Политика обработки персональных данных

1. Общие положения

1.1. Настоящая политика обработки персональных данных (далее — Политика) определяет порядок обработки, хранения и защиты персональных данных пользователей сайта «Последний Менестрель», расположенного по адресу https://lastminstrel.ru.

1.2. Оператором персональных данных является Дженнер Келаниса Алексеевна, применяющая специальный налоговый режим «Налог на профессиональный доход», ИНН 263518113933, email: kiralis21@gmail.com.

1.3. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными применимыми нормативными актами.

1.4. Использование сайта, регистрация, оплата, получение бесплатного доступа или передача любых персональных данных означают согласие пользователя с настоящей Политикой.

2. Персональные данные, которые обрабатываются

2.1. При регистрации и использовании сайта Оператор может обрабатывать следующие персональные данные:

• адрес электронной почты (email) — для идентификации аккаунта, авторизации, направления уведомлений и чеков;
• имя или псевдоним — по желанию пользователя, для персонализации;
• Telegram ID и имя пользователя Telegram — при использовании входа через Telegram;
• IP-адрес (в хэшированном виде) — для противодействия пиратству и предотвращения злоупотреблений;
• данные браузера и устройства (User-Agent) — для технической диагностики и безопасности;
• идентификаторы покупок и транзакций — для обработки заказов, учёта библиотеки и возвратов;
• прогресс чтения и данные о взаимодействии с сайтом — для обеспечения функции личного кабинета.

2.2. Оператор не собирает данные банковских карт. Платёжные данные обрабатываются непосредственно платёжным сервисом ЮMoney в соответствии с его политикой конфиденциальности.

3. Цели обработки персональных данных

3.1. Персональные данные обрабатываются в следующих целях:

• идентификация и авторизация пользователей на сайте и в личном кабинете;
• предоставление доступа к приобретённым и бесплатным материалам;
• исполнение договора о предоставлении доступа к электронным книгам;
• обработка платежей и формирование чеков;
• направление уведомлений о выходе новых глав (только при наличии активной подписки на книгу);
• направление чеков об оплате;
• противодействие пиратству и несанкционированному распространению контента;
• обеспечение безопасности и работоспособности сайта;
• рассмотрение обращений и заявок на возврат.

4. Правовые основания обработки

4.1. Обработка персональных данных осуществляется на следующих правовых основаниях:

• согласие пользователя — при регистрации и использовании сайта (ст. 6 152-ФЗ);
• исполнение договора — при обработке данных, необходимых для предоставления доступа к оплаченному контенту;
• выполнение законодательных обязательств — при хранении данных о транзакциях в соответствии с требованиями налогового и бухгалтерского законодательства.

5. Сроки хранения данных

5.1. Персональные данные хранятся в течение всего срока активности аккаунта пользователя.

5.2. После удаления аккаунта по запросу пользователя:

• личные данные (email, имя, псевдоним, Telegram ID) удаляются в течение 30 дней;
• данные о покупках и транзакциях хранятся ещё 3 года в соответствии с требованиями налогового законодательства.

5.3. Хэши IP-адресов, используемые для противодействия пиратству, хранятся не более 12 месяцев с момента последней активности.

6. Передача данных третьим лицам

6.1. Оператор не продаёт и не передаёт персональные данные третьим лицам в коммерческих целях.

6.2. Персональные данные могут передаваться следующим категориям получателей исключительно в целях, указанных в настоящей Политике:

• провайдеры технической инфраструктуры — для хранения данных и обеспечения работы сайта;
• платёжные сервисы — для обработки платежей;
• сервисы авторизации — для обеспечения входа через электронную почту, Google и Telegram за пределами территории, где авторизация ограничена законом.

6.3. Передача данных возможна по законному требованию уполномоченных государственных органов в пределах, установленных законодательством.

7. Сервисы и обработчики данных

7.1. В работе сайта используются следующие сервисы, которые могут обрабатывать персональные данные пользователей:

• Firebase Hosting, Google Cloud (europe-west1, Бельгия) — хостинг и доставка статических файлов сайта;
• Firebase Auth, Firestore (Google LLC) — авторизация пользователей за пределами территории, где авторизация ограничена законом, хранение данных аккаунтов, библиотеки, покупок и прогресса чтения. Данные хранятся в регионе europe-west1 (Бельгия);
• Google Sign-In — при входе через Google передаются идентификатор аккаунта, email, имя и аватар в соответствии с политикой конфиденциальности Google;
• Telegram Login Widget и Telegram Bot API — при входе через Telegram передаются Telegram ID, имя и имя пользователя. Telegram может обрабатывать эти данные в соответствии со своей политикой конфиденциальности;
• ЮMoney — приём и обработка платежей. Данные банковских карт обрабатываются непосредственно ЮMoney и не передаются Оператору;
• Приложение «Мой налог» (самозанятый) — формирование и передача чеков об оплате в соответствии с требованиями законодательства о налоге на профессиональный доход.

8. Файлы cookie и localStorage

8.1. Сайт использует localStorage браузера для хранения пользовательских настроек:

• прогресс чтения глав — для продолжения чтения с места остановки;
• выбранная тема оформления (светлая или тёмная);
• предпочтения интерфейса.

8.2. Данные localStorage хранятся исключительно в браузере пользователя и не передаются на серверы. Пользователь вправе удалить их в любой момент через настройки браузера.

8.3. Сторонние сервисы (Firebase, Telegram Login Widget, ЮMoney) могут устанавливать собственные файлы cookie в соответствии со своими политиками конфиденциальности.

9. Территориальное ограничение авторизации

9.1. Авторизация на сайте недоступна для пользователей, находящихся на территории Российской Федерации, в связи с требованиями части 10 статьи 8 Федерального закона № 149-ФЗ.

9.2. Для соблюдения указанного требования сайт до отображения формы входа выполняет серверную проверку страны подключения по IP-адресу. Если страна определяется как Российская Федерация или не может быть определена, форма авторизации, регистрации и восстановления доступа не отображается, сторонние сервисы входа не инициализируются, а попытки прямого обращения к серверным методам авторизации отклоняются.

9.3. Пользователи, находящиеся за пределами Российской Федерации, могут использовать доступные способы авторизации: электронную почту, Google или Telegram.

9.4. IP-адреса, используемые для проверки территории подключения, не отображаются в личном кабинете и применяются только для выполнения правового ограничения и защиты сайта. Для событий безопасности сайт хранит только хэш IP-адреса.

10. Безопасность данных

10.1. Оператор принимает разумные технические и организационные меры для защиты персональных данных от несанкционированного доступа, утраты, изменения или разглашения, в том числе:

• передача данных по зашифрованным каналам (HTTPS);
• хранение данных на защищённой инфраструктуре Firebase (Google Cloud);
• ограничение прав доступа к данным;
• хранение IP-адресов только в хэшированном виде.

10.2. При обнаружении утечки данных Оператор уведомляет пользователей через сайт или по email в течение 72 часов с момента обнаружения.

11. Права пользователей

11.1. В соответствии с Федеральным законом № 152-ФЗ пользователь вправе:

• получить информацию о том, какие его персональные данные обрабатываются;
• запросить исправление неточных или устаревших данных;
• запросить удаление аккаунта и персональных данных;
• отозвать согласие на обработку персональных данных;
• обжаловать действия Оператора в уполномоченный орган по защите прав субъектов персональных данных.

11.2. Для реализации указанных прав пользователь направляет обращение на email kiralis21@gmail.com. Оператор рассматривает обращение в течение 30 дней.

11.3. Отзыв согласия на обработку персональных данных не затрагивает обработку, осуществлявшуюся до момента отзыва, и не прекращает обработку, проводимую на иных правовых основаниях (исполнение договора, законодательная обязанность).

12. Трансграничная передача данных

12.1. В связи с использованием инфраструктуры Google Cloud (Firebase) данные могут обрабатываться на серверах, расположенных в Бельгии (ЕС, регион europe-west1). Обработка осуществляется в соответствии с требованиями GDPR и законодательства РФ о персональных данных.

12.2. Данные, связанные с авторизацией через Telegram, могут обрабатываться серверами Telegram в соответствии с политикой конфиденциальности Telegram.

13. Данные несовершеннолетних

13.1. Сайт предназначен для лиц, достигших 18 лет. Оператор не осуществляет намеренной обработки персональных данных лиц, не достигших совершеннолетия.

13.2. Если Оператору становится известно о том, что пользователь является несовершеннолетним, соответствующий аккаунт может быть заблокирован, а данные — удалены.

14. Изменения в Политике

14.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента публикации на сайте.

14.2. При существенных изменениях Оператор уведомляет пользователей через сайт или по email.

14.3. Продолжение использования сайта после публикации новой редакции Политики означает принятие её условий.

15. Связь с Оператором

15.1. По всем вопросам, связанным с обработкой персональных данных, а также для реализации своих прав пользователь вправе обратиться к Оператору по email: kiralis21@gmail.com.

15.2. Оператор рассматривает обращения в течение 30 дней с момента получения.

16. Заключительные положения

16.1. В части, не урегулированной настоящей Политикой, применяется Федеральный закон № 152-ФЗ «О персональных данных» и иное применимое законодательство Российской Федерации.

16.2. Если какое-либо положение настоящей Политики будет признано недействительным, остальные положения сохраняют силу.

16.3. Настоящая Политика составлена на русском языке. При наличии перевода на иной язык русскоязычная версия имеет приоритет.

Согласие на обработку персональных данных

Регистрируясь на сайте «Последний Менестрель» (https://lastminstrel.ru), оплачивая доступ к материалам, получая бесплатный доступ, входя через Telegram или иным образом передавая свои данные, пользователь даёт свободное, конкретное, информированное и сознательное согласие Дженнер Келанисе Алексеевне (ИНН 263518113933) на обработку следующих персональных данных:

• адрес электронной почты (email);
• имя или псевдоним;
• Telegram ID и имя пользователя Telegram (при входе через Telegram);
• IP-адрес в хэшированном виде;
• данные браузера и устройства;
• данные о покупках, транзакциях и прогрессе чтения.

Согласие даётся в целях, указанных в разделе 3 настоящей Политики: идентификации, авторизации, предоставления доступа к материалам, исполнения договора, обработки платежей, направления чеков и уведомлений, обеспечения безопасности сайта и противодействия пиратству.

Обработка осуществляется с использованием средств автоматизации. Данные могут передаваться обработчикам, указанным в разделе 7 настоящей Политики, исключительно в целях исполнения обязательств перед пользователем.

Согласие действует с момента его выражения до момента отзыва. Пользователь вправе отозвать согласие, направив соответствующее обращение на email kiralis21@gmail.com. Отзыв согласия не затрагивает обработку, осуществлявшуюся до его отзыва, и не прекращает обработку на основании исполнения договора или законодательной обязанности.