— ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, обработки, хранения и защиты персональных данных, осуществляемых в рамках платформы MonkeyMachine (далее — «Платформа»), доступной по адресу monkeymachine.ru и связанным доменам.

MonkeyMachine — мультитенантная SaaS-платформа, предоставляющая инструменты для создания интернет-магазинов, управления каталогом товаров, обработки заказов, интеграции с мессенджерами и автоматизации бизнес-процессов. Каждый зарегистрированный проект (тенант) функционирует в изолированной среде в рамках единой инфраструктуры Платформы.

Политика распространяется на следующие категории лиц:

• Владельцы аккаунтов — юридические и физические лица, зарегистрировавшие проект на Платформе;
• Авторизованные пользователи — сотрудники и представители Владельца аккаунта, имеющие доступ к панели управления проектом;
• Конечные пользователи — посетители и покупатели интернет-магазинов, созданных на Платформе;
• Посетители сайта — лица, посещающие информационные страницы monkeymachine.ru.

Используя Платформу в любом качестве, вы подтверждаете, что ознакомились с настоящей Политикой и согласны с изложенными в ней условиями обработки данных. Для субъектов персональных данных, находящихся на территории Российской Федерации, дополнительно применяется Политика обработки ПДн РФ, разработанная в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Распределение ролей при обработке персональных данных зависит от контекста взаимодействия:

В терминологии Федерального закона № 152-ФЗ:

• Оператор персональных данных — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав данных и совершаемые с ними действия (ст. 3 ФЗ-152);
• Лицо, осуществляющее обработку по поручению оператора — лицо, обрабатывающее персональные данные по поручению оператора на основании заключённого договора (ч. 3 ст. 6 ФЗ-152).

Владелец аккаунта, выступая оператором в отношении данных своих конечных пользователей, обязан самостоятельно обеспечить наличие правовых оснований для сбора и обработки таких данных, включая получение согласий, размещение собственной политики конфиденциальности и уведомление Роскомнадзора в установленном порядке.

Платформа обрабатывает следующие категории персональных данных:

3.1. Данные аккаунта (Владелец)

• Фамилия, имя, отчество / наименование организации;
• Адрес электронной почты;
• Номер телефона;
• Платёжные реквизиты (при оплате тарифа);
• ИНН, ОГРН/ОГРНИП (при наличии);
• Данные аутентификации (хэш пароля, токены сессий).

3.2. Данные авторизованных пользователей

• Имя и фамилия;
• Адрес электронной почты;
• Роль и разрешения в рамках проекта;
• Журнал действий в панели управления.

3.3. Данные конечных пользователей (покупателей)

• Имя, фамилия;
• Адрес электронной почты, номер телефона;
• Адрес доставки;
• История заказов и корзина;
• Переписка через встроенные каналы связи;
• Иные данные, запрашиваемые Владельцем аккаунта через настраиваемые формы.

3.4. Технические данные

• IP-адрес;
• User-Agent (тип браузера, операционная система, устройство);
• Данные о геолокации на уровне страны/региона (на основе IP);
• Дата, время и продолжительность сеанса;
• Идентификаторы устройства и сессии;
• Реферер (источник перехода).

3.5. Файлы cookie и аналогичные технологии

• Сессионные cookie (обеспечение работы Платформы);
• Функциональные cookie (запоминание предпочтений);
• Аналитические cookie (при наличии согласия);
• Cookie сторонних сервисов, подключённых Владельцем аккаунта.

Платформа не осуществляет сбор специальных категорий персональных данных (расовая принадлежность, политические взгляды, состояние здоровья, биометрические данные) и не запрашивает такие данные у пользователей.

Обработка персональных данных осуществляется для следующих целей и на указанных правовых основаниях:

Обработка персональных данных в целях, не указанных в настоящей таблице, не допускается без получения дополнительного согласия субъекта данных или наличия иного законного основания.

Сервис интегрируется со сторонними платформами обмена сообщениями и коммуникации для обеспечения Клиентам возможности управления омниканальными коммуникациями. Настоящий раздел описывает порядок обработки данных, получаемых от указанных платформ или передаваемых им.

5.1. Платформа Meta* (Facebook Messenger и Instagram Direct)

При подключении Клиентом страницы Facebook или профессионального аккаунта Instagram к MonkeyMachine мы получаем доступ к данным через API платформы Meta (Graph API, Messenger Platform, Instagram Messaging API) в соответствии с Условиями платформы Meta и Правилами Meta для разработчиков. В частности:

• Мы получаем и обрабатываем содержание сообщений, идентификаторы отправителей/получателей (PSID, IGSID), временные метки и медиавложения исключительно для обеспечения функционала обмена сообщениями, запрошенного Клиентом.
• Мы не продаём, не покупаем, не лицензируем и не передаём данные платформы Meta каким-либо третьим лицам, брокерам данных, рекламным сетям или сервисам, связанным с рекламой.
• Мы не используем данные платформы Meta для рекламы, таргетирования, рекламного ранжирования или построения рекламных профилей.
• Мы не используем данные платформы Meta для дискриминации или ущемления интересов каких-либо лиц или групп по признаку расы, этнической принадлежности, цвета кожи, национальности, вероисповедания, возраста, пола, сексуальной ориентации, гендерной идентичности, семейного положения, инвалидности, состояния здоровья, генетических данных или иных характеристик, охраняемых применимым законодательством.
• Мы не используем данные платформы Meta для определения соответствия критериям получения жилья, трудоустройства, страхования, образования, кредитов, государственных льгот или иммиграционного статуса.
• Мы не используем данные платформы Meta в целях наблюдения (surveillance), правоохранительной деятельности или обеспечения государственной безопасности и не предоставляем инструменты, способствующие такой деятельности.
• Мы не предпринимаем попыток декодировать, повторно идентифицировать, деанонимизировать, расшифровать, выполнить обратное хэширование или обратную разработку каких-либо данных платформы Meta, предоставленных нам в анонимизированном, агрегированном или хэшированном виде.
• Мы не создаём и не дополняем профили пользователей с использованием данных платформы Meta без действительного согласия соответствующего конечного пользователя.
• Данные платформы Meta хранятся в зашифрованных базах данных с логической изоляцией по тенантам — данные одного Клиента никогда не доступны другому Клиенту или персоналу MonkeyMachine без обоснованной операционной необходимости.
• При отключении Клиентом интеграции с Meta или по запросу конечного пользователя на удаление все связанные данные платформы Meta безвозвратно удаляются в течение 30 дней. Конечные пользователи и Клиенты также могут запросить немедленное удаление через страницу /legal/data-deletion.
• Мы соблюдаем требования Meta в части ежегодной ре-верификации, проверки приложений (App Review) и всех callback-запросов на удаление данных, инициированных Meta.

5.2. WhatsApp (WhatsApp Business API / Cloud API)

При подключении Клиентом аккаунта WhatsApp Business к MonkeyMachine мы получаем доступ к данным через WhatsApp Cloud API, размещённый Meta. В дополнение к общим обязательствам, указанным в разделе 5.1 выше, к данным WhatsApp применяются следующие положения:

• Мы обрабатываем сообщения, номера телефонов, шаблоны сообщений, подтверждения доставки и медиафайлы, передаваемые через WhatsApp Business API, исключительно для обеспечения возможности Клиента общаться с его конечными пользователями.
• Мы соблюдаем Политику WhatsApp Business, Коммерческую политику WhatsApp и Условия предоставления услуг WhatsApp Business.
• Требование opt‑in: Клиент самостоятельно несёт ответственность за получение явного предварительного согласия (opt‑in) каждого конечного пользователя на отправку сообщений через WhatsApp. MonkeyMachine не инициирует коммуникации в WhatsApp без указания Клиента.
• Роли по GDPR: Для WhatsApp Cloud API Клиент выступает Контролёром, Meta выступает Обработчиком персональных данных компании (номера телефонов, содержание сообщений, метаданные сообщений), а MonkeyMachine выступает суб-обработчиком по поручению Клиента. Обработка регулируется Meta Global Processor Terms (MGPT).
• Ограничение VoIP: Звонки через WhatsApp Cloud API возможны исключительно по схеме VoIP‑to‑VoIP. Подключение к телефонным сетям общего пользования (PSTN) на любом плече звонка запрещено Meta и может повлечь регуляторные санкции.
• Запрещённые данные: Клиент не должен передавать через WhatsApp Cloud API данные, подлежащие повышенным регуляторным требованиям (включая данные, регулируемые HIPAA или аналогичным законодательством в области здравоохранения). Cloud API не является HIPAA‑совместимым.
• Запрет на полные номера карт: Клиент не должен отправлять полные номера платёжных карт, CVV-коды и иные незамаскированные данные держателя карты в сообщениях WhatsApp.
• Изоляция данных: Данные, полученные через аккаунт WhatsApp Business одного Клиента, логически изолированы и никогда не передаются, не предоставляются и не становятся доступными другому Клиенту.
• Содержание и метаданные сообщений хранятся в течение срока, определённого настройками хранения Клиента и применимым законодательством. При отключении интеграции все данные WhatsApp безвозвратно удаляются в течение 90 дней.
• Мы не используем данные WhatsApp в каких-либо целях, кроме предоставления Сервиса Клиенту.

5.3. Telegram (Bot API)

Интеграция с Telegram осуществляется через официальный Bot API. Мы обрабатываем сообщения, идентификаторы пользователей, метаданные чатов и медиафайлы исключительно для обеспечения функционала бота и обмена сообщениями Клиента. Мы соблюдаем Условия использования Telegram API. Данные не хранятся сверх периода, установленного настройками хранения Клиента.

5.4. Платёжные системы

При подключении приёма платежей данные банковских карт обрабатываются непосредственно платёжным провайдером (процессинговым центром). Платформа не хранит полные номера карт, CVV-коды и иные данные, подпадающие под стандарт PCI DSS. На стороне Платформы сохраняются только маскированный номер карты (последние 4 цифры), сумма и статус транзакции.

5.5. Прочие интеграции (Email, Web Chat)

Для каждого дополнительного канала мы обрабатываем только данные, необходимые для доставки и отображения сообщений между Клиентом и его конечными пользователями. Применяются те же принципы: данные обрабатываются исключительно для предоставления Сервиса, не продаются и удаляются при прекращении действия аккаунта или по обоснованному запросу на удаление.

5.6. Общие обязательства для всех данных платформ

• Все данные платформ логически изолированы по тенантам — данные одного Клиента никогда не доступны другому Клиенту.
• API-токены и учётные данные платформ зашифрованы при хранении и никогда не раскрываются другим Клиентам или неуполномоченному персоналу.
• Мы проводим периодические проверки безопасности и поддерживаем технические меры защиты для предотвращения несанкционированного доступа к данным платформ.
• В случае отзыва или ограничения платформой доступа к API затронутые Клиенты будут незамедлительно уведомлены, а любые кэшированные данные будут обработаны в соответствии с требованиями платформы.

5.7. Удаление данных внешних платформ

Конечные пользователи вправе запросить удаление данных, полученных через внешние платформы. Порядок подачи запросов описан на странице /legal/data-deletion. После получения валидного запроса данные удаляются в срок, не превышающий 30 (тридцати) календарных дней.

Важное юрисдикционное замечание: деятельность отдельных международных платформ может быть ограничена или запрещена на территории определённых государств. Владелец аккаунта обязан самостоятельно убедиться в законности использования конкретной интеграции в своей юрисдикции. Подробнее об ограничениях в Российской Федерации — см. Санкции и экспортный контроль, раздел 5.

* Деятельность компании Meta Platforms, Inc. по реализации продуктов Facebook и Instagram признана экстремистской и запрещена на территории Российской Федерации на основании решения Тверского районного суда города Москвы от 21.03.2022, вступившего в законную силу (ФЗ от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности»). Мессенджер WhatsApp не является предметом указанного судебного решения и продолжает легально функционировать на территории Российской Федерации.

5.8. CRM-системы и системы автоматизации бизнеса

Платформа предоставляет возможность интеграции с внешними CRM-системами и системами автоматизации бизнеса в сфере услуг (далее — «CRM-системы»). Интеграция осуществляется исключительно по инициативе Владельца аккаунта для целей двусторонней синхронизации клиентских данных, записей, заказов, услуг и сопутствующей информации.

При подключении CRM-интеграции Платформа может получать и передавать следующие категории персональных данных:

• Идентификационные данные клиентов: фамилия, имя, отчество, номер телефона, адрес электронной почты;
• Данные записей и заказов: дата и время, вид услуги, стоимость, статус;
• Данные сотрудников: ФИО, должность, расписание (в объёме, предоставляемом CRM-системой через API);
• Иные данные, определяемые настройками конкретной интеграции.

Правовые основания обработки:

• Обработка по поручению оператора (ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных») — Владелец аккаунта, являясь оператором персональных данных в отношении своих клиентов, поручает MonkeyMachine обработку данных, полученных из CRM-системы, в целях обеспечения функционала Платформы;
• Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ‑152) — обработка необходима для исполнения обязательств по договору между MonkeyMachine и Владельцем аккаунта.

Обязанности Владельца аккаунта:

• Самостоятельно обеспечить правовые основания для передачи персональных данных между CRM-системой и Платформой, включая получение согласий субъектов персональных данных в соответствии со ст. 9 ФЗ‑152;
• Уведомить субъектов персональных данных о факте поручения обработки MonkeyMachine в соответствии с ч. 3 ст. 6 ФЗ‑152;
• Обеспечить актуальность и достоверность передаваемых данных;
• Самостоятельно разместить собственную политику конфиденциальности, раскрывающую факт интеграции с CRM-системой.

Обязательства MonkeyMachine:

• Обрабатывать данные CRM-интеграций исключительно в целях предоставления Сервиса и в рамках поручения Владельца аккаунта;
• Не определять самостоятельных целей обработки данных, полученных через CRM-интеграции;
• Хранить данные на территории Российской Федерации в соответствии с требованиями ч. 5 ст. 18 ФЗ‑152;
• Обеспечить конфиденциальность API-ключей и токенов авторизации CRM-систем;
• При деактивации интеграции прекратить синхронизацию; ранее полученные данные сохраняются в рамках аккаунта Владельца до их удаления или прекращения действия аккаунта.

Перечень CRM-систем, с которыми осуществляется интеграция, приведён на странице /legal/subprocessors. Каждая CRM-система является самостоятельным оператором персональных данных и несёт ответственность за обработку данных в своей системе в соответствии с собственной политикой конфиденциальности.

Приведённая ниже таблица отражает взаимосвязь между продуктами (модулями) Платформы, обрабатываемыми категориями данных и сроками хранения:

По истечении указанных сроков данные подлежат безвозвратному удалению или анонимизации. Владелец аккаунта вправе запросить досрочное удаление данных в соответствии с разделом 13 настоящей Политики.

Платформа использует технологии искусственного интеллекта (далее — «ИИ») для предоставления ряда функций, включая, но не ограничиваясь:

• Генерация описаний товаров и SEO-метаданных;
• Автоматические ответы в чат-ботах;
• Рекомендации по оптимизации каталога;
• Классификация и категоризация товаров;
• Анализ текстов обращений покупателей.

Принципы ИИ-обработки:

• Данные клиентов не используются для обучения моделей. Персональные данные Владельцев аккаунтов, авторизованных и конечных пользователей не передаются для обучения или дообучения (fine-tuning) моделей ИИ;
• ИИ-запросы обрабатываются сторонними провайдерами (субпроцессорами), указанными на странице /legal/subprocessors;
• Данные, передаваемые в ИИ-сервисы, минимизируются до объёма, необходимого для выполнения конкретной задачи;
• Промпты и результаты генерации хранятся не более 30 дней для целей отладки и контроля качества, после чего автоматически удаляются;
• Владелец аккаунта вправе отключить ИИ-функции в настройках проекта.

Платформа не осуществляет автоматизированное принятие решений, влекущих юридические последствия для субъектов данных, в смысле ст. 22 GDPR и ч. 1 ст. 16 ФЗ-152.

8.1. Размещение данных

Основные серверы Платформы расположены на территории Российской Федерации. Первичная запись и хранение персональных данных граждан Российской Федерации осуществляются на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ч. 5 ст. 18 Федерального закона № 152-ФЗ «О персональных данных».

8.2. Трансграничная передача данных

В ходе оказания услуг Платформы может возникать необходимость передачи данных за пределы Российской Федерации в следующих случаях:

• Использование ИИ-сервисов, серверы которых расположены за рубежом (см. раздел 7);
• Интеграции с международными коммуникационными платформами (см. раздел 5);
• Использование CDN (сетей доставки контента) для ускорения загрузки медиафайлов;
• Резервное копирование в геораспределённых хранилищах.

Трансграничная передача персональных данных осуществляется в соответствии со ст. 12 ФЗ-152 и при наличии одного из следующих оснований:

• Страна-получатель обеспечивает адекватную защиту прав субъектов персональных данных;
• Наличие письменного согласия субъекта персональных данных;
• Исполнение договора, стороной которого является субъект персональных данных;
• Иные основания, предусмотренные ст. 12 ФЗ-152.

Для передачи данных в страны Европейского экономического пространства (ЕЭП) применяются стандартные договорные условия (Standard Contractual Clauses, SCC), утверждённые Европейской комиссией.

8.3. Локализация данных (152-ФЗ)

В соответствии с требованиями российского законодательства о локализации персональных данных, при сборе персональных данных граждан Российской Федерации, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации. Подробности изложены в Политике обработки ПДн РФ.

Платформа и создаваемые на её основе интернет-магазины используют файлы cookie и аналогичные технологии (localStorage, sessionStorage, пиксели). Файлы cookie подразделяются на следующие категории:

9.1. Строго необходимые (обязательные)

• Сессионные cookie для поддержания авторизации;
• Cookie корзины покупок;
• CSRF-токены для защиты от межсайтовой подделки запросов;
• Cookie предпочтений по согласию (cookie consent).

Правовое основание: необходимость для функционирования сервиса. Согласие не требуется.

9.2. Функциональные

• Запоминание языка и региона;
• Сохранение настроек отображения;
• Запоминание данных для автозаполнения форм.

Правовое основание: законный интерес / согласие.

9.3. Аналитические

• Встроенная аналитика Платформы (обезличенные данные о посещениях);
• Сторонние аналитические сервисы, подключённые Владельцем аккаунта (например, Яндекс.Метрика).

Правовое основание: согласие субъекта данных.

9.4. Маркетинговые / рекламные

• Пиксели и SDK рекламных платформ, подключённые Владельцем аккаунта;
• Cookie ретаргетинга.

Правовое основание: согласие субъекта данных. Платформа предоставляет механизм управления согласиями (cookie banner), который Владелец аккаунта обязан настроить в соответствии с применимым законодательством.

9.5. Управление cookie

Пользователь вправе в любой момент отозвать согласие на использование необязательных cookie через баннер управления cookie или через настройки браузера. Отключение строго необходимых cookie может привести к невозможности использования отдельных функций Платформы.

Платформа может передавать персональные данные следующим категориям третьих лиц:

10.1. Субпроцессоры (обработчики по поручению)

Лица, привлекаемые для обработки данных от имени оператора: хостинг-провайдеры, провайдеры ИИ-сервисов, службы электронной почты, сервисы мониторинга. Полный перечень субпроцессоров доступен по адресу /legal/subprocessors.

10.2. Платёжные провайдеры

Процессинговые центры, обрабатывающие платежи от имени Владельцев аккаунтов. Данные передаются в объёме, минимально необходимом для проведения транзакции.

10.3. Службы доставки

Курьерские и логистические компании, выбранные Владельцем аккаунта. Передаются: ФИО получателя, адрес доставки, номер телефона, параметры отправления.

10.4. Внешние платформы (по инициативе Владельца аккаунта)

Мессенджеры, социальные сети, рекламные платформы, подключённые Владельцем аккаунта. Объём передаваемых данных определяется настройками соответствующей интеграции.

10.5. Государственные органы

Данные могут быть предоставлены по мотивированному запросу уполномоченных государственных органов в случаях и порядке, предусмотренных действующим законодательством Российской Федерации.

10.6. Принципы передачи

• Платформа не продаёт персональные данные третьим лицам;
• Передача осуществляется исключительно в целях, указанных в настоящей Политике;
• С каждым субпроцессором заключается договор (соглашение об обработке данных), содержащий обязательства по защите данных;
• Передача данных за пределы РФ осуществляется в соответствии с разделом 8 настоящей Политики.

Персональные данные хранятся не дольше, чем это необходимо для достижения целей обработки, если иное не предусмотрено законодательством:

По истечении срока хранения данные подлежат безвозвратному удалению или необратимой анонимизации в течение 30 календарных дней. Субъект данных вправе потребовать досрочного удаления своих данных в соответствии с разделом 13 настоящей Политики, за исключением случаев, когда хранение данных обусловлено требованиями законодательства.

Платформа применяет комплекс технических и организационных мер для обеспечения безопасности персональных данных в соответствии с требованиями ст. 19 ФЗ-152 и ст. 32 GDPR:

12.1. Технические меры

• Шифрование данных при передаче с использованием протокола TLS 1.2+ для всех соединений;
• Шифрование данных при хранении (encryption at rest) для баз данных и резервных копий;
• Изоляция данных тенантов на уровне приложения (мультитенантная архитектура с логической изоляцией);
• Хэширование паролей с использованием bcrypt с адаптивным фактором стоимости;
• Межсетевое экранирование (firewall) и ограничение сетевого доступа;
• Регулярное резервное копирование с хранением в зашифрованном виде;
• Мониторинг доступности и безопасности в режиме 24/7;
• Автоматическое обновление зависимостей и устранение известных уязвимостей;
• Защита от DDoS-атак на уровне сетевой инфраструктуры.

12.2. Организационные меры

• Ограничение доступа к персональным данным по принципу минимальных привилегий (least privilege);
• Журналирование всех действий с персональными данными (audit trail);
• Регулярный пересмотр прав доступа;
• Документированные процедуры реагирования на инциденты безопасности;
• Уведомление о нарушениях безопасности в соответствии с разделом 16 настоящей Политики.

12.3. Оговорка в отношении СКЗИ

Используемые Платформой средства шифрования (TLS, AES, bcrypt и др.) являются общедоступными криптографическими протоколами и библиотеками. Они не являются сертифицированными средствами криптографической защиты информации (СКЗИ) в понимании законодательства Российской Федерации и нормативных актов ФСБ России. В случае если требования к обработке персональных данных Владельца аккаунта предполагают использование сертифицированных СКЗИ, Владелец аккаунта обязан самостоятельно обеспечить выполнение таких требований на своей стороне.

12.4. Уровень защищённости

Платформа обеспечивает уровень защищённости персональных данных, соответствующий характеру обрабатываемых данных и актуальным угрозам безопасности. Конкретный уровень защищённости определяется в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 и зависит от категории обрабатываемых данных и объёма обработки.

В зависимости от применимого законодательства субъект персональных данных обладает следующими правами:

13.1. Права в соответствии с ФЗ-152 (граждане РФ)

• Право на получение информации об обработке своих персональных данных (ст. 14 ФЗ-152);
• Право требовать уточнения персональных данных, их блокирования или уничтожения в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 14 ФЗ-152);
• Право на отзыв согласия на обработку персональных данных (ч. 2 ст. 9 ФЗ-152);
• Право требовать прекращения обработки персональных данных в целях продвижения товаров, работ, услуг (ч. 2 ст. 15 ФЗ-152);
• Право на обжалование действий или бездействия оператора в Роскомнадзор или в судебном порядке (ст. 17 ФЗ-152).

13.2. Права в соответствии с GDPR (субъекты данных в ЕЭП)

• Право на доступ (ст. 15 GDPR) — получить подтверждение обработки и копию данных;
• Право на исправление (ст. 16 GDPR) — потребовать исправления неточных данных;
• Право на удаление («право быть забытым», ст. 17 GDPR);
• Право на ограничение обработки (ст. 18 GDPR);
• Право на переносимость данных (ст. 20 GDPR) — получить данные в машиночитаемом формате;
• Право на возражение (ст. 21 GDPR) — возразить против обработки на основании законного интереса;
• Право не быть объектом автоматизированного решения (ст. 22 GDPR).

13.3. Порядок реализации прав

Для реализации указанных прав субъект данных может:

• Направить запрос на адрес электронной почты: privacy@monkeymachine.ru;
• Воспользоваться формой на странице /legal/data-deletion;
• Обратиться к Владельцу аккаунта (если запрос касается данных конечного пользователя).

Срок рассмотрения запроса — не более 30 (тридцати) календарных дней с момента получения. В отдельных случаях, предусмотренных законодательством, срок может быть продлён с уведомлением заявителя. Для подтверждения личности заявителя может потребоваться верификация.

Для обеспечения функционирования Платформы мы привлекаем третьих лиц (субпроцессоров), осуществляющих обработку персональных данных по нашему поручению. С каждым субпроцессором заключено соглашение об обработке данных (Data Processing Agreement), устанавливающее обязательства по защите персональных данных не ниже уровня, предусмотренного настоящей Политикой.

Актуальный перечень субпроцессоров, включая их наименования, юрисдикции размещения, категории обрабатываемых данных и цели обработки, доступен по адресу: /legal/subprocessors.

Уведомление об изменениях: при существенном изменении перечня субпроцессоров (добавление нового субпроцессора или изменение целей обработки) мы уведомляем Владельцев аккаунтов по электронной почте не менее чем за 15 (пятнадцать) календарных дней до вступления изменений в силу. Владелец аккаунта вправе возразить против привлечения нового субпроцессора. В случае обоснованного возражения мы предпримем разумные усилия для предоставления альтернативного решения. Если альтернатива невозможна, Владелец аккаунта вправе расторгнуть договор в соответствии с условиями пользовательского соглашения.

Платформа MonkeyMachine предназначена для использования лицами, достигшими 18 (восемнадцати) лет. Мы сознательно не предоставляем услуги лицам, не достигшим данного возраста, и не осуществляем целенаправленный сбор их персональных данных.

Регистрация аккаунта на Платформе предполагает подтверждение пользователем достижения возраста 18 лет. В соответствии с законодательством Российской Федерации, субъект персональных данных в возрасте от 14 до 18 лет вправе давать согласие на обработку персональных данных с согласия законного представителя (родителя, усыновителя, опекуна). Однако функционал Платформы (создание и ведение коммерческой деятельности) ориентирован на совершеннолетних пользователей, и мы не предоставляем механизмов получения родительского согласия.

Если нам станет известно, что персональные данные были получены от лица, не достигшего 18 лет, без надлежащего правового основания, мы предпримем меры по незамедлительному удалению таких данных. Если вы располагаете информацией о том, что несовершеннолетний предоставил нам свои персональные данные, просим сообщить об этом по адресу: privacy@monkeymachine.ru.

В случае обнаружения нарушения безопасности персональных данных (утечка, несанкционированный доступ, утрата, уничтожение или изменение данных) Платформа действует в следующем порядке:

16.1. Внутреннее реагирование

• Немедленная фиксация инцидента и определение его масштаба;
• Принятие мер по локализации инцидента и минимизации последствий;
• Документирование обстоятельств инцидента, его последствий и принятых мер.

16.2. Уведомление Владельцев аккаунтов

Если инцидент затрагивает данные конечных пользователей, Владельцы аккаунтов уведомляются в кратчайшие сроки, но не позднее 48 (сорока восьми) часов с момента обнаружения инцидента. Уведомление включает: описание характера инцидента, категории и приблизительный объём затронутых данных, вероятные последствия, меры, принятые для устранения последствий.

16.3. Уведомление надзорных органов

• Роскомнадзор — в соответствии с ч. 3.1 ст. 21 ФЗ-152, уведомление направляется в течение 24 (двадцати четырёх) часов с момента обнаружения инцидента, а результаты внутреннего расследования — в течение 72 (семидесяти двух) часов;
• Надзорные органы ЕС (при наличии субъектов данных в ЕЭП) — в соответствии со ст. 33 GDPR, в течение 72 (семидесяти двух) часов с момента обнаружения, если инцидент влечёт риск для прав и свобод физических лиц.

16.4. Уведомление субъектов данных

Если инцидент влечёт высокий риск для прав и свобод субъектов данных, они уведомляются напрямую в кратчайшие возможные сроки. Владелец аккаунта, являющийся оператором в отношении данных своих конечных пользователей, несёт самостоятельную обязанность по уведомлению субъектов данных в рамках своей ответственности.

Мы оставляем за собой право вносить изменения в настоящую Политику конфиденциальности. Порядок внесения изменений:

• Существенные изменения (изменение целей обработки, новые категории данных, изменение круга третьих лиц) — уведомление по электронной почте и через панель управления Платформой не менее чем за 30 (тридцать) календарных дней до вступления в силу;
• Несущественные изменения (редакционные правки, уточнение формулировок, обновление контактных данных) — публикация обновлённой версии на сайте с обновлением даты «Дата публикации» в заголовке документа;
• Срочные изменения, обусловленные требованиями законодательства, — вступают в силу с даты, установленной соответствующим нормативным актом, с одновременным уведомлением пользователей.

Продолжение использования Платформы после вступления изменений в силу означает согласие с обновлённой Политикой. Если вы не согласны с внесёнными изменениями, вы вправе прекратить использование Платформы и удалить свой аккаунт.

Архив предыдущих версий Политики доступен по запросу на адрес privacy@monkeymachine.ru.

18.1. Оператор персональных данных

ИП Изабакаров Рабадан Ибрагимович

Электронная почта: privacy@monkeymachine.ru

Для вопросов, связанных с обработкой персональных данных, реализацией прав субъектов данных, а также для подачи жалоб на действия оператора, просим обращаться по указанному адресу электронной почты. Срок ответа — не более 30 (тридцати) календарных дней.

18.2. Право на подачу жалобы в надзорный орган

Если вы считаете, что обработка ваших персональных данных осуществляется с нарушением требований законодательства, вы вправе обратиться с жалобой:

• Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) — уполномоченный орган по защите прав субъектов персональных данных в Российской Федерации. Адрес: 109992, г. Москва, Китайгородский пр., д. 7, стр. 2. Сайт: rkn.gov.ru. Электронное обращение: через портал «Госуслуги» или официальный сайт Роскомнадзора;
• Надзорный орган в стране вашего пребывания (для субъектов данных в ЕЭП) — в соответствии со ст. 77 GDPR вы вправе подать жалобу в надзорный орган государства-члена ЕС по месту вашего проживания, работы или предполагаемого нарушения;
• Суд — вы вправе обратиться за защитой своих прав в судебном порядке в соответствии с законодательством Российской Федерации (ст. 17 ФЗ-152) или ЕС (ст. 79 GDPR).

Мы рекомендуем в первую очередь обратиться непосредственно к нам по адресу privacy@monkeymachine.ru — мы приложим все усилия для урегулирования вашего обращения в досудебном порядке.