Политика обработки персональных данных Где.Эксперт
Дата вступления в силу: 01.05.2026 Версия: 1.2 Адрес публикации: https://gde.expert/privacy
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), Федерального закона от 21.07.2014 № 242-ФЗ (локализация баз ПДн в РФ), а также во исполнение требований ст. 18.1 152-ФЗ об обязанности оператора публиковать документ, определяющий политику обработки ПДн.
1.2. Оператором персональных данных (далее — «Оператор») является:
Индивидуальный предприниматель Большим Игорь Наумович
ИНН: 500300383171
ОГРНИП: 325508100387287
Контактный телефон: +7 (999) 545-97-42
Email общей поддержки: support@gdeexpert.ru
Email для обращений по обработке ПДн: legal@gdeexpert.ru
1.3. Политика регулирует отношения, связанные с обработкой Оператором персональных данных пользователей сервиса Gde.Expert (домены gde.expert, gdeexpert.ru, atlasuslug.ru и их поддомены, далее — «Сервис»).
1.4. Действующая редакция Политики постоянно доступна по адресу https://gde.expert/privacy. Оператор вправе вносить изменения в Политику в одностороннем порядке. Существенные изменения публикуются не позднее чем за 7 (семь) календарных дней до их вступления в силу.
2. Принципы обработки
Оператор соблюдает принципы, установленные ст. 5 152-ФЗ:
- обработка ПДн на законной и справедливой основе;
- ограничение обработки достижением конкретных, заранее определённых и законных целей;
- недопущение объединения баз данных, обработка которых ведётся в несовместимых целях;
- обработка только тех ПДн, которые отвечают целям их обработки;
- соответствие содержания и объёма обрабатываемых ПДн заявленным целям;
- обеспечение точности, достаточности и актуальности ПДн;
- хранение ПДн не дольше, чем этого требуют цели обработки.
3. Правовые основания обработки
Оператор обрабатывает ПДн на основании:
- согласия субъекта ПДн (п. 1 ч. 1 ст. 6 152-ФЗ) — для целей регистрации, размещения объявлений, маркетинговых коммуникаций;
- исполнения договора, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 152-ФЗ) — Пользовательское соглашение, Публичная оферта;
- исполнения обязанностей, возложенных на Оператора законодательством РФ (п. 2 ч. 1 ст. 6 152-ФЗ) — налоговое, бухгалтерское, антитеррористическое законодательство (115-ФЗ);
- осуществления прав и законных интересов Оператора (п. 7 ч. 1 ст. 6 152-ФЗ) — антифрод, информационная безопасность, защита прав в суде, при условии соблюдения прав субъектов ПДн;
- общедоступности данных, сделанных таковыми самим субъектом (п. 10 ч. 1 ст. 6 152-ФЗ) — публичные части профиля Исполнителя, текст Заказа.
Для специальных категорий ПДн (изображение лица в паспорте — биометрические ПДн в смысле ст. 11 152-ФЗ) обработка осуществляется исключительно на основании письменного согласия субъекта (см. документ № 04 «Согласие на обработку ПДн»).
4. Категории субъектов ПДн
Оператор обрабатывает ПДн следующих категорий лиц:
- Заказчики — Пользователи, размещающие Заказы;
- Исполнители — Пользователи, откликающиеся на Заказы и оказывающие услуги;
- Незарегистрированные посетители — лица, посещающие открытые страницы Сервиса (для них обрабатываются IP-адрес, cookies, технические данные браузера);
- Контрагенты Оператора — представители банков, юридических лиц, госорганов в рамках хозяйственной деятельности Оператора.
5. Состав обрабатываемых ПДн
5.1. Базовый профиль (все Пользователи)
- фамилия, имя, отчество (при наличии);
- номер мобильного телефона (логин, обязательно);
- адрес электронной почты;
- регион/город (для геофильтрации Заказов);
- дата и время регистрации, последнего входа, сведения о факте смены пароля;
- IP-адрес, User-Agent браузера, идентификаторы устройств, cookie-идентификаторы;
- история действий в Сервисе (заказы, отклики, платежи, сообщения в чатах, отзывы) — обрабатывается в рамках исполнения договора.
5.2. Расширенный профиль Исполнителя (для верификации, ст. 10 152-ФЗ)
- паспортные данные (серия, номер, дата выдачи, орган, выдавший паспорт) — в зашифрованном виде (Fernet-шифрование, ключ хранится отдельно от данных);
- ИНН физического лица — в зашифрованном виде;
- статус самозанятого (плательщика НПД) — проверяется через сервис ФНС;
- сканы документов (паспорт основной разворот, ИНН-уведомление, документы об образовании и квалификации) — хранятся в приватном S3-бакете (Yandex Object Storage) с доступом по предподписанным URL;
- селфи с паспортом для сличения личности (биометрический ПДн) — хранится в приватном S3-бакете, доступ только модераторам в рамках процедуры верификации;
- портфолио (фото и видео работ Исполнителя) — публикуется в открытой части профиля по решению Исполнителя.
5.3. Платёжные данные
- номер платежа в ЮKassa (
yookassa_payment_id), сумма, статус, дата; - маска номера карты (последние 4 цифры) — отображается в кабинете Пользователя;
- email для отправки кассового чека (54-ФЗ).
Полные реквизиты банковской карты, CVC/CVV, 3-D Secure-коды Оператор не получает и не хранит. Данные обрабатываются на стороне ЮKassa, обладателя сертификата PCI DSS.
5.4. Содержимое коммуникаций
- сообщения в чатах между Заказчиком и Исполнителем — для целей разрешения споров и обеспечения безопасности;
- обращения в службу поддержки;
- отзывы о выполнении Заказов.
5.5. Данные cookies и аналитика
Состав cookies и сторонние сервисы (Яндекс.Метрика, в т.ч. функция «Вебвизор» — запись действий пользователя; Yandex SmartCaptcha) описаны в Политике использования cookies (https://gde.expert/cookies). Аналитические cookies Метрики и запись Вебвизора активируются только после согласия Пользователя в cookie-banner.
6. Цели обработки
| Цель | Категория ПДн | Основание |
|---|---|---|
| Регистрация и аутентификация Пользователя | Базовый профиль | Согласие, договор |
| Размещение и поиск Заказов | Базовый профиль, регион | Договор |
| Оплата и оказание Услуги Платформы | Платёжные данные, email | Договор, 54-ФЗ |
| Верификация Исполнителя | Расширенный профиль | Письменное согласие, 115-ФЗ |
| Антифрод и информационная безопасность | Все категории | Законный интерес Оператора |
| Маркетинговые email-рассылки | Email, ФИО | Согласие (с правом отзыва) |
| СМС-рассылки рекламного и информационного характера | Номер телефона | Отдельное согласие по ст. 18 38-ФЗ «О рекламе» (с правом отзыва: ответный СМС «СТОП» либо обращение на legal@gdeexpert.ru) |
| Налоговый и бухгалтерский учёт | Платёжные данные | Закон |
| Разрешение споров, претензий, судебная защита | Все необходимые категории | Законный интерес |
7. Способы и сроки обработки
7.1. Обработка ПДн осуществляется как с использованием средств автоматизации, так и без них.
7.2. Действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
7.3. Сроки хранения ПДн:
| Категория | Срок |
|---|---|
| Базовый профиль активного Пользователя | В течение действия учётной записи |
| Базовый профиль удалённого Пользователя | 3 года с даты удаления (для целей разрешения возможных споров и налогового контроля) |
| Расширенный профиль Исполнителя (паспорт/ИНН) | До отзыва согласия или 3 года с даты последней операции, в зависимости от того, что наступит раньше; в случае оспаривания платежа или иного спора — до завершения спора |
| Сканы паспорта и селфи | До прохождения верификации (статус APPROVED или REJECTED) + 6 месяцев на возможный пересмотр |
| Платёжные документы и кассовые чеки | 5 лет (налоговое законодательство, ст. 23 НК РФ) |
| Логи доступа и действий | 6 месяцев — для целей информационной безопасности |
| Маркетинговые согласия | До отзыва Пользователем |
| Сообщения в чатах | 1 год после закрытия сделки или удаления учётной записи |
7.4. По истечении сроков хранения ПДн уничтожаются способом, исключающим возможность их восстановления (ст. 21 152-ФЗ).
8. Локализация баз данных в РФ (242-ФЗ)
8.1. Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории РФ.
8.2. Используется следующая инфраструктура:
- Yandex Cloud (PostgreSQL, Object Storage), регион — Россия (Москва, дата-центр Yandex);
- зеркальные резервные копии — в пределах территории РФ.
8.3. Трансграничная передача ПДн в рамках штатной работы Сервиса не осуществляется. В случае необходимости такой передачи — Оператор будет действовать в порядке ст. 12 152-ФЗ (с уведомлением Роскомнадзора).
9. Передача ПДн третьим лицам
Оператор передаёт ПДн третьим лицам только в следующих случаях и объёмах:
| Получатель | Передаваемые данные | Основание | Цель |
|---|---|---|---|
| ЮKassa (ООО НКО «ЮМани») | Email, ФИО, сумма, описание услуги | Договор-эквайринг | Приём платежей, формирование чеков 54-ФЗ |
| ФНС России | Сведения о платежах через ОФД | Закон | 54-ФЗ |
| Yandex Cloud (хостинг) | Все ПДн в рамках хранения | Соглашение об обработке | Инфраструктура (обработчик в смысле ст. 6 152-ФЗ) |
| ФНС России | ИНН Исполнителя | Согласие, законный интерес | Проверка статуса самозанятого |
| СМС-провайдер (SMS Aero / альтернативный) — транзакционные | Номер телефона | Согласие, договор | Отправка СМС с одноразовыми кодами 2FA и уведомлениями о статусе заказа/платежа |
| СМС-провайдер (SMS Aero / альтернативный) — рекламные | Номер телефона | Отдельное согласие по ст. 18 38-ФЗ | СМС-рассылки рекламного и информационного характера (≤ 2 раза/месяц) |
| Email-провайдер (SMTP-сервис) | Email, ФИО | Согласие, договор | Транзакционные и маркетинговые рассылки |
| Yandex SmartCaptcha | IP-адрес, User-Agent, технические токены | Договор | Защита от ботов |
| Уполномоченные госорганы | Все категории по запросу | Закон | По мотивированным запросам в случаях, предусмотренных законом |
Список обработчиков может изменяться. Актуальный перечень доступен по запросу на legal@gdeexpert.ru.
10. Меры защиты ПДн
Оператор применяет правовые, организационные и технические меры в соответствии с ч. 1 ст. 19 152-ФЗ и Постановлением Правительства РФ № 1119 от 01.11.2012:
10.1. Правовые меры
- утверждённая Политика обработки ПДн;
- утверждённое Согласие на обработку ПДн (письменная форма для биометрии и спецкатегорий);
- внутренний приказ о назначении ответственного за обработку ПДн (Большим Игорь Наумович);
- ведение учёта обработчиков и поручений на обработку.
10.2. Организационные меры
- ограничение круга лиц, имеющих доступ к ПДн (только Оператор и допущенные модераторы);
- ведение журнала действий с ПДн (audit log на уровне БД);
- регламент реагирования на инциденты с ПДн (см. п. 11);
- регламент работы с обращениями субъектов ПДн (см. п. 12).
10.3. Технические меры
- передача данных только по HTTPS (TLS 1.2+) с действующим SSL-сертификатом;
- хеширование паролей по алгоритму Argon2id;
- шифрование чувствительных полей в БД (паспорт, ИНН) симметричным алгоритмом Fernet (AES-128-CBC + HMAC-SHA256);
- хранение приватных файлов (паспорт, селфи) в приватном S3-бакете без публичного доступа, выдача предподписанных URL с ограниченным TTL;
- двухфакторная аутентификация для всех учётных записей Исполнителей и обязательная — для администраторов и модераторов;
- защита от подбора паролей и DDoS — rate-limiting на уровне приложения (Redis), Yandex SmartCaptcha;
- регулярное резервное копирование с шифрованием бэкапов;
- защита от CSRF (double-submit cookie), XSS, SQL-injection (через ORM-параметризацию);
- логирование событий безопасности и регулярный аудит логов.
11. Реагирование на инциденты с ПДн (ч. 3.1 ст. 21 152-ФЗ)
11.1. Под инцидентом понимается несанкционированное или случайное получение доступа к ПДн, повлёкшее их нарушение, изменение, блокирование, копирование, предоставление, распространение или уничтожение, а также любые иные неправомерные действия в отношении ПДн.
11.2. В случае выявления инцидента Оператор:
- в течение 24 часов уведомляет Роскомнадзор о факте инцидента (через pd.rkn.gov.ru);
- в течение 72 часов направляет в Роскомнадзор результаты внутреннего расследования и сведения о принятых мерах;
- уведомляет затронутых субъектов ПДн без неоправданной задержки;
- принимает меры по локализации инцидента, восстановлению целостности ПДн и предотвращению повторения.
12. Права субъектов ПДн и порядок обращения
12.1. В соответствии с гл. 3 152-ФЗ субъект ПДн имеет право:
- получать сведения об Операторе, целях, способах обработки ПДн, источниках получения, сроках обработки и хранения;
- получать информацию об обрабатываемых ПДн в отношении него;
- требовать уточнения, блокирования, уничтожения ПДн, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели;
- отозвать согласие на обработку ПДн (за исключением случаев, когда обработка осуществляется на иных законных основаниях);
- обжаловать действия или бездействие Оператора в Роскомнадзоре или в судебном порядке;
- защищать свои права и законные интересы, в том числе требовать возмещения убытков и (или) компенсации морального вреда.
12.2. Обращения принимаются по адресу legal@gdeexpert.ru либо по почтовому адресу, сообщаемому по запросу. Обращение должно содержать:
- ФИО субъекта;
- сведения, идентифицирующие учётную запись (номер телефона / email);
- содержание запроса;
- подпись субъекта (для письменных обращений) либо подтверждение через email, привязанный к учётной записи (для электронных).
12.3. Срок рассмотрения обращения — 10 рабочих дней с даты получения, продление до 30 дней — при необходимости (с уведомлением субъекта).
12.4. Запросы об удалении (отзыв согласия) исполняются в течение 30 календарных дней с момента получения, за исключением случаев, когда сохранение ПДн необходимо для исполнения обязательств перед госорганами или для защиты прав Оператора в суде.
13. Cookie-файлы
Сервис использует cookies. Подробнее — в Политике использования cookies (https://gde.expert/cookies).
14. Заключительные положения
14.1. Все вопросы, не урегулированные настоящей Политикой, регулируются 152-ФЗ, иными нормативными актами Российской Федерации.
14.2. Контактное лицо для обращений по вопросам обработки ПДн — Большим Игорь Наумович, legal@gdeexpert.ru.