Политика обработки персональных данных

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые Индивидуальный предприниматель Потапов Олег Сергеевич (ИНН 420540435602, ОГРНИП 319420500068108, далее — «Оператор»).

1.2. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и применяется ко всем сведениям, которые Оператор может получить о Пользователях во время использования сервиса «TenderEasy» (https://tendereasy.ru).

2.1. Оператор обрабатывает персональные данные следующих категорий субъектов: клиенты Сервиса (физические лица, индивидуальные предприниматели и представители юридических лиц, зарегистрированные в Сервисе) и лица, обратившиеся в службу поддержки.

2.2. Оператор обрабатывает следующие категории персональных данных:

• фамилия, имя, отчество (при наличии);
• адрес электронной почты;
• номер контактного телефона (по желанию Пользователя);
• ИНН и наименование организации Пользователя;
• должность и роль Пользователя в организации (по желанию);
• технические данные: IP-адрес, user-agent, cookies, время и тип действий в Сервисе;
• платёжные данные — в объёме, передаваемом платёжным провайдером (маскированный номер карты, сумма, статус);
• журналы согласий (факт, версия и дата акцепта Политики и маркетингового согласия, IP, user-agent) и журнал аудита действий в Сервисе.

2.3. Оператор не обрабатывает специальные категории персональных данных (раса, национальность, здоровье, политические и религиозные взгляды), а также биометрические персональные данные.

3.1. Персональные данные обрабатываются в следующих целях:

• оказание услуг Сервиса: регистрация Пользователя и ведение учётной записи, автоматизированный анализ тендерной документации, оказание технической поддержки, информирование о статусе проектов и изменениях в Сервисе;
• бухгалтерский и налоговый учёт: выставление счетов, проведение расчётов, хранение первичных документов (основание — 402-ФЗ «О бухгалтерском учёте», ч. 1 ст. 23 НК РФ);
• маркетинговые коммуникации (только при наличии отдельного согласия Пользователя) — рассылки о новых возможностях, акциях и материалах Сервиса;
• обеспечение безопасности: выявление и предотвращение мошенничества, несанкционированного доступа, защита прав Оператора и третьих лиц.

4.1. Оператор обрабатывает персональные данные на следующих основаниях:

• исполнение договора оказания услуг (публичной оферты), стороной которого является субъект (п. 5 ч. 1 ст. 6 152-ФЗ) — для цели «оказание услуг Сервиса»;
• необходимость исполнения обязанностей, возложенных на Оператора законодательством РФ (п. 2 ч. 1 ст. 6 152-ФЗ, 402-ФЗ, НК РФ) — для цели «бухгалтерский и налоговый учёт»;
• согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ, ст. 18 ФЗ «О рекламе») — для цели «маркетинговые коммуникации»;
• законный интерес Оператора в защите сервиса от противоправных действий (п. 7 ч. 1 ст. 6 152-ФЗ) — для цели «обеспечение безопасности».

4.2. Согласие на маркетинговые коммуникации является добровольным и может быть отозвано в любое время в разделе «Мои согласия» Личного кабинета либо письмом на privacy@tendereasy.ru. Отзыв маркетингового согласия не прекращает обработку ПДн по иным основаниям.

5.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без их использования, путём сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления, доступа), обезличивания, блокирования, удаления и уничтожения.

5.2. Хранение персональных данных осуществляется на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ч. 5 ст. 18 152-ФЗ.

5.3. Персональные данные хранятся в течение следующих сроков:

• до момента удаления учётной записи Пользователем или отзыва согласия, но не дольше, чем требуется для достижения целей обработки — данные учётной записи и загруженная тендерная документация;
• 1 год с момента последнего взаимодействия — технические журналы событий (auth/audit logs);
• в течение всего срока действия маркетингового согласия и 1 год после его отзыва — журнал согласий (в целях подтверждения правомерности рассылки);
• 5 лет с момента расчёта — первичные бухгалтерские и платёжные документы (требование 402-ФЗ «О бухгалтерском учёте», ст. 29).

5.4. По достижении целей обработки или в случае отзыва согласия Оператор в течение 30 дней прекращает обработку и уничтожает персональные данные, за исключением данных, подлежащих обязательному хранению в силу закона.

6.1. Оператор привлекает к обработке персональных данных следующие категории контрагентов на условиях конфиденциальности и с заключением соответствующих соглашений (поручение обработки в порядке ч. 3 ст. 6 152-ФЗ):

• хостинг-провайдер, обеспечивающий работу Сервиса: серверная инфраструктура расположена на территории Российской Федерации (г. Санкт-Петербург);
• платёжные сервисы — в объёме, необходимом для проведения оплаты (реквизиты плательщика, сумма, статус);
• email-провайдер — для отправки транзакционных писем (подтверждение регистрации, восстановление пароля, уведомления Сервиса);
• провайдеры больших языковых моделей (LLM) — для автоматизированного анализа загружаемой тендерной документации. В LLM передаётся текст документов и агрегированные параметры тендера, без ФИО, email и контактных данных Пользователя.

6.2. Трансграничная передача персональных данных не осуществляется. Все базы данных и резервные копии располагаются на территории Российской Федерации в соответствии с ч. 5 ст. 18 152-ФЗ.

6.3. Передача персональных данных в иных случаях осуществляется исключительно на основании закона или с согласия субъекта персональных данных.

7.1. Пользователь имеет право:

• получить информацию об обработке его персональных данных;
• требовать уточнения, блокирования или уничтожения персональных данных, если они неполны, устарели или незаконно получены;
• отозвать согласие на обработку персональных данных;
• обжаловать действия Оператора в Роскомнадзор или в суд.

7.2. Запросы в рамках реализации указанных прав направляются на адрес privacy@tendereasy.ru с приложением копии документа, удостоверяющего личность. Срок ответа — 30 календарных дней.

8.1. Оператор принимает правовые, организационные и технические меры защиты персональных данных в соответствии со ст. 18.1 и ст. 19 152-ФЗ, а также приказом ФСТЭК России от 18.02.2013 № 21:

• назначено ответственное лицо за организацию обработки персональных данных;
• утверждены внутренние документы, регламентирующие обработку ПДн (настоящая Политика, регламент реагирования на инциденты);
• разграничение доступа по ролям (RBAC), хеширование паролей алгоритмом Argon2id, HTTPS/TLS для всех клиентских соединений;
• защита веб-форм от автоматизированных атак (Cloudflare Turnstile, rate-limiting), проверка магических байтов и ограничения на загружаемые файлы;
• изоляция сервисов в контейнерах Docker с ограничением привилегий (no-new-privileges, cap_drop, лимиты по CPU/памяти/PIDs);
• ведение журнала согласий и журнала аудита действий в Сервисе; регулярное резервное копирование;
• обнаружение и реагирование на попытки несанкционированного доступа.

9.1. Сервис использует cookies исключительно для поддержания сессии авторизованного пользователя и защиты от CSRF-атак. Оператор не использует рекламные и таргетинговые cookies третьих сторон.