Политика в отношении обработки персональных данных

1. Общие положения

1.1. Оператор: Индивидуальный предприниматель Карзаков Дмитрий Евгеньевич.

• ОГРНИП: 323210000003205
• ИНН: 213011377800
• Email: legal@novalead.ru

1.2. Ответственное лицо за организацию обработки ПДн: ИП Карзаков Д.Е. лично.

1.3. Политика применяется ко всем ПДн, обрабатываемым Оператором с использованием средств автоматизации и без их использования.

1.4. Действие распространяется на ПДн клиентов и потенциальных клиентов, контрагентов и их представителей, посетителей сайтов novalead.ru, novaclients.ru, admin.novalead.ru.

2. Правовые основания

• Конституция РФ; Гражданский кодекс РФ;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 № 149-ФЗ;
• Постановление Правительства РФ от 01.11.2012 № 1119;
• Приказ ФСТЭК России от 18.02.2013 № 21;
• Приказ Роскомнадзора от 24.02.2021 № 18.

3. Цели обработки

1. заключение, исполнение и прекращение договоров;
2. предоставление доступа к SaaS-сервису NovaLead и его функциям;
3. оказание технической поддержки;
4. приём и проведение платежей, выставление счетов и актов;
5. направление транзакционных и (с отдельного согласия) маркетинговых уведомлений;
6. обеспечение информационной безопасности;
7. ведение бухгалтерского и налогового учёта;
8. ответы на обращения субъектов и госорганов;
9. исполнение функций лица, обрабатывающего ПДн по поручению Операторов-клиентов (на условиях DPA).

4. Категории субъектов и обрабатываемых ПДн

4.1. Посетители сайтов. IP-адрес, cookie, User-Agent, данные о страницах и источниках, UTM-метки, данные форм (имя, email, телефон, текст).

4.2. Зарегистрированные пользователи Сервиса. ФИО, email, номер телефона, пароль (хеш argon2id), реквизиты ИП/юрлица (ИНН, ОГРН, КПП, адрес — при добавлении), платёжные реквизиты (токенизированы у провайдера), IP и user-agent при входе, журналы действий.

4.3. Конечные клиенты. ID в каналах связи, имя, телефон, email, содержимое сообщений и вложений, данные записей NovaClients, данные loyalty-программ, IP/user-agent виджета. В отношении этой категории Оператор действует по поручению соответствующего Клиента (ч. 3 ст. 6 152-ФЗ).

4.4. Контрагенты и их представители. ФИО, должность, контактные и банковские реквизиты.

4.5. Специальные категории и биометрические ПДн не обрабатываются.

5. Правовые основания обработки

• ч. 1 ст. 6 п. 1 152-ФЗ — согласие субъекта;
• ч. 1 ст. 6 п. 2, 3 — исполнение требований законодательства и судебных актов;
• ч. 1 ст. 6 п. 5 — исполнение договора;
• ч. 1 ст. 6 п. 7 — законные интересы Оператора;
• ч. 3 ст. 6 — поручение обработки.

Форма согласия: электронная (чекбокс при регистрации и в формах), конклюдентные действия (отправка формы, использование Сервиса).

6. Меры защиты (УЗ-3 по 1119-ПП и 21-приказу ФСТЭК)

Правовые: утверждение политики, включение Оператора в реестр операторов персональных данных Роскомнадзора и поддержание сведений в актуальном состоянии, NDA с лицами, имеющими доступ к ПДн, требования о защите ПДн в договорах с контрагентами.

Организационные: принцип минимальных привилегий, регламент реагирования на инциденты, аудит настроек, журналирование доступа.

Технические: шифрование секретов в БД (AES-256-GCM), TLS 1.2+ с HSTS, хеширование паролей argon2id, HMAC-подпись публичных widget-эндпоинтов, rate limiting, изолированные сегменты сети, регулярное обновление ПО, мониторинг и логирование, резервное копирование с шифрованием, уничтожение носителей при выводе из эксплуатации.

7. Условия передачи ПДн

Передача третьим лицам — только с согласия субъекта, в рамках исполнения договоров или по законным требованиям госорганов. Актуальный перечень соисполнителей — в DPA.

8. Трансграничная передача

Оператор не осуществляет трансграничную передачу ПДн по собственной инициативе. Основные серверы и базы данных размещаются на территории РФ.

Исключение: при добровольном обращении Конечного клиента через Telegram, VK, MAX или иные внешние каналы сообщения могут проходить через инфраструктуру соответствующих платформ в рамках их собственных политик.

9. Сроки хранения и уничтожение

Уничтожение — по истечении срока или по обращению субъекта. Факт уничтожения фиксируется актом.

10. Права субъектов ПДн

• получить сведения об обработке;
• требовать уточнения, блокирования, удаления ПДн;
• отозвать согласие (через ЛК или по email);
• получить выгрузку своих данных;
• обжаловать действия в Роскомнадзоре или суде.

Срок ответа — 10 рабочих дней (+5 дней при необходимости). Форма обращения: письмо на legal@novalead.ru с подтверждением личности по запросу.

11. Cookies и аналитика

Сайт использует cookie и аналогичные технологии. Подробности — в Политике cookie. Действует cookie-баннер с выбором категорий.

На страницах сайта novalead.ru подключён сервис веб-аналитики Яндекс.Метрика (ООО «Яндекс», условия использования). Метрика обрабатывает обезличенные данные о посещении сайта: IP-адрес, cookie, User-Agent, поведение на страницах, источник перехода, а также при включённой опции — анонимизированную запись действий пользователя (Вебвизор) с маскированием полей форм. Цель — улучшение работы сайта и оценка эффективности рекламы. Аналитика загружается только после явного согласия пользователя через cookie-баннер. Согласие можно отозвать в настройках cookie в любой момент. В кабинете пользователя (lk.novalead.ru) и админ-панели Метрика не применяется — переписка с клиентами не передаётся в сторонние сервисы.

12. Изменение Политики

Актуальная редакция — на /privacy с указанием даты. Существенные изменения доводятся через ЛК и email не менее чем за 14 дней.

13. Контакты

• legal@novalead.ru — правовые запросы, запросы субъектов ПДн
• security@novalead.ru — инциденты безопасности
• Роскомнадзор (уполномоченный орган): https://rkn.gov.ru