Документ для службы безопасности и юристов заказчика. Описывает что мы делаем с данными ваших участников в соответствии с 152-ФЗ «О персональных данных».
📄 Также: /privacy — публичная политика,
/consent/personal-data — текст согласия для участников,
отдельный DPA подписывается с каждым B2B-клиентом.
📋 Юридическая сторона
Кто мы юридически
- ИП Александров, ИНН 183114573050
- Уведомление РКН подано 26.05.2026 (УЗ-4, без трансграничной передачи)
- Юр.адрес: Удмуртия, г. Ижевск
На каком основании обрабатываем данные участников
- 📝 Согласие участника — даётся при регистрации (текст: /consent/personal-data)
- 📄 Договор с заказчиком — DPA отдельным приложением
- 🔄 Цели обработки ограничены проведением забега (регистрация, приём отчёта, награждение)
🔐 Технические меры защиты
Где хранятся данные
- Сервер: РФ, дата-центр Beget (Москва)
- База данных: PostgreSQL, зашифрованный том
- Backup: GPG-шифрование, Yandex Object Storage (РФ)
- Никакой трансграничной передачи — серверы и провайдеры только в РФ
Что собираем (минимум)
| Категория | Цель | Срок хранения |
|---|---|---|
| ФИО | Идентификация на дипломе и в реестре | До окончания забега + 30 дней (затем псевдонимизация) |
| Отправка диплома и уведомлений | До 1 года (для email-канала) | |
| VK ID | Идентификация в боте | До отзыва согласия |
| Адрес доставки | Только если забег с медалью | До 30 дней после отправки приза |
| Дистанция + время + фото | Регистрация результата забега | Бессрочно (научное обоснование результата) |
Что НЕ собираем
- ❌ Медицинские данные (диагнозы, давление, ЧСС в покое)
- ❌ Платёжные реквизиты участников (платит заказчик нам)
- ❌ Геолокация в реальном времени (только результат пробежки post-fact)
- ❌ Биометрия
🛡 Меры защиты от инцидентов
Превентивные
- 🔐 HTTPS везде, HSTS, CSP report-only
- 🔒 bcrypt для паролей (cost=12)
- 🔑 2FA TOTP для всех админ-аккаунтов
- 🤖 Honeypot + rate-limiting на форме signup
- 🔄 Backup 2 раза в сутки (03:00 и 15:00 UTC), GPG-шифрование, RPO ≤ 12 часов
- 📊 Sentry для error-tracking (PII в before_send очищается)
Реактивные (если инцидент)
- 📋 Журнал админ-действий (audit_log) — кто что менял, когда
- 📢 Уведомление РКН в течение 72 часов при подтверждённой утечке (152-ФЗ ст. 21)
- 📢 Уведомление заказчика и затронутых участников
- 🔄 Восстановление из backup (RTO ≤ 4 часа)
📑 Доступ к данным
Кто имеет доступ к данным забега
- Заказчик (вы) — полный реестр участников через закрытый кабинет
- Модератор/админ Дело в беге — для одобрения отчётов и работы с инцидентами
- Участник — только свои данные через свой кабинет
- Поисковые системы — только агрегаты (количество, общая дистанция); ФИО+результат конкретного человека — нет
Передача данных третьим лицам
- ❌ Не передаём в рекламные системы
- ❌ Не продаём базы
- ✓ Передаём заказчику забега (вам) — по DPA
- ✓ По законному запросу РКН/правоохранительных органов
- ✓ Для отправки приза участнику — курьерской службе по адресу самого участника
📞 Контакт
По вопросам обработки персональных данных: delovbege@yandex.ru
Тема письма: «152-ФЗ: запрос от службы безопасности [название организации]»