Настоящая Политика определяет порядок обработки персональных данных пользователей сайта qrowdly.ru, мобильного приложения Qrowdly, API, админ-панели и иных сервисов Qrowdly.
1. Оператор персональных данных
Оператор:
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "КРАУДЛИ"
Краткое наименование: ООО "Краудли"
ОГРН: 1264200003605
ИНН: 4205434334
КПП: 420501001
Юридический адрес: 650024, Кемеровская обл. - Кузбасс, гор. о. Кемеровский, г. Кемерово, ул. Веры Волошиной, д. 43, кв. 29
2. Термины
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Обработка персональных данных - любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.
Пользователь - посетитель сайта, пользователь приложения, донатор, автор проекта, лицо, направившее обращение, представитель контрагента или иное лицо, передающее данные Оператору.
3. Принципы обработки
Оператор обрабатывает персональные данные законно, справедливо, в объеме, необходимом для заявленных целей, и не хранит их дольше, чем требуется для целей обработки, исполнения обязательств, учета, защиты прав и выполнения требований закона.
Оператор не объединяет базы данных, созданные для несовместимых целей.
Оператор принимает меры для обеспечения точности, актуальности и достаточности персональных данных.
4. Категории субъектов
Оператор может обрабатывать данные следующих категорий субъектов:
1. посетители сайта;
2. зарегистрированные пользователи;
3. донаторы;
4. авторы проектов;
5. лица, проходящие KYC/AML-проверку;
6. лица, направляющие вопросы и обращения в поддержку;
7. администраторы и модераторы;
8. представители банков, подрядчиков, контрагентов и государственных органов.
5. Состав обрабатываемых данных
Оператор может обрабатывать следующие данные.
Данные аккаунта:
1. имя;
2. username;
3. email;
4. телефон;
5. дата рождения;
6. страна и город;
7. ссылки на сайт, Telegram, Instagram и иные публичные профили;
8. фото профиля;
9. пароль в виде хеша;
10. настройки уведомлений и языка;
11. статусы аккаунта и согласий.
Данные проекта:
1. название проекта;
2. описание;
3. категория и подкатегория;
4. город;
5. целевая сумма, срок, минимальный донат;
6. риски, FAQ, добровольная благодарность;
7. изображения и структурированные секции проекта;
8. вопросы и ответы по проекту;
9. статусы модерации, скрытия, блокировки и причины решений.
Платежные и финансовые данные:
1. сумма, валюта, дата и статус платежа;
2. идентификаторы платежа, проекта, сделки, возврата, выплаты и чарджбека;
3. провайдер платежа, статус провайдера и технические метаданные;
4. сумма комиссии, возврата, чарджбека и выплаты;
5. сведения о сверке, леджере, финансовых транзакциях и претензиях;
6. сведения, необходимые для возврата или выплаты.
Полные реквизиты банковских карт, CVC/CVV-коды и данные, вводимые на платежной форме банка, Оператором не хранятся, если иное прямо не внедрено и не оформлено отдельными документами. Такие данные обрабатываются платежным партнером.
Данные KYC/AML и выплат:
1. фамилия, имя, отчество;
2. дата рождения;
3. паспортные данные;
4. ИНН;
5. фото паспорта;
6. селфи с паспортом;
7. данные, извлеченные из документов;
8. результаты проверки качества документа, совпадения лица, ИНН, дублей и риск-флаги;
9. сведения о банковском счете, СБП, получателе выплаты и статусах проверок;
10. зашифрованные копии и хеши, используемые для защиты и проверки дублей.
Если Оператор начнет использовать изображение лица для биометрической идентификации или аутентификации в смысле законодательства о биометрических персональных данных, такая обработка будет осуществляться только при наличии отдельного правового основания и необходимых согласий.
Данные обращений и коммуникаций:
1. тема и текст обращения;
2. ответы поддержки;
3. email-письма, push-уведомления и технические статусы доставки;
4. история запросов, действий и решений администраторов.
Технические данные:
1. IP-адрес;
2. user-agent;
3. идентификаторы устройства, приложения, сессии и браузера;
4. cookie-идентификаторы;
5. сведения о событиях в Сервисе: просмотры проектов, избранное, поиск, клики, категории, донаты;
6. логи безопасности, ошибки, rate-limit события и аудит.
Данные согласий:
1. тип согласия;
2. версия документа;
3. дата и время;
4. IP-адрес;
5. user-agent;
6. источник согласия;
7. текст чекбокса;
8. хеш и идентификатор версии документа.
6. Цели обработки
Оператор обрабатывает персональные данные для следующих целей:
1. регистрация и авторизация пользователей;
2. подтверждение email и восстановление доступа;
3. ведение профиля;
4. создание, публикация и модерация проектов;
5. отображение публичных страниц проектов и авторов;
6. прием, учет и сопровождение донатов;
7. взаимодействие с платежным партнером;
8. возвраты, чарджбеки, претензионная работа и сверка операций;
9. выплаты авторам;
10. KYC/AML-проверки, предотвращение мошенничества и соблюдение требований 115-ФЗ;
11. поддержка пользователей и ответы на обращения;
12. отправка сервисных уведомлений;
13. отправка рекламных и информационных сообщений при наличии отдельного согласия;
14. персонализация ленты, поиск и рекомендации;
15. аналитика качества и безопасности Сервиса;
16. выполнение требований закона, суда, государственных органов, банка и платежных систем;
17. защита прав Оператора, пользователей и третьих лиц;
18. ведение бухгалтерского, налогового, финансового и операционного учета.
7. Правовые основания обработки
Оператор обрабатывает персональные данные на следующих основаниях:
1. согласие субъекта персональных данных;
2. исполнение договора или совершение действий до заключения договора;
3. выполнение обязанностей, возложенных законом;
4. осуществление прав и законных интересов Оператора, если права субъекта не нарушаются;
5. защита жизни, здоровья или иных жизненно важных интересов, если применимо;
6. иные основания, предусмотренные законодательством Российской Федерации.
8. Действия с персональными данными
Оператор может совершать следующие действия:
1. сбор;
2. запись;
3. систематизация;
4. накопление;
5. хранение;
6. уточнение и обновление;
7. извлечение;
8. использование;
9. передача;
10. предоставление доступа;
11. обезличивание;
12. блокирование;
13. удаление;
14. уничтожение.
Обработка может выполняться с использованием средств автоматизации и без использования таких средств.
9. Передача данных третьим лицам
Оператор может передавать данные:
1. АО "ТБанк", банкам-эмитентам, платежным системам, платежным агрегаторам и иным участникам расчетов;
2. провайдерам KYC/AML, если они подключены;
3. хостинг-провайдерам и поставщикам инфраструктуры;
4. поставщикам email, push и SMS-сервисов;
5. подрядчикам технической поддержки, разработки, сопровождения и безопасности;
6. сервисам аналитики при наличии правового основания и cookie-согласия, если такое согласие требуется;
7. аудиторам, бухгалтерам, юристам и иным профессиональным консультантам;
8. государственным органам, судам, нотариусам, приставам и иным лицам, если передача требуется законом;
9. иным лицам при согласии субъекта или наличии другого законного основания.
Передача выполняется только в объеме, необходимом для конкретной цели.
10. Платежный партнер
При оплате доната пользователь может быть перенаправлен на платежную форму платежного партнера. Платежный партнер самостоятельно обрабатывает данные, необходимые для проведения платежа, авторизации, возврата, чарджбека и сверки.
Оператор получает от платежного партнера технические статусы и идентификаторы операций, но не хранит полные данные банковских карт.
11. Публичные данные автора
Автор проекта понимает, что часть данных проекта публикуется в интернете и становится доступной неопределенному кругу лиц.
Публикуемыми могут быть:
1. имя или username автора;
2. фото профиля;
3. город;
4. описание проекта;
5. изображения проекта;
6. вопросы и ответы;
7. сведения о цели, сумме, прогрессе, сроке и статусе проекта;
8. иные сведения, самостоятельно размещенные автором.
Публикация персональных данных, разрешенных для распространения, осуществляется на основании отдельного согласия автора.
12. Cookies и аналитика
Сайт и приложение могут использовать необходимые cookies и аналогичные технологии для работы интерфейса, авторизации, безопасности и сохранения настроек.
Аналитические и маркетинговые cookies используются только при наличии согласия, если такое согласие требуется законом.
Пользователь может изменить настройки cookies через интерфейс сайта или браузера.
13. Локализация персональных данных граждан РФ
При сборе персональных данных граждан Российской Федерации, в том числе через интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение таких данных с использованием баз данных, находящихся на территории Российской Федерации, если иное не допускается законом.
Перед использованием зарубежных сервисов аналитики, CRM, email, хостинга или хранения файлов Оператор отдельно проверяет наличие трансграничной передачи и оформляет необходимые правовые основания.
14. Сроки хранения
Данные аккаунта хранятся в течение срока действия аккаунта и после его удаления + 3 года, необходимых для защиты прав и исполнения требований закона.
Платежные, финансовые, бухгалтерские, налоговые и претензионные данные хранятся в сроки, необходимые для учета, сверки, возвратов, чарджбеков, защиты прав и исполнения требований закона 5 лет (ст. 29 ФЗ о бухучёте).
KYC/AML-данные хранятся не дольше, чем требуется для проверки, соблюдения требований закона, банка, платежных систем и защиты от мошенничества 5 лет с даты окончания отношений (115-ФЗ).
Согласия, журналы аудита и логи безопасности могут храниться в течение срока 3 года после отзыва или прекращения отношений, необходимого для подтверждения законности обработки и защиты прав Оператора.
После достижения целей обработки данные удаляются, уничтожаются или обезличиваются, если их хранение больше не требуется.
15. Защита персональных данных
Оператор применяет организационные и технические меры защиты, включая:
1. разграничение доступа;
2. хеширование паролей;
3. шифрование KYC-данных;
4. хранение чувствительных файлов в защищенном хранилище;
5. аудит действий администраторов;
6. журналирование платежных и юридически значимых событий;
7. rate limiting и мониторинг аномалий;
8. защиту production-конфигурации;
9. резервное копирование;
10. ограничение доступа к данным по принципу необходимости;
11. проверку загружаемых файлов;
12. HTTPS и иные меры сетевой защиты.
16. Права субъекта персональных данных
Пользователь вправе:
1. получать информацию об обработке своих персональных данных;
2. требовать уточнения, блокирования или уничтожения данных;
3. отзывать согласие на обработку;
4. требовать прекращения неправомерной обработки;
5. устанавливать запреты и условия для данных, разрешенных для распространения;
6. обжаловать действия или бездействие Оператора в Роскомнадзор или суд;
7. осуществлять иные права, предусмотренные законодательством. 8. оператор рассматривает обращения субъектов персональных данных в срок не более 30 календарных дней с даты получения обращения.
17. Отзыв согласия и обращения
Для отзыва согласия или реализации прав пользователь направляет обращение на support@qrowdly.ru.
В обращении необходимо указать данные, позволяющие идентифицировать пользователя, суть требования и способ обратной связи.
Отзыв согласия не влияет на законность обработки, выполненной до получения отзыва, и не препятствует обработке данных, необходимой для исполнения закона, договора, возвратов, чарджбеков, защиты прав и финансового учета.
18. Изменение Политики
Оператор вправе изменять Политику. Новая редакция публикуется на сайте и/или в приложении.
Если изменения требуют повторного согласия, Оператор запросит его через интерфейс Сервиса.
19. Контакты
ООО "Краудли"
ОГРН: 1264200003605
ИНН: 4205434334
КПП: 420501001
Адрес: 650024, Кемеровская обл. - Кузбасс, гор. о. Кемеровский, г. Кемерово, ул. Веры Волошиной, д. 43, кв. 29
Мы используем необходимые cookies для работы сайта, а также аналитические cookies для улучшения сервиса. Аналитические cookies используются только с вашего согласия. Подробнее — в Политике cookies.