политика в отношении обработки персональных данных

1. Общие положения
Настоящая Политика конфиденциальности (далее – «Политика») разработана в соответствии с Федеральным законом № 152‑ФЗ «О персональных данных», Приказами Роскомнадзора № 18 (от 24.02.2021) и № 180 (от 28.10.2022), а также с учётом рекомендаций Tilda Publishing и типовых требований к договорам с операторами-подрядчиками.
1.1. Используемые термины:
  • Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
  • Оператор – Индивидуальный предприниматель Мифтахутдинов Евгений Шайхутдинович (ИНН 772270798772, ОГРНИП 313774634501892), определяющий цели и способы обработки ПДн.
  • Обработка ПДн – любое действие или совокупность действий с ПДн (сбор, хранение, передача, удаление и пр.).
  • Субъект ПДн – физическое лицо, чьи ПДн обрабатываются Оператором.
  • Обработка по поручению Оператора – действия третьих лиц по обработке ПДн по договору с Оператором.
1.2. Цель Политики – защитить права субъектов ПДн и определить порядок обработки, хранения и защиты данных.
1.3. Политика распространяется на все ПДн, получаемые Оператором через сайт на платформе Tilda, электронную почту, телефон, мессенджеры и иные каналы связи.
2. Основные понятия, используемые в Политике
2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
2.3. Веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу allmusic-studio.ru.
2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.6. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта allmusic-studio.ru.
2.9. Пользователь — любой посетитель веб-сайта allmusic-studio.ru.
2.10. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.11. Распространение персональных данных — любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.12. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.13. Уничтожение персональных данных — любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
3. Оператор может обрабатывать следующие персональные данные Пользователя
3.1. Категории ПДн:
  • ФИО, дата рождения, паспортные данные;
  • Контактные данные: e‑mail, телефон, почтовый адрес;
  • Платёжные данные (реквизиты банковских карт, оплаты услуг);
  • Иные данные, предоставляемые Субъектом добровольно.
3.2. Источники получения:
  • Непосредственно от Субъекта (формы обратной связи, договоры, e‑mail);
  • От третьих лиц (подрядчиков, исполнителей).
3.3. Cookies и аналогичные технологии:
  • Сайт использует cookie для работы, аналитики, маркетинга и персонализации;
  • Собираются данные о настройках, предпочтениях, геолокации, IP, источниках перехода;
  • Управление cookie через настройки браузера; отключение может ограничить функциональность; Подробнее – в отдельной Политике cookie на сайте Оператора.

3.4. Оператор обеспечивает точность, актуальность и достаточность обрабатываемых персональных данных; Субъект обязан своевременно уведомлять Оператора об изменениях своих данных.

Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.
4. Основания и Цели обработки персональных данных
4.1. Основания обработки:
  • Согласие Субъекта (п. 1 ст. 6 ФЗ‑152);
  • Исполнение договора (п. 2 ст. 6 ФЗ‑152);
  • Выполнение обязанностей Оператора (п. 3 ст. 6 ФЗ‑152);
  • Требования законодательства (п. 1 ст. 10 ФЗ‑152).
4.2. Цели обработки:
  • Уточнение деталей заказа;
  • Заключение и исполнение договоров;
  • Поддержка обратной связи и рассылки;
  • Приглашения на мероприятия;
  • Взаимодействие с подрядчиками;
  • Отчётность (налоговая, статистическая);
  • Маркетинговые рассылки с согласия Субъекта.

4.3. Оператор не использует методы автоматизированного принятия решений, включая профилирование, которые могут существенно влиять на права и законные интересы Субъекта персональных данных.

4.4. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты hello@allmusic-studio.ru с пометкой «Отказ от уведомлениях о новых продуктах и услугах и специальных предложениях»

4.5. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
5. СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Сроки хранения (Приказы РКН № 18 и № 180):
  • Контактные данные: 3 года с последнего контакта;
  • Паспортные данные, ИНН, СНИЛС: 75 лет;
  • Договоры с физ. лицами: 5 лет после окончания;
  • Договоры с юр. лицами: 6 лет после окончания;
  • Платёжные документы: 5 лет;
  • Специальные категории данных: 5 лет после завершения;
  • Журнал инцидентов ИБ: 5 лет;
  • Резервные копии: до 72 ч после восстановления.
5.2. По истечении сроков данные уничтожаются или обезличиваются.
6.Защита персональных данных
6.1. Технические меры:
  • Передача данных по HTTPS (TLS 1.2+);
  • Tilda Publishing: хранение ПДн пользователей из РФ – на сертифицированных ФСТЭК дата‑центрах АО «Селектел» и ООО «Яндекс.Облако» (соглашения об обеспечении безопасности);
  • Bitrix24: хранение на сертифицированных ФСТЭК дата‑центрах 1С‑Битрикс:
  • АО «Корп Софт»: г. Москва, Коровинское ш., 41; ул. 8 Марта, 14; ул. Бутлерова, 7;
  • ООО «Цифровое облако»: г. Москва, пр. Мира, 105, стр. 6; Коровинское ш., 41; Чермянская ул., 4;
  • Возможен экспорт сайта и БД на сертифицированные ЦОД ФСТЭК/ФСБ по запросу Оператора;
  • Резервное копирование с возможностью восстановления в течение 72 ч, копии шифруются AES‑256;
  • Доступ к админ‑панелям и CRM – с 2FA и сложными паролями;
  • Сеть защищена файрволом и IDS (требования ФСТЭК);
  • Передача файлов – через SFTP (SSH шифрование).
6.2. Организационные меры:
  • Принцип минимизации доступа – только необходимый круг сотрудников;
  • Инструктажи по ИБ и ПДн – не реже 1 раза в полугодие;
  • Внутренний аудит ИБ – 1 раз в полугодие (отчёт по утверждённой форме);
  • Ответственное лицо назначено (раздел 6);
  • Процедуры приёма/хранения электронных носителей с ПДн;
  • Запрет на хранение ПДн на персональных ПК без централизованного хранилища.
6.3. Реагирование на инциденты (утечки):
  • Инцидент – любое несанкционированное действие с ПДн;
  • Уведомление РКН и ФСБ/ФСТЭК – не позднее 24 ч;
  • Журнал инцидентов ИБ: дата, время, вид, охваченные данные, принятые меры;
  • Анализ причин и корректирующие меры – отчёт в течение 10 рабочих дней;
  • При необходимости – внеплановый аудит.
7. Ответственное лицо за обработку персональных данных
7.1. Ответственное лицо:
Мифтахутдинов Евгений Шайхутдинович, индивидуальный предприниматель.
E‑mail: hello@allmusic-studio.ru
Телефон: +7 (916) 505‑82‑70
Адрес: 124527, г. Москва, Зеленоград, корп. 847, кв. 62.
7.2. Обязанности:
  • Контроль за выполнением Политики;
  • Информирование сотрудников об изменениях законодательства;
  • Проведение проверок защищённости ПДн;
  • Участие в аудитах и актуализация Политики;
  • Организация обучения сотрудников.
8.Передача персональных данных третьим лицам
8.1. Возможные случаи передачи:
  • По требованию госорганов;
  • С согласия Субъекта;
  • По договору об обработке ПДн (ст. 6, 18.1 ФЗ‑152).
8.2. Текущий перечень подрядчиков:
  • Tilda Publishing – пользовательское соглашение: https://tilda.ru/ru/terms/; обязательства: шифрование, резервное копирование, удаление ПДн по запросу;
  • Bitrix24 – DPA от 01.06.2020 (ред. 30.05.2025): https://www.bitrix24.ru/about/dpa_pers.php, https://www.bitrix24.ru/about/privacy.php; обязательства: сертифицированные ЦОД ФСТЭК, TLS 1.2+, удаление по запросу;
  • Индивидуальные подрядчики (звукорежиссёры, дизайнеры, фотографы) – договоры об оказании услуг: минимальный набор ПДн, обязательства по неразглашению и удалению после завершения работ.
8.3. Содержание типового договора:
  • Перечень категорий ПДн;
  • Цели обработки;
  • Требования к конфиденциальности и шифрованию;
  • Запрет передачи без согласия;
  • Порядок уведомления о нарушениях;
  • Условия удаления/возврата ПДн;
  • Ответственность сторон;
  • Информация о местонахождении серверов.
9. Согласие субъекта персональных данных
9.1. Согласие даётся при подаче заявки или подписании договора:
  • Отметка в электронной форме;
  • Подпись на бумаге;
  • Подтверждение по e‑mail.
9.2. Отзыв согласия возможен в любое время через e‑mail hello@allmusic-studio.ru. После отзыва обработка прекращается, за исключением случаев, предусмотренных законом.
10. Права и обязанности субъектов персональных данных
10.1. Права Субъекта:
  • Получить информацию об обработке;
  • Требовать уточнения, блокирования, уничтожения;
  • Отозвать согласие;
  • Получить копию своих персональных данных в доступной форме;
  • Требовать ограничения обработки своих персональных данных;
  • Обжаловать нарушения в РКН или суде.
10.2. Обязанности Оператора:
  • Предоставлять информацию о ПДн;
  • Обеспечивать защиту и конфиденциальность;
  • Реагировать на запросы не позднее 30 дн;
  • Прекратить обработку после отзыва согласия (если нет оснований продления).
11. Трансграничная передача персональных данных
11.1. Данные могут передаваться:
  • На сервера Tilda Publishing (ЕС, США) – трансграничная передача осуществляется только при наличии заключённого соглашения об обработке персональных данных (Data Processing Agreement), обеспечивающего уровень защиты, эквивалентный требованиям ФЗ-152, и (если требуется) полученного согласия Субъекта на такую передачу.
  • На сертифицированные ЦОД РФ (по запросу Оператора).
11.2. Передача в страны без адекватной защиты – только по специальному соглашению, обеспечивающему уровень защиты по ФЗ‑152.
12. Порядок уведомления в Роскомнадзор о статусе Оператора
12.1. Уведомление о начале обработки – не позднее 10 дн (ст. 19.3 ФЗ‑152).
12.2. Содержательные требования:
  • Факт и цели обработки;
  • Перечень ПДн;
  • Меры защиты;
  • Сведения о трансграничной передаче;
  • Информация о ЦОД;
  • Контакты ответственного лица.
12.3. Способы подачи:
12.4. Корректирующее уведомление при изменениях (ч. 7 ст. 22 ФЗ‑152) – не позднее 15 дня месяца после изменений.
12.5. Изменения, требующие уведомления:
  • Реквизиты Оператора;
  • Цели обработки;
  • Меры защиты;
  • Контакты ответственного;
  • Начало/окончание обработки;
  • Трансграничная передача;
  • Местонахождение ЦОД.
13. Изменение Политики конфиденциальности
13.1. Оператор вправе вносить изменения – дата вступления в силу указывается в заголовке.
13.2. Новая редакция публикуется на сайте, Субъекты ПДн уведомляются по e‑mail.
14. Контактная информация и реквизиты
Оператор (ИП):
Индивидуальный предприниматель Мифтахутдинов Евгений Шайхутдинович
Юридический адрес: 124527, г. Москва, Зеленоград, корп. 847, кв. 62
ИНН: 772270798772
ОГРНИП: 313774634501892

Ответственное лицо:
Мифтахутдинов Евгений Шайхутдинович, ИП
E‑mail: hello@allmusic-studio.ru
Телефон: +7 (916) 505‑82‑70
Дата вступления в силу: 30.05.2025