Política de tratamiento de datos personales y confidencialidad
Edición del [EFFECTIVE_DATE]
Borrador de trabajo — requiere revisión jurídica
Este es un borrador de trabajo conforme a la Ley Federal n.º 152-FZ «Sobre los datos personales». Los datos del Operador y la lista de los encargados reales ([...]) deben completarse antes de la publicación. Antes de publicarse, el documento debe ser verificado por un abogado autorizado y acordado con la persona responsable del tratamiento de datos personales en la organización del Operador.
La presente Política describe qué datos personales recopila el Operador de la Plataforma Syucai ([OPERATOR_NAME]) de los usuarios, sobre qué bases jurídicas y con qué fines los trata, a quién los transfiere y cómo los protege. La Política se ha elaborado conforme a la Ley Federal de 27.07.2006 n.º 152-FZ «Sobre los datos personales» y se ha adoptado en cumplimiento del requisito del art. 18.1 de dicha ley.
1. Datos sobre el Operador
Operador: [OPERATOR_NAME].
OGRN/OGRNIP: [OPERATOR_OGRN]. INN: [OPERATOR_INN].
Domicilio legal: [OPERATOR_ADDRESS].
Contacto para asuntos de tratamiento de datos personales: [PRIVACY_EMAIL].
La persona responsable de la organización del tratamiento de datos personales se determina por orden del Operador y está disponible a petición en la dirección indicada.
2. Categorías de sujetos y datos tratados
2.1. Categorías de sujetos: visitantes del sitio [DOMAIN], clientes registrados, maestros verificados, representantes de personas jurídicas asociadas, personas que se han dirigido al servicio de soporte.
2.2. Categorías de datos personales: apellido, nombre; teléfono de contacto; email; fecha de nacimiento (para el cálculo de los indicadores de la metodología); zona horaria; identificadores de pago (sin almacenamiento de números completos de tarjeta — tokens de los proveedores de pago); dirección IP e identificadores técnicos del dispositivo; historial de reservas, correspondencia y llamadas en la Plataforma; datos sobre la suscripción de los maestros y las operaciones financieras.
2.3. El Operador no recopila datos biométricos ni categorías especiales de datos personales.
2.4. El Operador no recibe ni almacena los números completos de las tarjetas de pago — el pago se realiza del lado de proveedores de pago certificados PCI DSS (CloudPayments, YuKassa).
3. Fines del tratamiento
3.1. Registro y autenticación del usuario, verificación de los maestros, recuperación del acceso.
3.2. Ejecución del contrato de oferta: búsqueda y selección de maestros, reserva y realización de consultas, cálculo y transferencia de remuneraciones.
3.3. Garantía del funcionamiento del circuito de pago: realización de pagos, reembolsos, informes ante los proveedores de pago y las autoridades fiscales.
3.4. Comunicación con los usuarios: notificaciones por email, push, SMS, mensajería sobre el estado de las reservas, los cambios en la Cuenta y las operaciones de servicio.
3.5. Seguridad y auditoría: prevención del fraude, investigación de incidentes, mantenimiento de registros de acceso.
3.6. Analítica y mejora del servicio de forma anonimizada.
3.7. Envíos de marketing — solo con el consentimiento independiente del Usuario y con la posibilidad de darse de baja en cada correo.
4. Bases jurídicas del tratamiento
4.1. Consentimiento del sujeto de los datos personales (art. 6, parte 1, punto 1, de la 152-FZ), obtenido en la interfaz de la Plataforma al registrarse y en acciones independientes (por ejemplo, el consentimiento para los envíos de marketing).
4.2. Contrato del que es parte el sujeto de los datos personales (art. 6, parte 1, punto 5, de la 152-FZ) — la presente oferta pública.
4.3. Cumplimiento de las obligaciones impuestas al Operador por la legislación de la Federación de Rusia (legislación fiscal, contable, antiblanqueo, requisitos de Roskomnadzor).
4.4. Protección de los derechos e intereses legítimos del Operador y de terceros (art. 6, parte 1, punto 7, de la 152-FZ) — en lo relativo a la auditoría, la lucha contra el fraude y la resolución de conflictos.
5. Modos y plazos de tratamiento, localización
5.1. El tratamiento de datos personales se realiza con y sin medios de automatización. El registro, sistematización, acumulación, almacenamiento, precisión, extracción, uso, transferencia, anonimización, bloqueo, eliminación y destrucción se realizan conforme a la presente Política.
5.2. El almacenamiento de los datos personales de los ciudadanos de la Federación de Rusia se realiza utilizando bases de datos ubicadas en el territorio de la Federación de Rusia (requisito de la parte 5 del art. 18 de la 152-FZ). La lista de las ubicaciones reales de los servidores y de los encargados — [HOSTING_DETAILS].
5.3. Los plazos de tratamiento corresponden a los fines del tratamiento. Tras alcanzar los fines o revocar el consentimiento, los datos se eliminan o anonimizan en un plazo de 30 días hábiles, salvo que la legislación de la Federación de Rusia disponga otra cosa (por ejemplo, contabilidad fiscal — 5 años, informes contables — 5 años, registros de acceso — 1 año).
6. Transferencia de datos personales a terceros
6.1. El Operador recurre a las siguientes categorías de encargados que actúan por encargo del Operador conforme a la parte 3 del art. 6 de la 152-FZ: proveedores de pago (CloudPayments, YuKassa) — para la recepción de pagos; proveedor de envíos por email ([EMAIL_PROVIDER]); proveedor de notificaciones push (Expo / VK Push Service para RuStore); proveedor de transcripción de mensajes de voz y videollamadas ([TRANSCRIPTION_PROVIDER]); proveedor de videosesiones (LiveKit); proveedor de hosting y sistemas de monitorización ([HOSTING_PROVIDER]).
6.2. Con cada encargado se ha celebrado un contrato de encargo que contiene la obligación de respetar la confidencialidad y aplicar medidas de protección acordes con los requisitos del Operador.
6.3. La transferencia de datos a los órganos estatales se realiza únicamente por los motivos y en el orden previstos por la legislación de la Federación de Rusia.
6.4. La transferencia transfronteriza de datos personales a países que no garantizan una protección adecuada se realiza solo con el consentimiento escrito del sujeto (art. 12 de la 152-FZ) o en otros casos previstos por dicho artículo; la lista de las transferencias transfronterizas reales — [CROSS_BORDER_DETAILS].
7. Cookies e identificadores técnicos
7.1. La Plataforma utiliza cookies estrictamente necesarias (autenticación, protección frente a CSRF), cookies funcionales (idioma elegido, ajustes regionales) y cookies de analítica de forma anonimizada.
7.2. Las cookies de marketing y los rastreadores de terceros se activan solo con el consentimiento explícito del Usuario, expresado mediante el banner de cookies.
7.3. El Usuario tiene derecho a rechazar las cookies no obligatorias o a eliminarlas con las herramientas del navegador; el rechazo de las cookies estrictamente necesarias imposibilita el funcionamiento correcto de la Plataforma.
8. Derechos del sujeto de los datos personales
Conforme al art. 14 de la 152-FZ, el sujeto tiene derecho a: obtener información sobre el tratamiento de sus datos personales; exigir su precisión, bloqueo o destrucción; revocar el consentimiento al tratamiento; recurrir las acciones del Operador ante Roskomnadzor y los tribunales.
Las solicitudes se envían a [PRIVACY_EMAIL] indicando el nombre completo, los datos de contacto y el objeto de la solicitud, así como el modo de confirmación de la identidad (por ejemplo, un escaneo del pasaporte con la foto tapada — para determinadas solicitudes). El plazo de respuesta — 30 días naturales desde la fecha de recepción de la solicitud (parte 1 del art. 20 de la 152-FZ).
El Usuario también tiene derecho a dirigir las reclamaciones al Servicio Federal de Supervisión de las Comunicaciones, las Tecnologías de la Información y los Medios de Comunicación de Masas (Roskomnadzor).
9. Medidas de protección de los datos personales
9.1. El Operador aplica medidas jurídicas, organizativas y técnicas destinadas a proteger los datos personales del acceso ilícito, la destrucción, modificación, bloqueo, copia, difusión y otras acciones ilícitas.
9.2. Entre las medidas técnicas se incluyen: cifrado de los campos sensibles en la base de datos y las copias de seguridad; cifrado del canal de transmisión de datos (TLS 1.2+); autenticación de dos factores para las cuentas administrativas; mantenimiento de registros de acceso y operaciones; auditoría periódica de vulnerabilidades y actualización de los componentes.
9.3. Entre las medidas organizativas se incluyen: políticas e instrucciones internas para los empleados; limitación del acceso según el principio de los privilegios mínimos necesarios; obligaciones de no divulgación de los datos personales.
10. Modificaciones de la Política
10.1. El Operador tiene derecho a modificar la presente Política. La nueva edición se publica en [DOMAIN]/privacy y entra en vigor desde el momento de la publicación, salvo que en ella se indique un plazo posterior.
10.2. Sobre los cambios sustanciales que afecten a los derechos de los sujetos, el Operador notifica a los Usuarios por email u otros canales con al menos 14 días naturales de antelación a la entrada en vigor de los cambios.
11. Contactos para solicitudes y consultas
Para cualquier asunto de tratamiento de datos personales, ejercicio de los derechos del sujeto o revocación del consentimiento — [PRIVACY_EMAIL].
Para la correspondencia oficial: [OPERATOR_ADDRESS], con la indicación «Solicitud sobre datos personales».
Solicitudes sobre el tratamiento de datos personales — a [PRIVACY_EMAIL].
← Volver al inicio