Политика конфиденциальности и обработки персональных данных AltHub Project

Дата вступления в силу: 28.06.2026 г. Адрес публикации: https://althub.pro/privacy

1. Общие положения

1.1. Настоящая Политика конфиденциальности и обработки персональных данных, далее - Политика, описывает, как AltHub Project обрабатывает персональные данные и связанные технические данные при работе сайтов, приложений, Клиентского портала, AltHub IdP, сервисов поддержки, биллинга, коммуникаций, технической инфраструктуры, пользовательских сообществ и иных сервисов AltHub Project.

1.2. Оператором персональных данных является:

Индивидуальный предприниматель Юдаев Ярослав Дмитриевич ОГРНИП: 325774600179830 Дата присвоения ОГРНИП: 18.03.2025 ИНН: 773584163180 Адрес: Москва, г. Зеленоград, к. 2040 Электронная почта по вопросам персональных данных: privacy@althub.pro

1.3. AltHub Project - бренд, под которым Оператор развивает сайты, приложения, технические сервисы, Клиентский портал, AltHub IdP, инструменты поддержки, внутреннюю и внешнюю инфраструктуру, а также иные связанные продукты и услуги.

1.4. Политика является общей. Она применяется к сервисам AltHub Project, которые размещены на доменах althub.pro, althub.tech, althub.space, их поддоменах, в мобильных приложениях, API, внутренних и внешних сервисах, если такие сервисы предоставляются Оператором, используются в рамках AltHub Project или ссылаются на настоящую Политику.

1.5. Политика не описывает каждую функцию каждого сервиса отдельно. Конкретный сервис может иметь краткое уведомление, интерфейсную подсказку, договор, поручение на обработку персональных данных, правила сообщества, правила использования приложения или иной документ, который уточняет обработку данных для конкретного сценария. Такие документы применяются вместе с настоящей Политикой и не должны ей противоречить.

1.6. Если Оператор обрабатывает персональные данные по поручению заказчика, такая обработка регулируется соответствующим договором, поручением на обработку персональных данных, картой обработки или иным применимым документом. Настоящая Политика прежде всего описывает собственную обработку Оператора как оператора персональных данных: учетные записи, доступы, безопасность, поддержка, расчеты, коммуникации, журналы, доказательства оказания услуг и защита прав.

2. Термины

2.1. Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.

2.2. Пользователь - физическое лицо, которое использует сайт, приложение, учетную запись, Клиентский портал, AltHub IdP, API, сервис поддержки, технический сервис, сообщество или иной сервис AltHub Project.

2.3. Оператор - Индивидуальный предприниматель Юдаев Ярослав Дмитриевич, самостоятельно или совместно с привлеченными лицами организующий и осуществляющий обработку персональных данных, а также определяющий цели обработки, состав данных и действия с ними.

2.4. Сервис AltHub Project - сайт, приложение, API, информационная система, Клиентский портал, AltHub IdP, средство поддержки, техническая платформа, пользовательское сообщество, интеграция или иной сервис, предоставляемый либо администрируемый Оператором.

2.5. Технические данные - IP-адреса, идентификаторы устройств, cookie-файлы, токены, UUID, журналы событий, сведения о браузере, приложении, операционной системе, запросах, ошибках и иные данные, необходимые для работы, безопасности, диагностики и учета сервиса. Если такие данные позволяют прямо или косвенно определить пользователя либо связаны с его учетной записью, они рассматриваются как персональные данные в соответствующей части.

2.6. Тенант - организация, проект, клиент, сообщество или иное пространство доступа, в рамках которого пользователю может предоставляться учетная запись, роль, группа, право доступа, сервис или фактор подтверждения.

3. Принципы обработки

3.1. Оператор обрабатывает персональные данные законно, добросовестно и только для заранее определенных целей.

3.2. Оператор не стремится собирать избыточные данные и не продает персональные данные третьим лицам.

3.3. Оператор не использует персональные данные для скрытого рекламного профилирования, передачи брокерам данных или сквозного отслеживания пользователей между приложениями в рекламных целях.

3.4. Состав данных зависит от используемого сервиса, роли пользователя, настроек тенанта, выданных прав, действий пользователя и требований безопасности.

3.5. Обработка выполняется с использованием средств автоматизации и без их использования.

3.6. Оператор принимает организационные и технические меры для защиты данных от неправомерного доступа, изменения, утраты, раскрытия или уничтожения.

4. Категории субъектов

4.1. Оператор может обрабатывать персональные данные следующих категорий субъектов:

  1. пользователи сайтов, приложений и сервисов AltHub Project;
  2. пользователи Клиентского портала и AltHub IdP;
  3. представители клиентов, заказчиков, партнеров, потенциальных клиентов и иных организаций;
  4. лица, направляющие обращения через формы, электронную почту, Клиентский портал, сервисы поддержки и иные каналы связи;
  5. участники пользовательских сообществ, технических проектов и мероприятий AltHub Project;
  6. администраторы, модераторы, подрядчики, самозанятые, индивидуальные предприниматели, кандидаты, будущие сотрудники и иные лица, привлекаемые к работе над сервисами;
  7. иные лица, чьи данные переданы Оператору пользователями, организациями, тенантами, клиентами или третьими лицами при использовании сервисов AltHub Project.

4.2. Сервисы AltHub Project не предназначены для лиц младше 18 лет, если иное прямо не указано для конкретного сервиса или не допускается с согласия законного представителя. Если Оператору станет известно, что данные несовершеннолетнего обрабатываются без необходимого основания, Оператор вправе ограничить доступ, запросить подтверждение основания, заблокировать учетную запись или удалить данные в установленном порядке.

5. Категории данных

5.1. В зависимости от сервиса и цели обработки Оператор может обрабатывать следующие категории данных:

  1. данные учетной записи: Ф.И.О., имя пользователя, отображаемое имя, никнейм, адрес электронной почты, телефон, аватар, организация, тенант, роль, группы, права доступа, статус учетной записи;
  2. данные авторизации и безопасности: логин, хеш пароля, сведения о сессиях, IP-адрес, user-agent, события входа и выхода, неуспешные попытки входа, сведения о факторах подтверждения, токены, ключи доступа, сведения о WebAuthn, ключах доступа, TOTP, резервных кодах, мобильных факторах и иных механизмах безопасности;
  3. данные мобильного подтверждения и push-инфраструктуры: push-токены, device token, app instance UUID, binding UUID, challenge UUID, идентификатор запроса, сведения о сервере, приложении, сервисе или тенанте, публичные ключи, криптографические подтверждения, время события, статус подтверждения или отказа, технические диагностические данные;
  4. пользовательские материалы: сообщения, комментарии, обращения, задачи, документы, заметки, вложения, файлы, изображения, исходный код, коммиты, описания изменений, история действий, материалы сообществ и иные данные, которые пользователь размещает или передает через сервис;
  5. данные обращений, поддержки и задач: контактные данные, текст обращения, вложения, история обработки, ответы Оператора, технические сведения отправки, сведения о договоре или сервисе, если они нужны для обработки обращения, а также задачи, комментарии, статусы и история работы по обращению во внутреннем трекере;
  6. технические журналы и данные наблюдаемости: дата и время запроса, URL или endpoint, HTTP-статус, ошибки приложения, диагностические события, технические метрики, журналы безопасности, журналы администрирования, сведения об инцидентах;
  7. договорные, расчетные и бухгалтерские данные: Ф.И.О., контакты, реквизиты, организация, должность или полномочия представителя, сведения о заказе, договоре, счете, УПД, оплате, операторе ЭДО и истории взаимодействия;
  8. данные интеграций, коммуникационных платформ и ботов: идентификаторы и сведения из внешних сервисов, username, display name, ID пользователя, ID сервера, канала или чата, роли, сообщения, команды бота, события взаимодействия и иные сведения, если пользователь, организация или сообщество используют такую интеграцию либо она нужна для работы сервиса;
  9. cookie-файлы, localStorage, sessionStorage и аналогичные технологии, необходимые для авторизации, безопасности, сохранения сессии, работы интерфейса и предотвращения злоупотреблений.

5.2. Пользователь не должен размещать в сервисах AltHub Project избыточные персональные данные третьих лиц, специальные категории персональных данных, биометрические данные, секреты, токены, пароли, закрытые ключи или иную информацию, если соответствующий сервис не предназначен для такой обработки.

5.3. Оператор специально не запрашивает специальные категории персональных данных и биометрические персональные данные, если такая обработка прямо не предусмотрена отдельным сервисом, законом, договором или отдельным согласием.

5.4. Оператор не получает и не хранит биометрические персональные данные пользователя при использовании Face ID, Touch ID, биометрической разблокировки устройства, WebAuthn, ключей доступа или похожих механизмов. Проверка выполняется устройством, операционной системой или платформой; Оператор получает только технический результат проверки, публичный ключ, криптографическое подтверждение или иной технический результат, необходимый для авторизации или подтверждения операции.

6. Цели обработки

6.1. Оператор обрабатывает персональные данные для следующих целей:

  1. регистрация, настройка, сопровождение и администрирование учетных записей;
  2. идентификация, аутентификация, авторизация пользователей и управление доступами;
  3. работа Клиентского портала, AltHub IdP, мобильных приложений, API, технических сервисов, сервисов поддержки и иных сервисов AltHub Project;
  4. обеспечение многофакторной аутентификации, мобильного подтверждения, WebAuthn, ключей доступа, резервных кодов и иных факторов безопасности;
  5. доставка сервисных, технических уведомлений и уведомлений безопасности, включая push-уведомления для мобильного подтверждения;
  6. обработка обращений, поддержка пользователей, коммуникации, ведение истории взаимодействия;
  7. исполнение договоров, преддоговорное взаимодействие, расчеты, бухгалтерский и налоговый учет, ЭДО, защита прав Оператора;
  8. администрирование тенантов, организаций, сообществ, ролей, групп, прав доступа и связанных пространств;
  9. обеспечение безопасности, предотвращение злоупотреблений, атак, несанкционированного доступа, подбора паролей, обхода ограничений и иных нарушений;
  10. ведение технических журналов, журналов безопасности, журналов аудита, мониторинга, диагностики, резервного копирования и восстановления;
  11. расследование инцидентов, обработка жалоб, модерация и применение ограничений доступа;
  12. постановка, распределение, учет и контроль внутренних задач, связанных с обращениями, разработкой, поддержкой, безопасностью и сопровождением сервисов;
  13. развитие, поддержка, отладка, тестирование и улучшение сервисов;
  14. выполнение обязанностей, предусмотренных законодательством, и взаимодействие с уполномоченными органами при наличии законного основания.

6.2. Для каждой цели Оператор использует только те категории данных, которые необходимы для соответствующей цели. Например, для доставки push-запроса мобильного подтверждения не требуется передавать фамилию, имя, адрес электронной почты или текст личных сообщений поставщику push-инфраструктуры.

7. Правовые основания

7.1. Оператор обрабатывает персональные данные на одном или нескольких основаниях:

  1. согласие субъекта персональных данных;
  2. заключение, исполнение или прекращение договора;
  3. выполнение обязанностей, предусмотренных законодательством;
  4. осуществление прав и законных интересов Оператора, пользователей, клиентов, тенантов или третьих лиц, если при этом не нарушаются права и свободы субъекта персональных данных;
  5. необходимость обеспечения безопасности сервисов, предотвращения злоупотреблений, ведения журналов и расследования инцидентов;
  6. иные основания, предусмотренные применимым законодательством.

7.2. Если конкретная форма, функция или сервис требует согласия, согласие может быть выражено активным действием пользователя: установкой отметки, нажатием кнопки, отправкой формы, привязкой устройства, подключением функции или иным действием, из которого явно следует воля пользователя.

7.3. Отзыв согласия не влияет на законность обработки, выполненной до отзыва, и не прекращает обработку, если у Оператора есть иное законное основание для продолжения обработки.

8.1. Сайты, приложения и сервисы AltHub Project могут использовать cookie-файлы, localStorage, sessionStorage, secure storage и аналогичные технологии для:

  1. авторизации и сохранения сессии;
  2. защиты от несанкционированного доступа;
  3. работы интерфейса и сохранения технических настроек;
  4. предотвращения злоупотреблений;
  5. диагностики ошибок;
  6. работы конкретного сервиса или приложения.

8.2. Оператор не использует рекламные cookie-файлы, рекламные пиксели, ретаргетинг и маркетинговую аналитику, если иное прямо не указано в конкретном сервисе и не оформлено на надлежащем основании. На дату настоящей редакции внешняя веб-аналитика в основных сервисах AltHub Project не используется.

8.3. Отдельные программные продукты, используемые в инфраструктуре AltHub Project, могут применять собственные технические cookie-файлы и локальное хранилище в соответствии со своей функциональностью.

9. Мобильное подтверждение и push-уведомления

9.1. AltHub Project может использовать мобильное приложение и push-уведомления для доставки запросов многофакторной аутентификации, подтверждения входа, подтверждения юридически или технически значимых действий, уведомлений безопасности и иных сервисных сообщений.

9.2. Push-уведомление само по себе не является подтверждением действия. Подтверждение выполняется в приложении или сервисе с использованием предусмотренного механизма проверки, например криптографического подтверждения, защищенного ключа устройства, WebAuthn, ключа доступа или иного согласованного фактора.

9.3. Для доставки push-уведомлений могут использоваться Firebase Cloud Messaging, Apple Push Notification service, Google Play Services, Firebase SDK, Google Play, Apple App Store, TestFlight и иная системная инфраструктура Android и iOS.

9.4. В push-уведомления и связанные с ними технические данные не включаются фамилия, имя, отчество, адрес электронной почты, текст личных сообщений, секреты, пароли, закрытые ключи, полные журналы или содержательные персональные данные.

9.5. Для маршрутизации, доставки, отображения и проверки запроса могут использоваться минимальные технические сведения: push-токен, device token, app instance UUID, binding UUID, challenge UUID, идентификатор запроса, сведения о сервере, приложении, сервисе или тенанте, timestamp и иные технические параметры. Такие сведения могут быть связаны с учетной записью пользователя на стороне Оператора и поэтому обрабатываются как данные, требующие защиты.

9.6. Поставщики push-инфраструктуры и магазины приложений могут получать и обрабатывать технические данные в соответствии со своими правилами, политиками конфиденциальности и условиями использования. Такая обработка может включать трансграничную передачу в порядке раздела 12 настоящей Политики.

9.7. Мобильное приложение может использовать камеру только для сканирования QR-кодов при привязке учетной записи или фактора. Изображение с камеры не сохраняется Оператором как фото или видео; на сервер передается только технический результат сканирования и данные, необходимые для привязки.

9.8. Удаление приложения с устройства не означает автоматическое удаление учетной записи, серверной привязки фактора, журналов безопасности или иных данных, которые сохраняются на стороне Оператора, организации или тенанта на законном основании.

10. Передача данных третьим лицам

10.1. Оператор может передавать персональные данные или предоставлять доступ к ним следующим категориям лиц, если это необходимо для целей обработки:

  1. хостинг-провайдерам, облачным, серверным, DNS- и сетевым провайдерам;
  2. поставщикам почтовых, SMS-кодов авторизации, коммуникационных, push-сервисов и сервисов магазинов приложений;
  3. операторам ЭДО, банковским, платежным и бухгалтерским сервисам;
  4. поставщикам файлового хранения, мониторинга, логирования, резервного копирования, диагностики и защиты инфраструктуры;
  5. подрядчикам, самозанятым, индивидуальным предпринимателям, членам команды, администраторам и модераторам, если доступ необходим для выполнения задач;
  6. владельцам тенантов, администраторам организаций и уполномоченным лицам, если данные обрабатываются в рамках соответствующего пространства доступа;
  7. поставщикам внутренних трекеров задач и коммуникационных платформ, если они используются для обработки обращений, поддержки, разработки, администрирования, работы сообществ или коммуникации с пользователями и клиентами;
  8. судам, правоохранительным органам, государственным органам и иным уполномоченным лицам при наличии законного основания;
  9. иным лицам, если это необходимо для исполнения договора, обработки обращения, обеспечения безопасности, защиты прав или соблюдения закона.

10.2. На дату настоящей редакции ключевые категории поставщиков и инфраструктуры включают:

  1. Cloud.ru - облачная инфраструктура для основных сервисов;
  2. DataCheap - размещение собственных серверов для мониторинга, журналов, диагностики, GitLab CE и части Discord-ботов;
  3. FirstVDS - временное размещение self-hosted почтовой инфраструктуры и части Discord-ботов;
  4. Cloudflare - DNS-зоны доменов AltHub Project; внешние CDN/WAF не используются;
  5. Яндекс 360 - почтовая инфраструктура, коммуникации и Яндекс Диск;
  6. Яндекс Трекер - внутренний трекер задач, обращений и работ;
  7. Контур Диадок - ЭДО;
  8. Контур Эльба - бухгалтерский учет;
  9. Банк Точка, Альфа-Банк, Контур Банк - банковское обслуживание и платежи;
  10. ЮKassa и сервис чеков ЮKassa, включая ООО "АЙТИГРУПП" как поставщика сервиса чеков по применимому договору, - эквайринг, прием онлайн-платежей и фискализация чеков;
  11. i-DGTL / i-digital direct - SMS-коды авторизации и восстановления доступа;
  12. Discord - коммуникации, пользовательские сообщества, внутренние и публичные боты;
  13. Telegram - личные и отдельные коммуникации с клиентами, пользователями и членами команды; Telegram не используется как основной сервис обработки AltHub Project;
  14. Google, Firebase и связанные сервисы Android - доставка push-уведомлений, работа приложения и распространение через Google Play;
  15. Apple и связанные сервисы iOS - доставка push-уведомлений, работа приложения, TestFlight и распространение через App Store.

10.3. Собственное программное обеспечение Оператора, размещенное на инфраструктуре перечисленных провайдеров, не является самостоятельным третьим лицом, но данные могут размещаться на инфраструктуре соответствующего провайдера.

10.4. Лица, получающие доступ к внутренним данным по поручению Оператора, допускаются к данным в пределах задач и обязуются соблюдать конфиденциальность.

10.5. Оператор не продает персональные данные и не передает их третьим лицам для рекламного профилирования.

11. Сторонние сервисы и интеграции

11.1. Пользователь или организация могут использовать сторонние сервисы, ссылки, интеграции, OAuth, API, ботов, репозитории, коммуникационные платформы, платежные сервисы или сервисы магазинов приложений. Такие третьи лица могут самостоятельно определять цели и условия обработки данных за пределами контроля Оператора.

11.2. Если пользователь переходит на сайт, в приложение или сервис третьего лица, дальнейшая обработка данных таким третьим лицом регулируется его собственными документами.

11.3. Если сторонний сервис используется Оператором как поставщик инфраструктуры или обработчик, состав передаваемых данных ограничивается тем, что необходимо для соответствующей функции.

12. Локализация и трансграничная передача

12.1. Основные базы данных AltHub Project и основная инфраструктура собственных сервисов размещаются на территории Российской Федерации, если иное не указано в конкретном сервисе, договоре, карте обработки или отдельном уведомлении.

12.2. При сборе персональных данных граждан Российской Федерации Оператор учитывает требования законодательства Российской Федерации о локализации персональных данных, если такие требования применимы к конкретной обработке.

12.3. Отдельные технические или пользовательские данные могут передаваться за пределы Российской Федерации, если это необходимо для:

  1. доставки push-уведомлений через Google, Firebase, Apple и системную инфраструктуру Android/iOS;
  2. публикации, тестирования и сопровождения мобильных приложений через Google Play, Apple App Store и TestFlight;
  3. работы иностранной коммуникационной платформы, если пользователь сам обратился через такую платформу либо если Оператор специально направляет данные в такую платформу в пределах соответствующего сценария;
  4. отправки SMS-кодов авторизации на иностранные номера либо через иностранные маршруты операторов связи;
  5. исполнения договора, обработки обращения, защиты прав, расследования инцидента или выполнения требований закона.

12.4. При использовании push-инфраструктуры и магазинов приложений трансграничная передача обычно ограничивается техническими идентификаторами и метаданными, необходимыми для доставки, маршрутизации, отображения и проверки запроса. Оператор не передает через push-инфраструктуру Google или Apple фамилию, имя, адрес электронной почты, текст личных сообщений, секреты, пароли, закрытые ключи, полные журналы или содержательные персональные данные.

12.5. Трансграничная передача персональных данных осуществляется при наличии правового основания и после выполнения процедур, предусмотренных применимым законодательством Российской Федерации, включая уведомление уполномоченного органа, если оно требуется.

12.6. При использовании Cloudflare в текущей модели Оператор использует DNS для публичных доменных записей, а не внешний CDN/WAF для обработки HTTP-трафика сервисов. Оператор не рассматривает текущий DNS-only контур как передачу персональных данных Оператором иностранному получателю. Если для конкретного сервиса будет включено проксирование, CDN, WAF или иная обработка трафика через внешнего поставщика, Оператор обновит применимые документы и настройки обработки до начала такого использования.

12.7. Оператор не использует Discord и Telegram как согласованный защищенный канал для передачи секретов, паролей, закрытых ключей, полных технических журналов, дампов и материалов с персональными данными клиентов, если для конкретного случая не согласован отдельный защищенный порядок. При этом пользовательские сообщения, username, ID аккаунта, ID сервера, канала или чата, команды ботов и вложения в таких платформах могут обрабатываться соответствующей платформой по ее правилам.

13. Хранение данных

13.1. Персональные данные хранятся не дольше, чем это необходимо для целей обработки, если более длительный срок не установлен законом, договором, требованиями безопасности, необходимостью аудита, расследования инцидентов, предотвращения злоупотреблений, бухгалтерского или налогового учета, защиты прав Оператора, пользователей, клиентов, тенантов или третьих лиц.

13.2. Общие ориентиры сроков хранения:

  1. учетная запись и профиль - пока учетная запись активна, а после деактивации в течение срока, необходимого для безопасности, учета, восстановления, исполнения договора, защиты прав или соблюдения закона;
  2. журналы безопасности, события входа, MFA, журналы аудита и технические логи - обычно до 1 года, если больший срок не нужен для безопасности, спора, договора, расследования инцидента или закона;
  3. резервные копии - по циклу ротации резервных копий; данные из резервных копий обычно не удаляются выборочно по индивидуальному запросу, но удаляются в рамках штатной ротации;
  4. договорные, бухгалтерские, ЭДО, расчетные и налоговые документы - в сроки, предусмотренные законодательством и правилами учета;
  5. обращения и переписка - пока это необходимо для обработки обращения, истории взаимодействия, исполнения договора, защиты прав или соблюдения закона;
  6. локальная история событий в мобильном приложении - в пределах настроек приложения и устройства, если пользователь не удалил ее раньше;
  7. данные, размещенные пользователем в общих пространствах, задачах, документах, репозиториях, сообществах или истории изменений, могут сохраняться дольше, если удаление нарушит целостность сервиса, историю изменений, права других пользователей, безопасность, договор или закон.

13.3. Если цель обработки достигнута и отсутствуют законные основания для дальнейшего хранения, Оператор прекращает обработку и обеспечивает удаление, уничтожение или обезличивание данных в установленном порядке.

14. Удаление, блокирование и обезличивание

14.1. Пользователь может обратиться к Оператору с запросом на предоставление сведений об обработке, уточнение, блокирование, удаление, уничтожение или обезличивание персональных данных, а также на отзыв согласия, если обработка выполнялась на основании согласия.

14.2. Запрос можно направить через https://althub.pro/account-deletion, Клиентский портал, портал поддержки, если он доступен пользователю, либо по адресу support@althub.pro или privacy@althub.pro.

14.3. Перед выполнением запроса Оператор вправе запросить подтверждение личности, принадлежности учетной записи или полномочий, чтобы предотвратить удаление чужой учетной записи, раскрытие данных третьим лицам или несанкционированный доступ.

14.4. Если учетная запись используется в организации, тенанте, проекте или клиентском пространстве, управление учетной записью, деактивация, изменение прав доступа или удаление серверной привязки фактора может выполняться владельцем соответствующего пространства, администратором организации, уполномоченным лицом или службой поддержки AltHub Project.

14.5. В отдельных случаях вместо немедленного удаления применяется блокирование, деактивация или обезличивание, если полное удаление невозможно, нарушает целостность сервиса, затрагивает права других лиц, мешает расследованию инцидента, противоречит договору, закону, безопасности или законным основаниям хранения.

14.6. Удаление приложения с устройства, выход из учетной записи или отвязка MFA-устройства не означает автоматическое удаление учетной записи, серверных журналов безопасности, журналов аудита, резервных копий, договорных документов или данных, которые сохраняются на ином законном основании.

15. Права пользователя

15.1. Пользователь вправе обращаться к Оператору для реализации прав субъекта персональных данных, включая право:

  1. получать сведения об обработке своих персональных данных;
  2. требовать уточнения, блокирования или уничтожения неполных, устаревших, неточных, незаконно полученных или не нужных для заявленной цели данных;
  3. отзывать согласие на обработку, если применимо;
  4. получать информацию о правовых основаниях, целях, категориях данных, сроках обработки, источнике данных, лицах, которым данные раскрываются, и иных сведениях, предусмотренных законом;
  5. обжаловать действия или бездействие Оператора в уполномоченный орган или суд.

15.2. Запросы субъектов персональных данных рассматриваются в сроки, предусмотренные применимым законодательством. Общие обращения, не являющиеся формальными запросами субъекта персональных данных, обычно рассматриваются в срок до 30 календарных дней, если иной срок не установлен законом, договором или правилами конкретного сервиса.

16. Безопасность данных

16.1. Оператор применяет разумные организационные и технические меры защиты данных, включая:

  1. разграничение доступа по ролям;
  2. персональные учетные записи администраторов;
  3. обязательную многофакторную аутентификацию для администраторов;
  4. HTTPS/TLS;
  5. хеширование паролей;
  6. журналы безопасности и журналы аудита;
  7. резервное копирование;
  8. firewall, VPN или иные средства сетевой защиты, где они применимы;
  9. изоляцию сервисов;
  10. хранение секретов в защищенных переменных или хранилищах;
  11. обновление компонентов;
  12. мониторинг, диагностику и процедуры реагирования на инциденты;
  13. ограничение доступа к данным только для лиц, которым такой доступ необходим.

16.2. Оператор не может гарантировать абсолютную безопасность данных, поскольку ни один способ передачи или хранения информации не является полностью защищенным. При этом Оператор принимает меры для снижения рисков и реагирования на инциденты.

16.3. О возможных инцидентах безопасности, утечках, уязвимостях или нарушениях конфиденциальности можно сообщить на privacy@althub.pro или core@althub.pro.

17. Сервисные уведомления

17.1. Оператор может направлять сервисные уведомления, связанные с безопасностью учетной записи, входами, попытками входа, MFA-запросами, изменением доступов, техническими событиями, ответами на обращения, договорными или платежными вопросами, изменениями, влияющими на использование сервисов.

17.2. Оператор не осуществляет рекламные или маркетинговые рассылки по электронной почте, если пользователь не дал отдельное согласие или отсутствует иное надлежащее основание. Если такие рассылки появятся в будущем, они будут оформляться отдельно от сервисных уведомлений.

18. Изменение Политики

18.1. Оператор вправе изменять Политику при изменении законодательства, состава сервисов, способов обработки данных, технической архитектуры, поставщиков, требований безопасности или иных обстоятельств.

18.2. Новая редакция Политики вступает в силу с момента публикации по адресу https://althub.pro/privacy, если в самой Политике не указан иной срок вступления в силу.

18.3. Пользователь может самостоятельно отслеживать актуальную редакцию Политики по адресу публикации. При существенных изменениях Оператор может уведомить пользователей дополнительным способом, если это технически возможно и целесообразно.

19. Контакты

По вопросам обработки персональных данных, конфиденциальности и инцидентов безопасности: privacy@althub.pro

По вопросам поддержки, доступа, удаления аккаунта и пользовательских обращений: support@althub.pro

По вопросам, требующим обращения к руководству проекта: core@althub.pro