Хранение данных

ПОЛИТИКА ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ YOUSIZER.COM 04.01.2026

1. ЦЕЛЬ И СФЕРА ПРИМЕНЕНИЯ ПОЛИТИКИ

Настоящая Политика хранения и уничтожения персональных данных

(«Политика»)www.yoursizer.comНастоящая политика подготовлена компанией Yoursizer.com («Компания» или «Контролер данных»), осуществляющей деятельность по адресу [адрес], в соответствии с положениями Закона № 6698 о защите персональных данных (KVKK) и Регламента об удалении, уничтожении или анонимизации персональных данных («Регламент») и других соответствующих законодательных актов. Основная цель данной политики — обеспечить полное соблюдение нашей Компанией, как Контроллером данных, общих принципов, изложенных в статье 4 KVKK (законность и справедливость, точность и, при необходимости, актуальность информации, обработка данных для конкретных, четко определенных и законных целей, релевантность, ограниченность и соразмерность цели, а также хранение данных в течение срока, установленного соответствующим законодательством или необходимого для цели обработки) при обработке персональных данных.

Настоящая Политика прозрачно разъясняет цели хранения персональных данных всех пользователей платформы Yoursizer.com (веб-сайт, мобильное приложение и интегрированные виджеты), срок хранения, правовые и технические основания для обработки, а также методы безопасного уничтожения данных после прекращения цели обработки. Настоящая политика обязательна для всех отделов, сотрудников и внешних поставщиков услуг (обработчиков данных) в нашей компании и обеспечивает применение принципов полной прозрачности и подотчетности в управлении данными. Применяя лучшие национальные и международные практики в области защиты персональных данных, Политика ставит во главу угла защиту основных прав и свобод субъектов данных.

2. ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

При реализации настоящей Политики в качестве основы были взяты определения, содержащиеся в статье 3 Закона № 6698 о защите персональных данных (КВКК), статье 4 Регламента об удалении, уничтожении или анонимизации персональных данных, а также в другом соответствующем законодательстве. Ниже приведено пояснение к некоторым основным терминам и сокращениям, используемым в рамках настоящей Политики:

• •Анонимизация: это означает приведение персональных данных в такое состояние, при котором их невозможно связать с идентифицированным или идентифицируемым физическим лицом, даже в сочетании с другими данными (статья 3/b Гражданского кодекса Калифорнии). В конкретном случае Yoursizer.com это включает в себя необратимое разрыв связи с личностью, особенно для данных, используемых для улучшения алгоритмов и в целях проведения агрегированных исследований.

• •Биометрические данные (измерения тела): согласно статье 6 Закона о защите персональных данных, это относится к физическим измерениям, таким как рост, длина ног, окружность талии, ширина плеч, обхват груди и бедер, которые однозначно идентифицируют телосложение человека и считаются особыми категориями персональных данных.

• •3D-аватар: Это цифровая трехмерная модель, представляющая физические характеристики человека, созданная на основе измерений его тела с помощью наших алгоритмов. Этот аватар — уникальное изображение, созданное путем обработки биометрических данных.
• •Безопасное удаление: это процесс, в результате которого персональные данные становятся полностью недоступными и непригодными для использования соответствующими пользователями (статья 8 Регламента). Оно достигается такими методами, как удаление данных и их перезапись другими данными с помощью программного обеспечения.

• •Субъект данных: это физическое лицо, чьи персональные данные обрабатываются (статья 3/ç Гражданского процессуального кодекса Калифорнии). В конкретном случае Yoursizer.com это относится к пользователям платформы.

• •Уничтожение: это означает удаление, уничтожение или анонимизацию персональных данных (статья 4/c Регламента).

• •Носитель записи: Под этим понимается любой носитель, содержащий персональные данные, обрабатываемые полностью или частично автоматически, или обрабатываемые неавтоматически в рамках системы записи данных (статья 4/d Регламента).

• •Персональные данные: Под ними понимается любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу (статья 3/d КВКК).

• •Обработка персональных данных: под этим понимается любая операция, выполняемая с персональными данными, такая как получение, запись, хранение, сохранение, изменение, реорганизация, раскрытие, передача, приобретение, предоставление доступа, классификация или предотвращение использования данных, независимо от того, осуществляется ли она полностью или частично автоматизированным или неавтоматизированным способом, при условии, что она является частью системы регистрации данных (статья 3/e Гражданского кодекса Кералы).

• •Криптографическое уничтожение: Этот метод предполагает приведение зашифрованных данных в нечитаемое и непригодное для использования состояние путем необратимого уничтожения ключей шифрования. Он особенно эффективен для зашифрованных резервных копий.

• •KVKK ссылается на Закон о защите персональных данных № 6698 от 24.03.2016. ● Периодическое уничтожение: это означает удаление, уничтожение или анонимизацию персональных данных, которые будут осуществляться автоматически через определенные промежутки времени, как это указано в политике хранения и уничтожения персональных данных, когда перестанут существовать все условия обработки персональных данных, предусмотренные законом (статья 4 Регламента). ● Контролер данных: физическое или юридическое лицо, определяющее цели и средства обработки персональных данных и ответственное за создание и управление системой регистрации данных (статья 3/ı Гражданского кодекса Уэльса). В настоящей Политике под этим подразумевается Yoursizer.com.

• •Регламент: относится к Регламенту об удалении, уничтожении или анонимизации персональных данных.

• •Уничтожение: это процесс, делающий персональные данные недоступными, не подлежащими восстановлению и непригодными для использования кем бы то ни было и каким бы то ни было образом (статья 9 Регламента). Сюда также входит необратимое уничтожение физических носителей информации.

3. ОБЯЗАННОСТИ И РАСПРЕДЕЛЕНИЕ ОБЯЗАННОСТЕЙ

Для обеспечения эффективного выполнения, мониторинга и устойчивости процессов хранения и уничтожения персональных данных в Yoursizer.com было установлено конкретное распределение обязанностей в соответствии с организационной структурой. Это распределение было создано при строгом соблюдении принципов «необходимости знать» и «минимальных привилегий».

3.1. Высшее руководство (Управленческая команда):

• •Компания берет на себя корпоративную ответственность за соблюдение требований КВКК (Закона о защите персональных данных), утверждает политики защиты персональных данных и выделяет необходимые ресурсы для реализации этих политик.

• •Она принимает окончательные решения по выбору поставщиков и субподрядчиков, а также утверждает стратегические решения, касающиеся принятия или смягчения рисков, связанных с защитой данных.

• •Она инициирует кризисное управление в критических ситуациях, таких как утечки данных, и утверждает официальные процедуры уведомления.

• •Она рассматривает периодические аудиторские отчеты и утверждает необходимые меры по улучшению.

3.2. Техническое управление / технический директор (CTO):

• •Они отвечают за техническое проектирование архитектуры данных, сроки хранения и процессы уничтожения.

• •Модель управления доступом (RBAC) контролирует реализацию управления ключами шифрования, механизмов ведения журналов, политик резервного копирования и других технических средств обеспечения безопасности.

• •Она управляет доступом к производственной среде и контролирует процессы утверждения критически важных изменений.

• •Отдельное поле для биометрических данных позволяет технически интегрировать специализированные меры безопасности, такие как стратегии псевдонимизации.

3.3. Команда разработчиков программного обеспечения (бэкенд/платформа):

• •Это обеспечивает соблюдение принципов минимизации данных в системах, которые улучшают процессы сбора и обработки данных.

• •Он реализует правила определения сроков хранения, безопасное удаление и функции анонимизации на программном уровне.

• •Они отвечают за техническую реализацию запросов пользователей (удаление, доступ, исправление).

• •Это гарантирует соблюдение лимитов на обмен данными и внедрение стандартов безопасности данных в API и интеграциях.

• •Это позволяет внедрить механизм «четырех глаз» (двойной проверки) в критически важных процессах уничтожения; то есть инициирование и утверждение процесса уничтожения осуществляются двумя лицами с разным уровнем полномочий.

3.4. Команда разработчиков программного обеспечения (фронтенд/виджеты/мобильные приложения):

• •Она отвечает за обеспечение корректного отображения файлов cookie и механизмов явного согласия в пользовательском интерфейсе.
• •Это позволяет запускать соответствующие скрипты и SDK на основе согласия пользователя.

• •Она корректно различает необязательные и обязательные поля в формах ввода данных. ● Она обеспечивает безопасность на стороне клиента (например, защиту от XSS и CSRF).

3.5. Администратор DevOps/системный администратор (в составе команды разработчиков программного обеспечения):

• •Они отвечают за управление облачной инфраструктурой, сетевую безопасность, процессы непрерывной интеграции/непрерывного развертывания (CI/CD) и разделение сред (разработка, тестирование, производство).

• •Ротация резервных копий включает в себя безопасное управление ключами шифрования, настройку систем мониторинга и оповещения, а также отслеживание обновлений безопасности.

• •Это обеспечивает целостность и доступность систем регистрации данных и журналов. 3.6. Сотрудник по вопросам соблюдения GDPR (назначенное лицо в руководстве):

• •Она отслеживает актуальность и соответствие законодательству информационных текстов и заявлений о явном согласии.

• •Компания постоянно обновляет свой реестр обрабатываемых персональных данных и контролирует выполнение своих политик хранения и уничтожения данных. ● Она проверяет соответствие положений о защите данных в договорах с поставщиками. ● Она координирует процессы внутреннего аудита, готовит отчеты и отслеживает изменения в законодательстве.

3.7. Матрица авторизации и механизмы контроля: Наша компания управляет авторизацией доступа и обработки персональных данных с помощью подробной матрицы авторизации. Эта матрица в письменном виде определяет категории данных, к которым может получить доступ каждая роль (например, биометрические данные, журналы, данные связи), и действия, которые они могут выполнять (чтение, запись, удаление, экспорт). Многофакторная аутентификация (МФА) и надежные методы аутентификации являются обязательными для доступа к производственным средам. Все действия доступа и администрирования подробно регистрируются, и эти журналы регулярно отслеживаются. Доступ к резервным копиям также строго ограничен, а процессы резервного копирования и уничтожения регистрируются. Проводятся периодические проверки доступа (например, каждые 6 месяцев), и авторизация увольняющихся сотрудников немедленно прекращается. Такая структура гарантирует, что процессы хранения, защиты и уничтожения персональных данных в Yoursizer.com осуществляются прозрачным, отслеживаемым и проверяемым образом.

4. НОСИТЕЛИ ЗАПИСИ И МЕРЫ БЕЗОПАСНОСТИ

Персональные данные, обрабатываемые Yoursizer.com, хранятся на различных носителях информации, полностью или частично автоматизированных или неавтоматизированных в рамках системы записи данных. Эти носители различаются в зависимости от характера данных и целей обработки, но для каждого носителя принимаются самые высокие меры безопасности.

4.1. Носители записи: Ваши персональные данные хранятся преимущественно на следующих носителях записи:

• •Цифровые среды:

• •Облачная инфраструктура: размещается в высокозащищенных центрах обработки данных, принадлежащих всемирно признанным поставщикам облачных услуг, таким как Amazon Web Services (AWS) и Google Cloud Platform (GCP). Эта инфраструктура используется для хранения, обработки и резервного копирования данных.

• •Базы данных: Реляционные и NoSQL базы данных (например, PostgreSQL, MongoDB) являются основными средами для хранения структурированных данных, таких как информация об учетных записях пользователей, параметры тела, параметры 3D-аватаров и данные о транзакциях.

• •Серверы: Серверы приложений и серверы журналов хранят технические данные и журналы доступа, связанные с работой системы.

• •Среды резервного копирования: Облачные сервисы резервного копирования и/или отдельные устройства хранения данных — это среды, в которых

регулярно выполняются резервные копии для предотвращения потери данных. ● Системы электронной почты: переписка пользователей, запросы в службу поддержки и уведомления могут храниться на почтовых серверах.

• •Системы хранения файлов: Файлы, загруженные пользователем или созданные системой (например, документы, прикрепленные к запросам в службу

поддержки), хранятся в защищенных файловых хранилищах.

• •Физическая среда:

• •В редких случаях, в силу требований законодательства или производственных потребностей, физические документы, такие как печатные формы, договоры или счета-фактуры, также могут быть архивированы. Такие документы хранятся в запертых шкафах и местах, защищенных от несанкционированного доступа.

4.2. Меры безопасности: В соответствии со статьей 12 Закона о защите персональных данных (KVKK) принимаются все необходимые технические и административные меры для обеспечения безопасного хранения персональных данных и предотвращения их незаконной обработки и доступа. Применяются дополнительные и более строгие меры, особенно в отношении конфиденциальных персональных данных, таких как биометрические данные.

4.2.1. Технические меры:

• •Шифрование:

• •Шифрование при передаче (TLS/SSL): Персональные данные защищены шифрованием с использованием протокола Transport Layer Security (TLS) во всех каналах связи между платформой и устройствами пользователей (веб-сайт, мобильное приложение, виджет). Это предотвращает несанкционированный доступ к данным.

• •Шифрование данных в состоянии покоя: Персональные данные, хранящиеся в базах данных и файловых системах, шифруются с использованием надежных алгоритмов шифрования. Ключи шифрования надежно управляются с помощью отдельной и ограниченной системы управления ключами (KMS). Это

гарантирует, что данные останутся нечитаемыми даже в случае

несанкционированного доступа.

• •Контроль и авторизация доступа:
• •Управление доступом на основе ролей (RBAC): Доступ к персональным данным ограничивается в соответствии с принципом авторизации на основе ролей (минимальные привилегии) в соответствии с должностными инструкциями сотрудников и матрицей авторизации. Каждому сотруднику предоставляется доступ только к тем данным, которые необходимы для выполнения его работы. ● Многофакторная аутентификация (МФА): Методы многофакторной

аутентификации (МФА) являются обязательными для доступа к

конфиденциальным системам и данным. Это значительно снижает риск

несанкционированного доступа.

• •Журналы доступа: Доступ к персональным данным регистрируется подробно, включая информацию о том, кто и когда получил доступ к каким данным. Эти журналы регулярно отслеживаются и анализируются для выявления аномалий. Целостность и доступность журналов гарантированы.

• •Сетевая безопасность:

• •Межсетевые экраны и межсетевые экраны веб-приложений (WAF): Сетевой трафик отслеживается с помощью межсетевых экранов и WAF, что

предотвращает несанкционированный доступ. WAF обеспечивают защиту, особенно от атак, направленных на веб-приложения.

• •Сегментация сети: Базы данных, серверы приложений и другие критически важные системы разделяются друг от друга посредством сегментации сети, что предотвращает распространение потенциального нарушения безопасности.

• •Управление уязвимостями и тестирование на проникновение: Системы регулярно проходят сканирование на наличие уязвимостей и тестирование на проникновение. Выявленные уязвимости приоритизируются и устраняются. Регулярно устанавливаются обновления безопасности и исправления.

• •Дополнительные меры для обработки биометрических данных:

• •Отдельная область хранения данных: биометрические данные, такие как параметры тела и параметры 3D-аватара, хранятся в высокозащищенных областях хранения данных с более ограниченным доступом, логически

отделенных от других персональных данных.

• •Псевдонимизация: Биометрические данные отделяются от непосредственно идентифицирующей информации и связываются с токеном или

идентификатором пользователя. Это затрудняет прямую идентификацию при анализе наборов данных.

• •Политика доступа: Доступ к биометрическим данным ограничен с помощью гораздо более узкой матрицы авторизации. Количество сотрудников,

уполномоченных на доступ к этим данным, сведено к минимуму, и такой доступ подлежит дополнительным механизмам контроля.

4.2.2. Административные меры:

• •Обучение и повышение осведомленности персонала: Все сотрудники регулярно проходят обучение по вопросам защиты персональных данных, информационной безопасности и настоящей Политики. Уровень осведомленности сотрудников постоянно повышается.
• •Соглашения о конфиденциальности: Соглашения о конфиденциальности подписываются со всеми сотрудниками и деловыми партнерами, имеющими доступ к персональным данным.

• •Внутренние политики и процедуры: Разработаны и постоянно обновляются подробные внутренние политики и процедуры по таким вопросам, как минимизация данных, хранение данных, уничтожение данных, контроль доступа и планы реагирования на утечки данных.

• •Управление поставщиками/субподрядчиками: В договорах с третьими лицами, обрабатывающими данные и предоставляющими нам услуги, четко оговариваются обязательства по обеспечению безопасности данных, конфиденциальности и уведомлению о нарушениях в соответствии с положениями KVKK (Закона о защите персональных данных), а соблюдение этих обязательств периодически проверяется. Для международных передач данных предусмотрены соответствующие гарантии, такие как стандартные договорные положения или обязательства в соответствии со статьей 9 KVKK.

• •План аудита и реагирования на инциденты: Процессы обработки данных и меры безопасности регулярно проходят аудит. Разработан план реагирования на инциденты, обеспечивающий быструю и эффективную реакцию в случае утечки данных.

4.3. Политика резервного копирования:

• •Частота и тип резервного копирования: Для обеспечения непрерывности бизнеса и предотвращения потери данных персональные данные регулярно резервируются. Частота резервного копирования определяется в зависимости от уровня критичности данных (например, ежедневно, еженедельно).

• •Безопасность резервного копирования: Резервные копии хранятся в зашифрованном виде на физически или логически отделенных от работающих систем носителях, и доступ к ним строго ограничен. Доступ к носителям резервных копий разрешен только авторизованному персоналу и защищен многофакторной аутентификацией.

• •Сроки хранения резервных копий: Сроки хранения резервных копий определяются в соответствии с принципом «минимальных требований» и управляются таким образом, чтобы не превышать максимальные сроки хранения в работающей системе. Например, резервные копии наборов биометрических данных хранятся с короткими циклами (например, ежедневно/еженедельно, от 30 до 90 дней), в то время как резервные копии данных об использовании/журналах хранятся аналогично, от 30 до 180 дней в зависимости от операционных потребностей. Эти сроки периодически

пересматриваются в соответствии с используемой инфраструктурой и оценкой рисков. ● Уничтожение резервных копий: устаревшие резервные копии надежно удаляются с помощью автоматических механизмов ротации. Зашифрованные резервные копии также подвергаются криптографическому уничтожению (безопасному уничтожению ключей). К резервным копиям, хранящимся на физических носителях, применяются безопасные процедуры физического уничтожения. Эти процессы проверяются посредством периодических проверок и документируются.

5. Матрица времени хранения по категориям данных

При определении максимального срока, в течение которого персональные данные необходимы для цели их обработки, Yoursizer.com придерживается принципа «хранение в течение срока, установленного соответствующим законодательством или необходимого для цели обработки» в соответствии со статьей 4/2-d Закона о защите персональных данных (KVKK). При определении сроков хранения учитываются следующие факторы: цель обработки, соответствующие юридические обязательства (например, налоговое законодательство, обязательства по ведению коммерческой бухгалтерии), сроки исковой давности для установления/использования/защиты прав и необходимость подтверждения, сохранение/отзыв согласия в сделках, основанных на согласии, и принципы минимизации данных. Ниже приведена таблица сроков хранения в соответствии с основными категориями данных:

Эти сроки пересматриваются через регулярные интервалы. По истечении срока или прекращении цели обработки персональные данные уничтожаются с помощью надежных методов удаления, уничтожения или анонимизации в соответствии с положениями Регламента. 10-летний срок хранения, в частности для биометрических данных и производных результатов, служит целям статистического анализа и разработки алгоритмов для повышения точности предоставляемых услуг; в течение этого периода данные хранятся в анонимизированной или псевдонимизированной форме.

6. Методы уничтожения и анонимизации персональных данных

В соответствии со статьей 7 Закона о защите персональных данных (KVKK) и статьей 7 Регламента, Yoursizer.com выполняет свои обязательства по удалению, уничтожению или анонимизации персональных данных по собственной инициативе или по запросу субъекта данных, когда основания для обработки персональных данных перестают существовать. В этих процессах выбирается наиболее подходящий метод с учетом характера данных, носителя записи и риска повторной идентификации.

6.1. Удаление и методы удаления:

• •Безвозвратное удаление (безопасное удаление): это процесс, при котором персональные данные становятся полностью недоступными и непригодными для использования соответствующими пользователями (статья 8 Регламента). Этот метод предпочтителен, особенно для данных, которые напрямую идентифицируют человека или представляют собой неоправданный риск при связи с этим человеком, таких как идентификационная и контактная информация, записи, связанные с платежами/выставлением счетов, и переписка со службой поддержки. Это достигается либо путем перезаписи данных случайными данными с помощью программного обеспечения, либо путем необратимого удаления записей в базе данных.

• •Криптографическое уничтожение (уничтожение ключей): Этот метод предполагает необратимое уничтожение ключей шифрования зашифрованных данных, что делает данные нечитаемыми и непригодными для использования. Этот метод особенно применим к данным, хранящимся на зашифрованных резервных носителях. Уничтожение ключей делает доступ к зашифрованным данным невозможным.

• •Физическое уничтожение: это необратимое уничтожение физических носителей, содержащих персональные данные (жесткие диски, компакт-диски, DVD-диски, USB-накопители и т. д.) (статья 9 Регламента). Это достигается такими методами, как размагничивание магнитных носителей, физическое повреждение или разбивание оптических носителей и измельчение бумажных носителей с помощью шредеров.

6.2. Методы анонимизации: Анонимизация — это процесс придания персональным данным такого вида, при котором их невозможно связать с идентифицированным или идентифицируемым физическим лицом, даже при сопоставлении с другими данными (статья 3/b Регламента KVKK, статья 10). Yoursizer.com применяет методы анонимизации, в частности, в структурах данных, где личность может быть полностью и необратимо отделена, а связь с конкретным человеком может быть разорвана, и которые необходимы только для генерации агрегированных/статистических результатов, таких как агрегированная статистика, полученная на основе биометрических измерений, показатели эффективности моделей и исследовательские наборы данных. Крайне важно, чтобы процесс анонимизации был необратимым.

Основные методы, используемые при анонимизации, следующие:

• •Агрегация: Этот метод предполагает объединение данных от нескольких человек для создания статистических сводок (средние значения, суммы, проценты) вместо отдельных записей. Это делает невозможным идентификацию отдельного человека

исключительно на основе его данных. Например, могут быть представлены данные, такие как «средний рост пользователей с окружностью талии от 70 до 75 см». ● Маскировка/округление данных: это подразумевает сокрытие определенных частей персональных данных или округление их значений для снижения их

конфиденциальности. Например, использование возрастных диапазонов вместо полного возраста (например, 25-30 лет) или округленных значений вместо полных измерений (например, 70-75 см вместо 72,3 см).

• •Обобщение/группировка: это преобразование отдельных значений в более широкие диапазоны. Например, вместо выражения «рост 175 см» можно выразить как «диапазон роста 170-180 см».

• •Добавление шума: это процесс добавления небольших случайных отклонений к данным, которые не повлияют на статистический анализ, но затруднят идентификацию конкретного человека. Этот метод особенно часто используется при анонимизации конфиденциальных данных.

• •K-анонимность и L-разнообразие: эти методы снижают риск идентификации уникального человека, гарантируя, что по крайней мере k человек в

анонимизированном наборе данных имеют одинаковую комбинацию признаков. L-разнообразие, с другой стороны, защищает от атак с целью получения информации, гарантируя, что значения конфиденциальных признаков имеют по крайней мере l различных значений в каждом k-анонимном наборе.

Эти методы затрудняют привязку данных к конкретному человеку, снижают риск «уникальных комбинаций» и гарантируют, что результаты отчетности/исследований будут представлены только на агрегированном уровне. Решения и методы анонимизации периодически пересматриваются с учетом типа данных и риска повторной идентификации. Необратимость процессов анонимизации проверяется посредством технической отчетности и независимых аудитов. Особенно для данных, используемых при обучении модели, даже если технически невозможно удалить данные удаленного пользователя из модели, наборы данных анонимизируются таким образом, чтобы сделать человека неидентифицируемым (с использованием таких методов, как агрегирование, интервальное сопоставление, маскирование и введение шума).

7. ПРОЦЕССЫ ПЕРИОДИЧЕСКОГО УНИЧТОЖЕНИЯ И ПРОВЕРКИ

Yoursizer.com регулярно проводит периодические процессы уничтожения данных и аудита для обеспечения соответствия законодательству и эффективности хранения и уничтожения персональных данных. Эти процессы укрепляют принципы прозрачности и подотчетности на каждом этапе жизненного цикла данных.

7.1. Периодические процессы уничтожения: В соответствии со статьей 11/2 Регламента, периодические процессы уничтожения данных осуществляются оператором данных с интервалами, определенными в политике хранения и уничтожения персональных данных. На Yoursizer.com данные уничтожаются в ходе первого периодического процесса уничтожения после даты возникновения обязанности удалить, уничтожить или анонимизировать персональные данные. Этот период периодического уничтожения ни при каких обстоятельствах не может превышать шести месяцев. Этот процесс осуществляется с помощью сочетания автоматизированных систем и ручного контроля.

7.2. Процессы аудита и отчетности: Для обеспечения непрерывности процессов хранения и уничтожения данных создана структура управления, включающая письменную политику хранения и уничтожения данных, перечень обрабатываемых персональных данных, записи о доступе и транзакциях (журналы) и периодические механизмы внутреннего аудита.

• •Периодичность аудита: Аудиты проводятся не реже чем каждые 6 месяцев. Более частые аудиты могут потребоваться в случаях, таких как изменения рисков/продуктов, новые интеграции или обновления нормативных требований.

• •Обязанности: Основные роли, ответственные за процессы аудита, включают в себя специалиста по соблюдению требований GDPR, группу информационной безопасности (ISO/ИТ-безопасность) и группы разработки продуктов/операций. Эти группы взаимодействуют для проведения аудиторских мероприятий.

• •Содержание отчетности: Результаты аудита представляются высшему руководству в подробных отчетах, включающих следующие разделы:

• •Записи и наборы данных, срок хранения которых истек.

• •Проведенные процессы удаления, уничтожения или анонимизации.

• •Документы, подтверждающие ротацию и уничтожение резервных копий (журналы операций, записи об утверждении).

• •Процессы обеспечения соответствия требованиям защиты данных

поставщиков/субподрядчиков и их уничтожения.

• •Выявленные меры, уязвимости в системе безопасности и планы по их устранению.

• •В соответствии со статьей 7/3 Закона о защите персональных данных (KVKK) все процессы, связанные с удалением, уничтожением или анонимизацией персональных данных, регистрируются, и эти записи хранятся не менее трех лет, за исключением других юридических обязательств.

7.3. Механизмы обновления политики: Данная политика является динамическим документом и пересматривается и обновляется в следующих ситуациях:

• •Законодательные изменения (поправки к Закону о защите персональных данных, Регламенту или другим соответствующим правовым положениям).

• •Новые технологические разработки или изменения в поставщиках инфраструктуры. ● Начинается обработка новых категорий данных (например, расширение охвата биометрических данных).

• •Добавление новых функций продукта или услуги.

• •Решения или руководящие указания Совета по защите персональных данных. ● Выявленные недостатки и рекомендации, выработанные в результате внутренних или внешних аудитов. Обновления политики вносятся с участием соответствующих групп (специалист по соблюдению требований НДС, техническое руководство, команда разработчиков программного обеспечения) и вступают в силу после утверждения высшим руководством.

8. Внедрение и обновление политики

Настоящая Политика была утверждена Советом директоров Yoursizer.com и вступила в силу 4 января 2026 года. Политика устанавливает основные принципы, процедуры и руководящие указания, которые должны применяться при хранении и уничтожении персональных данных во всех подразделениях нашей компании и у внешних поставщиков услуг. С условиями можно ознакомиться на сайте нашей компании.www.yoursizer.comДокумент публикуется во внутренних системах управления информацией компании и на других связанных платформах (мобильное приложение, виджет) и предоставляется в доступе соответствующим лицам. Документ будет храниться как в цифровом виде (внутренние системы управления информацией), так и в печатном виде (при необходимости – печатные копии).

Диаграмма отслеживания изменений:

Yoursizer.com оставляет за собой право обновлять настоящую Политику в соответствии с возможными изменениями в действующем законодательстве и решениями Совета по защите персональных данных. Обновления вступают в силу со дня публикации настоящей Политики.

Yoursizer.com