← На главную

Политика обработки персональных данных

1. Реквизиты и идентификация оператора

ООО «ЛЕКСАРА» зарегистрировано в реестре операторов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в соответствии с ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (уведомление об обработке персональных данных направлено в Роскомнадзор в установленном порядке).

2. Правовые основания

Обработка персональных данных в ООО «ЛЕКСАРА» осуществляется в строгом соответствии со следующими нормативными правовыми актами:

• Конституция Российской Федерации (ст. 24);
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• иные применимые нормативные правовые акты Российской Федерации.

3. Категории субъектов и объём обрабатываемых персональных данных

3.1. Категории субъектов персональных данных

Категория субъектов	Описание
Пользователи Сервиса	Физические лица, зарегистрированные в Сервисе LEXARA и использующие его для фиксации веб-контента.
Представители юридических лиц	Физические лица — представители организаций-клиентов, действующие от имени юридических лиц при использовании Сервиса.
Лица, обращающиеся в службу поддержки	Физические лица, направляющие обращения, запросы или претензии в ООО «ЛЕКСАРА».

ООО «ЛЕКСАРА» не обрабатывает персональные данные несовершеннолетних (лиц моложе 18 лет). Использование Сервиса лицами, не достигшими 18-летнего возраста, не допускается.

3.2. Перечень обрабатываемых персональных данных

Категория данных	Конкретный состав	Уровень чувствительности
Идентификационные данные	Адрес электронной почты, имя и/или наименование организации (при указании)	Общедоступные (предоставляются субъектом)
Аутентификационные данные	Хэш пароля (bcrypt), токены сессии (в зашифрованном виде)	Конфиденциальные
Технические данные	IP-адрес, User-Agent (тип и версия браузера, ОС), дата и время обращения, технические параметры сессии	Технические (собираются автоматически)
Данные об использовании	URL-адреса, переданные на фиксацию, история фиксаций, параметры запросов	Конфиденциальные (предмет договора)
Платёжные данные	Идентификаторы транзакций, статусы платежей, маскированные данные карт, суммы и даты платежей	Конфиденциальные
Данные переписки	Содержание обращений в службу поддержки, переписка по email	Конфиденциальные

ООО «ЛЕКСАРА» не обрабатывает специальные категории персональных данных, указанные в статье 10 ФЗ-152 (данные о расовой и национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни), а также биометрические персональные данные.

4. Цели обработки персональных данных

Исчерпывающий перечень целей обработки персональных данных в ООО «ЛЕКСАРА»:

1. Регистрация учётных записей Пользователей и обеспечение аутентификации в Сервисе.
2. Предоставление услуг юридически значимой фиксации веб-контента, формирование и хранение протоколов фиксации.
3. Обработка и исполнение платёжных операций за оказываемые услуги.
4. Бухгалтерский учёт и соблюдение требований налогового законодательства Российской Федерации.
5. Обеспечение безопасности Сервиса и его инфраструктуры, предотвращение мошеннических действий и несанкционированного доступа.
6. Направление Пользователям транзакционных уведомлений, связанных с оказанием услуг.
7. Направление информационных и маркетинговых сообщений (только при наличии отдельного согласия субъекта).
8. Рассмотрение обращений, запросов и претензий Пользователей.
9. Исполнение требований законодательства Российской Федерации, в том числе по запросам уполномоченных государственных органов.
10. Статистический анализ агрегированных (обезличенных) данных об использовании Сервиса в целях его улучшения.

5. Действия с персональными данными

ООО «ЛЕКСАРА» осуществляет следующие действия (операции) с персональными данными:

• Сбор — получение персональных данных от субъектов при регистрации, использовании Сервиса и обращениях, а также автоматическая запись технических данных.
• Запись — внесение персональных данных в информационные системы персональных данных.
• Систематизация — упорядочение персональных данных в базах данных по установленным критериям.
• Накопление — хранение персональных данных, дополняемых в процессе взаимодействия с субъектом.
• Хранение — обеспечение сохранности персональных данных в информационных системах в течение установленных сроков.
• Уточнение (обновление, изменение) — корректировка персональных данных по запросу субъекта или при выявлении неточностей.
• Извлечение — выборка персональных данных из информационных систем для целей обработки.
• Использование — применение персональных данных для достижения установленных целей обработки.
• Передача (предоставление) — передача персональных данных третьим лицам в предусмотренных Политикой случаях.
• Обезличивание — совершение действий, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
• Блокирование — временное прекращение обработки персональных данных (за исключением хранения).
• Удаление — прекращение обработки персональных данных с удалением из информационных систем.
• Уничтожение — действия, в результате которых невозможно восстановить содержание персональных данных.

6. Способы обработки персональных данных

6.1. Автоматизированная обработка

Основным способом обработки персональных данных является автоматизированная обработка с использованием средств вычислительной техники, включая:

• программное обеспечение Сервиса LEXARA;
• системы управления базами данных;
• серверную инфраструктуру, расположенную на территории Российской Федерации;
• системы резервного копирования и восстановления данных;
• системы мониторинга и журналирования событий безопасности.

6.2. Неавтоматизированная обработка

Неавтоматизированная обработка персональных данных осуществляется в исключительных случаях — при рассмотрении обращений и претензий, ведении внутренней документации, и только уполномоченными сотрудниками ООО «ЛЕКСАРА».

7. Организационные и технические меры безопасности

7.1. Организационные меры

• Назначение ответственного лица за организацию обработки персональных данных.
• Разработка и утверждение внутренних документов, регламентирующих обработку персональных данных.
• Ограничение доступа сотрудников к персональным данным по принципу наименьших привилегий (need-to-know).
• Подписание соглашений о конфиденциальности с сотрудниками, имеющими доступ к персональным данным.
• Регулярное обучение сотрудников требованиям законодательства о персональных данных.
• Проведение внутренних проверок соответствия требованиям ФЗ-152.
• Ведение журналов доступа к информационным системам персональных данных.

7.2. Технические меры

• Шифрование данных при передаче с использованием протоколов TLS 1.2/1.3.
• Хэширование паролей пользователей с применением криптографически стойких алгоритмов (bcrypt).
• Применение флагов HttpOnly и Secure для аутентификационных куки-файлов.
• Межсетевое экранирование и сегментация сети (брандмауэр).
• Регулярное обновление программного обеспечения и устранение уязвимостей.
• Антивирусная защита серверной инфраструктуры.
• Системы обнаружения и предотвращения вторжений (IDS/IPS).
• Регулярное резервное копирование данных с верификацией целостности резервных копий.
• Мониторинг событий безопасности в режиме реального времени.
• Контроль доступа к серверной инфраструктуре на основе ключей SSH.

Уровень защищённости информационной системы персональных данных определён в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119.

8. Порядок и сроки хранения персональных данных

Категория ПДн	Срок хранения	Основание	Действия по истечении срока
Данные учётной записи	До удаления аккаунта + 30 дней	Договор, согласие	Уничтожение / обезличивание
Протоколы фиксации и метаданные	5 лет с даты создания	Договор, законный интерес	Уничтожение
Платёжные данные и документация	5 лет	ФЗ-402, НК РФ	Уничтожение
Журналы безопасности	1 год	Законный интерес	Уничтожение
Данные обращений	3 года	Законный интерес, договор	Уничтожение

9. Трансграничная передача персональных данных

ООО «ЛЕКСАРА» не осуществляет трансграничную передачу персональных данных. Все персональные данные обрабатываются и хранятся исключительно на территории Российской Федерации в соответствии с требованиями ч. 5 ст. 18 ФЗ-152.

В случае если в будущем возникнет необходимость трансграничной передачи, она будет осуществляться исключительно с соблюдением требований ст. 12 ФЗ-152, включая получение предварительного письменного согласия субъектов персональных данных.

10. Передача персональных данных третьим лицам

Передача персональных данных третьим лицам осуществляется только на основании договоров об обработке персональных данных или в случаях, предусмотренных законодательством Российской Федерации:

• Платёжные провайдеры — передача данных в минимально необходимом объёме для проведения платёжных операций. Провайдеры соответствуют стандарту PCI DSS.
• Хостинг-провайдеры и провайдеры инфраструктуры — исключительно в рамках договоров об обработке данных, при условии расположения серверов на территории РФ.
• Государственные органы — по обоснованному законному требованию в соответствии с законодательством РФ (ФЗ-152, УПК РФ, КоАП РФ и др.).

ООО «ЛЕКСАРА» не продаёт и не передаёт персональные данные в коммерческих целях. Все третьи лица, получающие доступ к персональным данным, обязаны соблюдать требования ФЗ-152.

11. Права субъектов персональных данных

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ субъекты персональных данных имеют право:

• На получение информации об обработке своих персональных данных (ст. 14 ФЗ-152).
• На доступ к своим персональным данным (ст. 14 ФЗ-152).
• На уточнение персональных данных — требовать исправления неточных, неполных или устаревших данных (ст. 14 ФЗ-152).
• На блокирование персональных данных — при выявлении их неправомерной обработки (ст. 14 ФЗ-152).
• На удаление персональных данных — при наличии законных оснований (ст. 14, 17 ФЗ-152).
• На отзыв согласия на обработку персональных данных (ч. 2 ст. 9 ФЗ-152).
• На обжалование действий или бездействия Оператора в Роскомнадзоре или в суде (ст. 17 ФЗ-152).

Для реализации своих прав субъект персональных данных направляет письменный запрос на адрес электронной почты privacy@lexara.ru. Срок рассмотрения запроса — не более 30 (тридцати) рабочих дней.

12. Порядок реагирования на инциденты

В случае выявления инцидента, связанного с нарушением безопасности персональных данных, ООО «ЛЕКСАРА» осуществляет следующие действия:

1. Выявление и фиксация инцидента — незамедлительная документация факта инцидента, его характера и потенциального масштаба.
2. Локализация — принятие оперативных мер по ограничению ущерба и предотвращению дальнейшего несанкционированного доступа.
3. Уведомление Роскомнадзора — в случае если инцидент квалифицируется как утечка персональных данных, уведомление направляется в течение 24 часов с момента обнаружения (в соответствии с требованиями ФЗ-152 в редакции ФЗ-266).
4. Уведомление субъектов — в течение 72 часов с момента обнаружения инцидента субъекты персональных данных, чьи данные могли быть затронуты, уведомляются по адресу электронной почты.
5. Расследование и устранение причин — проведение внутреннего расследования, установление причин и принятие мер по их устранению.
6. Документирование — ведение журнала инцидентов безопасности для целей последующего анализа и аудита.

13. Ответственное лицо за организацию обработки персональных данных

В соответствии со статьёй 22.1 Федерального закона от 27.07.2006 № 152-ФЗ в ООО «ЛЕКСАРА» назначено должностное лицо, ответственное за организацию обработки персональных данных.

14. Порядок введения в действие и изменения политики

14.1. Настоящая Политика вступает в силу с даты её утверждения и размещения на официальном сайте ООО «ЛЕКСАРА».

14.2. Настоящая Политика подлежит пересмотру при изменении законодательства о персональных данных, изменении состава обрабатываемых данных или целей их обработки, но не реже одного раза в три года.

14.3. Актуальная версия Политики размещается на сайте: lexara.ru/data-processing.

14.4. Предыдущие версии Политики хранятся в архиве Оператора в течение 5 (пяти) лет.