ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «ЭКЗИТА»

1. ОБЩИЕ ПОЛОЖЕНИЯ И НАЗНАЧЕНИЕ ДОКУМЕНТА

1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана Обществом с ограниченной ответственностью «Экзита» (ОГРН 1032304945947, ИНН 9728139893, юридический адрес: 119421, г. Москва, вн.тер.г. муниципальный округ Обручевский, пр-кт Ленинский, д. 103, помещ. 2/1) (далее — Оператор) во исполнение требований Конституции Российской Федерации и Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (с учетом изменений, вступивших в силу с 1 сентября 2025 года и иных актуальных редакций 2026 года).

1.2. Политика определяет основополагающие принципы, цели, условия и способы обработки персональных данных Субъектов, использующих функциональные возможности интернет-платформы, расположенной в сети Интернет по адресу: https://exita.online/ (далее — Платформа), а также устанавливает комплекс реализуемых требований к защите обрабатываемых данных.

1.3. В своей деятельности по обработке данных Оператор ориентируется не только на императивные нормы законодательства РФ, но и имплементирует лучшие мировые практики обеспечения приватности, включая принципы законности, справедливости, прозрачности, ограничения цели, минимизации данных и ограничения сроков хранения, созвучные положениям Общего регламента по защите данных Европейского союза (GDPR).

1.4. Обработка персональных данных Оператором осуществляется на основе следующих принципов:

  • Законности и справедливой основы обработки;
  • Ограничения обработки достижением конкретных, заранее определенных и законных целей. Не допускается обработка данных, несовместимая с целями их сбора;
  • Недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • Соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки (принцип минимизации). Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям;
  • Обеспечения точности, достаточности и актуальности данных по отношению к целям их обработки;
  • Хранения персональных данных в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом или договором;
  • Уничтожения либо необратимого обезличивания персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

2. ОСНОВНЫЕ ПОНЯТИЯ И КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. В рамках настоящей Политики используются следующие термины и определения:

  • Платформа — программно-аппаратный комплекс (интернет-ресурс), доступный по адресу https://exita.online/, предназначенный для организации взаимодействия Заказчиков (Клиентов) и Экспертов с целью получения услуг по проведению экспертиз, исследований, консультаций и образовательных программ.
  • Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных).
  • Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств вычислительной техники или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
  • Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту в соответствии с методиками, утвержденными Приказом Роскомнадзора от 19.06.2025 № 140.

2.2. Оператор осуществляет обработку персональных данных следующих категорий субъектов:

  • Клиенты (Заказчики): физические лица, индивидуальные предприниматели или представители юридических лиц, прошедшие процедуру регистрации на Платформе, формирующие техническое задание (ТЗ) и заказывающие услуги.
  • Эксперты: физические лица, обладающие специальными познаниями, зарегистрированные на Платформе для оказания профильных услуг, прошедшие верификацию образования, квалификации и научной степени в соответствии с внутренними регламентами Оператора.
  • Посетители Платформы: лица, осуществляющие доступ к информационным ресурсам Платформы без прохождения процедуры авторизации, данные которых собираются в автоматическом режиме программным обеспечением Платформы (включая файлы cookie, IP-адреса, параметры пользовательских сессий).

3. ПРАВОВЫЕ ОСНОВАНИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Правовыми основаниями обработки персональных данных Оператором являются:

  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Устав ООО «Экзита»;
  • Договоры, заключаемые между Оператором и Субъектом персональных данных, включая Пользовательское соглашение Платформы;
  • Согласия Субъектов на обработку их персональных данных, оформляемые в виде отдельных электронных документов или экранных форм, не объединенных с принятием условий иных соглашений (в соответствии со ст. 9 152-ФЗ в редакции от 1 сентября 2025 года).

3.2. Оператор обрабатывает персональные данные исключительно в следующих строго определенных целях:

  • Оказание услуг Платформы и исполнение обязательств: Регистрация и ведение учетной записи (личного кабинета) Клиента или Эксперта; идентификация стороны в рамках Пользовательского соглашения; предоставление полного доступа к функционалу формирования технического задания (ТЗ); назначение Экспертов на проект.
  • Обеспечение внутренних коммуникаций: Организация работы встроенного защищенного группового чата между Клиентом, Менеджером Платформы и Экспертом в процессе выполнения проекта; обеспечение обмена файлами; направление системных, информационных и транзакционных электронных уведомлений, касающихся статуса заказа.
  • Финансовые и бухгалтерские операции: Осуществление биллинга, проведение расчетов по банковским картам и иным платежным системам (посредством защищенной интеграции с провайдером эквайринга АО «Тинькофф Банк») 2; выставление счетов; осуществление возвратов денежных средств в соответствии с правилами Платформы.1 Оператор не осуществляет сбор и хранение полных реквизитов платежных карт, делегируя данную функцию сертифицированному оператору платежей по стандарту PCI DSS.
  • Квалификационная верификация и рейтингование (для Экспертов): Проверка подлинности предоставленных сведений о высшем образовании, научных степенях, ученых званиях и публикациях; подтверждение профессионального статуса; формирование внутреннего рейтинга и присвоение индивидуального коэффициента группы оплаты (от базовой до премиальной).2
  • Совершенствование алгоритмов Платформы и обучение Искусственного Интеллекта (ИИ): Сбор, систематизация и глубокая аналитика данных, извлекаемых из технических заданий и истории коммуникаций, а также оценка метрик сложности вопросов. Данная обработка осуществляется исключительно после проведения процедуры строгого обезличивания в соответствии с положениями ст. 13.1 152-ФЗ и Приказа Роскомнадзора от 19.06.2025 № 140. Сформированные обезличенные составы данных используются для машинного обучения (Machine Learning) собственных моделей ИИ Оператора, оптимизации процессов модерации и прогнозирования ценообразования при пиковых нагрузках.
  • Аналитика, мониторинг работоспособности и маркетинг: Сбор и агрегация метрических данных (файлы cookie, IP-адреса, данные о геолокации, параметры устройств) для отображения статистических показателей на главной странице Платформы, проведения SEO-оптимизации, настройки целевых рекламных кампаний и повышения удобства пользовательских интерфейсов.

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ДАННЫХ

4.1. Руководствуясь принципом строгой минимизации данных, Оператор осуществляет сбор и обработку только того объема информации, который объективно необходим для выполнения заявленных целей.

4.2. В отношении Клиентов обрабатываются: Фамилия, имя, отчество (при наличии); номер контактного мобильного телефона; адрес электронной почты; данные, добровольно вносимые Клиентом в форму технического задания (описание задачи, формулировки вопросов); информация, содержащаяся в загружаемых Клиентом файлах (текстовые документы форматов PDF, DOCX, XLSX, ODT, RTF, изображения JPG, PNG, наборы данных CSV, JSON и архивы ZIP, RAR объемом до 50 МБ на файл и до 1000 МБ на проект); цифровая история переписки во внутреннем встроенном чате Платформы.

4.3. В отношении Экспертов обрабатываются: Фамилия, имя, отчество; паспортные данные и реквизиты документов, удостоверяющих личность (необходимы для заключения гражданско-правовых договоров на оказание услуг); ИНН; СНИЛС; банковские реквизиты для выплаты лицензионного вознаграждения или оплаты услуг; контактные данные; сканированные копии дипломов об образовании, свидетельств о присвоении научных степеней и званий; история выполненных на Платформе проектов; параметры индивидуальных расчетных моделей (норма выработкиV/T, базовая часовая ставкаS); переписка в рабочих чатах.

4.4. В отношении Посетителей Платформы автоматически собираются: IP-адрес сетевого узла; технические характеристики оборудования и программного обеспечения пользователя (тип и версия браузера, операционная система, разрешение экрана); дата и время доступа к Платформе; данные файлов cookie; обезличенные данные о поведении на сайте (история переходов, время нахождения на странице).

4.5. Ограничения по специальным категориям и биометрии: Оператор целенаправленно не осуществляет сбор и обработку биометрических персональных данных, а также специальных категорий персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни (ст. 10 152-ФЗ). В случае, если Клиент в рамках инициации проведения специфической экспертизы (например, медицинской или судебной) загружает на серверы Платформы файлы, содержащие специальные категории персональных данных третьих лиц, Клиент выступает самостоятельным оператором таких данных. Клиент обязан перед загрузкой осуществить их обезличивание либо гарантировать наличие у него надлежащего правового основания (согласия субъекта, судебного решения) на их передачу Оператору для обработки в соответствии с ч. 8 ст. 9 152-ФЗ.

5. ПОРЯДОК, УСЛОВИЯ ОБРАБОТКИ И ТРЕБОВАНИЯ К ЛОКАЛИЗАЦИИ

5.1. Обработка персональных данных осуществляется Оператором с использованием средств автоматизации, а также без использования таких средств (смешанная обработка), и включает в себя полный спектр действий: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

5.2. Локализация баз данных: Во исполнение требований ч. 5 ст. 18 152-ФЗ (в том числе с учетом императивных изменений, вступивших в силу с 1 июля 2025 года), Оператор гарантирует, что первичный сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации осуществляются с использованием серверных мощностей и баз данных, физически размещенных на территории Российской Федерации.

5.3. Передача данных третьим лицам (Обработчикам): В процессе функционирования Платформы Оператор вправе передавать персональные данные или поручать их обработку квалифицированным третьим лицам исключительно на основании заключаемого договора поручения (Data Processing Agreement). Такой договор в обязательном порядке содержит перечень обрабатываемых данных, цели обработки, перечень разрешенных операций, а также жесткие обязательства обработчика по соблюдению конфиденциальности, обеспечению безопасности данных и выполнению требований ч. 5 ст. 18 и ст. 19 152-ФЗ. Примером такой передачи является защищенный обмен транзакционными параметрами с АО «Тинькофф Банк» в момент оплаты услуг Клиентом физическим лицом.

5.4. Мониторинг внутренних коммуникаций: В целях обеспечения безопасности, разрешения арбитражных споров и контроля качества оказываемых экспертных услуг, Оператор (через уполномоченных Администраторов и Менеджеров) имеет право осуществлять мониторинг содержимого встроенного диалогового окна (чата) и доступ к загружаемым в рамках проекта рабочим файлам. Платформа строго запрещает использование внешних мессенджеров для обсуждения хода оказания услуг. Обработка данных коммуникаций ведется исключительно для защиты законных коммерческих интересов Платформы.

5.5. Регламент использования данных для обучения Искусственного Интеллекта: Являясь инновационной IT-компанией, Оператор внедряет системы ИИ для помощи Менеджерам в процессе многофакторного ценообразования и модерации. Использование данных для этих целей строго регламентировано:

5.5.1. Тексты исходных и согласованных технических заданий, загруженные файлы и история переписки могут быть использованы для обучения нейросетей только после прохождения процедуры многоуровневого необратимого обезличивания, проводимой в соответствии с требованиями и методами, утвержденными Приказом Роскомнадзора от 19.06.2025 № 140.

5.5.2. Процедура включает автоматический парсинг и ручной контроль со стороны Менеджеров для вымарывания из текстов всех прямых и косвенных идентификаторов субъектов (ФИО, контактные данные, наименования компаний, паспортные данные, номера счетов).

5.5.3. Оператор неукоснительно соблюдает требования ч. 12 ст. 13.1 152-ФЗ, запрещающей предоставление результатов обработки таких составов обезличенных данных иностранным юридическим лицам, иностранным гражданам и лицам без гражданства. Сформированные датасеты являются коммерческой тайной Оператора и хранятся в изолированных контурах безопасности на территории РФ.

5.5.4. В соответствии с принципами прозрачности (GDPR Transparency), использование данных конкретного пользователя для обогащения обучающих выборок осуществляется только при наличии явно выраженного согласия, полученного через отдельный чекбокс, с сохранением за пользователем права на отказ (opt-out) в любой момент.

5.6. Трансграничная передача: Оператор не осуществляет трансграничную передачу персональных данных Субъектов на территории иностранных государств.

6. СРОКИ ХРАНЕНИЯ И ПОРЯДОК УНИЧТОЖЕНИЯ ДАННЫХ

6.1. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта, ровно столько времени, сколько объективно требуется для достижения заявленных целей обработки, если иной срок хранения не установлен федеральным законодательством или договором, стороной которого является Субъект (принцип Storage Limitation).

6.2. В случае поступления от Пользователя заявления об отзыве согласия на обработку его персональных данных, Оператор обязан прекратить такую обработку (и обеспечить ее прекращение привлеченными третьими лицами) и уничтожить данные в срок, не превышающий 30 (тридцати) календарных дней с даты поступления указанного отзыва. Для данных, обработка которых подпадает под действие специальных норм (в частности, поправок ФЗ-266), первичная остановка обработки производится в течение 10 рабочих дней. Исключение составляют случаи, когда сохранение информации обязательно в целях налогового учета, противодействия легализации доходов, полученных преступным путем, или выполнения иных требований законодательства РФ.

6.3. Загруженные Клиентом рабочие файлы (документы, архивы, изображения) и полная история проектных чатов после завершения или отмены проекта подлежат архивированию в изолированных файловых хранилищах Оператора. Уничтожение или необратимое алгоритмическое обезличивание данных архивов производится по истечении 3 (трех) лет с момента завершения проекта в целях обеспечения возможности разрешения потенциальных гражданско-правовых споров о качестве оказанных экспертных услуг, либо немедленно по мотивированному запросу Клиента (если отсутствуют неурегулированные споры).

6.4. При уничтожении персональных данных Оператор формирует Акт об уничтожении персональных данных и выгрузку из системного журнала регистрации событий информационной системы. Хранение указанных документов и логов обеспечивается в течение 3 (трех) лет в соответствии с актуальными нормативными требованиями Роскомнадзора. В случае прекращения обработки данных Оператор уведомляет об этом уполномоченный орган по защите прав субъектов в течение 10 рабочих дней.

7. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект персональных данных наделен широким спектром прав, предусмотренных ст. 14 152-ФЗ и международными стандартами приватности, включая право на получение подробной информации, касающейся обработки его данных. Субъект вправе запросить у Оператора подтверждение факта обработки, информацию о правовых основаниях, целях и применяемых способах обработки, наименование и место нахождения Оператора, а также конкретный перечень обрабатываемых данных и источники их получения.

7.2. Субъект вправе требовать от Оператора немедленного уточнения (корректировки) его персональных данных, их блокирования или полного уничтожения в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или более не являются необходимыми для заявленной цели обработки.

7.3. Для реализации своих прав, направления запросов на доступ к данным (DSAR), уточнения информации или отзыва согласия на обработку, Пользователь направляет соответствующее письменное заявление (в свободной форме) на официальный адрес электронной почты службы поддержки Платформы: mail@exita.online.1 Оператор обязуется рассмотреть запрос и направить мотивированный ответ в установленные законом сроки.

7.4. Субъект вправе в любой момент направить Оператору требование о немедленном прекращении использования его пользовательских данных (текстов ТЗ, файлов, истории сообщений) для процессов формирования датасетов и обучения алгоритмов искусственного интеллекта (реализация права на opt-out). При получении такого требования Оператор исключает данные Субъекта из последующих циклов обезличивания и машинного обучения.