ПРАВИЛА ЗАЩИТЫ ИНФОРМАЦИИ О ПОЛЬЗОВАТЕЛЯХ САЙТА ZELLULOZA.RU

1. Общие положения 1.1. Настоящие Правила являются официальным документом Общество с ограниченной ответственностью «КМГ» (далее — Администрация Сайта, Оператор), ОГРН 1177746075561, ИНН 7735159826, КПП 773501001, адрес: 124460, Москва г., г. Зеленоград, Корпус 1126, оф. 616, e‑mail для обращений по персональным данным: pd@zelluloza.ru, и определяют порядок обработки и защиты информации о физических лицах, пользующихся сайтом https://zelluloza.ru/ и его сервисами (далее — Сайт, Сервисы). 1.2. Цель Правил — обеспечить надлежащую защиту информации о пользователях Сайта, включая их персональные данные, от несанкционированного доступа и разглашения, а также установить прозрачные правила её обработки. 1.3. На отношения, связанные со сбором, хранением, распространением и защитой информации о пользователях, распространяются настоящие Правила, Пользовательское соглашение/Правила пользования Сайтом, Публичная оферта для авторов и иные опубликованные политики Оператора, а также законодательство Российской Федерации, включая Федеральный закон № 152‑ФЗ «О персональных данных», № 149‑ФЗ «Об информации…», № 38‑ФЗ «О рекламе», № 63‑ФЗ «Об электронной подписи» и др. 1.4. Действующая редакция Правил — публичный документ — доступна по адресу https://zelluloza.ru/privacy. Архив редакций — https://zelluloza.ru/privacy/archive. Администрация Сайта вправе обновлять Правила; при существенных изменениях уведомляет пользователей через Сайт/Личный кабинет и/или e‑mail не позднее чем за 10 дней до вступления изменений в силу. 1.5. В случае противоречий между настоящими Правилами и иными документами Администрации Сайта применяются настоящие Правила, если иное не следует из императивных норм закона. 1.6. Регистрируясь, авторизуясь и используя Сайт, пользователь подтверждает, что ознакомлен с Правилами и принимает их условия. 1.7. При несогласии с Правилами использование Сайта должно быть немедленно прекращено. Если по закону требуется отдельное согласие субъекта на обработку персональных данных, оно запрашивается в интерфейсе Сайта применительно к конкретным целям обработки. 1.8. Сервис предназначен для совершеннолетних пользователей (18+). Регистрация несовершеннолетних допускается только при наличии законных оснований и согласия законного представителя — если такая возможность отдельно предусмотрена функциональностью Сайта. Термины и определения Для целей настоящих Правил используются следующие термины: — Оператор, Администрация Сайта — лицо, указанное в п. 1.1 настоящих Правил. — Пользователь — дееспособное физическое лицо, зарегистрированное на Сайте или использующее Сайт без регистрации. — Покупатель — Пользователь, оформляющий заказ/подписку или приобретающий цифровой либо печатный контент. — Автор — физическое лицо, создавшее или загрузившее Произведение. — Правообладатель — лицо, обладающее исключительными и/или иными правами на Произведение. — Агент — представитель Автора/Правообладателя, действующий на основании договора и полномочий. — Партнёр дистрибуции — внешняя площадка/агрегатор, размещающий контент Оператора по договору. — Пользовательский контент — контент, создаваемый Пользователем на Сайте. — Печать по требованию — печать экземпляров произведений по индивидуальным заказам. — Антифрод — меры и технологии по выявлению и предотвращению мошеннических действий. — Проверка заимствований — автоматизированная и/или экспертная проверка оригинальности материалов. — ИИ‑контент — контент, созданный с применением инструментов искусственного интеллекта; «метка ИИ‑контента» — атрибут карточки произведения о факте и доле ИИ‑участия. — Информационный посредник — статус и ограничения см. «Политика по правам и нарушениям» (/legal/content-policy). — Пользовательское исследование — интервью, опрос, тестирование интерфейсов/функций, проводимые Оператором или по его поручению, включая возможную аудио/видеозапись при наличии отдельного согласия. 2. Условия пользования Сайтом 2.1. Оказывая услуги по использованию Сайта и Личного кабинета (далее вместе — Услуги Сайта), Администрация Сайта исходит из того, что пользователь: - обладает правоспособностью для заключения договора и использования Сайта; - указывает достоверные сведения в объёме, необходимом для регистрации/выплат/покупок; - понимает, что размещённая им информация (включая произведения, комментарии, блоги, рецензии) может быть доступна и видима иным пользователям и посетителям сети Интернет в объёме, на который пользователь явно согласился настройками видимости; - ознакомлен с настоящими Правилами. 2.2. Администрация Сайта, как правило, не проверяет достоверность предоставляемых пользователями данных, за исключением случаев, когда проверка предусмотрена законом, требуется для KYC/AML и/или для исполнения обязательств по выплатам, налоговому и бухгалтерскому учёту, противодействию мошенничеству. 3. Цели обработки информации 3.1. Оператор обрабатывает информацию для: - регистрации и доступа к Личному кабинету; - исполнения договоров с Пользователями, Авторами, Правообладателями, Агентами; - публикации, дистрибуции и монетизации произведений, включая внешнюю дистрибуцию, размещение в библиотечных сервисах и отчётность партнёров; - печати по требованию и организации доставки; - расчётов, выплат и налогово‑бухгалтерского учёта; - поддержки, модерации, разрешения инцидентов и претензий; - персонализации интерфейсов, рекомендаций и поиска; - проведения акций, реферальных программ, работы промокодов и учёта подарочных сертификатов/кодов по дате активации; - геоблокировки, управления видимостью и динамического ценообразования, где это предусмотрено правилами Сайта; - обеспечения безопасности, антифрода и предотвращения накруток; - проверки заимствований и антипиратских мероприятий; - статистики и аналитики, включая профилирование для рекомендаций и безопасности без принятия юридически значимых решений; Пользователь вправе возражать против маркетингового профилирования; - выполнения требований законодательства и ответов на законные запросы. 3.2. Дополнительные цели указываются в интерфейсе при сборе отдельного согласия. 4. Состав обрабатываемой информации 4.1. Персональные данные 4.1.1. Минимум для регистрации: имя(псевдоним)/логин, e‑mail и/или номер мобильного телефона, пароль (хэш), страна/город по желанию. 4.1.2. Данные профиля автора/пользователя по инициативе субъекта: фото/аватар, биография, ссылки на страницы, тематика, образовательные сведения, иные поля, доступные в Личном кабинете. 4.1.3. Данные для выплат авторам/правообладателям (KYC/AML): ФИО, дата и место рождения, гражданство, адрес регистрации/проживания, ИНН, СНИЛС, статус налогоплательщика (физлицо/ИП/НПД/юрлицо), реквизиты банковского счёта/кошелька, документ, удостоверяющий личность (серия/номер, кем и когда выдан), ИНН/ОГРН/КПП для юрлиц, контактные данные уполномоченного лица. Для нерезидентов — документы по валютному контролю, если требуется. 4.1.4. Данные транзакций: сведения о покупках/подписках, суммы, дата и способ оплаты, маскированные реквизиты, статусы платежей, возвраты/чарджбеки. 4.1.5. Коммуникации и модерация: обращения в поддержку, переписка, жалобы, решения модерации, результаты проверок на заимствования. 4.2. Иная информация 4.2.1. Технические данные: IP‑адрес, идентификаторы устройств, тип/версия ОС и браузера, часовой пояс, язык интерфейса, параметры дисплея, провайдер, информация о файлах куки и локальном хранилище, токены сессий, логи действий в интерфейсе, события безопасности. 4.2.2. Файлы куки и аналогичные технологии: строго необходимые, функциональные, аналитические, рекламные/реферальные. Пользователь может управлять файлы куки через баннер/настройки браузера; отключение части файлы куки может ограничить работу Сайта. Подробности — в Политике файлов куки (приложение А к настоящим Правилам). 4.2.3. Контент и UGC, создаваемые пользователем: загружаемые произведения и материалы, аннотации, обложки, комментарии, отзывы, записи в блогах, участие в конкурсах и т.п. Пользователь самостоятельно определяет видимость таких материалов с учётом ограничений закона и правил модерации. 4.2.4. Данные от партнёров (при внешней дистрибуции и промо): идентификаторы карточек у площадок, статусы размещения, отчёты о потреблении/продажах, агрегированные маркетинговые метрики. 4.2.5. Данные антифрода: технические сигналы и метрики, необходимые для выявления злоупотреблений, бот‑трафика, накруток, манипуляций отчётностью и выплатами. 4.3. Категории данных по ролям Пользователь/Покупатель: учётные и контактные данные, история входов, настройки, события использования Сайта, история заказов/подписок, обращения в поддержку. Автор/Правообладатель: данные, указанные в п. 4.1.3, сведения о произведениях, метаданные, доли участников, статусы публикаций, отчёты партнёров по дистрибуции, история выплат и начислений. Агент: идентификационные и контактные данные, подтверждение полномочий, параметры агентского вознаграждения. Посетитель (незалогиненный): технические данные устройств и файлы куки/идентификаторы программных модулей в объёме, необходимом для работы Сайта, аналитики и безопасности. Примечание: категории и объём данных зависят от используемых функций и заключённых договоров. 5. Принципы и условия обработки 5.1. Обработка ведётся на принципах законности, добросовестности, минимизации и цели‑соответствия. Объём и способы обработки соответствуют заявленным целям. 5.2. Правовые основания включают: выполнение договора, согласие субъекта, исполнение обязанностей по закону, а также иные основания, предусмотренные ст. 6 Закона № 152‑ФЗ. Для маркетинговых рассылок и файлы куки, не относящихся к строго необходимым, запрашивается отдельное согласие. 5.3. Сбор данных осуществляется при регистрации, использовании Сайта, загрузке контента, оформлении покупок/выплат, участии в промо, при обращениях в поддержку, а также при интеграциях с партнёрами и платёжными провайдерами, при использовании библиотечных сервисов и активации подарочных сертификатов/кодов — в объёме, необходимом для оказания Услуг. 5.4. Хранение: персональные данные хранятся преимущественно на электронных носителях на территории Российской Федерации в соответствии с требованиями локализации (ст. 18 Закона № 152‑ФЗ). Резервные копии и кэши могут временно размещаться у подрядчиков при соблюдении договорных мер защиты. 5.5. Передача третьим лицам допускается в следующих случаях и объёмах: - платёжным провайдерам и банкам — для приёма платежей и осуществления выплат; - типографиям и логистическим компаниям — для печати по требованию и доставки печатных экземпляров; - площадкам‑партнёрам дистрибуции — для размещения и отчётности по продажам и потреблению; - провайдерам ИТ‑инфраструктуры, аналитики, антифрода, коммуникаций (email/SMS/push); - государственным органам по законным запросам; - аффилированным лицам Оператора — для обеспечения работы экосистемы и внутренних сервисов при соблюдении конфиденциальности. Передача осуществляется по договорам с обязательствами по защите информации. Раскрытие персональных данных для маркетинга третьих лиц без отдельного согласия не производится. 5.6. Кросс‑граничная передача возможна при соблюдении ст. 12 Закона № 152‑ФЗ: при наличии письменного согласия субъекта и/или если это необходимо для исполнения договора с субъектом; принимающей стороне должны быть обеспечены адекватные меры защиты. Оператор ведёт учёт фактов таких передач. Перечень стран и оснований публикации см. /privacy/subprocessors. 5.7. Уничтожение и обезличивание: персональные данные уничтожаются или обезличиваются при достижении целей обработки, истечении сроков хранения, отзыве согласия (если нет иных оснований обработки), а также по решению Оператора в случаях, предусмотренных законом. 5.8. Публичность UGC: размещая материалы на Сайте, пользователь понимает, что отдельные сведения могут быть доступны иным пользователям и индексироваться поисковыми системами в пределах настроек видимости и правил Сайта. 5.9. Профилирование. Оператор осуществляет ограниченное профилирование для персонализации рекомендаций и обеспечения безопасности. Юридически значимые решения исключительно на основании автоматизированной обработки не принимаются. Пользователь может возразить против использования данных для маркетингового профилирования через Личный кабинет или по адресу из разд. 9. 5.10. Проверка заимствований и антипиратские меры. В законных интересах Оператора и правообладателей проводятся автоматизированные и/или экспертные проверки оригинальности и мониторинг незаконных копий, в том числе путём сопоставления текстовых/графических сигнатур и технических идентификаторов. Результаты проверок хранятся минимум 12 месяцев, максимум 36 месяцев. 5.11. Метка ИИ‑контента. Пользователь помечает произведение как созданное с применением ИИ и указывает ориентировочную долю участия. Порог обязательной маркировки — более 30% участия ИИ в итоговом тексте/изображениях/аудио. Оператор вправе уточнять или корректировать метку по результатам модерации и проверок. Ведётся журнал изменений метки (факт, дата/время, источник изменения). 5.12. Таблица соответствий обработки данных Категория данных Цель обработки Основание (152‑ФЗ) Срок (min/max) Получатели (классы) Аккаунт/профиль Регистрация, доступ, безопасность Договор/законный интерес 12 мес. / 5 лет Хостинг/CDN, безопасность KYC/выплаты Выплаты авторам, соблюдение 115‑ФЗ Закон, договор 5 / 10 лет Платёжные провайдеры, банки Транзакции Покупки/подписки, бухгалтерия Закон, договор 5 / 10 лет Платёжные провайдеры Антифрод/логи Безопасность, защита от злоупотреблений Законный интерес 1 / 5 лет Антифрод, безопасность Маркетинг/ID Рекомендации, кампании Согласие 0 / 36 мес. Почта/SMS/push, аналитика UGC/карточки Публикация и показ Договор/законный интерес пока опубликовано / 0–36 мес. после снятия Хостинг/CDN, дистрибуция Полные перечни получателей и кросс‑границ — в Приложении B и на /privacy/subprocessors. 6. Права субъектов и управление данными 6.1. Пользователь вправе: - получать информацию об обработке своих персональных данных; - требовать уточнения, блокирования или уничтожения данных при их неполноте, устарелости, недостоверности, незаконном получении или отсутствии необходимости обработки; - отзывать согласие на обработку данных для целей, основанных на согласии (например, маркетинговые рассылки); - настраивать конфиденциальность и уведомления в Личном кабинете; - обжаловать действия/бездействие Оператора в Роскомнадзор или в суд. 6.2. Запрос оформляется по правилам раздела 9. При невозможности самостоятельного изменения данных в Личном кабинете Оператор вносит изменения на основании подтверждённых обращений в срок до 30 дней. 6.3. Для безопасности могут применяться двухфакторная аутентификация и оповещения о входах. Ответственность за сохранность логина и пароля несёт пользователь. 6.4. Формы и каналы управления данными в Личном кабинете В Личном кабинете доступны заявки/настройки: «Доступ к данным (копия)», «Исправление», «Ограничение обработки», «Удаление аккаунта и данных», «Отзыв согласий» (e‑mail/SMS/push и файлы куки/SDK), «Возражение против маркетингового профилирования», а также управление подписками и частотой сообщений. По возможности экспорт предоставляется в машиночитаемом формате (JSON/CSV) при технической возможности. Простые запросы обрабатываются оперативно, иные — в срок до 30 календарных дней. Маршрут прав субъекта: 1) Подача запроса в ЛК или альтернативным каналом. 2) Верификация заявителя (минимально необходимая), возможен проверочный код по e‑mail/телефону. 3) Обработка запроса в срок до 30 дней; при сложности — продление до 45 дней с уведомлением. 4) Ответ и, при запросе на доступ/копию, предоставление данных в машиночитаемом виде. 6.5. Подписания и верификация Запросы из Личного кабинета подписываются простой электронной подписью по 63‑ФЗ. e‑mail‑обращения, подписанные УКЭП, принимаются на адрес из разд. 9. Для предотвращения злоупотреблений Оператор может запросить минимально необходимое подтверждение личности/прав (без избыточных данных), включая проверочный код по e‑mail/телефону. 6.6. Видимость и индексация UGC Пользователь управляет настройками видимости материалов (публично/по ссылке/частно — где поддерживается). Настройки обрабатываются Оператором для отображения и доступа. Правила публикации, модерации и индексации описаны в «Политике использования контента» (/legal/content-policy). 6.7. Реестр согласий В Личном кабинете отображаются активные согласия (маркетинг, файлы куки/SDK, исследования). Отзыв доступен в один клик; тексты согласий показываются при получении и не дублируются в настоящей Политике. 7. Меры защиты информации 7.1. Оператор применяет организационные и технические меры: разграничение прав доступа; шифрование и хэширование паролей; мониторинг событий безопасности; резервное копирование; управление уязвимостями; учёт событий и инцидентов; обучение персонала; договорные обязательства конфиденциальности с подрядчиками; регулярные аудиты. 7.2. При выявлении инцидента безопасности Оператор фиксирует событие, локализует последствия, при необходимости информирует уполномоченные органы и затронутых пользователей в пределах требований закона. 7.3. Технические меры Шифрование трафика (TLS), хранение паролей в виде криптостойких хэшей с солью, сегментация инфраструктуры, резервное копирование, контроль целостности, ограничение доступа по ролям и принципу наименьших привилегий. 7.4. Аутентификация и оповещения Двухфакторная аутентификация (при включении пользователем), уведомления о входах и новых устройствах, управление активными сессиями, возможность привязки номера телефона по согласию пользователя. 7.5. Управление уязвимостями Регулярное обновление компонентов, мониторинг и устранение уязвимостей, периодические проверки/тесты безопасности. Канал для сообщений об уязвимостях: security@zelluloza.ru или файл /.well-known/security.txt (если опубликован). Заявки классифицируются и обрабатываются по приоритету. 7.6. Реагирование на инциденты Фиксация и расследование инцидентов, локализация и восстановление, анализ причин и предотвращающие меры. Уведомления пользователей и/или органов власти осуществляются в пределах требований закона и заключённых договоров. При существенном инциденте безопасности Оператор информирует затронутых пользователей без раскрытия избыточных данных, достаточных для понимания риска и необходимых действий. 8. Ограничения и ответственность 8.1. Правила не распространяются на сайты и сервисы третьих лиц, даже если на них есть ссылки с Сайта. Оператор не несёт ответственность за политику конфиденциальности таких ресурсов. 8.2. Оператор не несёт ответственность за действия иных пользователей и третьих лиц, получивших доступ к информации в соответствии с выбранными пользователем настройками или по его вине. 8.3. Пользователь не вправе размещать персональные данные третьих лиц без законного основания и согласий; при выявлении нарушений материалы могут быть сняты с публикации, а аккаунт — ограничен. 9. Обращения пользователей по персональным данным 9.1. Запросы по персональным данным предпочтительно направлять через форму в Личном кабинете (раздел «Персональные данные»). Альтернативно — в письменной форме по адресу: 124460, Москва г., г. Зеленоград, Корпус 1126, оф. 616, либо в форме электронного документа, подписанного УКЭП, на e‑mail: pd@zelluloza.ru. 9.2. Запрос должен содержать: ФИО, контактные данные, описание сути запроса, сведения, позволяющие идентифицировать пользователя (ID/логин/e‑mail/номер телефона), а также, при необходимости, подтверждающие документы/доверенность представителя. 9.3. Срок рассмотрения запроса — до 30 календарных дней с даты получения. При сложных запросах срок может быть продлён до 45 дней с уведомлением пользователя о причинах продления. Ответ направляется способом, указанным пользователем, если иное не противоречит закону. 9.4. Вся корреспонденция по персональным данным относится к информации ограниченного доступа и не подлежит разглашению без согласия пользователя, за исключением случаев, прямо предусмотренных законом. 10. Сроки хранения и удаление данных 10.1. Аккаунт и профиль: минимум 12 месяцев после последней активности; максимум 5 лет после последней активности при наличии операционной необходимости (безопасность, споры, бухгалтерия), затем удаление/обезличивание. 10.2. Данные о транзакциях и бухгалтерские документы: минимум 5 лет (402‑ФЗ, НК РФ); максимум 10 лет при необходимости защиты прав и прохождения проверок. 10.3. Журналы безопасности/антифрод: минимум 1 год; максимум 5 лет. Резервные копии и кэши: минимум 30 дней, максимум 180 дней по циклу резервирования с последующим уничтожением. 10.4. При самостоятельном удалении аккаунта данные удаляются либо обезличиваются в разумный срок с учётом технологических циклов, требований контрагентов и закона. Доступ к ранее приобретённому цифровому контенту может сохраняться в объёме прав конкретной сделки. Актуальные сроки по категориям данных — в Приложении C (матрица сроков хранения). 11. Маркетинговые сообщения и настройки 11.1. Сервисные сообщения (важные уведомления о доступе, безопасности, изменениях условий, статусах операций) направляются без отдельного согласия, так как необходимы для оказания Услуг. Управление частотой уведомлений возможно в Личном кабинете, если это поддерживается. 11.2. Маркетинговые рассылки (акции, рекомендации) направляются при наличии согласия. Пользователь может в любой момент изменить настройки в Личном кабинете и/или воспользоваться ссылкой «Отписаться» в письме. 11.3. Пользовательские исследования. Интервью/опросы/тесты проводятся на основании отдельного согласия; материалы хранятся 12–36 месяцев. Подробности — на странице /research. 12. Специальные положения для авторов и правообладателей 12.1. Для целей заключения и исполнения договоров с авторами/правообладателями (включая внешнюю дистрибуцию, печать по требованию, озвучивание, участие в акциях) Оператор обрабатывает данные и документы, указанные в разд. 4.1.3, а также сведения о произведениях и долях участников. 12.2. Пользователь, загружающий произведение, гарантирует наличие прав и согласий на включённые материалы и персональные данные третьих лиц и несёт ответственность за их правомерность. По запросу Оператора предоставляются подтверждающие документы. 12.3. Порядок взаимодействия, отчётности и выплат — по публичной оферте/договору и соответствующим приложениям. 12.4. Персональные данные третьих лиц в произведениях. Автор/Правообладатель обязуется не включать в произведение персональные данные третьих лиц без законного основания и необходимых согласий. По требованию Оператора предоставляются доказательства таких согласий либо удаляются соответствующие фрагменты. 12.5. Отчётность партнёрам и аналитика. Оператор вправе обрабатывать данные об авторах и метаданные произведений для предоставления отчётности площадкам‑партнёрам, для налогового/бухгалтерского учёта, а также для публикации обезличенной статистики и аналитики. Публичная аналитика не содержит персональных данных. 12.6. Печать по требованию и доставка. Для исполнения заказов печати по требованию и доставки обрабатываются данные получателя и адрес. Возвраты и претензии по печати/логистике регулируются Публичной офертой и Правилами возвратов (/legal/offer-authors, /legal/returns); сроки хранения соответствуют транзакционным данным (см. разд. 10, Приложение C). 12.7. Защита прав и претензионные действия. Обрабатываются данные, необходимые для выявления нарушений и защиты прав (идентификаторы произведений, правообладателя, факты публикации, контакт для связи). Процедуры урегулирования, шаблоны уведомлений и сроки — в «Политике по правам и нарушениям» (/legal/content-policy). 12.8. Метка ИИ‑контента. Для прозрачности публикаций Оператор может требовать указания доли ИИ‑участия; при наличии признаков недостоверной маркировки вправе корректировать метку по результатам модерации. 13. Заключительные положения 13.1. К настоящим Правилам применяется право Российской Федерации. Споры разрешаются в порядке, предусмотренном Пользовательским соглашением/договором и процессуальным законодательством РФ. 13.2. Перечень основных партнёров/подрядчиков, участвующих в обработке данных, может публиковаться в отдельном приложении и актуализируется по мере изменения. 13.3. Термины используются в значениях, определённых законодательством РФ и опубликованными документами Оператора. При расхождении толкований приоритет имеет русская версия документов Сайта. 13.4. Версионность. Документ имеет номер версии и дату вступления в силу; предыдущие редакции доступны в архиве по адресу /privacy/archive. 13.5. Связанные документы. Пользовательское соглашение (/terms), Публичная оферта для авторов (/legal/offer-authors), Политика использования контента и нарушения (/legal/content-policy), Политика файлов куки (/cookies), Реестр обработчиков (/privacy/subprocessors). Специальные документы имеют приоритет в части специальных норм; в остальном действует настоящая Политика. 14. Возрастные ограничения 14.1. Сервис предназначен для совершеннолетних пользователей (18+). Регистрация и использование несовершеннолетними не допускаются, если иное прямо не предусмотрено функциональностью и отдельной политикой с механизмом согласия законного представителя. 14.2. При оформлении заказа печатной продукции на третье лицо Пользователь подтверждает законность указания данных получателя и информирование его о передаче данных для доставки. 14.3. Оператор обрабатывает атрибут возрастной маркировки произведений в соответствии с Федеральным законом № 436‑ФЗ; подробные правила — в «Политике использования контента» (/legal/content-policy). Приложение А. Политика файлов куки и идентификаторов A.1. Категории Строго необходимые: аутентификация, поддержание сессии, безопасность, балансировка нагрузки, корзина, оформление заказа. Основание — исполнение договора/законный интерес. Функциональные: язык, регион, настройки отображения, сохранённые черновики. Основание — законный интерес/согласие. Аналитические: посещаемость, производительность, пути пользователей, A/B‑тесты. Основание — согласие, где требуется. Рекламные и реферальные: атрибуция кампаний, промокоды, идентификаторы рекламных устройств, пиксели партнёров. Основание — согласие. A.2. Программные модули, пиксели и идентификаторы Могут использоваться программные модули, пиксели и идентификаторы (в т.ч. e‑mail‑хеш для атрибуции, идентификаторы устройств/браузеров). Перечень провайдеров и их политики конфиденциальности приводится в Приложении B и на странице /cookies. При изменении состава провайдеров перечень актуализируется. A.3. Управление согласием Баннер согласия при первом визите и в настройках профиля: включение/отключение аналитики и рекламы. Управление через настройки браузера и системные ограничения отслеживания. Отзыв согласия не влияет на законность обработки до момента отзыва, но может ограничить функциональность. A.4. Сроки хранения файлов куки/идентификаторов Сессионные — до закрытия браузера. Постоянные — от 1 дня до 24 месяцев, если не указано иное на /cookies. E‑mail‑идентификаторы для атрибуции — до 24 месяцев или до отзыва согласия. A.5. Перечень файлов куки Подробный перечень файлы куки/SDK и провайдеров, их назначение и сроки хранения публикуется на странице https://zelluloza.ru/cookies и обновляется по мере изменений. Приложение B. Перечень обработчиков/подрядчиков и кросс‑граничные передачи B.1. Классы обработчиков Платёжные провайдеры и банки — приём платежей, выплаты авторам; категории данных: транзакционные, идентификационные, контактные. Почтовые/SMTP/SMS/push‑провайдеры — сервисные и маркетинговые сообщения; контактные данные и метрики доставляемости. Хостинг, CDN, резервное копирование, DDoS‑защита — хранение и доставка контента, логи. Аналитика и A/B‑тестирование — агрегированные метрики и идентификаторы. Антифрод и безопасность — технические сигналы и поведенческие метрики. Партнёры внешней дистрибуции контента — карточки произведений, отчёты о потреблении/продажах. Типографии и логистика (печать по требованию) — данные доставки и контактные данные получателей. Сервис‑деск/обращения — тексты обращений, контакты, статусы заявок. B.2. Формат публикации реестра В реестре указываются: юридическое лицо обработчика, услуга, категории данных, цель/правовое основание, место обработки/страна, наличие кросс‑границы, ссылка на политику конфиденциальности. Реестр публикуется и актуализируется на странице https://zelluloza.ru/privacy/subprocessors. B.3. Кросс‑граничные передачи Кросс‑граница допускается при соблюдении ст. 12 Закона № 152‑ФЗ и при наличии оснований (исполнение договора; согласие субъекта; иные предусмотренные законом случаи). Оператор ведёт учёт фактов трансграничной передачи: дата, получатель, страны, категории данных, основание. При изменениях перечня стран/получателей информация обновляется в реестре. Приложение C. Матрица сроков хранения Категория данных Минимум (обяз.) Максимум (операц.) Основание/примечание Аккаунт и профиль 12 мес. 5 лет После последней активности; затем удаление/обезличивание KYC/выплаты авторам 5 лет 10 лет 115‑ФЗ; от срока прекращения отношений/последней операции Транзакции/чеки 5 лет 10 лет 402‑ФЗ «О бухгалтерском учёте», НК РФ Логи безопасности/антифрод 1 год 5 лет Для расследований инцидентов и защиты прав Переписка с поддержкой 3 года 5 лет Для разрешения споров и улучшения качества Материалы модерации/претензии 3 года 5 лет На период спорной ситуации и общий срок давности UGC и карточки произведений Пока опубликовано После снятия: 0–36 мес. Резервные копии — по циклу; индекс может кэшироваться третьими лицами Маркетинговые события/ID 0 мес. До 36 мес. или до отзыва согласия Управляется баннером/настройками; без согласия — не хранится Cookie/SDK идентификаторы Сессионные: до конца сессии Постоянные: до 36 мес. Подробности и фактические сроки — на /cookies Резервные копии 30 дней 180 дней По политике бэкапов; затем уничтожение Примечание: при наличии императивных требований закона или договорных обязанностей фактические сроки могут отличаться; при конфликте приоритет у императивной нормы. Обработка сверх максимума не ведётся; данные подлежат удалению/обезличиванию.