Политика конфиденциальности платформы Опелео

Дата вступления в силу: 16 февраля 2026 года

Версия 1.0

1. Общие положения

1.1. О Политике

Настоящая Политика обработки персональных данных (далее — Политика) составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению их безопасности.

1.2. Оператор

Оператором персональных данных является Общество с ограниченной ответственностью "Опелео" (ОГРН: 1257700480531, ИНН: 9725195770, адрес: 115432, город Москва, муниципальный округ Даниловский, проезд Проектируемый 4062-й, дом 6, строение 1, помещение 2Б/5) (далее — Оператор, Платформа, Опелео).

1.3. Роль Платформы

Платформа "Опелео" является информационно-организационным и платёжным посредником, действующим в агентской модели (ст. 1005 ГК РФ).

Платформа НЕ ЯВЛЯЕТСЯ:

  • исполнителем медицинских, психологических, уходовых, лабораторных или иных услуг;
  • медицинской, психологической или социальной организацией;
  • поставщиком товаров или расходных материалов;
  • стороной в отношениях по существу оказания услуг между Клиентами и Партнёрами.

Функции Платформы ограничены:

  • организацией взаимодействия между Клиентами и Партнёрами (Принципалами);
  • приёмом и перечислением платежей;
  • обеспечением цифровой инфраструктуры для заявок и коммуникаций.

Платформа не осуществляет обработку персональных данных, необходимых для оказания услуг Принципалами, и не является оператором таких данных в отношении их деятельности по оказанию услуг.

1.4. Область применения

Настоящая Политика применяется ко всей информации, которую Оператор может получить о Пользователях при:

  • использовании веб-сайта https://opeleo.ru, включая все поддомены и страницы (далее — Сайт);
  • использовании мобильных приложений и программного обеспечения Платформы;
  • заключении и исполнении договоров и соглашений;
  • обработке обращений, жалоб, запросов и сообщений.

2. Основные понятия

2.1. Термины по законодательству о персональных данных

Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (Субъекту персональных данных).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Субъекту персональных данных.

Уничтожение персональных данных — действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и/или уничтожаются материальные носители персональных данных.

Файлы cookie — данные, передаваемые в процессе использования Сайта с помощью установленного на устройстве Субъекта программного обеспечения, включая IP-адрес, информацию о браузере, технические характеристики оборудования, дату и время доступа к Сайту и иную подобную информацию.

2.2. Термины Платформы

Пользователь — любое физическое лицо, использующее Сайт или сервисы Платформы.

Клиент — физическое лицо, заключившее с Платформой договор на информационно-организационное сопровождение и оплату Пакета услуг.

Партнёр (Принципал) — независимый поставщик услуг или товаров (медицинские организации, психологи, помощники по уходу, лаборатории, поставщики расходных материалов и др.), с которым Платформа взаимодействует на основании агентского договора.

Пакет услуг — информационно-организационный продукт Платформы, представляющий собой набор услуг, подлежащих организации Платформой с привлечением Партнёров.

3. Принципы обработки персональных данных

Оператор при обработке персональных данных руководствуется следующими принципами:

3.1. Законность и справедливость

Обработка персональных данных осуществляется на законной и справедливой основе.

3.2. Ограничение целей

Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Соответствие объёма целям

Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.

3.4. Точность и актуальность

При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

3.5. Ограничение сроков хранения

Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором.

3.6. Конфиденциальность

Персональные данные не раскрываются третьим лицам и не распространяются без согласия Субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

3.7. Минимизация обработки

В соответствии с агентской моделью Платформы:

  • Оператор обрабатывает персональные данные только в объёме, строго необходимом для достижения целей, указанных в настоящей Политике, и не обрабатывает данные, не относящиеся к этим целям.

Оператор НЕ получает и НЕ обрабатывает:

  • содержательные данные об оказанных услугах (медицинские, психологические записи и т.п.);
  • результаты медицинских или психологических консультаций;
  • медицинскую или психологическую документацию;
  • детальное описание процесса оказания услуг Партнёрами.

3.8. Разграничение операторства

Каждый Партнёр является самостоятельным оператором персональных данных в отношении данных, необходимых для оказания услуг.

Платформа не несёт ответственности за обработку персональных данных Партнёрами в процессе оказания услуг.

3.9. Особые категории данных

Оператор НЕ осуществляет обработку персональных данных, касающихся:

  • расовой, национальной принадлежности;
  • политических взглядов;
  • религиозных или философских убеждений;
  • интимной жизни;
  • членства в общественных объединениях, в том числе в профессиональных союзах.

Оператор НЕ обрабатывает биометрические персональные данные.

4. Цели и правовые основания обработки персональных данных

4.1. Общие цели обработки

Оператор обрабатывает персональные данные исключительно в следующих целях:

  1. Организационные цели:

    • организация взаимодействия между Клиентами и Партнёрами;
    • обработка заявок на услуги;
    • формирование и управление Пакетами услуг;
    • подбор и направление Клиентов к соответствующим Партнёрам;
    • организация замены Партнёров (при необходимости).

  2. Платёжные цели:

    • приём платежей от Клиентов;
    • аккумулирование денежных средств;
    • перечисление платежей Партнёрам;
    • удержание агентского вознаграждения;
    • ведение платёжной документации.

  3. Коммуникационные цели:

    • информирование Клиентов и Партнёров об организационных вопросах;
    • обработка обращений, жалоб и запросов (в части процедур и платежей);
    • уведомления о статусе заявок и платежей.

  4. Технические и аналитические цели:

    • обеспечение функционирования Сайта и сервисов Платформы;
    • улучшение качества организационных процессов;
    • анализ обезличенных данных для оптимизации работы Платформы.

  5. Юридические цели:

    • исполнение договорных обязательств;
    • соблюдение требований законодательства РФ;
    • защита прав и законных интересов Оператора.

4.2. Правовые основания обработки

Обработка персональных данных осуществляется на основании:

  • Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных";
  • Гражданского кодекса Российской Федерации (ст. 1005 — агентский договор);
  • Закона РФ от 07.02.1992 № 2300-1 "О защите прав потребителей";
  • согласия Субъекта персональных данных на обработку его персональных данных;
  • договоров, заключаемых между Оператором и Субъектом персональных данных;
  • необходимости исполнения договора, стороной которого является Субъект персональных данных;
  • законных интересов Оператора, не нарушающих прав субъекта персональных данных в соответствии с Федеральным законом №152-ФЗ;
  • по запросам уполномоченных государственных органов и в соответствии с требованиями законодательства.

5. Категории субъектов и обрабатываемые данные

5.1. Клиенты Платформы

Цели обработки:

  • организация получения услуг через Платформу;
  • приём и распределение платежей;
  • информирование о статусе заявок и услуг;
  • обработка обращений и жалоб (в части организационных и платёжных вопросов).

Обрабатываемые персональные данные:

  • фамилия, имя, отчество;
  • дата рождения;
  • пол;
  • номер телефона;
  • адрес электронной почты;
  • адрес оказания услуг (при необходимости);
  • данные для формирования платёжных документов;
  • история заявок и платежей на Платформе;
  • уникальные идентификаторы, связанные с безопасностью учётной записи (пароль/сессионные токены), с указанием, что доступ к этим данным имеет только Оператор, а не Принципалы.

Правовые основания:

  • договор на информационно-организационное сопровождение;
  • согласие Клиента на обработку персональных данных;
  • Закон о защите прав потребителей.

Срок обработки и хранения:

  • в течение срока действия договора с Клиентом;
  • 3 года после завершения договорных отношений (срок исковой давности);
  • для целей маркетинговых коммуникаций — до отзыва согласия Клиентом.

5.2. Партнёры (Принципалы)

Цели обработки:

  • заключение и исполнение агентских договоров;
  • направление заявок от Клиентов;
  • перечисление платежей за оказанные услуги;
  • информирование об организационных вопросах.

Обрабатываемые персональные данные:

Для индивидуальных предпринимателей и самозанятых:

  • фамилия, имя, отчество;
  • дата рождения;
  • ОГРНИП / ИНН;
  • номер телефона;
  • адрес электронной почты;
  • банковские реквизиты;
  • данные о статусе плательщика НПД (для самозанятых);
  • профессиональная квалификация (при наличии лицензий).

Для представителей юридических лиц:

  • фамилия, имя, отчество представителя;
  • должность;
  • номер телефона;
  • адрес электронной почты;
  • реквизиты доверенности или иного документа, подтверждающего полномочия.

Правовые основания:

  • агентский договор;
  • согласие на обработку персональных данных;
  • Гражданский кодекс РФ (ст. 1005).

Срок обработки и хранения:

  • в течение срока действия агентского договора;
  • 5 лет после завершения сотрудничества.

5.3. Посетители Сайта

Цели обработки:

  • обеспечение функционирования Сайта;
  • анализ качества предоставляемого сервиса;
  • улучшение пользовательского опыта;
  • предоставление информации о сервисах Платформы.

Обрабатываемые персональные данные:

  • IP-адрес устройства;
  • данные о браузере и операционной системе;
  • данные о действиях на Сайте (просмотренные страницы, время посещения);
  • cookie-файлы;
  • данные о местоположении (на основе IP-адреса);
  • контактные данные (при добровольном предоставлении через формы обратной связи).

Правовые основания:

  • согласие на использование cookie-файлов;
  • законный интерес Оператора в обеспечении функционирования Сайта.

Срок обработки и хранения:

  • cookie-файлы: до 90 дней;
  • обезличенные данные аналитики: 1 год;
  • данные из форм обратной связи: 30 дней (при отсутствии заключения договора).

6. Особенности обработки данных в агентской модели

6.1. Разделение операторства

Платформа как оператор обрабатывает персональные данные исключительно для организационных и платёжных функций.

Партнёры как операторы самостоятельно обрабатывают персональные данные Клиентов, необходимые для оказания услуг.

Граница операторства:

Обрабатывает Платформа Обрабатывает Партнёр
ФИО Клиента Медицинские данные
Контакты Клиента Психологические записи
Адрес оказания услуг Результаты анализов
Факт заявки Содержание консультаций
Сумма платежа Детали оказанной услуги
Дата организации услуги Профессиональная оценка состояния Клиента

Оператор не осуществляет контроль за процессами обработки персональных данных, инициированными Принципалами, и не определяет целей и средств такой обработки.

6.2. Передача данных Партнёрам

При организации услуги Платформа передаёт Партнёру минимально необходимые персональные данные Клиента:

  • ФИО;
  • контактный телефон;
  • адрес оказания услуги (при необходимости);
  • параметры заявки (дата, время, тип услуги).

Платформа НЕ передаёт Партнёрам:

  • данные банковских карт Клиентов;
  • полную историю заказов Клиента на Платформе;
  • персональные данные, не относящиеся к конкретной заявке.

Партнёр обязуется:

  • использовать полученные данные исключительно для оказания услуги;
  • обеспечить их конфиденциальность и безопасность;
  • не передавать данные третьим лицам без согласия Клиента;
  • уничтожить или вернуть данные после завершения оказания услуги (если иное не предусмотрено законодательством).

6.3. Обработка жалоб и обращений

При обработке жалоб и обращений Клиентов Платформа:

Обрабатывает:

  • факт наличия жалобы;
  • её организационный характер (несоответствие сроков, проблемы с коммуникацией, вопросы платежей);
  • данные для связи с Клиентом.

НЕ обрабатывает и НЕ оценивает:

  • качество услуг по существу;
  • профессионализм Партнёров;
  • медицинские или психологические аспекты услуг;
  • обоснованность ожиданий Клиента по результату услуги.

Платформа вправе:

  • направить жалобу Партнёру для урегулирования;
  • приостановить выплату Партнёру до фиксации факта оказания услуги;
  • организовать замену Партнёра (что не является оценкой качества услуг и не гарантируется).

7. Способы и сроки обработки персональных данных

7.1. Способы обработки

Оператор осуществляет следующие действия с персональными данными:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (Партнёрам, государственным органам в случаях, предусмотренных законом);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.

7.2. Формы обработки

  • Автоматизированная обработка — с использованием средств вычислительной техники, информационных систем и баз данных.
  • Неавтоматизированная обработка — обработка персональных данных, содержащихся в бумажных документах (договоры, заявления, акты).

7.3. Общие сроки обработки

Сроки обработки определяются исходя из целей обработки:

Категория Субъекта Основной срок Срок хранения после завершения отношений
Клиенты Срок действия договора 3 года
Партнёры (ИП, самозанятые) Срок действия агентского договора 5 лет
Представители юридических лиц Срок действия полномочий 5 лет
Посетители Сайта 30 дней (без регистрации)

Критерии достижения целей обработки:

  • исполнение всех обязательств по договору;
  • завершение всех платёжных операций;
  • урегулирование всех претензий и обращений;
  • истечение срока исковой давности (для договорных отношений);
  • отзыв согласия Субъектом (если обработка не требуется по иным основаниям).

8. Передача персональных данных третьим лицам

8.1. Общие условия передачи

Передача персональных данных третьим лицам осуществляется исключительно в следующих случаях:

  • на основании требований законодательства РФ (запросы уполномоченных государственных органов, судопроизводство);
  • с письменного согласия Субъекта персональных данных;
  • для исполнения договора, стороной которого является Субъект;
  • Партнёрам — для организации оказания услуг (в минимально необходимом объёме).

8.2. Категории получателей персональных данных

1. Партнёры Платформы (независимые поставщики услуг):

  • медицинские организации;
  • психологи;
  • помощники по уходу;
  • лаборатории;
  • поставщики расходных материалов.

Цель передачи: организация оказания услуг Клиенту.
Объём передаваемых данных: минимально необходимый (ФИО, контакты, параметры заявки).

2. Платёжные системы и процессинговые центры:

  • для обработки платежей от Клиентов;
  • для перечисления платежей Партнёрам.

Оператор НЕ хранит данные банковских карт Клиентов — обработка осуществляется непосредственно платёжными системами в соответствии с международными стандартами безопасности (PCI DSS). Оператор обеспечивает передачу данных платёжным системам только через защищённые протоколы передачи и не хранит данные карт Клиентов в собственной инфраструктуре.

3. Сервисы веб-аналитики:

  • ООО "Яндекс" (Яндекс.Метрика) — ИНН: 7736207543, адрес: 119021, г. Москва, ул. Льва Толстого, д. 16.

Цель передачи: анализ поведения пользователей на Сайте, улучшение сервиса.
Объём передаваемых данных: обезличенные технические данные (IP-адреса, cookie, данные о браузере).

4. IT-подрядчики и хостинг-провайдеры:

  • для обеспечения функционирования Сайта и информационных систем Платформы.

Условие передачи: заключение соглашения о конфиденциальности, обязательство соблюдать требования законодательства о персональных данных.

5. Государственные органы:

  • Федеральная налоговая служба;
  • Пенсионный фонд РФ;
  • правоохранительные органы;
  • суды.

Основание передачи: требования законодательства РФ.

8.3. Условия передачи данных

При передаче персональных данных Оператор обеспечивает:

  • передачу в объёме, минимально необходимом для достижения целей;
  • использование защищённых каналов передачи информации;
  • заключение соглашений о конфиденциальности с получателями;
  • контроль за соблюдением получателями требований законодательства о персональных данных.

8.4. Трансграничная передача персональных данных

Оператор НЕ осуществляет трансграничную передачу персональных данных, за исключением случаев, когда:

  • это необходимо для исполнения договора с Субъектом персональных данных;
  • получено явное согласие Субъекта на трансграничную передачу;
  • передача осуществляется в страну, обеспечивающую адекватную защиту прав Субъектов персональных данных.

9. Права и обязанности субъектов персональных данных

9.1. Права Субъектов

Субъект персональных данных имеет право:

1. Право на получение информации:

  • о факте обработки персональных данных;
  • о правовых основаниях и целях обработки;
  • о применяемых способах обработки;
  • о сроках обработки и хранения;
  • о получателях персональных данных;
  • об иных сведениях, предусмотренных Законом о персональных данных.

2. Право на уточнение данных:

  • требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3. Право на отзыв согласия:

  • отозвать согласие на обработку персональных данных, направив письменное уведомление Оператору.

Важно: отзыв согласия не влияет на законность обработки, осуществлявшейся до отзыва, и не прекращает обработку, если она осуществляется на иных правовых основаниях (исполнение договора, законные интересы Оператора, требования законодательства).

4. Право на ограничение обработки для маркетинговых целей:

  • выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения товаров, работ и услуг на рынке;
  • отказаться от получения рекламных и маркетинговых материалов.

5. Право на обжалование:

  • обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

6. Право на перенос данных:

  • перенести свои персональные данные к другому оператору, если это не нарушает условия законодательства и договорных обязательств.

9.2. Обязанности Субъектов

Субъект персональных данных обязан:

  • предоставлять Оператору достоверные персональные данные;
  • своевременно сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

Ответственность: лица, передавшие Оператору недостоверные сведения о себе либо сведения о другом Субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

10. Права и обязанности оператора

10.1. Права Оператора

Оператор имеет право:

  • получать от Субъекта персональных данных достоверную информацию и/или документы, содержащие персональные данные;
  • в случае отзыва Субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта при наличии оснований, указанных в Законе о персональных данных (исполнение договора, законные интересы Оператора, требования законодательства);
  • самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных.

10.2. Обязанности Оператора

Оператор обязан:

1. В части информирования:

  • предоставлять Субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
  • публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике.

2. В части соблюдения законодательства:

  • организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
  • отвечать на обращения и запросы Субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных (в срок не более 30 дней);
  • сообщать в Роскомнадзор по запросу необходимую информацию в течение 10 дней с даты получения такого запроса;
  • требовать от Принципалов соблюдения требований безопасности в отношении персональных данных, переданных Принципалам, в минимально необходимом объёме, но не несёт ответственности за информационные системы и процессы Принципалов.

3. В части защиты данных:

  • принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий;
  • обеспечивать конфиденциальность персональных данных;
  • осуществлять хранение персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки.

4. В части уточнения и блокирования:

  • осуществить блокирование неправомерно обрабатываемых персональных данных с момента обращения Субъекта на период проверки (при выявлении неправомерной обработки);
  • уточнить персональные данные в течение 7 рабочих дней со дня представления сведений Субъектом (в случае подтверждения факта неточности);
  • прекратить неправомерную обработку персональных данных в срок, не превышающий 3 рабочих дня с даты установления факта неправомерности.

5. В части прекращения обработки и уничтожения:

  • прекратить обработку и уничтожить персональные данные по достижении целей обработки (если иное не предусмотрено договором или законом);
  • прекратить обработку и уничтожить персональные данные в случае отзыва согласия Субъектом (если Оператор не вправе осуществлять обработку без согласия на иных основаниях);
  • вести журнал учёта обращений Субъектов персональных данных.

6. В части уведомления Субъектов:

  • если персональные данные получены не от Субъекта, Оператор обязан до начала обработки предоставить Субъекту следующую информацию:
    • наименование и адрес Оператора;
    • цель обработки персональных данных и её правовое основание;
    • перечень персональных данных;
    • предполагаемые пользователи персональных данных;
    • права Субъекта;
    • источник получения персональных данных.

11. Меры по защите персональных данных

11.1. Правовые меры защиты

  • Разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;
  • заключение соглашений о конфиденциальности с сотрудниками и контрагентами Оператора;
  • включение в договоры с получателями персональных данных обязательств по обеспечению конфиденциальности и безопасности данных;
  • проведение регулярных проверок соблюдения требований по защите персональных данных;
  • ведение документации по учёту инцидентов безопасности.

11.2. Организационные меры защиты

  • Назначение лица, ответственного за организацию обработки персональных данных;
  • назначение лица, ответственного за обеспечение безопасности персональных данных;
  • ознакомление работников Оператора с положениями законодательства РФ о персональных данных и локальными актами Оператора;
  • проведение обучения и инструктажей работников по вопросам обработки и защиты персональных данных;
  • контроль доступа к персональным данным (предоставление доступа только уполномоченным лицам, ведение журналов доступа);
  • ограничение круга лиц, имеющих доступ к персональным данным;
  • учёт машинных носителей персональных данных.

11.3. Технические меры защиты

1. Антивирусная защита:

  • использование сертифицированных средств антивирусной защиты (Kaspersky Endpoint Security, Dr.Web Enterprise Security Suite);
  • регулярное обновление антивирусных баз.

2. Шифрование данных:

  • шифрование персональных данных при передаче и хранении с помощью сертифицированных средств (КриптоПро CSP, ViPNet Client);
  • использование протокола HTTPS для защиты данных, передаваемых через Сайт.

3. Межсетевые экраны:

  • применение межсетевых экранов для защиты периметра сети (UserGate, Cisco ASA, Check Point Security Gateway);
  • настройка правил фильтрации трафика.

4. Резервное копирование:

  • регулярное резервное копирование информации с помощью систем Veeam Backup & Replication, Acronis Backup;
  • хранение резервных копий в защищённых хранилищах.

5. Аутентификация пользователей:

  • применение средств строгой аутентификации (двухфакторная аутентификация, использование смарт-карт);
  • установление сложных требований к паролям.

6. Системы обнаружения и предотвращения вторжений:

  • мониторинг информационных систем на предмет несанкционированного доступа;
  • автоматическое обнаружение и блокирование подозрительной активности.

7. Журналирование и аудит:

  • ведение журналов событий информационных систем;
  • регистрация всех действий с персональными данными;
  • регулярный анализ журналов для выявления инцидентов безопасности.

11.4. Оценка и контроль эффективности мер защиты

  • Определение актуальных угроз безопасности персональных данных;
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
  • применение прошедших процедуру оценки соответствия средств защиты информации;
  • регулярный аудит безопасности информационных систем;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

12. Обработка персональных данных с использованием сети Интернет

12.1. Сбор персональных данных через Сайт

Оператор обрабатывает персональные данные, поступающие:

  • при регистрации на Сайте;
  • при заполнении форм обратной связи, заявок на услуги;
  • при использовании функционала Сайта;
  • при направлении сообщений на адрес электронной почты Оператора: privacy@opeleo.ru.

Способы сбора:

  1. Предоставление данных Субъектом — самостоятельный ввод данных в формы на Сайте.
  2. Автоматический сбор технических данных — при посещении Сайта (IP-адрес, cookie, данные о браузере и устройстве).

12.2. Автоматически собираемая информация (cookie-файлы и веб-аналитика)

Что собирается автоматически:

  • IP-адрес устройства;
  • тип и версия браузера;
  • тип и версия операционной системы;
  • технические характеристики устройства;
  • дата и время посещения Сайта;
  • просмотренные страницы и выполненные действия;
  • источник перехода на Сайт (реферер);
  • поисковые запросы, приведшие на Сайт.

Цели автоматического сбора:

  • обеспечение функционирования Сайта;
  • анализ поведения пользователей для улучшения сервиса;
  • персонализация контента (при согласии пользователя);
  • формирование обезличённой статистики.

Cookie-файлы:

  • Необходимые cookie — используются для обеспечения базового функционирования Сайта (сессии, аутентификация). Устанавливаются автоматически.
  • Аналитические cookie — используются для анализа посещаемости Сайта (Яндекс.Метрика). Устанавливаются с согласия пользователя.

Управление cookie:
Пользователь может настроить свой браузер для блокировки cookie-файлов или получения уведомлений об их установке. Инструкции доступны в настройках браузера. Отключение cookie может ограничить функциональность Сайта.

12.3. Использование сервисов веб-аналитики

Оператор использует Яндекс.Метрику (ООО "Яндекс", ИНН: 7736207543) для анализа посещаемости Сайта.

Передаваемые данные:

  • IP-адрес (обезличивается);
  • информация о браузере и устройстве;
  • данные о просмотренных страницах и действиях на Сайте.

Условия использования:

  • данные обрабатываются в соответствии с Политикой конфиденциальности Яндекса (https://yandex.ru/legal/confidential/);
  • персональные данные, позволяющие идентифицировать конкретное лицо, не передаются;
  • Пользователь может отключить отслеживание Яндекс.Метрикой, установив расширение для браузера или изменив настройки браузера.

12.4. Передача данных третьим лицам через Интернет

Оператор не передаёт персональные данные третьим лицам для маркетинговых, коммерческих и иных аналогичных целей без предварительного согласия Субъекта.

Передача может осуществляться:

  • в ответ на правомерные запросы уполномоченных государственных органов (в соответствии с законами, решениями суда);
  • Партнёрам — для организации оказания услуг (с согласия Клиента при заключении договора).

12.5. Безопасность данных при передаче через Интернет

  • Все персональные данные, передаваемые через Сайт, шифруются с использованием протокола HTTPS (SSL/TLS).
  • Данные банковских карт обрабатываются непосредственно платёжными системами, соответствующими стандарту PCI DSS. Оператор не имеет доступа к полным данным банковских карт.

12.6. Ссылки на сторонние сайты

Сайт может содержать ссылки на сторонние сайты. Оператор не несёт ответственности за содержание и политику конфиденциальности таких сайтов. Пользователям рекомендуется ознакомиться с политиками конфиденциальности сторонних сайтов перед предоставлением им своих персональных данных.

12.7. Отзыв согласия на обработку данных, собранных через Интернет

Пользователь может в любое время отозвать своё согласие на обработку персональных данных, направив сообщение на адрес электронной почты Оператора privacy@opeleo.ru или письменное уведомление по адресу Оператора.

После получения отзыва обработка персональных данных будет прекращена, а данные будут удалены (за исключением случаев, когда обработка может быть продолжена на иных правовых основаниях).

13. Порядок обращений субъектов персональных данных

13.1. Способы обращения

Субъект персональных данных может направить обращение, запрос или жалобу Оператору следующими способами:

1. По электронной почте: privacy@opeleo.ru

2. Почтовым отправлением по адресу: 115432, город Москва, муниципальный округ Даниловский, проезд Проектируемый 4062-й, дом 6, строение 1, помещение 2Б/5, ООО "Опелео".

3. Лично по адресу Оператора (в рабочее время).

13.2. Требования к запросу

В запросе необходимо указать:

  • фамилию, имя, отчество Субъекта персональных данных или его представителя;
  • номер основного документа, удостоверяющего личность Субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие Субъекта в отношениях с Оператором (номер договора, дата регистрации на Сайте и т.п.) либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
  • информацию для обратной связи (адрес электронной почты, почтовый адрес, номер телефона);
  • подпись Субъекта персональных данных (или его представителя).

Для электронных запросов: запрос должен быть подписан электронной подписью в соответствии с законодательством РФ либо направлен с адреса электронной почты, указанного Субъектом при регистрации.

Для представителей: к запросу должны быть приложены документы, подтверждающие полномочия представителя (доверенность, свидетельство о рождении для родителей несовершеннолетних и т.п.).

13.3. Срок рассмотрения запросов

Оператор обязан предоставить информацию или иным образом ответить на запрос Субъекта в срок, не превышающий 30 дней с даты получения запроса.

В случае необходимости продления срока (для сложных или объёмных запросов) Оператор уведомляет Субъекта о продлении с указанием причин и нового срока (не более 30 дополнительных дней).

13.4. Форма предоставления информации

Информация предоставляется Субъекту в доступной форме:

  • в электронном виде (на адрес электронной почты Субъекта);
  • на бумажном носителе (почтовым отправлением или при личном обращении).

В предоставляемой информации не должны содержаться персональные данные, относящиеся к другим Субъектам (за исключением случаев, когда имеются законные основания для раскрытия таких данных).

13.5. Основания для отказа в предоставлении информации

Оператор вправе отказать в предоставлении информации в случаях, предусмотренных федеральными законами, в том числе если:

  • обращение не содержит необходимых сведений для идентификации Субъекта;
  • запрашиваемая информация содержит государственную тайну;
  • предоставление информации нарушит права и законные интересы третьих лиц.

Отказ предоставляется в письменной форме с указанием оснований для отказа.

14. Порядок уничтожения персональных данных

14.1. Случаи обязательного уничтожения

Персональные данные подлежат уничтожению в следующих случаях:

  1. Достижение цели обработки — в течение 30 календарных дней с даты достижения цели.
  2. Отзыв согласия Субъектом — в течение 7 календарных дней с даты получения отзыва (если обработка не может продолжаться на иных основаниях).
  3. Выявление неправомерной обработки — в течение 7 календарных дней с даты выявления факта неправомерности.
  4. Истечение сроков обработки — в течение 30 календарных дней с даты истечения установленных сроков.
  5. По требованию Субъекта — в случаях, предусмотренных законодательством.

Исключения (когда данные не уничтожаются):

  • если обработка необходима для исполнения обязательств по договору;
  • если обработка требуется в соответствии с федеральными законами;
  • если данные подлежат архивному хранению в соответствии с законодательством;
  • если не истёк срок исковой давности по обязательствам, связанным с обработкой данных.

14.2. Порядок уничтожения

Этап 1. Создание комиссии

Приказом руководителя Оператора создаётся комиссия по уничтожению персональных данных в составе не менее 3 человек:

  • председатель комиссии (руководитель подразделения или уполномоченное лицо);
  • представитель IT-отдела;
  • юрист;
  • иные специалисты (при необходимости).

Этап 2. Подготовка документации

Комиссия:

  • составляет перечень персональных данных (документов, носителей), подлежащих уничтожению;
  • проверяет соблюдение сроков хранения;
  • сверяет данные с нормативными актами и договорами;
  • готовит акт о выделении документов/данных к уничтожению.

Этап 3. Выбор метода уничтожения

Для бумажных носителей:

  • шредирование (измельчение) документов на фрагменты, исключающие возможность восстановления информации (размер фрагментов не более 5 мм);
  • сжигание документов в специально оборудованных печах;
  • химическое уничтожение с использованием специальных реагентов;
  • передача на утилизацию специализированной организации (с актом).

Для электронных носителей:

  • многократное форматирование жёстких дисков с перезаписью данных случайными последовательностями (не менее 3 циклов);
  • использование специализированного ПО для гарантированного удаления данных (Eraser, CCleaner, DBAN);
  • физическое разрушение магнитных носителей (измельчение, размагничивание);
  • для SSD — использование команды Secure Erase или физическое уничтожение.

Для баз данных:

  • удаление записей с последующей очисткой неиспользуемого пространства;
  • перезапись освободившегося дискового пространства случайными данными;
  • резервные копии, содержащие удалённые данные, также подлежат уничтожению.

Этап 4. Проведение уничтожения

Комиссия:

  • контролирует процесс уничтожения;
  • обеспечивает присутствие всех членов комиссии (либо большинства);
  • фиксирует процесс (при необходимости — фото/видеосъёмка);
  • проверяет полноту и необратимость уничтожения.

Этап 5. Документальное оформление

После завершения уничтожения составляются:

  • Акт об уничтожении персональных данных (с указанием: даты уничтожения, перечня уничтоженных данных/документов, способа уничтожения, состава комиссии);
  • Протокол заседания комиссии;
  • Выгрузка из журналов событий информационных систем (для электронных данных).

Документы подписываются всеми членами комиссии.

Этап 6. Учёт и хранение документации

  • Акты об уничтожении хранятся не менее 3 лет.
  • Выгрузки из журналов событий хранятся не менее 3 лет.
  • Документы хранятся в защищённом месте с ограниченным доступом.
  • Факт уничтожения отражается в журналах учёта персональных данных.

14.3. Обезличивание как альтернатива уничтожению

В случаях, когда данные необходимы для статистических или аналитических целей, но идентификация Субъекта не требуется, Оператор вправе осуществить обезличивание персональных данных вместо их уничтожения.

Обезличивание включает:

  • удаление или изменение данных, позволяющих прямо или косвенно идентифицировать Субъекта (ФИО, контакты, уникальные идентификаторы);
  • агрегирование данных;
  • применение методов псевдонимизации и рандомизации.

После обезличивания данные не являются персональными и могут храниться без ограничений по срокам.

14.4. Уведомление Субъектов об уничтожении

Уведомление Субъектов об уничтожении персональных данных осуществляется по запросу Субъекта или в случае получения отзыва согласия.

Уведомление направляется в течение 3 рабочих дней с даты уничтожения одним из следующих способов (по выбору Оператора):

  • на адрес электронной почты Субъекта;
  • SMS-сообщением на номер телефона Субъекта;
  • почтовым отправлением;
  • вручением лично.

Содержание уведомления:

  • наименование и реквизиты Оператора;
  • ФИО Субъекта;
  • причина уничтожения персональных данных;
  • дата уничтожения;
  • способ уничтожения;
  • контактные данные Оператора для обратной связи.

Оператор ведёт журнал учёта направленных уведомлений и хранит копии уведомлений не менее 3 лет.

15. Заключительные положения

15.1. Внесение изменений в Политику

Настоящая Политика может быть изменена или дополнена Оператором в одностороннем порядке в следующих случаях:

  • при изменении законодательства РФ в области обработки и защиты персональных данных;
  • при получении предписаний от Роскомнадзора или иных уполномоченных органов;
  • по решению руководства Оператора;
  • при изменении целей, сроков или способов обработки персональных данных;
  • при изменении организационной или технической инфраструктуры Оператора;
  • при применении новых технологий обработки и защиты персональных данных.

Уведомление об изменениях:

  • Новая редакция Политики публикуется на Сайте по адресу: https://opeleo.ru/privacy;
  • Новая редакция вступает в силу с момента её публикации (если иное не указано в самой Политике);
  • Продолжение использования Сайта или сервисов Платформы после публикации новой редакции означает согласие Субъекта с внесёнными изменениями.

При существенных изменениях (затрагивающих права Субъектов) Оператор вправе дополнительно уведомить Субъектов по электронной почте или иным доступным способом.

15.2. Ответственность

Ответственность Оператора:

  • за неисполнение или ненадлежащее исполнение обязанностей, предусмотренных Законом о персональных данных — в соответствии с законодательством РФ;
  • за действия работников Оператора, допустивших нарушение требований законодательства о персональных данных — в соответствии с трудовым законодательством и локальными актами.

Ответственность работников Оператора:

  • за разглашение персональных данных — дисциплинарная, гражданско-правовая или уголовная ответственность в соответствии с законодательством РФ.

Ответственность третьих лиц (получателей персональных данных):

  • определяется соглашениями о конфиденциальности и законодательством РФ.

15.3. Контроль исполнения Политики

Контроль исполнения требований настоящей Политики осуществляется:

  • Генеральным директором ООО "Опелео";
  • лицом, ответственным за организацию обработки персональных данных;
  • лицом, ответственным за обеспечение безопасности персональных данных.

Контрольные мероприятия включают:

  • регулярные проверки соблюдения требований законодательства о персональных данных;
  • аудит информационных систем персональных данных;
  • анализ журналов событий и доступа к персональным данным;
  • проверку соблюдения сроков обработки и уничтожения персональных данных;
  • оценку эффективности мер защиты персональных данных.

15.4. Разрешение споров

Все споры, связанные с обработкой персональных данных, разрешаются путём переговоров.

При недостижении согласия споры разрешаются:

  • в досудебном порядке — путём обращения в Роскомнадзор;
  • в судебном порядке — в соответствии с законодательством РФ.

15.5. Действие Политики

Настоящая Политика:

  • является локальным нормативным актом Оператора;
  • действует бессрочно до замены её новой версией;
  • является общедоступной и размещена на Сайте Оператора.

15.6. Дополнительная информация

По всем вопросам, касающимся обработки персональных данных, Субъекты могут обращаться к Оператору:

По электронной почте: privacy@opeleo.ru

По телефону: +7 (495) 1470660

Почтовый адрес: 115432, город Москва, муниципальный округ Даниловский, проезд Проектируемый 4062-й, дом 6, строение 1, помещение 2Б/5

16. Реквизиты оператора

Полное наименование: Общество с ограниченной ответственностью "Опелео"

Сокращённое наименование: ООО "Опелео"

ОГРН: 1257700480531

ИНН: 9725195770

Юридический адрес: 115432, город Москва, муниципальный округ Даниловский, проезд Проектируемый 4062-й, дом 6, строение 1, помещение 2Б/5

Электронная почта: privacy@opeleo.ru

Телефон: +7 (495) 1470660

Сайт: https://opeleo.ru