Политика конфиденциальности

Политика — сложный документ. Комментируем основные моменты.

В документе рассказываем, зачем и какие данные людей собираем на сайте, как потом защищаем.

Если используете «Дадату», считаем, что вы прочитали Политику и не против того, что мы в ней рассказали.

Политика конфиденциальности определяет, как ООО «Дейта Кью» обрабатывает и защищает персональные данные пользователей веб-сайтов — которыми владеет, которые администрирует или использует. А еще данные соискателей.

В документе мы используем термины:

«Политика» — политика конфиденциальности;
«Компания» — общество с ограниченной ответственностью «Дейта Кью», ОГРН 5077746329876, место нахождения: 119034, г. Москва, Турчанинов пер., дом 6 стр. 2, помещение I, комн. 9,11, эт. 1;
«Ресурсы» — веб-сайты, которыми Компания владеет, которые администрирует или использует;
«Закон о персональных данных» — федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Если вы используете любой из Ресурсов в любой форме, значит, вы предварительно ознакомились с условиями Политики и согласны с этими условиями.

Компания может изменить Политику. Новая редакция вступает в силу с момента ее размещения на Ресурсах.

Эта версия Политики — актуальная. Обновили ее и разместили на Ресурсах 29 мая 2025 года.

Цели, категории, основания обработки персональных данных пользователей

Собираем то, что перечислили в таблице.

Компания обрабатывает персональные данные только в целях, для которых собирала эти данные. В частности:

1. Технические вещи типа IP-адреса и куков, чтобы сайт адекватно работал. Скажем, помнил, что вы вошли в личный кабинет. И все время не требовал логин и пароль.

Нормальная и безопасная работа Ресурсов.

Контроль использования и улучшения качества Ресурсов.

Сохранение предпочтений пользователя.

Статистические, аналитические и иные исследований того, как пользователи используют Ресурсы. Исследования нужны, чтобы Ресурсы отвечали предпочтениям пользователей.

IP-адрес.

Индивидуальный сетевой номер устройства: MAC-адрес, ID.

Электронный серийный номер: IMEI, MEID.

Данные из cookies.

Информация о браузере, операционной системе, времени доступа, времени посещения, поисковых запросах.

Адреса веб-сайтов — которые автоматически собирают системы веб-аналитики, используемые в Ресурсах.

Не более 10 лет с даты последнего посещения Ресурсов или последнего использования услуг, перечисленных в договоре.

2. Базовые сведения о пользователе. Они нужны, чтобы создать личный кабинет, принять оплату, запомнить карту для следующих платежей.

Регистрация и авторизация пользователя в клиентском сервисе DaData.

Использование личных кабинетов.

Заключение, исполнение и расторжение договоров на использование Ресурсов.

Возможность оформить, оплатить и продлить подписку.

Имя, фамилия.

Номер телефона.

Адрес электронной почты.

Идентификаторы платежных средств: последние 4 цифры номера банковской карты.

Системный ID.

Почтовые адреса для документов.

Пока действует договор на использование DaData.

И не более 10 лет с даты последней авторизации или последнего использования услуг, перечисленных в договоре.

3. Контакты для рассылок. Напишем, чтобы позвать на мероприятия или показать обновления. Если вы на это согласны.

Получение новостей, информации о продуктах, мероприятиях или услугах, проводимых конкурсах, скидках и специальных предложениях.

Имя, фамилия, отчество.

Номер телефона.

Адреса электронной почты.

История взаимодействия с Компанией и ее сервисами.

Предпочтения и иные данные, что предоставил пользователь или которые Компания узнала в целях, указанных выше.

Не более 10 лет с момента согласия на маркетинговые коммуникации.

4. Контакты для поддержки. Иначе не сможем ответить на вопросы.

Поддержка по вопросам работы Ресурсов и клиентских сервисов Компании.

Приобретение услуг, подача заявок на их приобретение.

Участие в тестировании сервисов.

Контроль качества обслуживания и удовлетворенности услугами.

Опросы пользователей.

Имя.

Номер телефона.

Адрес электронной почты.

Место работы и должность.

Иные данные, которые сообщит пользователь.

Не более 10 лет с даты обращения.

5. Данные соискателей, которые откликнулись на вакансию.

Обращения по поводу открытых вакансий

Имя, фамилия, отчество.

Пол.

Сведения об опыте работы.

Контактная информация.

Резюме и иные сведения, которые в нем содержатся. Или которые соискатели дополнительно сообщат Компании иным образом.

Не более 3 лет с даты обращения.

Или дольше, если соискатель предоставил дополнительное согласие. Или приняли решение о дальнейшем сотрудничестве.

Компания обрабатывает персональные данных в целях, указанных выше, на следующих законных основаниях:

заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является пользователь. В частности, публичной оферты;
с согласия субъекта персональных данных, которое предоставляют при заполнении веб-форм или в ином виде;
чтобы выполнить функции и обязанности, которые применимое законодательство накладывает на Компанию;
чтобы осуществить права и законные интересы Компании или третьих лиц. Либо достичь общественно значимые цели при условии, что это не нарушает права и свободы пользователя.

Записываем персданные во внутренние системы. Например, в CRM.

Уничтожим, когда истекут сроки, которые мы прописали в таблице.

Биометрию и все такое не собираем.

Компания вправе в указанных целях вносить персональные данные в информационные системы, хранить и обрабатывать любыми не противоречащими законодательству способами.

Персональные данные подлежат уничтожению, когда цели обработки достигнуты или если больше не нужно достигать эти цели. Исключение — иное предусмотрено законодательством либо отдельно согласовано сторонами.

Компания не обрабатывает биометрические данные, а также сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни субъектов персональных данных.

Условия обработки персональных данных

Компания обрабатывает информацию в соответствии с настоящей Политикой, внутренними актами Компании, а также законодательством Российском Федерации. В частности, с «Законом о персональных данных».

Маркетинговые рассылки отправляем, только если вы согласились: нажали галочку при регистрации или кнопку в ЛК.

Иначе никаких продающих писем. Но написать мы можем. Например, в ответ на ваш вопрос поддержке.

Прямые контакты с пользователем для продвижения услуг Компании допускаются только с согласия, которое пользователь дает в процессе использования Ресурсов.

Компания может запрашивать согласие неоднократно, при каждом обращении пользователя. Если при одном из таких последующих запросов пользователь не даст согласия, то ранее данное согласие не будет автоматически признаваться отозванным. Оно продолжит действовать в течение срока, который указан в Согласии.

Если пользователь не соглашался на обработку персональных данных в целях продвижения услуг, Компания будет коммуницировать с ним только для исполнения предусмотренных законом обязанностей или запросов этого пользователя.

Не опубликуем без согласия ваши данные в блоге или соцсетях. Скажем, в статье не напишем «А вот Иван из ООО „Ромашка“...».

Компания не размещает персональные данные в общедоступных источниках без письменного согласия пользователя или иного субъекта персональных данных.

На основании исключительно автоматизированной обработки персональных данных в Компании запрещено принимать решения, которые порождают юридические последствия для пользователя. Или иным образом затрагивают его права и законные интересы.

Мы можем передавать данные третьим лицам. Дополнительное согласие для этого не нужно.

Третьи лица — это наши подрядчики. Например, сервис UserEcho, движок нашей поддержки. А еще «Яндекс Метрика».

Компания имеет право привлекать третьих лиц к обработке полученных персональных данных и/или передавать им полученные данные. А также получать от них данные в указанных целях без дополнительного согласия пользователя, если указанные третьи лица обеспечат конфиденциальность и безопасность персональных данных при обработке.

К таким третьим лицам, в частности, могут относиться:

контрагенты Компании, которые оказывают услуги хостинга сайтов и поддержки используемых информационных систем, организации мероприятий, услуги по сбору и обработке отзывов пользователей, проведению опросов и исследований среди пользователей, иные услуги, приобретаемые Компанией в указанных выше целях;
иные компании Группы для целей обеспечения внутригруппового взаимодействия;
государственные или муниципальные органы власти в случаях, установленных законодательством.

Данные, которые собирают и используют системы веб-аналитики, могут получать третьи лица-провайдеры таких систем. В частности, ООО «Яндекс». При этом обработка персональных данных осуществляется в рамках предоставления Ресурсов пользователю для исполнения публичной оферты.

Указанные третьи лица могут обрабатывать персональные данные с или без средств автоматизации. А также совершать любые действия по обработке персональных данных, которые бы не противоречили законодательству Российской Федерации.

С каждым подрядчиком заключаем договор. Там отдельно прописываем, что можно, а чего нельзя.

Третьи лица могут обрабатывать персональные данные только на основании договора, в котором определили:

перечень действий (операций) с персональными данными;
цели обработки и положения по обеспечению безопасности персональных данных;
в том числе, требования не раскрывать и не распространять персональные данные без согласия пользователя, если иное не предусмотрено законодательством Российской Федерации;
а также требования в соответствии со статьей 19 «Закона о персональных данных».

Меры по обеспечению безопасности персональных данных

В этом разделе перечисляем все, что делаем, чтобы защитить ваши персданные.

Если в двух словах:

ведем учет — какие данные собираем, в каких системах храним, на каких серверах, когда удалять. Иначе не уследишь, и данные утекут;
настроили сотрудникам доступы только к тем данным, которые нужны по работе. От греха;
логируем — когда, что и кто делал с данными. Скажем, видим, кто выгружал емейлы из системы рассылок;
используем защищенные каналы передачи данных и другую техническую защиту. Не пишем детали, чтобы не подсказывать злоумышленникам.

Компания принимает все необходимые организационные и технические меры, чтобы защитить персональные данные пользователей от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения. А также от иных неправомерных действий с ними.

К мерам обеспечения безопасности персональных данных в Компании относятся, в том числе:

учет категорий и перечня персональных данных, которые обрабатывает Компания; категорий субъектов, данные которых обрабатывает Компания; сроков хранения и порядка уничтожения таких персональных данных;
учет машинных носителей персональных данных и информационных систем Компании, в которых обрабатывают персональные данные;
определение необходимого уровня защищенности персональных данных, которые обрабатывают в информационных системах Компании;
определение угроз безопасности при обработке персональных данных в информационных системах Компании;
определение и внедрение технических и организационных мер, обеспечивающих защиту персональных данных — перед введением новых процессов обработки персональных данных и новых информационных систем;
контроль и оценка эффективности применяемых мер по обеспечению безопасности персональных данных — до ввода в эксплуатацию информационной системы;
оценка и документирование вреда, который может быть причинен субъектам персональных данных в случае нарушения «Закона о персональных данных». И соотношения указанного вреда и принимаемых Компанией мер;
установление правил доступа к персональным данным, которые обрабатывают в информационных системах персональных данных Компании. А также регистрация и учет действий с персональными данными в информационных системах;
применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
обнаружение фактов несанкционированного доступа к персональным данным и других инцидентов, принятие мер по ликвидации и митигации последствий;
восстановление персональных данных, модифицированных или уничтоженных из-за несанкционированного доступа к ним;
учет должностей работников Компании, которым для выполнения служебных (трудовых) обязанностей необходим доступ к персональным данным — обрабатываемым как с использованием, так и без использования средств автоматизации;
ознакомление под роспись работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных. В том числе, с требованиями к защите персональных данных, настоящей Политикой и иными локальными актами Компании по вопросам обработки и защиты персональных данных;
обучение работников Компании;
регулярный внутренний контроль/аудит — соответствует ли обработка и обеспечение безопасности персональных данных действующему законодательству Российской Федерации в области персональных данных.

В Компании назначили лицо, ответственное за организацию обработки персональных данных.

Перечисляем инструкции, которые обязаны выполнять сотрудники и подрядчики, чтобы безопасно работать с данными пользователей.

Описали процедуры — во внутренних документах, обязательных для исполнения всеми работниками Компании, а также в соглашениях с партнерами, контрагентами и прочими третьими лицами в части, их касающейся:

как предоставлять доступ к информации;
как вносить изменения в персональные данные, чтобы обеспечить их точность, достоверность и актуальность. В том числе по отношению к целям обработки;
как уничтожать, блокировать персональные данные, если необходимо;
как обрабатывать обращения субъектов персональных данных или их законных представителей, если это предусмотрено «Законом о персональных данных»;
как подготовить информацию о наличии персональных данных относящихся к конкретному субъекту;
как подготовить информацию, необходимую, чтобы ознакомить субъекта (его законными представителями) с его персональными данными;
как обрабатывать обращения об уточнении персональных данных, их блокировании или уничтожении, если они являются неполными, устаревшими, неточными, незаконно полученными или не необходимы для установленной цели обработки;
как обрабатывать запрос уполномоченного органа по защите прав субъектов персональных данных;
как получить согласие субъекта персональных данных на обработку персональных данных;
как передавать персональные данных третьим лицам;
как работать с материальными носителями персональных данных;
как уведомлять уполномоченные органы по защите прав субъектов персональных данных в сроки, установленные «Законом о персональных данных».

Храним персданные на серверах в России. Этого требует закон.

Компания использует базы данных, находящиеся на территории Российской Федерации — чтобы собирать, записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять), извлекать, использовать, передавать (распространять, предоставлять доступ), блокировать, удалять, уничтожать персональные данные граждан Российской Федерации.

Использование cookie-файлов, иных средств веб-аналитики

Сайт «Дадаты» оставляет на компьютере куки. Это файлы, где написано, что вы были на сайте и делали там то-то и то-то.

Куки нужны, чтобы:

сайт не тупил. Скажем, не просил пароль заново, если вы только что логинились в ЛК;
мы видели статистику, обезличенную. Скажем, сколько человек за день открывает сайт;
мы настроили рекламу по интересам.

Cookies — это небольшие текстовые файлы.

Браузер по умолчанию генерирует cookie-файлы и сохраняет на устройстве пользователя, когда тот посещает Ресурсы. Пользователь в любой момент может удалить cookie-файлы с устройства через настройки используемого браузера.

На Ресурсах и в мобильных приложениях Компании используются следующие виды средств веб-аналитики:

Права субъектов персональных данных, контакты по вопросам обработки персональных данных

Напишите на почту info@dadata.ru, и мы:

расскажем, какие ваши данные используем и каким образом;
исправим и обновим ваши данные;
удалим данные, если с ними что-то не так;
перестанем отправлять рассылки.

Ответим на запрос в течение 10 рабочих дней с момента обращения.

При обработке персональных данных пользователи вправе:

запросить информацию, касающуюся обработки их персональных данных;
потребовать уточнения, уничтожения или блокирования их персональных данных, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
самостоятельно вносить изменения, дополнения в информацию о себе в личных кабинетах на Ресурсах, если поддерживается такая возможность;
отказаться от обработки персональных данных для осуществления прямых контактов (в том числе, в целях продвижения товаров, работ, услуг), если персональные данные обрабатываются в таких целях;
отозвать предоставленные Компании согласия на обработку персональных данных;
обжаловать действия Компании в административном или судебном порядке.

В случае возникновения любых вопросов и обращений касательно обработки персональных данных, в частности для отзыва согласия на обработку персональных данных, вы можете обратиться по адресу электронной почты info@dadata.ru, либо направить письменное обращение по адресу: 119034, г. Москва, Турчанинов пер., дом 6 стр. 2, помещение I, комн. 9,11, эт. 1.

Компания отвечает на запросы пользователей в сроки, установленные законодательством РФ. В случае возникновения обстоятельств, которые требуют установления дополнительной информации, Компания в случаях, установленных законодательством РФ, вправе продлить срок ответа на запрос пользователя на срок до 5 рабочих дней при условии направления пользователю мотивированного уведомления о причинах продления срока.