Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон) и регулирует порядок обработки персональных данных пользователей сайта https://toplist.run (далее — Сайт).

1.2. Политика определяет принципы, состав, цели, способы и условия обработки персональных данных, а также меры по их защите в Региональной общественной организации «Спортивный клуб Красноярского края «Горностай» (далее — Оператор).

Реквизиты Оператора:

  • Наименование: Региональная общественная организация «Спортивный клуб Красноярского края «Горностай»
  • ИНН: 2463112072
  • ОГРН: 1234567890123
  • Юридический адрес: 660062, г. Красноярск, ул. Вильского, д. 14, кв. 65
  • Почтовый адрес: 660017, г. Красноярск, ул. Мира, д, 94, оф. 501/6
  • Электронная почта: info@toplist.run
  • Телефон: +7 923 354-29-79

1.3. Оператор обеспечивает защиту персональных данных субъектов в соответствии с требованиями законодательства Российской Федерации.

1.4. Политика является общедоступной и постоянно размещена на Сайте по адресу: https://toplist.run/info/privacy-policy.

2. Принципы обработки персональных данных

Обработка персональных данных осуществляется на основе принципов:

  • законности, добросовестности и прозрачности;
  • ограничения обработки конкретными заранее определенными целями;
  • минимизации состава и объема данных;
  • точности, актуальности и достаточности;
  • хранения не дольше необходимого;
  • обеспечения безопасности и конфиденциальности;
  • недопустимости объединения баз данных, созданных для несовместимых целей.

3. Общая характеристика сервиса

3.1. Сайт представляет собой онлайн-платформу, где:

  • публикуются календари предстоящих спортивных мероприятий;
  • пользователи могут регистрироваться и оплачивать участие (слоты);
  • предоставляется статистика и аналитика спортивных результатов;
  • часть аналитики доступна по платной подписке;
  • пользователи могут подключить Strava для импорта тренировок;
  • участники могут загружать медицинские справки-допуски и страховые полисы, подтверждающие право на участие в соревнованиях.

3.2. Используя Сайт и предоставляя свои данные, пользователь самостоятельно инициирует их обработку для получения указанных услуг и функций.

3.3. Обработка обезличенных данных

Оператор также обрабатывает обезличенные данные пользователей, которые не позволяют установить личность конкретного лица. К таким данным относятся технические и аналитические сведения, получаемые при использовании Сайта и мобильных приложений, включая cookie-файлы, идентификаторы сессий, статистику использования и иные данные, не позволяющие идентифицировать субъекта персональных данных.

Обработка обезличенных данных осуществляется для:

  • анализа и улучшения работы Сайта и пользовательского интерфейса;
  • оценки эффективности сервисов и рекламных кампаний;
  • формирования статистических отчетов и обезличенных рейтингов.

Такая обработка проводится в соответствии с пунктом 11 части 1 статьи 6 Федерального закона № 152-ФЗ «О персональных данных» и не требует отдельного согласия субъекта персональных данных.

4. Состав обрабатываемых данных

4.1. Основные данные:
ФИО, дата рождения, пол, контактный телефон, e-mail, город/населенный пункт.

4.2. Профиль:
идентификатор пользователя, настройки, история регистрации на мероприятия, подписки, обращения в поддержку.

4.3. Спортивные данные:
информация об участии и результатах в мероприятиях (дистанция, время, место, темп, скорость, трек, набор/сброс высоты, каденс, мощность и пр.), рейтинг, статус участия.

4.4. Данные из Strava (при подключении):
имя и фамилия, дата рождения, пол, город, активность, дистанции, треки, темп, статистика и достижения.
Импорт осуществляется только после явного разрешения через OAuth-авторизацию.

4.5. Платежные данные:
номер заказа, сумма, статус платежа, идентификаторы операций у платежного партнера.
Банковские карты и реквизиты не обрабатываются Оператором.

4.6. Фотографии:
обрабатываются только при наличии отдельного согласия (для аватара или отображения в рейтинге).
Фотографии не используются для автоматического распознавания лиц.

4.7. Медицинские справки (специальная категория персональных данных):
скан-образы или электронные копии медицинских справок, содержащих сведения о состоянии здоровья, в частности о допуске спортсмена к участию в соревнованиях. Обработка таких данных осуществляется только на основании отдельного согласия субъекта персональных данных и исключительно для проверки допуска к соревнованию. Хранение медицинских справок осуществляется в защищенном виде, с ограничением доступа, и прекращается после завершения проверки или после участия в мероприятии или после истечения срока действия документа. При регистрации на конкретное спортивное мероприятие копия справки может быть передана соответствующему организатору соревнования в объеме, необходимом для подтверждения медицинского допуска. Организатор обязуется использовать полученные данные исключительно в указанных целях и соблюдать режим конфиденциальности.

4.8. Страховые данные:
скан-копия или электронный страховой полис, подтверждающий наличие страхового покрытия. Указанные данные не относятся к специальной категории персональных данных и используются только для подтверждения страхования участника. Обработка таких данных осуществляется в целях регистрации спортсмена и допуска к соревнованию. В случае участия пользователя в мероприятии страховой полис может быть передан его организатору для подтверждения наличия действующего страхового покрытия. Организатор использует эти данные только в целях проверки допуска.

4.9. Данные веб-аналитики (Яндекс.Метрика):
cookie-идентификаторы, IP-адрес (с обезличиванием), технические параметры устройства, действия на Сайте, источники переходов.
Обработка ведется в обезличенном виде для аналитических целей.

4.10. Обезличенные данные:
Обработка обезличенных статистических и технических данных (в том числе cookie-файлов и идентификаторов устройств) осуществляется исключительно для аналитических и статистических целей. Эти данные используются в агрегированном виде и не позволяют установить личность пользователя.

5. Цели и правовые основания обработки

5.1. Обработка персональных данных осуществляется для:

  1. регистрации и идентификации пользователя на Сайте;
  2. предоставления функций личного кабинета;
  3. записи на спортивные мероприятия и оплаты участия;
  4. подтверждения допуска и участия пользователя в спортивных мероприятиях, включая проверку медицинских справок и страховых полисов, а также передачу необходимых данных и документов организаторам соответствующих соревнований;
  5. предоставления статистики, аналитики и подписочного контента;
  6. связи с пользователями и оказания поддержки;
  7. ведения учетных и отчетных операций, предусмотренных законодательством РФ;
  8. формирования рейтингов и статистических данных о мероприятиях;
  9. аналитики и улучшения функциональности Сайта;
  10. маркетинговых коммуникаций (только при отдельном согласии).

5.2. Правовыми основаниями обработки являются:

  • инициатива субъекта персональных данных при использовании Сайта и его функциональности;
  • необходимость выполнения действий для предоставления пользователю запрошенных сервисных функций;
  • отдельное согласие субъекта персональных данных на обработку данных о состоянии здоровья (медицинских справок) — для проверки допуска к соревнованию;
  • согласие субъекта персональных данных — для всех необязательных целей (в том числе фото, Strava, маркетинг);
  • исполнение обязанностей, возложенных на Оператора законодательством Российской Федерации.

5.3. При изменении целей обработки на несовместимые с первоначальными Оператор предварительно запрашивает новое согласие пользователя.

6. Порядок и условия обработки

6.1. Обработка осуществляется с применением средств автоматизации и без них, с соблюдением мер защиты.

6.2. Доступ к персональным данным предоставляется только уполномоченным сотрудникам, подписавшим обязательство о неразглашении.

6.3. Оператор может поручать обработку подрядчикам (хостинг, ИТ-сервис, платежный партнер) при условии заключения договоров, обязывающих их соблюдать конфиденциальность и обеспечивать защиту данных.

6.4. При регистрации пользователя на конкретное спортивное мероприятие Оператор передает организатору данного мероприятия персональные данные участника в объеме, необходимом для его допуска и участия (ФИО, возраст, пол, контактная информация, спортивные результаты, медицинский допуск и страховой полис при наличии). Организаторы обязуются использовать полученные данные исключительно в указанных целях и обеспечивать их защиту в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных».

6.5. Медицинские справки и страховые документы хранятся в зашифрованном виде, с ограничением доступа и журналированием действий с файлами. При регистрации на спортивное мероприятие указанные документы могут быть переданы организаторам исключительно для проверки допуска участника и выполнения требований регламента соревнования. Организаторы обязаны использовать полученные данные только в этих целях и обеспечивать их защиту в соответствии с Федеральным законом № 152-ФЗ. После проверки допуска или завершения мероприятия данные подлежат удалению или обезличиванию.

6.6. Трансграничная передача персональных данных не осуществляется.

7. Сроки хранения

  • Данные пользователя — до удаления учетной записи или прекращения пользования сервисом, плюс 5 лет в архиве (для защиты прав и бухгалтерского учета).
  • Данные Strava — до отключения интеграции и 1 год после последней синхронизации.
  • Медицинские справки — до завершения проверки допуска или окончания мероприятия, но не более 1 года с даты загрузки.
  • Страховые полисы — до завершения мероприятия.
  • Данные веб-аналитики — до 6 месяцев с момента сбора, после чего обезличиваются.
  • Фотографии — до отзыва согласия или до удаления профиля.
  • Все данные подлежат удалению или обезличиванию по достижении целей или по запросу пользователя, если иное не предусмотрено законом.

8. Права субъектов персональных данных

Пользователь имеет право:

  • получать информацию об обработке своих данных;
  • требовать уточнения, блокирования или удаления данных;
  • отзывать ранее выданные согласия;
  • ограничить участие в публичных рейтингах (анонимизация/скрытие);
  • обращаться с жалобой в Роскомнадзор или иные органы.

Форма обращения:

  • через личный кабинет;
  • письменно на info@toplist.run;
  • почтой по адресу Оператора.

Срок рассмотрения — не более 30 календарных дней. Ответ направляется на e-mail пользователя.

9. Меры по защите персональных данных

Оператор применяет правовые, организационные и технические меры, соответствующие характеру обрабатываемых данных и рискам:

  • разграничение прав доступа;
  • шифрование каналов передачи;
  • резервное копирование;
  • журналирование действий;
  • защита от несанкционированного доступа и вредоносного ПО;
  • регулярное обновление ПО;
  • обучение сотрудников и контроль соблюдения требований.

Меры соответствуют требованиям Постановления Правительства РФ № 1119 и иным нормативным актам. Уровень защищенности информационных систем персональных данных определяется как третий (минимально достаточный для обработки данных, не относящихся к государственной тайне и не являющихся биометрическими), в соответствии с классификацией, установленной ПП РФ №1119.

10. Изменение и обновление Политики

10.1. Политика пересматривается по мере необходимости, но не реже одного раза в год.

10.2. Изменения вступают в силу с момента публикации новой версии на Сайте.

10.3. При существенных изменениях Оператор уведомляет пользователей заранее и при необходимости запрашивает повторное согласие.

10.4. Настоящая Политика утверждена приказом руководителя Региональной общественной организации «Спортивный клуб Красноярского края «Горностай» и вступает в силу с момента ее размещения на Сайте.