Политика конфиденциальности и обработки персональных данных

Общие положения

Настоящая Политика определяет порядок обработки и защиты персональных данных пользователей StemRed на сайте chat-stem.ru, в веб-приложении и связанных клиентских приложениях. Политика применяется в соответствии с законодательством Российской Федерации, включая Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» и Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», если их требования применимы к сервису.

Оператором персональных данных является физическое лицо - разработчик и владелец сервиса StemRed, администрирующее домен chat-stem.ru. Связаться с оператором можно через встроенный чат поддержки или по адресу support@chat-stem.ru.

Какие данные обрабатываются

StemRed обрабатывает данные аккаунта: адрес электронной почты, имя пользователя, отображаемое имя, аватар, настройки профиля, статус подтверждения, криптографический хэш пароля, сведения о сессиях и устройствах.

Для работы мессенджера обрабатываются контакты, списки чатов, участники комнат, настройки приватности, сведения о блокировках, уведомлениях и доставке сообщений. Сообщения, файлы, вложения, голосовые сообщения и голосовые звонки передаются и хранятся в зашифрованном виде.

Сервер может обрабатывать технические сведения, нужные для доставки и синхронизации: идентификаторы отправителя и получателя, дату и время событий, состояние доставки, размер вложений, параметры соединения, IP-адрес, тип устройства, браузер, операционную систему, версию приложения, идентификаторы сессий, push-токены, cookie, данные localStorage и служебные журналы безопасности.

При обращении в поддержку обрабатываются текст обращения, приложенные файлы, контактные данные, технические сведения об ошибке и история переписки с поддержкой. Не отправляйте в поддержку пароли, коды доступа, платежные данные и иные секретные сведения.

Для чего используются данные

Данные используются для регистрации и входа, доставки зашифрованных сообщений, файлов и уведомлений, синхронизации чатов между устройствами, работы голосовых звонков, хранения пользовательских настроек, защиты от злоупотреблений, диагностики ошибок, ответа на обращения в поддержку и исполнения требований законодательства.

Обработка выполняется на основании согласия пользователя, пользовательского соглашения, необходимости предоставить функции сервиса, законных интересов оператора по защите сервиса и пользователей, а также требований закона. Если пользователь не предоставляет данные, необходимые для регистрации, входа или доставки сообщений, соответствующие функции сервиса могут быть недоступны.

Порядок обработки

Обработка может выполняться автоматизированным и смешанным способом. Оператор может совершать с данными сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение в пределах заявленных целей.

StemRed не запрашивает специальные категории персональных данных и не использует голосовые сообщения или звонки для биометрической идентификации. Если пользователь сам отправляет такие сведения в зашифрованной переписке, оператор не имеет доступа к их содержанию.

Персональные данные не становятся общедоступными без отдельного правового основания. Имя пользователя, отображаемое имя, аватар и иные элементы профиля могут быть видны другим пользователям сервиса в пределах настроек приватности и сценариев общения.

Сквозное шифрование

Содержимое сообщений, файлов, вложений, голосовых сообщений и голосовых звонков защищается сквозным шифрованием. Ключи шифрования создаются и хранятся на устройствах пользователей. StemRed не имеет доступа к ключам и не может читать сообщения, просматривать файлы, прослушивать голосовые сообщения или звонки.

Сервис хранит и передает зашифрованные данные и техническую информацию, необходимую для доставки, уведомлений, синхронизации, защиты аккаунта и расследования злоупотреблений. Если пользователь сам передает содержимое переписки или файл в поддержку, жалобу или другой незашифрованный канал, такие данные обрабатываются для рассмотрения обращения, защиты пользователей и исполнения требований закона.

Хранение и защита

Доступ к техническим данным ограничивается служебной необходимостью. Пароли хранятся в виде криптографических хэшей. Для защиты используются сквозное шифрование содержимого, HTTPS-соединение, контроль сессий, журналы безопасности, резервное копирование, ограничение доступа к служебным системам и меры против несанкционированного входа.

При удалении аккаунта или данных StemRed удаляет либо обезличивает сведения в пределах технических возможностей и требований безопасности. Отдельные технические записи могут сохраняться ограниченное время, если это необходимо для предотвращения злоупотреблений, диагностики инцидентов или выполнения законных требований.

При инциденте с персональными данными оператор проводит внутреннюю проверку и уведомляет Роскомнадзор в порядке и сроки, установленные законодательством Российской Федерации.

Локализация и трансграничная передача

Первичный сбор, запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных на территории Российской Федерации, за исключением случаев, прямо предусмотренных законодательством Российской Федерации.

Трансграничная передача персональных данных возможна только при наличии правового основания, после выполнения требований законодательства Российской Федерации, включая уведомление Роскомнадзора, если такое уведомление требуется, и только в объеме, необходимом для работы конкретной функции или исполнения закона.

Сторонние сервисы

Для хостинга, защиты от злоупотреблений, проверки регистрации, доставки email, голосовой связи, передачи трафика, push-уведомлений и доставки медиа могут применяться инфраструктурные сервисы, включая hCaptcha. Такие сервисы получают только данные, необходимые для выполнения своей функции, и не получают доступа к расшифрованному содержимому сообщений, файлов или звонков.

Передача данных третьим лицам допускается по поручению оператора, по договору с обязанностью соблюдать конфиденциальность и безопасность данных, по согласию пользователя либо в случаях, предусмотренных законом.

Запросы государственных органов

Оператор рассматривает запросы государственных органов только при наличии законного основания и предоставляет сведения в пределах требований закона и фактической технической возможности. Из-за сквозного шифрования оператор не располагает приватными ключами пользователей и расшифрованным содержимым сообщений, файлов, голосовых сообщений и звонков.

Если к сервису применяются требования к организатору распространения информации или организатору сервиса обмена мгновенными сообщениями, оператор исполняет такие требования в пределах законодательства Российской Федерации, включая меры по конфиденциальности сообщений, ограничению запрещенной информации и предоставлению имеющихся сведений уполномоченным органам.

Права пользователя

Пользователь может запросить сведения об обработке своих персональных данных, изменить данные профиля, отозвать согласие, потребовать уточнения, блокирования, прекращения обработки или удаления данных, если это не противоречит требованиям закона, безопасности сервиса и обязательному хранению отдельных технических записей.

Для реализации прав используйте встроенный чат поддержки или адрес support@chat-stem.ru. Пользователь также вправе обратиться в Роскомнадзор или суд, если считает, что обработка персональных данных нарушает его права.

Контакты

По вопросам конфиденциальности, персональных данных и безопасности используйте встроенный чат поддержки или адрес support@chat-stem.ru.