Политика обработки персональных данных

1. Общие положения

Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных, осуществляемой Обществом с ограниченной ответственностью «ЛесФлоу» (далее — «Оператор»), а также меры по обеспечению их безопасности.

Политика распространяется на все персональные данные, обрабатываемые Оператором с использованием средств автоматизации при оказании услуг через платформу LesFlow (далее — «Платформа»).

2. Сведения об Операторе

3. Цели обработки персональных данных

Оператор обрабатывает персональные данные в следующих целях:

• регистрация и идентификация пользователей на Платформе;
• предоставление доступа к функциям Платформы в соответствии с выбранной ролью (заказчик, перевозчик, водитель);
• организация и сопровождение сделок по грузоперевозкам;
• обеспечение безопасности и предотвращение мошеннических действий;
• исполнение требований законодательства Российской Федерации;
• техническая поддержка пользователей.

4. Состав обрабатываемых персональных данных

В зависимости от роли пользователя Оператор обрабатывает следующие данные:

Геолокационные данные обрабатываются исключительно в период активной рабочей сессии водителя и только при наличии явного согласия, выраженного при регистрации в приложении. Субъект вправе отозвать согласие в любой момент через настройки приложения.

Оператор не обрабатывает специальные категории персональных данных (расовая принадлежность, политические взгляды, состояние здоровья и т.п.).

5. Правовые основания обработки

• согласие субъекта персональных данных (ст. 6, ч. 1, п. 1 ФЗ-152) — при регистрации на Платформе;
• исполнение договора, стороной которого является субъект персональных данных (ст. 6, ч. 1, п. 5 ФЗ-152);
• исполнение обязанностей, предусмотренных законодательством Российской Федерации (ст. 6, ч. 1, п. 2 ФЗ-152).

6. Порядок и условия обработки

Обработка персональных данных осуществляется с использованием средств автоматизации.

Первичное хранение персональных данных осуществляется на серверах, расположенных на территории Российской Федерации (провайдер: ООО «Таймвэб», г. Москва), в соответствии с требованиями ст. 18 ФЗ-152 о локализации данных граждан РФ.

Для целей автоматизации бизнес-процессов (обработка заявок, уведомления, маршрутизация) Оператор привлекает третьих лиц-обработчиков, в том числе с использованием серверной инфраструктуры, расположенной на территории Королевства Нидерланды (провайдер: ООО «Таймвэб», дата-центр AMS). Трансграничная передача осуществляется исключительно в технологических целях, без раскрытия данных посторонним лицам, на основании ст. 12 ФЗ-152.

Передача персональных данных третьим лицам в коммерческих целях без согласия субъекта не осуществляется, за исключением случаев, предусмотренных законодательством Российской Федерации.

7. Сроки хранения персональных данных

• данные активного аккаунта — в течение всего срока использования Платформы;
• данные удалённого аккаунта — не более 3 (трёх) лет с момента удаления в целях урегулирования возможных споров, после чего уничтожаются или обезличиваются;
• данные, необходимые для исполнения требований законодательства, — в сроки, установленные соответствующими нормативными актами.

По истечении указанных сроков персональные данные уничтожаются или обезличиваются.

8. Права субъекта персональных данных

В соответствии с ФЗ-152 вы имеете право:

• получить информацию об обработке ваших персональных данных;
• требовать уточнения, блокирования или уничтожения персональных данных, если они неполные, устаревшие, неточные или незаконно получены;
• отозвать согласие на обработку персональных данных;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

Для реализации прав направьте запрос Оператору способами, указанными в разделе 10.

9. Меры по защите персональных данных

Оператор принимает следующие меры для защиты персональных данных:

• хранение паролей в хэшированном виде (bcrypt);
• передача данных по защищённому протоколу HTTPS/TLS;
• JWT-аутентификация с ограниченным сроком действия токенов;
• разграничение прав доступа к данным в зависимости от роли пользователя;
• физическое и программное ограничение доступа к серверам и базам данных;
• регулярный аудит безопасности.

10. Контактные данные Оператора

По вопросам, связанным с обработкой персональных данных, вы можете обратиться к Оператору:

Срок рассмотрения обращений — не более 30 дней с момента получения.

11. Изменение Политики

Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения на Платформе. Продолжение использования Платформы после публикации изменений означает согласие с новой редакцией Политики.

В случае внесения изменений, затрагивающих основания или цели обработки персональных данных, Оператор уведомляет субъектов и запрашивает повторное согласие в порядке, предусмотренном ФЗ-152.