Политика в отношении обработки персональных данных

E-mail: zakaz@festoru.ru
Сайт: www.festoru.ru
Ответственный за организацию обработки персональных данных (ст. 22.1 ФЗ-152):
руководитель по качеству и сертификации,
контакты для обращений субъектов персональных данных: zakaz@festoru.ru
Актуальная редакция: v05 от 30.05.2025г. публичная версия (для сайта)

1. Назначение и правовые основания
1.1. Настоящая Политика устанавливает порядок обработки персональных данных Оператором на сайтах и субдоменах Оператора, включая www.festoru.ru, цели и правовые основания такой обработки, порядок реализации прав субъектов персональных данных.
1.2. Документ опубликован для неограниченного круга лиц. Сведения о реализуемых требованиях к защите персональных данных содержатся в разделе 10 настоящей Политики. Доступ к указанному разделу обеспечивается со страниц, на которых осуществляется сбор персональных данных, посредством гиперссылки на данный раздел (ч. 2 ст. 18.1 ФЗ-152).
1.3. Правовые основания обработки: Оператор обрабатывает персональные данные на основаниях, предусмотренных ст. 6 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных»: согласие субъекта (ч. 1 п. 1), заключение и (или) исполнение договора с субъектом (ч. 1 п. 5), исполнение обязанностей, возложенных законодательством РФ (ч. 1 п. 2), а также иных основаниях, прямо предусмотренных ФЗ-152. Основание для каждой цели указано в Матрице целей (раздел 3). Обработка специальных категорий персональных данных – в случаях, установленных ст. 10 и 10.1 ФЗ-152, биометрических – ст. 11 ФЗ-152; трансграничная передача – по ст. 12; локализация – по ч. 5 ст. 18. Маркетинговые коммуникации осуществляются только при наличии предварительного согласия субъекта (ст. 6 ч. 1 п. 1 ФЗ-152) и с соблюдением требований ст. 18 Федерального закона № 38-ФЗ «О рекламе». Таким образом, применяются положения Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» (включая ст. 3, 5, 6, 9, 12, 14–19, 22, 22.1) и иные применимые акты; формы уведомлений – по Приказу Роскомнадзора № 180 от 28.10.2022г. в действующей редакции.

2. Обрабатываемые данные и источники получения
2.1. Категории данных:
  • идентификационные: Фамилия, Имя, Отчество (при наличии);
  • контактные: адрес электронной почты e-mail (служебный/личный), номер телефона (служебный/личный);
  • организационные (для B2B): наименование организации, занимаемая должность;
  • данные заявок/регистраций на мероприятия;
  • технические и онлайн-идентификаторы (IP-адрес, cookie-ID, user-agent, UTM-метки, события на сайте) – в объёме, необходимом для работы сайта, аналитики и, при наличии согласия, маркетинга. Cookie-идентификаторы при возможности идентификации относятся к персональным данным и обрабатываются на общих основаниях.
2.2. Источники: данные предоставляются субъектом персональных данных через формы сайта/взаимодействие с Оператором; технические данные формируются при посещении сайта; часть данных может поступать от уполномоченных лиц по договору поручения обработки – строго в пределах заявленных целей.

3. Матрица целей обработки (синхронизирована с уведомлением в Роскомнадзор)
Для каждой цели указаны категории данных, субъекты, правовые основания и срок/условие прекращения обработки. Такие сведения синхронизируются с уведомлением Оператора в Роскомнадзор (ст. 22 ФЗ-152; формы – Приказ № 180).
3.1. Регистрация на мероприятия / обработка заявок
  • данные: Фамилия, Имя, Отчество (при наличии), адрес электронной почты e-mail (служебный/личный), номер телефона (служебный/личный), наименование организации, занимаемая должность, сведения о заявке.
  • субъекты: пользователи сайта, участники мероприятий.
  • основание: ст. 6 ч. 1 п. 5 (договор/преддоговорные меры); дополнительно – согласие на информирование (п. 1).
  • срок/условие прекращения: до исполнения договора/оказания услуги + сроки, установленные законодательством РФ; далее уничтожение/обезличивание (ст. 5 ч. 5-6).
3.2. Поддержка и обратная связь
  • данные: Фамилия, Имя, Отчество (при наличии), адрес электронной почты e-mail (служебный/личный), номер телефона (служебный/личный), наименование организации, занимаемая должность, содержание обращения, технические логи.
  • субъекты: пользователи, клиенты.
  • основание: ст. 6 ч. 1 п. 5 (исполнение договора), либо ст. 6 ч. 1 п. 1 (согласие).
  • срок: до урегулирования обращения + до 3 (трёх) лет (исковая давность).
3.3. Маркетинговые коммуникации (e-mail/SMS/мессенджеры)
  • данные: Фамилия, Имя, Отчество (при наличии), адрес электронной почты e-mail (служебный/личный), номер телефона (служебный/личный), наименование организации, занимаемая должность, история взаимодействий.
  • субъекты: подписчики, клиенты.
  • основание: предварительное согласие субъекта (ст. 6 ч. 1 п. 1); прямой маркетинг допускается только при наличии такого согласия (ст. 15). Согласие оформляется отдельно от иных информации и (или) документов (ч. 1 ст. 9 ФЗ-152).
  • срок: до отзыва согласия или достижения цели. Отказ – по ссылке в каждом сообщении либо через zakaz@festoru.ru.
3.4. Веб-аналитика и поведенческие данные (cookie/пиксели/SDK)
Оператор использует файлы cookie и иные онлайн-идентификаторы для обеспечения работы сайта (основание – ст. 6 ч. 1 п. 5 ФЗ-152) и, при наличии согласия субъекта, для аналитики и маркетинга (ст. 6 ч. 1 п. 1 ФЗ-152). Управление согласиями осуществляется через баннер/панель (CMP), выбор фиксируется. Перечень cookie (имена, категории, сроки хранения, получатели, локализация/трансграничная передача) размещён в Политике использования файлов cookie.
  • данные: IP-адрес, cookie-ID, события на сайте, user-agent, UTM-метки.
  • субъекты: посетители сайта.
  • основание: для необходимых cookie – ст. 6 ч. 1 п. 5 (предоставление запрошенного сервиса, договорное); для аналитики/маркетинга – ст. 6 ч. 1 п. 1 (согласие).
  • срок: по видам cookie (см. Приложение «Перечень cookie») либо до отзыва согласия.

4. Cookies и управление согласием
Оператор применяет баннер/панель управления (CMP), позволяющую субъекту персональных данных принять все cookies, отклонить необязательные либо настроить по категориям. Выбор фиксируется (ID события, дата/время, версия перечня cookie). Для аналитических/маркетинговых cookie Оператор запрашивает согласие. Согласие оформляется отдельно от иных информации и (или) документов (ч. 1 ст. 9 ФЗ-152).

5. Передача и круг получателей
5.1. Оператор не продаёт персональные данные. Передача допускается:
  • уполномоченным лицам (обработчикам) по договору поручения обработки, содержащему требования к защите персональных данных;
  • государственным органам – в случаях, установленных законодательством РФ;
  • иным контрагентам – только при наличии правового основания и в пределах заявленных целей.
5.2. Актуальная информация о категориях получателей предоставляется субъекту персональных данных по запросу.

6. Сроки хранения
Персональные данные хранятся не дольше, чем это требуется для целей обработки, если иные сроки не установлены законодательством РФ и (или) договором. Типовые сроки:
  • заявки/регистрация – до оказания услуги + сроки учёта/исковой давности;
  • обращения – до урегулирования + до 3 (трёх) лет;
  • маркетинг – до отзыва согласия;
  • cookie – по видам (см. Приложение «Перечень cookie»).
7. Локализация персональных данных граждан Российской Федерации
Первичная запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации при их сборе осуществляются только с использованием баз данных, расположенных на территории Российской Федерации. Прямой запрет на первичную обработку в иностранных базах данных действует с 01.07.2025г. (ч. 5 ст. 18 ФЗ-152 в ред. ФЗ № 23-ФЗ от 28.02.2025г.).

8. Трансграничная передача
Оператор соблюдает установленный порядок уведомления Роскомнадзора о трансграничной передаче. Для стран, не обеспечивающих «адекватную защиту» прав субъектов персональных данных, до истечения 10 (десяти) рабочих дней с даты направления уведомления передача не допускается; Роскомнадзор вправе запретить или ограничить такую передачу.
Для государств, обеспечивающих адекватный уровень защиты прав субъектов персональных данных, передача осуществляется в уведомительном порядке с учётом решений Роскомнадзора.

9. Права субъектов персональных данных и порядок их реализации
9.1. Субъект персональных данных вправе получить сведения об обработке его персональных данных, требовать их уточнения, блокирования или уничтожения, отозвать согласие, обжаловать действия (бездействие) Оператора (ст. 14–17 ФЗ-152).
9.2. Порядок обращения: запрос направляется на электронный адрес zakaz@festoru.ru либо почтовым отправлением по адресу Оператора. В запросе указываются Фамилия, Имя, Отчество (при наличии), контактные данные, суть запроса, при необходимости – подтверждающие документы/доверенность.
9.3. Срок ответа: до 10 (десяти) рабочих дней; в ряде случаев допустимо продление до 15 (пятнадцати) рабочих дней при наличии предусмотренных законодательством РФ оснований.
9.4. Отказ от маркетинговых сообщений: доступен по ссылке в каждом сообщении либо посредством направления обращения на zakaz@festoru.ru.

10. Сведения о реализуемых требованиях к защите персональных данных
10.1. Оператор применяет правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий в соответствии со ст. 19 ФЗ-152.
10.2. Организационные меры: назначение ответственного за обработку персональных данных; принятие локальных актов; управление доступом к персональным данным по принципу необходимости; обучение сотрудников; внутренний контроль/аудит; процедуры рассмотрения обращений субъектов персональных данных; порядок реагирования на инциденты.
10.3. Правовые меры: договоры с уполномоченными лицами с включением требований к защите персональных данных; получение согласий – раздельно по целям, ведение журналов согласий; соблюдение требований локализации персональных данных граждан РФ.
10.4. Технические меры: шифрование на транспортном уровне (HTTPS/TLS); разграничение прав доступа; журналирование событий; резервное копирование и восстановление; защита серверов и рабочих станций; управление уязвимостями.
10.5. Трансграничная передача (при наличии): соблюдение требований законодательства, в том числе процедур уведомления и ограничений для отдельных юрисдикций.
10.6. В целях безопасности Оператор не раскрывает в публичном доступе конфигурации средств защиты, схемы инфраструктуры, версии прикладного/системного ПО и иные сведения, которые могут повлечь угрозы безопасности персональных данных.

11. Правовое значение Политики и согласий
11.1. Настоящая Политика предназначена для информирования и прозрачности обработки персональных данных и не является согласием субъекта персональных данных.
11.2. В случаях, когда основанием обработки является согласие, такое согласие оформляется отдельно от иных документов (в том числе в электронной форме посредством отдельной отметки) и подлежит фиксации (ч. 1 ст. 9 ФЗ-152).
11.3. Прямой маркетинг (рассылки, промо-коммуникации) осуществляется только при наличии предварительного согласия субъекта персональных данных.
11.4. Для целей, где применимы иные основания (исполнение договора, исполнение обязанностей по законодательству РФ и т.п.), согласие не запрашивается.

12. Уведомления в Роскомнадзор и ответственность
12.1. До начала обработки Оператор направляет уведомление об обработке персональных данных в Роскомнадзор (ст. 22 ФЗ-152, формы Приказ № 180), поддерживает актуальность сведений, а при прекращении обработки направляет уведомление о прекращении.
12.2. Оператор уведомляет Роскомнадзор об инциденте (утечке персональных данных) в сроки и по форме, установленным уполномоченным органом; при необходимости направляет дополнительную информацию по результатам внутреннего расследования.
12.3. Ответственность за нарушения законодательства в сфере персональных данных установлена действующим законодательством Российской Федерации. С 30.05.2025г. отдельные штрафы за нарушения в сфере персональных данных существенно увеличены.

13. История изменений
История версий Политики ведётся Оператором и предоставляется по запросу; при необходимости публикуется ссылка на архив версий.