Политика ПДн

Политика обработки и защиты персональных данных

ООО НПО «Метарекс»
в отношении цифровой платформы Eventzilla
(включая навигационный модуль Orion)

Дата обновления: 15 февраля 2026 г.

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Политика обработки и защиты персональных данных (далее — Политика) ООО НПО «Метарекс» (ОГРН 1082643000330, ИНН/КПП 2608011560/260801001), далее — Оператор) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет:

  • основные принципы, цели, порядок и условия обработки персональных данных;
  • объём и категории обрабатываемых персональных данных;
  • категории субъектов персональных данных;
  • порядок реагирования на запросы субъектов персональных данных;
  • меры, реализуемые для обеспечения безопасности персональных данных при их обработке;
  • порядок передачи персональных данных третьим лицам.

Настоящая Политика распространяется на обработку персональных данных физических лиц — субъектов персональных данных, использующих цифровую платформу Eventzilla, включая пользователей веб-интерфейса, участников мероприятий, организаторов мероприятий, а также пользователей навигационного модуля Orion, функционирующего в том числе в среде мессенджеров.

Политика применяется ко всем отношениям в области обработки персональных данных, возникшим у Оператора как до, так и после её утверждения, если иное не предусмотрено законодательством Российской Федерации.

В соответствии с ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика опубликована в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте платформы Eventzilla.

Оператор внесён в реестр операторов персональных данных (регистрационный номер 10-0169371, Приказ Уполномоченного органа № 1054 от 31.12.2010).

Обработка персональных данных осуществляется на территории Российской Федерации с использованием серверной инфраструктуры, расположенной в Российской Федерации (с учётом требований законодательства о локализации персональных данных).

Юридические реквизиты Оператора

Общество с ограниченной ответственностью НПО «Метарекс»
Подразделение: Eventzilla
Юридический и почтовый адрес:
356630, Ставропольский край, г. Ипатово, ул. Гагарина, 47/1
ОГРН: 1082643000330
ИНН / КПП: 2608011560 / 260801001
Р/с: 40702810660160000474 в СТАВРОПОЛЬСКОЕ ОТДЕЛЕНИЕ № 5230 ПАО СБЕРБАНК, г. Ставрополь
К/с: 30101810907020000615
БИК: 040702615
Email: contact@eventzilla.ru
Телефон: +7 (906) 468-83-42
Сайт оператора: https://metarex.ru
Сайт платформы Eventzilla: https://eventzilla.ru

Нормативно-правовая база

Обработка персональных данных осуществляется в соответствии с:

  • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Постановлением Правительства РФ от 01.11.2012 № 1119;
  • Постановлением Правительства РФ от 15.09.2008 № 687;
  • иными нормативными правовыми актами Российской Федерации.

2. Основные понятия, используемые в Политике

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных (Оператор) — ООО НПО «Метарекс», самостоятельно организующий и (или) осуществляющий обработку персональных данных, определяющий цели обработки, состав персональных данных и действия (операции) с ними.

Технологическая инфраструктура Оператора — совокупность программных модулей, информационных систем и сервисов, используемых Оператором для функционирования экосистемы Eventzilla (включая модуль Orion), а также для обеспечения безопасности, хранения, обработки и предоставления данных пользователям и организаторам мероприятий. Оператор самостоятельно определяет состав используемых технологий и обеспечивает их эксплуатацию, сопровождение и развитие (с привлечением работников и/или подрядчиков при необходимости) при соблюдении требований законодательства о персональных данных.

Лицо, обрабатывающее персональные данные по поручению Оператора (Обработчик) — третье лицо, привлекаемое Оператором для выполнения отдельных операций обработки персональных данных (например, хостинг-провайдеры, сервисы рассылок и т.п.) на основании договора (поручения) и в пределах определённых целей, перечня операций, требований безопасности и конфиденциальности.
Ответственность перед субъектами персональных данных несёт Оператор.

Платформа мероприятий Eventzilla — программный продукт и цифровая инфраструктура, эксплуатируемые Оператором и предназначенные для регистрации пользователей, организации и проведения мероприятий, приёма заявок, хранения материалов, формирования списков участников, взаимодействия участников и организаторов и иных функций экосистемы.

Навигационный модуль Orion — функциональный модуль экосистемы Eventzilla, эксплуатируемый Оператором, обеспечивающий мастер-профиль пользователя, персональную навигацию по мероприятиям и возможностям, фиксацию этапов участия и достижений, сопровождение пользователя (в том числе через мессенджеры).

Технологическая платформа Metabot — технологическая (low-code/full-code) среда, используемая Оператором для реализации и эксплуатации отдельных модулей и сценариев экосистемы (включая Orion), а также для интеграций и автоматизации процессов. Использование Metabot не означает передачи функций оператора персональных данных третьему лицу; обработка персональных данных осуществляется Оператором в рамках настоящей Политики.
Ядро Eventzilla — платформа мероприятий (регистрация, мероприятия, приём работ, хранение материалов) функционирует как отдельная платформа.

Экосистема — совокупность сервисов, мероприятий, партнёрских программ и процессов, реализуемых через Eventzilla и Orion (конкурсы, отборы, образовательные и рекрутинговые форматы и др.).

Пользователь — физическое лицо, использующее Eventzilla и/или Orion.

Участник мероприятия — пользователь, подавший заявку/зарегистрировавшийся для участия в конкретном мероприятии, предоставляющий материалы и/или проходящий процедуры отбора/оценки.

Организатор мероприятия (Организатор) — юридическое лицо, ИП либо иное уполномоченное лицо, использующее Eventzilla для проведения мероприятия и получающее доступ к данным участников в объёме, необходимом для целей конкретного мероприятия.
После получения данных Организатор становится самостоятельным оператором персональных данных в отношении полученных данных и несёт ответственность за их дальнейшую обработку.

Судья / член конкурсной комиссии — лицо, уполномоченное оценивать результаты участников, имеющее доступ к данным участников в пределах полномочий и правил конкретного мероприятия.

Мастер-профиль — совокупность данных о пользователе, хранящихся в Orion (идентификационные сведения, анкеты, история участия, достижения и т.п.).

Единая идентификация — механизм связки учётной записи пользователя и данных/истории участия в рамках Eventzilla и Orion (единый профиль, единая траектория).

Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение).

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПДн) — совокупность баз данных персональных данных и технологий/средств, обеспечивающих их обработку.
Разделение на контуры (Eventzilla и Orion) носит технологический характер и не изменяет статус Оператора персональных данных: Оператором в отношении обработки персональных данных во всех контурах является ООО НПО «Метарекс».

Предоставление персональных данных — раскрытие персональных данных определённому лицу или определённому кругу лиц.
В Eventzilla: предоставление Организатору списка участников/анкет/контактов в рамках конкретного мероприятия.

Распространение персональных данных — раскрытие персональных данных неопределённому кругу лиц.
В Eventzilla: публикация профиля/результатов/материалов на странице мероприятия или в публичном рейтинге — только при наличии правового основания и (при необходимости) отдельного согласия.

Персональные данные, разрешённые субъектом для распространения — персональные данные, доступ к которым предоставлен неограниченному кругу лиц по отдельному согласию субъекта в порядке, установленном законодательством РФ (в т.ч. ст. 10.1 Закона о персональных данных).

Блокирование персональных данных — временное прекращение обработки (кроме случаев уточнения).

Уничтожение персональных данных — действия, в результате которых восстановление содержания персональных данных становится невозможным.

Обезличивание персональных данных — действия, в результате которых без дополнительной информации невозможно определить принадлежность данных конкретному субъекту.

Согласие на обработку персональных данных — явно выраженное разрешение субъекта на обработку; может быть письменным или электронным (например, чекбокс) с фиксацией даты/времени и технических параметров.

Уполномоченный орган — Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций).

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства иностранному органу/лицу.

Cookie и аналогичные технологии — данные, сохраняемые на устройстве пользователя и применяемые для работоспособности сервисов, безопасности, аналитики и пользовательских настроек.

Алгоритмические инструменты и ИИ — программные средства анализа/структурирования информации для навигации, рекомендаций и повышения качества сервиса. Такие инструменты не используются для принятия решений, влекущих юридические последствия или иным образом существенно затрагивающих права и законные интересы субъекта, исключительно на основе автоматизированной обработки без участия человека. Пользователь вправе запросить разъяснения по применению таких инструментов в части, не раскрывающей охраняемые меры безопасности и коммерческую тайну.

3. Цели и принципы обработки персональных данных

3.1. Принципы обработки персональных данных

3.1.1. Обработка персональных данных осуществляется Оператором на основе следующих принципов:

законности и добросовестности;
ограничения обработки достижением конкретных, заранее определённых и законных целей;
соответствия объёма и характера обрабатываемых персональных данных заявленным целям;
минимизации (недопустимости избыточной обработки);
достоверности, достаточности и актуальности персональных данных;
ограничения сроков хранения: хранение не дольше, чем этого требуют цели обработки и применимые нормы законодательства;
обеспечения безопасности и конфиденциальности персональных данных.

3.1.2. Не допускается обработка персональных данных, несовместимая с целями их сбора.

3.2. Цели обработки персональных данных

Оператор осуществляет обработку персональных данных в следующих целях:

3.2.1. Регистрация и ведение учётной записи Пользователя на платформе Eventzilla, а также обеспечение функционирования мастер-профиля в модуле Orion.

3.2.2. Верификация организаторов мероприятий, их представителей и полномочий на проведение мероприятий, включая проверку достоверности предоставленных сведений, предотвращение мошенничества, злоупотреблений и нарушений законодательства.

3.2.3. Организация и проведение мероприятий с использованием платформы Eventzilla: приём заявок, формирование списков участников, коммуникация по мероприятиям, выставления оценок, управление этапами, хранение материалов и результатов.

3.2.4. Предоставление персональных данных Организаторам мероприятий в объёме, необходимом для целей конкретного мероприятия (отбор, оценка, коммуникация, оформление результатов, выдача сертификатов/подтверждений, собеседование, рекрутинг, заключение договоров при необходимости).
После предоставления данных Организатор является самостоятельным оператором персональных данных в отношении полученных данных и несёт ответственность за их дальнейшую обработку.

3.2.5. Навигация и сопровождение Пользователя в экосистеме (включая Orion): фиксация этапов участия, достижений, статусов, рекомендаций, формирование персональной траектории.

3.2.6. Алгоритмическое структурирование информации (в т.ч. с применением инструментов анализа и ИИ) для навигации, рекомендаций и улучшения сервиса — без принятия юридически значимых решений исключительно на основе автоматизированной обработки.

3.2.7. Обеспечение безопасности, предотвращение злоупотреблений, защита от несанкционированного доступа, выявление и расследование инцидентов, обеспечение устойчивости сервисов.

3.2.8. Информационные уведомления и сервисная коммуникация (о статусах участия, напоминания, системные сообщения). Маркетинговые сообщения — при наличии отдельного согласия.

4. Условия и правовые основания обработки персональных данных

4.1. Условия обработки

4.1.1. Обработка персональных данных допускается при наличии одного или нескольких оснований, предусмотренных законодательством Российской Федерации, включая:

согласие субъекта персональных данных;
заключение и исполнение договора (публичной оферты / пользовательского соглашения / условий участия в мероприятии);
исполнение обязанностей, возложенных законом на Оператора;
законный интерес Оператора при условии соблюдения прав и свобод субъекта персональных данных.

4.1.2. Оператор не раскрывает персональные данные третьим лицам и не распространяет их без достаточного правового основания, за исключением случаев, предусмотренных законодательством РФ и настоящей Политикой.

4.2. Нормативно-правовые основания

4.2.1. Оператор руководствуется НПА, указанными в Разделе 1.

4.3. Локальные нормативные акты и документы Оператора

4.3.1. Деятельность Оператора по обработке и защите персональных данных регламентируется внутренними документами и договорными документами, включая:

— настоящую Политику;
— пользовательское соглашение / публичную оферту Eventzilla (в разработке);
— правила конкретных мероприятий (условия участия);
— регламенты и инструкции по защите персональных данных;
— приказы/распоряжения Оператора о назначении ответственных лиц, о допуске к персональным данным, о порядке доступа и учёта действий;
— соглашения о конфиденциальности (NDA) с лицами, имеющими доступ к персональным данным.

4.4. Режим конфиденциальности и доступ

4.4.1. Доступ к персональным данным предоставляется только тем лицам, которым он необходим для выполнения функций, связанных с эксплуатацией платформы и проведением мероприятий, на основании принципов минимально необходимого доступа и персональной ответственности.

4.4.2. Лица, имеющие доступ к персональным данным, обязаны соблюдать режим конфиденциальности и требования внутренних регламентов, включая меры организационной и технической защиты, а также условия соглашений о конфиденциальности (NDA).

4.4.3. Документы, содержащие сведения о системе защиты персональных данных и внутренних мерах безопасности, не подлежат публичному распространению и предоставляются:
— сотрудникам и привлечённым лицам в пределах должностной необходимости;
— уполномоченным государственным органам по официальному запросу.

4.5. Территория обработки и размещение инфраструктуры

4.5.1. Оператор обеспечивает обработку персональных данных на территории Российской Федерации.

4.5.2. Для функционирования экосистемы Eventzilla используются информационные системы, включая:
— ИСПДн платформы Eventzilla (ядро веб-платформы);
— ИСПДн модуля Orion (реализованного на технологической платформе Metabot).

4.6. Сбор персональных данных и получение согласия

4.6.1. Сбор персональных данных осуществляется:
— через веб-интерфейс Eventzilla (регистрация, заявки, загрузка материалов);
— через взаимодействие с модулем Orion (в том числе через мессенджерные каналы);
— при участии в мероприятиях и заполнении анкет/профилей.

4.6.2. Согласие субъекта персональных данных может быть выражено в электронной форме путём совершения действий, однозначно свидетельствующих о волеизъявлении (чекбокс/кнопка согласия), с фиксацией даты, времени и технических параметров в журнале событий/логах.

5. Категории субъектов персональных данных и состав обрабатываемых персональных данных

5.1. Категории субъектов персональных данных

Оператор осуществляет обработку персональных данных следующих категорий субъектов:

5.1.1. Пользователи платформы Eventzilla — физические лица, зарегистрированные в веб-интерфейсе Eventzilla и использующие функционал платформы (регистрация, участие в мероприятиях, загрузка материалов, создание/ведение мероприятий, взаимодействие с организаторами).

5.1.2. Пользователи навигационного модуля Orion — физические лица, взаимодействующие с Orion через мессенджеры и/или иные каналы (в т.ч. через связку с Eventzilla), в рамках чего формируется и ведётся мастер-профиль.

5.1.3. Участники мероприятий — физические лица, подавшие заявку на участие и/или участвующие в конкурсах, отборах, испытаниях, образовательных и иных мероприятиях, проводимых с использованием Eventzilla (включая индивидуальные и командные форматы).

5.1.4. Организаторы мероприятий — юридические лица, индивидуальные предприниматели, государственные/муниципальные учреждения либо уполномоченные физические лица, использующие Eventzilla для организации и проведения мероприятий, включая представителей таких организаций. В отношении организаторов Оператор может обрабатывать данные их представителей, уполномоченных лиц, сотрудников и иных физических лиц, действующих от имени организатора.

5.1.5. Судьи / члены конкурсных комиссий / эксперты — физические лица, которым предоставлен доступ к оценке материалов участников и формированию результатов этапов (в пределах полномочий, определённых правилами конкретного мероприятия).

5.1.6. Представители контрагентов и заказчиков — физические лица, действующие от имени организаций, заключивших с Оператором договор (в т.ч. на проведение мероприятия, предоставление доступа к функционалу платформы, сопровождение и/или иные услуги).

5.2. Состав обрабатываемых персональных данных

Оператор обрабатывает персональные данные в объёме, необходимом для целей, указанных в настоящей Политике, включая:

5.2.1. Идентификационные и контактные данные пользователей

— адрес электронной почты;
— номер телефона (если предоставлен пользователем и/или требуется правилами конкретного мероприятия);
— никнейм (псевдоним/позывной);
— имя, фамилия и иные сведения, указанные пользователем в профиле Eventzilla;
— данные учётной записи Orion (в т.ч. связка с Eventzilla);
— идентификаторы мессенджера (например, Telegram ID) и отображаемые данные профиля мессенджера (username, отображаемое имя), передаваемые через API мессенджера при использовании Orion;
— страна/город/часовой пояс (если указаны пользователем).

Оператор исходит из достоверности данных, предоставленных пользователем, и вправе запрашивать уточнение при необходимости.

5.2.2. Профильные и анкетные данные пользователей

— сведения об образовании, профессиональном опыте, навыках и компетенциях;
— ответы на вопросы профилирования (анкеты, формы заявок, опросники);
— сведения о направлениях интересов и траектории участия;
— иные сведения, добровольно предоставленные пользователем в рамках участия в мероприятиях и/или ведения мастер-профиля Orion.

5.2.3. Данные об участии в мероприятиях и результатах

— сведения о заявках, статусах, этапах прохождения;
— результаты, рейтинги, баллы, комментарии судей;
— сведения о победителях, призёрах, прохождении в следующий этап;
— факты выдачи сертификатов/подтверждений участия (если применимо).

5.2.4. Материалы, загружаемые пользователем (контент)

— тексты, файлы, изображения, аудио/видео, презентации, программный код и иные материалы, загружаемые пользователем в рамках функционала Eventzilla и/или конкретного мероприятия;
— метаданные файлов (дата загрузки, формат, размер, идентификаторы).

Пользователь самостоятельно определяет объём информации, включаемой им в загружаемые материалы, включая возможные персональные данные третьих лиц; ответственность за правомерность размещения таких данных в составе материалов несёт пользователь, если иное не установлено правилами мероприятия и применимым законодательством.

5.2.5. Персональные данные организаторов и их представителей

— ФИО представителя
— контактные данные
— должность
— сведения о юрлице (ОГРН, ИНН — если ИП)
— документы, подтверждающие полномочия
— сведения для KYC-проверки
— иные данные, предоставленные в рамках верификации

5.2.6. Технические и сетевые данные

— IP-адрес;
— сведения о браузере, устройстве, ОС;
— файлы cookies (при использовании веб-платформы);
— идентификаторы сессий, дата и время действий;
— журналы событий безопасности и доступа (в рамках внутренних регламентов и требований по защите информации).

5.2.7. Данные коммуникаций (в пределах функционала платформы)

— содержание сообщений, отправленных пользователем в Orion (если такой функционал используется для навигации/сопровождения);
— служебные статусы доставок/уведомлений;
— обращения в поддержку (если пользователь обращается).

5.3. Данные, не подлежащие обработке (специальные категории)

Оператор не осуществляет обработку специальных категорий персональных данных (сведения о расовой/национальной принадлежности, политических взглядах, религиозных/философских убеждениях, состоянии здоровья, интимной жизни), за исключением случаев, когда такая обработка прямо предусмотрена законодательством Российской Федерации либо осуществляется по инициативе самого пользователя (например, при добровольном указании подобных сведений в свободных полях), и при наличии соответствующего правового основания.

5.4. Алгоритмическая обработка и автоматизация

5.4.1. В Orion (навигация и структурирование).
В рамках работы Orion могут применяться алгоритмические инструменты (в т.ч. элементы машинного анализа) для структурирования информации, формирования рекомендаций и навигационных сценариев. Такая обработка носит информационно-сервисный характер и не используется для принятия решений, которые влекут юридические последствия или иным образом существенно затрагивают права и законные интересы субъекта, исключительно на основе автоматизированной обработки без участия человека.
Субъект персональных данных вправе направить обращение о разъяснении результатов такой обработки и/или о пересмотре результата человеком — в порядке раздела 7 настоящей Политики (в объёме, не раскрывающем меры безопасности и коммерческую тайну).

5.4.2. В Eventzilla (техническая обработка результатов).
В отдельных мероприятиях допускается автоматизированный подсчёт результатов (суммирование баллов, формирование рейтингов, проверка порогов прохождения) как техническая операция. Итоговые решения о допуске/отборе/присуждении мест принимаются уполномоченными лицами (организатором, комиссией, судьями) в соответствии с правилами мероприятия, если иное прямо не предусмотрено такими правилами и применимым законодательством.

5.5. Добровольность предоставления данных и последствия отказа

Предоставление персональных данных является добровольным.
При этом, если пользователь не предоставляет данные, необходимые для регистрации, участия в мероприятии или использования отдельных функций Eventzilla/Orion, соответствующий функционал может быть ограничен или недоступен.

Если пользователь не совершит действия, явно направленные на дачу согласия на обработку персональных данных (либо отсутствует иное правовое основание), Оператор не вправе осуществлять обработку персональных данных, необходимых для предоставления функционала платформы; в этом случае регистрация, участие в мероприятиях и/или использование Orion могут быть недоступны.

5.6. Доступ организаторов мероприятий и разграничение ответственности

В рамках участия пользователя в конкретном мероприятии Оператор может предоставлять (передавать) персональные данные пользователя соответствующему организатору мероприятия в объёме, необходимом для проведения мероприятия и исполнения целей, указанных в правилах мероприятия и условиях участия, при наличии правового основания.

С момента получения персональных данных организатор мероприятия осуществляет их обработку самостоятельно и несёт ответственность за дальнейшую обработку полученных данных в соответствии с применимым законодательством и своими документами.

Организатор обязан обеспечить наличие собственных документов, регулирующих обработку персональных данных, и правовых оснований для обработки полученных данных.

5.7. Фиксация акцептов и согласий в рамках мероприятий

При участии Пользователя в мероприятии, проводимом Организатором на Платформе, Организатор самостоятельно определяет перечень документов и подтверждений, обязательных для принятия участниками (включая правила мероприятия, согласия на обработку персональных данных, лицензии на контент, условия публичности и иные документы).

Платформа предоставляет Организатору техническую возможность:

— размещать указанные документы в интерфейсе мероприятия;
— настраивать обязательность их принятия;
— фиксировать факт акцепта Пользователем;
— хранить технические записи акцепта (дата и время, идентификатор пользователя, идентификатор документа, технические метаданные).

Указанные сведения могут быть предоставлены Организатору как подтверждение факта принятия условий Пользователем.

Организатор несёт самостоятельную ответственность за содержание, правомерность и достаточность документов и согласий, размещённых им в рамках мероприятия.

Оператор Платформы обеспечивает техническое функционирование механизма фиксации и хранения акцептов, но не осуществляет юридическую экспертизу документов Организатора.

6. Порядок и условия обработки персональных данных

6.1. Правовые основания обработки

6.1.1. Обработка персональных данных осуществляется Оператором при соблюдении условий и на правовых основаниях, указанных в Разделах 1 и 4 настоящей Политики.

6.1.2. В рамках настоящего Раздела устанавливаются порядок, операции, способы обработки, правила доступа, сроки хранения и меры защиты, применяемые Оператором при обработке персональных данных в Eventzilla и Orion.

6.1.3. Обработка персональных данных, разрешённых субъектом для распространения, осуществляется с соблюдением требований ст. 10.1 Федерального закона № 152-ФЗ и с учётом требований к содержанию такого согласия (в т.ч. с учётом требований, утверждённых Приказом Роскомнадзора от 24.02.2021 № 18).

6.1.4. Передача персональных данных уполномоченным государственным органам (включая органы дознания и следствия, суды, налоговые органы, Социальный фонд России и иные органы) осуществляется в случаях и порядке, предусмотренных законодательством Российской Федерации.

6.2. Действия (операции) с персональными данными

6.2.1. Оператор осуществляет следующие действия (операции) с персональными данными:
— сбор;
— запись;
— систематизация;
— накопление;
— хранение;
— уточнение (обновление, изменение);
— извлечение;
— использование;
— передача (предоставление, доступ);
— обезличивание;
— блокирование;
— удаление;
— уничтожение;
— распространение (в случаях, когда это предусмотрено функционалом платформы и имеется правовое основание/согласие).

6.2.2. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования (при наличии соответствующих процессов и носителей).

6.3. Способы обработки персональных данных

6.3.1. В зависимости от целей и процессов Оператор осуществляет обработку персональных данных следующими способами:
— неавтоматизированная обработка;
— автоматизированная обработка (в том числе с передачей по информационно-телекоммуникационным сетям или без таковой);
— смешанная обработка.

6.3.2. В составе экосистемы могут применяться отдельные контуры обработки:
— ИСПДн платформы Eventzilla (платформа мероприятий);
— ИСПДн навигационного модуля Orion, реализованного на технологической платформе Metabot и обслуживаемого Оператором.

6.4. Верификация организаторов мероприятий

6.4.1. Оператор вправе проводить проверку достоверности сведений:
— запрашивать документы,
— приостанавливать доступ,
— отказывать в размещении мероприятия,
— блокировать при выявлении нарушений,
— сохранять сведения о проверке.

6.5. Передача персональных данных третьим лицам, предоставление доступа

6.5.1. Оператор вправе передавать (предоставлять доступ к) персональным данным третьим лицам исключительно при наличии правового основания и в объёме, необходимом для достижения целей обработки, включая:
— предоставление данных Организаторам мероприятий для проведения конкретного мероприятия (отбор, оценка, коммуникация, оформление результатов, собеседование, приглашение на работу);
— привлечение третьих лиц (обработчиков/подрядчиков), необходимых для обеспечения функционирования сервисов (например, хостинг, рассылки, техническая поддержка), на основании договоров и при соблюдении требований конфиденциальности и безопасности;
— передачу данных уполномоченным государственным органам в случаях, предусмотренных законом;
— передачу платёжным сервисам в части обработки данных, вводимых субъектом в платёжных формах (если применимо) — при этом такие данные обрабатываются соответствующим платёжным оператором/агрегатором как самостоятельным оператором.

6.5.2. Предоставление Организатору осуществляется по принципу минимизации: только те данные и в том объёме, которые необходимы для целей конкретного мероприятия и предусмотрены его правилами/условиями участия.

6.5.3. С момента получения персональных данных Организатор становится самостоятельным оператором персональных данных в отношении полученных данных и несёт ответственность за их дальнейшую обработку.

6.5.4. Оператор не продаёт персональные данные и не предоставляет их третьим лицам для целей, не связанных с функционированием Eventzilla/Orion и проведением мероприятий, за исключением случаев, предусмотренных законом.

6.6. Трансграничная передача персональных данных

6.6.1. Оператор осуществляет хранение и обработку персональных данных на территории Российской Федерации с соблюдением требований законодательства Российской Федерации о локализации персональных данных.

Информационные системы платформы Eventzilla и навигационного модуля Orion (включая мастер-профили пользователей) размещены и эксплуатируются в инфраструктуре, расположенной на территории Российской Федерации.

6.6.2. Оператор не осуществляет трансграничную передачу персональных данных по собственной инициативе, за исключением случаев, прямо предусмотренных законодательством Российской Федерации.

6.6.3. Использование мессенджеров и внешних сервисов.
При использовании пользователем модуля Orion через сторонние мессенджеры (в том числе, расположенные в иностранных юрисдикциях), взаимодействие пользователя с соответствующим сервисом осуществляется на условиях такого сервиса и в рамках его правового режима.

В таком случае:

— обработка данных оператором мессенджера осуществляется самостоятельно и вне контроля Оператора;
— передача данных в инфраструктуру мессенджера осуществляется по инициативе пользователя при выборе соответствующего канала связи;
— хранение мастер-профиля и ключевых данных пользователя в рамках экосистемы Eventzilla осуществляется в Российской Федерации.

Использование зарубежного мессенджера может предполагать обработку информации в иностранной юрисдикции в соответствии с политикой конфиденциальности соответствующего сервиса.

6.6.4. Подключение пользователем внешнего коммуникационного сервиса рассматривается как осознанный выбор канала взаимодействия.

6.7. Получение согласия и ограничения доступа при отсутствии правового основания

6.7.1. Согласие на обработку персональных данных может быть выражено субъектом в электронной форме путём совершения действий, однозначно свидетельствующих о волеизъявлении (например, установка чекбокса “Согласен на обработку персональных данных”, нажатие кнопки подтверждения) с фиксацией даты/времени и технических параметров в логах/журналах событий.

6.7.2. Если субъект персональных данных не совершил действий, направленных на предоставление согласия, и отсутствует иное правовое основание обработки, доступ к функционалу Eventzilla/Orion, требующему обработки персональных данных (регистрация, подача заявок, участие в мероприятиях, формирование мастер-профиля, предоставление данных Организатору), может быть ограничен или недоступен.

6.8. Сроки хранения персональных данных и прекращение обработки

6.8.1. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если иной срок не установлен законодательством Российской Федерации.

6.8.2. Персональные данные, связанные с участием в мероприятиях, могут сохраняться в системе после завершения мероприятия как часть архивной структуры платформы Eventzilla (история проведённых мероприятий, результаты, аналитика, портфолио), при условии:

— сохранения учётной записи пользователя;
— отсутствия отзыва согласия или требования об удалении;
— отсутствия оснований для обязательного удаления в силу закона;
— соблюдения правил конкретного мероприятия.

В случае удаления учётной записи пользователя его персональные данные удаляются либо обезличиваются, за исключением данных, которые подлежат хранению в силу законодательства либо необходимы для защиты прав и законных интересов Оператора.

6.8.3. Прекращение обработки персональных данных может наступить при наличии одного из оснований:
— достижение целей обработки;
— истечение срока действия согласия или отзыв согласия (если обработка основана на согласии);
— выявление неправомерной обработки;
— прекращение правоотношений и истечение сроков хранения;
— иные основания, предусмотренные законодательством Российской Федерации.

6.8.4. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат актуализации, а обработка — прекращению (или блокированию) в порядке, предусмотренном законодательством.

6.8.5. Уничтожение персональных данных осуществляется в срок до 30 календарных дней с момента возникновения оснований для уничтожения, если иной срок не предусмотрен законодательством Российской Федерации.

6.8.6. Таблица ориентировочных сроков хранения

Категория данных Срок хранения Основание
Учётная запись пользователя В течение срока существования аккаунта Договор / пользовательское соглашение
Данные участия в мероприятиях В течение срока существования аккаунта + архивная часть платформы Законный интерес Оператора
Финансовые документы Не менее сроков, установленных законодательством РФ Законодательство о бухгалтерском учёте и налогах РФ
Логи безопасности До 1 года Обеспечение безопасности
Данные после удаления аккаунта До 30 дней (основные системы), до 90 дней (резервные копии) Технический процесс удаления

6.9. Внутренний доступ и ответственность лиц, допущенных к обработке

6.9.1. Доступ к персональным данным предоставляется только тем лицам, которым он необходим для выполнения функций, связанных с эксплуатацией платформы, проведением мероприятий и обеспечением безопасности, на основании принципов минимально необходимого доступа и персональной ответственности.

6.9.2. Лица, допущенные к обработке персональных данных, обязаны соблюдать режим конфиденциальности и требования внутренних регламентов/инструкций по защите персональных данных, а также условия соглашений о конфиденциальности (NDA).

6.9.3. Доступ сотрудников Оператора и привлечённых Оператором лиц (подрядчиков) к персональным данным допускается исключительно по принципу минимально необходимого доступа и в пределах задач эксплуатации, сопровождения, обеспечения безопасности и устранения инцидентов; действия подлежат учёту и контролю в соответствии с внутренними регламентами.

6.10. Меры по обеспечению безопасности персональных данных

6.10.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.

6.10.2. Без конкретизации закрытых внутренних документов Оператор реализует, в частности, следующие меры:
— определение актуальных угроз безопасности персональных данных и технологий, используемых в ИСПДн;
— применение организационных и технических мер защиты с учётом требований к уровням защищённости;
— установление правил доступа к персональным данным и разграничение прав;
— регистрация и учёт действий пользователей и администраторов в ИСПДн;
— обнаружение и регистрация фактов несанкционированного доступа и принятие мер реагирования;
— резервное копирование и восстановление данных (в пределах применимых процессов);
— использование средств антивирусной защиты, межсетевого экранирования и иных средств защиты информации (по необходимости);
— проведение внутреннего контроля и (или) аудита соблюдения требований по обработке и защите персональных данных.

6.10.3. Документы, описывающие систему защиты персональных данных, технические и организационные меры и порядок их применения, не подлежат опубликованию в открытых источниках и предоставляются только:
— лицам, допущенным к обработке, в пределах необходимости;
— уполномоченным государственным органам по официальному запросу.

6.11. Учёт обращений субъектов персональных данных

6.11.1. Оператор осуществляет учёт обращений и запросов субъектов персональных данных, поступающих в связи с обработкой персональных данных, с фиксацией: даты обращения, способа поступления, сути запроса и информации о сроках и содержании ответа.

7. Права и обязанности субъектов персональных данных и Оператора

7.1. Права субъектов персональных данных

7.1.1. Субъект персональных данных имеет право:
— получать информацию, касающуюся обработки его персональных данных Оператором, включая сведения о целях, правовых основаниях, составе данных, источниках их получения, сроках обработки и хранения, а также о лицах, которым данные предоставляются;
— требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (при наличии оснований, предусмотренных законом);
— отзывать согласие на обработку персональных данных в случаях, когда обработка основана на согласии;
— требовать прекращения обработки персональных данных, если обработка осуществляется с нарушением законодательства Российской Федерации, за исключением случаев, когда обработка допускается без согласия в силу закона;
— получать копию записи (или иной материализированной формы), содержащей его персональные данные в объёме, предусмотренном законом, и при условии, что это не нарушает права третьих лиц и не раскрывает меры безопасности.
— обжаловать действия или бездействие Оператора, нарушающие его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и/или в судебном порядке;
— осуществлять иные права, предусмотренные законодательством Российской Федерации.

7.1.2. В случаях, когда персональные данные были предоставлены Оператором Организатору мероприятия, субъект персональных данных вправе реализовывать свои права также в отношении Организатора как самостоятельного оператора персональных данных (в пределах данных, полученных Организатором).

7.2. Порядок и способы направления обращений и запросов

7.2.1. Субъект персональных данных вправе направить Оператору запрос/обращение, касающееся обработки его персональных данных, одним из способов:
— по электронной почте: contact@eventzilla.ru;
— через личный кабинет/интерфейс платформы Eventzilla (если функционал предусмотрен);
— через форму обратной связи на сайте Eventzilla;
— почтовым отправлением по адресу указанному в Разделе 1.

7.2.2. Запрос/обращение может быть составлен в свободной форме, но должен содержать:
— ФИО субъекта персональных данных (или сведения о представителе и документ, подтверждающий полномочия представителя — при обращении представителя);
— контактные данные для ответа (электронная почта/адрес для корреспонденции);
— описание сути обращения (запрос сведений, требование уточнения/блокирования/уничтожения, отзыв согласия и т.п.);
— при возможности — сведения, позволяющие идентифицировать пользователя в системе (email/никнейм/ID) без избыточного раскрытия данных.

7.2.3. Оператор вправе запросить дополнительные сведения, необходимые для идентификации субъекта и/или подтверждения полномочий представителя, если без этого невозможно корректно исполнить запрос и при этом такое уточнение не является избыточным.

7.3. Сроки рассмотрения обращений

7.3.1. Оператор рассматривает обращения и запросы субъектов персональных данных и направляет ответ в сроки, предусмотренные законодательством Российской Федерации о персональных данных.

7.3.2. Общий срок ответа на обращение субъекта персональных данных составляет до 30 календарных дней с даты получения обращения, если иной срок не установлен законодательством Российской Федерации.

7.3.3. В случаях, когда законодательство предусматривает сокращённые сроки (например, по требованию о прекращении обработки/уничтожении при наличии оснований), Оператор действует в соответствующие сроки, установленные законом.

7.4. Отзыв согласия и прекращение обработки

7.4.1. Субъект персональных данных вправе отозвать согласие на обработку персональных данных, направив соответствующее обращение Оператору способами, указанными в п. 7.2.

7.4.2. При отзыве согласия Оператор прекращает обработку персональных данных, основанную на согласии, и (при наличии оснований) осуществляет уничтожение персональных данных либо обеспечивает прекращение их обработки в сроки, предусмотренные законодательством Российской Федерации, если иное не предусмотрено законом (например, когда обработка необходима для исполнения договора, исполнения обязанности по закону или защиты прав и законных интересов Оператора).

7.4.3. Если прекращение обработки персональных данных делает невозможным предоставление функционала платформы (регистрация, участие в мероприятиях, ведение мастер-профиля, коммуникации и т.п.), соответствующий функционал может быть ограничен или прекращён.

7.5. Обязанности субъекта персональных данных

7.5.1. Субъект персональных данных обязуется:
— предоставлять достоверные (насколько ему известно) данные при регистрации и участии в мероприятиях;
— поддерживать актуальность данных при наличии соответствующего функционала (либо сообщать об изменениях через обращения);
— соблюдать правила мероприятий и условия использования платформы;
— не размещать в загружаемых материалах персональные данные третьих лиц без наличия правовых оснований и необходимых согласий, если иное не предусмотрено правилами конкретного мероприятия и законом.

7.5.2. Для безопасного использования сервисов субъекту персональных данных рекомендуется:
— использовать актуальное ПО и обновления безопасности;
— применять антивирусную защиту и не устанавливать ПО из непроверенных источников;
— не передавать третьим лицам средства доступа к аккаунту (логин/пароль/токены/коды);
— завершать сессии при использовании общих устройств;
— при использовании браузера — контролировать настройки cookies (при необходимости ограничивать их использование).

7.6. Права и обязанности Оператора

7.6.1. Оператор обязан:
— организовывать обработку персональных данных в соответствии с требованиями законодательства Российской Федерации;
— принимать необходимые правовые, организационные и технические меры для защиты персональных данных;
— обеспечивать конфиденциальность персональных данных, за исключением случаев, когда раскрытие допускается законом или на основании согласия субъекта;
— отвечать на обращения и запросы субъектов персональных данных и их представителей в установленном порядке;
— сообщать уполномоченному органу по защите прав субъектов персональных данных (Роскомнадзор) необходимую информацию по запросу в установленный законом срок (как правило, 10 рабочих дней);
— уведомлять субъекта персональных данных об устранении допущенных нарушений или об уничтожении персональных данных (когда это требуется законом);
— разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление данных является обязательным в силу закона или необходимо для предоставления сервиса.

7.6.2. Оператор вправе:
— обрабатывать персональные данные при наличии правовых оснований и в пределах целей, определённых настоящей Политикой;
— поручать обработку персональных данных третьим лицам при условии заключения договора/иного правового основания, определяющего предмет поручения, перечень операций, требования конфиденциальности и меры защиты;
— предоставлять персональные данные Организаторам мероприятий в объёме, необходимом для целей конкретного мероприятия (при наличии правового основания);
— ограничивать доступ к сервисам/функционалу при отсутствии правового основания обработки (в т.ч. при отсутствии согласия там, где оно требуется);
— сохранять и обрабатывать персональные данные в объёме и сроки, необходимые для защиты прав и законных интересов Оператора (в т.ч. для подтверждения юридически значимых действий, предотвращения злоупотреблений и обеспечения безопасности), если это допускается законодательством.

7.6.3. Оператор осуществляет учёт обращений субъектов персональных данных и результатов их рассмотрения.

8. Конфиденциальность персональных данных

8.1. Оператор обеспечивает конфиденциальность персональных данных и принимает меры по предотвращению их несанкционированного раскрытия, за исключением случаев, когда раскрытие допускается законодательством Российской Федерации либо осуществляется на основании согласия субъекта персональных данных.

8.2. Доступ к персональным данным предоставляется только лицам, которым он необходим для выполнения функций, связанных с работой платформы и проведением мероприятий, при соблюдении принципа минимально необходимого доступа и персональной ответственности.

8.3. Лица, допущенные к персональным данным (включая работников Оператора и лиц, привлекаемых по договору), обязаны соблюдать режим конфиденциальности и требования внутренних документов Оператора.

8.4. При поручении обработки персональных данных третьему лицу Оператор обеспечивает закрепление в договоре/поручении требований конфиденциальности, мер защиты, перечня операций и иных обязательных условий.

8.5. Документы, описывающие систему защиты персональных данных, внутренние регламенты безопасности и конкретные технические меры, не подлежат публикации и предоставляются только уполномоченным лицам и органам в случаях и порядке, предусмотренных законодательством РФ.

8.6. Режим конфиденциальности не распространяется на персональные данные, которые:
— подлежат раскрытию в силу закона; и/или
распространяются по отдельному согласию субъекта как персональные данные, разрешённые субъектом для распространения (ст. 10.1 Закона № 152-ФЗ), в пределах такого согласия; и/или
— стали общедоступными по инициативе субъекта на законных основаниях.

8.7. При предоставлении персональных данных Организатору мероприятия Оператор обеспечивает предоставление данных в объёме, необходимом для целей конкретного мероприятия. С момента получения данных Организатор обеспечивает их конфиденциальность и безопасность самостоятельно и несёт ответственность за дальнейшую обработку как самостоятельный оператор персональных данных.

9. Ответственность

9.1. Лица, виновные в нарушении требований законодательства Российской Федерации о персональных данных и/или настоящей Политики, несут ответственность, предусмотренную законодательством Российской Федерации.

9.2. Оператор несёт ответственность перед субъектами персональных данных за соблюдение требований законодательства при обработке персональных данных в рамках Eventzilla и Orion, включая случаи поручения обработки третьим лицам.

9.3. Организатор мероприятия, получивший персональные данные участников от Оператора, несёт самостоятельную ответственность за дальнейшую обработку полученных данных как самостоятельный оператор персональных данных.

9.4. Пользователь несёт ответственность за правомерность размещения (загрузки) материалов и сведений, включая персональные данные третьих лиц, если он включает такие данные в загружаемый контент без необходимых правовых оснований и согласий, за исключением случаев, когда иное предусмотрено правилами конкретного мероприятия и законом.

10. Заключительные положения

10.1. Настоящая Политика действует бессрочно до её замены новой редакцией.

10.2. Оператор вправе вносить изменения в Политику. Новая редакция Политики вступает в силу с момента её размещения на сайте Eventzilla, если иное не предусмотрено новой редакцией.

10.3. При внесении изменений сохраняется доступность актуальной редакции Политики. По возможности Оператор указывает дату последнего обновления.

10.4. По вопросам обработки персональных данных и реализации прав субъектов персональных данных обращение направляется по адресу электронной почты: contact@eventzilla.ru, либо иными способами, указанными в разделе 7.