Оператором, осуществляющим обработку, является владелец сервиса ROSMSG (далее — «Оператор»). Адрес для корреспонденции и способы связи приведены в разделе «Контакты». Сведения о регистрации Оператора в Реестре операторов, осуществляющих обработку персональных данных, предоставляются по запросу на контактный email.
| Категория | Состав | Источник |
|---|---|---|
| Учётные данные | логин (username), отображаемое имя, хэш пароля (bcrypt), URL аватара, краткое био | предоставляются пользователем при регистрации / в профиле |
| Технические | IP-адрес, User-Agent, идентификатор сессии (JTI), время входа / активности | формируются автоматически при обращениях к сервису |
| Содержимое сообщений | тексты и вложения в чатах. В MVP сервер хранит содержимое в зашифрованном на клиенте виде (base64-контейнер); на нативных клиентах — E2EE. | создаётся пользователем |
| Журнал безопасности | события входа / выхода / смены пароля / включения 2FA / действий администратора | формируется автоматически |
Специальные категории ПДн (расовая принадлежность, состояние здоровья, политические взгляды и т.п.) Оператором не запрашиваются и целенаправленно не собираются. Если такие сведения по своему усмотрению направлены пользователем в сообщении, ответственность за их распространение несёт отправитель.
Обработка осуществляется как с использованием средств автоматизации, так и без них. Перечень действий включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (в случаях, предусмотренных разделом 9), обезличивание, блокирование, удаление, уничтожение.
Срок хранения учётных данных — до момента, когда пользователь удалит аккаунт (DELETE /v1/me) либо направит обращение об удалении ПДн. Технические журналы и журнал аудита хранятся не более 1 года, после чего автоматически удаляются или обезличиваются.
В соответствии с требованием ч. 5 ст. 18 152-ФЗ запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ осуществляются с использованием баз данных, находящихся на территории РФ. В промышленной конфигурации ROSMSG использует VPS / облачные ресурсы российских провайдеров.
В соответствии со ст. 14–21 152-ФЗ пользователь вправе:
Получить копию своих данных в машиночитаемом формате можно через API: GET /v1/me/export (требует авторизации). Полное удаление аккаунта и связанных данных — DELETE /v1/me или кнопка «Удалить аккаунт» в профиле.
ПДн не передаются третьим лицам, кроме случаев, прямо предусмотренных законодательством РФ (по мотивированному запросу уполномоченных государственных органов). Оператор не осуществляет трансграничную передачу ПДн.
Сервис использует локальное хранилище браузера (localStorage) для сохранения JWT-токена сессии и пользовательских настроек интерфейса (тема, размер шрифта, плотность). Маркетинговые или трекинговые cookies сторонних систем не устанавливаются.
Сервис не предназначен для самостоятельной регистрации лиц младше 14 лет. Если Оператору станет известно о создании учётной записи несовершеннолетним без согласия законного представителя, такая запись подлежит удалению.
Актуальная редакция публикуется по адресу /privacy.html. При существенных изменениях пользователи получают уведомление в интерфейсе сервиса. Продолжение использования ROSMSG после публикации изменений означает согласие с новой редакцией.
Обращения субъектов ПДн направляются по электронной почте на адрес, указанный в разделе «Контакты» сайта ROSMSG. Ответ предоставляется в тридцатидневный срок в порядке, установленном ст. 20 152-ФЗ. При несогласии с результатом обращения пользователь вправе обратиться в Роскомнадзор: rkn.gov.ru.