, удаление ПДн по запросу;
Bitrix24 – DPA от 01.06.2020 (ред. 30.05.2025): https://www.bitrix24.ru/about/dpa_pers.php, https://www.bitrix24.ru/about/privacy.php; обязательства: сертифицированные ЦОД ФСТЭК, TLS 1.2+, удаление по запросу;
Индивидуальные подрядчики (звукорежиссёры, дизайнеры, фотографы) – договоры об оказании услуг: минимальный набор ПДн, обязательства по неразглашению и удалению после завершения работ.

8.3. Содержание типового договора:

Перечень категорий ПДн;
Цели обработки;
Требования к конфиденциальности и шифрованию;
Запрет передачи без согласия;
Порядок уведомления о нарушениях;
Условия удаления/возврата ПДн;
Ответственность сторон;
Информация о местонахождении серверов.

9. Согласие субъекта персональных данных

9.1. Согласие даётся при подаче заявки или подписании договора:

Отметка в электронной форме;
Подпись на бумаге;
Подтверждение по e‑mail.

9.2. Отзыв согласия возможен в любое время через e‑mail hello@allmusic-studio.ru. После отзыва обработка прекращается, за исключением случаев, предусмотренных законом.

10. Права и обязанности субъектов персональных данных

10.1. Права Субъекта:

Получить информацию об обработке;
Требовать уточнения, блокирования, уничтожения;
Отозвать согласие;
Получить копию своих персональных данных в доступной форме;
Требовать ограничения обработки своих персональных данных;
Обжаловать нарушения в РКН или суде.

10.2. Обязанности Оператора:

Предоставлять информацию о ПДн;
Обеспечивать защиту и конфиденциальность;
Реагировать на запросы не позднее 30 дн;
Прекратить обработку после отзыва согласия (если нет оснований продления).

11. Трансграничная передача персональных данных

11.1. Данные могут передаваться:

На сервера Tilda Publishing (ЕС, США) – трансграничная передача осуществляется только при наличии заключённого соглашения об обработке персональных данных (Data Processing Agreement), обеспечивающего уровень защиты, эквивалентный требованиям ФЗ-152, и (если требуется) полученного согласия Субъекта на такую передачу.
На сертифицированные ЦОД РФ (по запросу Оператора).

11.2. Передача в страны без адекватной защиты – только по специальному соглашению, обеспечивающему уровень защиты по ФЗ‑152.

12. Порядок уведомления в Роскомнадзор о статусе Оператора

12.1. Уведомление о начале обработки – не позднее 10 дн (ст. 19.3 ФЗ‑152).
12.2. Содержательные требования:

Факт и цели обработки;
Перечень ПДн;
Меры защиты;
Сведения о трансграничной передаче;
Информация о ЦОД;
Контакты ответственного лица.

12.3. Способы подачи:

Через ЕСИА (Госуслуги);
Прямая форма на сайте РКН: https://pd.rkn.gov.ru/operators-registry/notification/form/ (доступно с IP РФ или VPN);
Бумажный вариант – заказным письмом.

12.4. Корректирующее уведомление при изменениях (ч. 7 ст. 22 ФЗ‑152) – не позднее 15 дня месяца после изменений.
12.5. Изменения, требующие уведомления:

Реквизиты Оператора;
Цели обработки;
Меры защиты;
Контакты ответственного;
Начало/окончание обработки;
Трансграничная передача;
Местонахождение ЦОД.

13. Изменение Политики конфиденциальности

13.1. Оператор вправе вносить изменения – дата вступления в силу указывается в заголовке.
13.2. Новая редакция публикуется на сайте, Субъекты ПДн уведомляются по e‑mail.

14. Контактная информация и реквизиты

Оператор (ИП):
Индивидуальный предприниматель Мифтахутдинов Евгений Шайхутдинович
Юридический адрес: 124527, г. Москва, Зеленоград, корп. 847, кв. 62
ИНН: 772270798772
ОГРНИП: 313774634501892

Ответственное лицо:
Мифтахутдинов Евгений Шайхутдинович, ИП
E‑mail: hello@allmusic-studio.ru
Телефон: +7 (916) 505‑82‑70
Дата вступления в силу: 30.05.2025