Политика в отношении обработки персональных данных
Настоящая Политика разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки и защиты персональных данных, осуществляемой Оператором.
1. Общие положения
1.1. Оператор персональных данных (далее — «Оператор»): Индивидуальный предприниматель Калитурин Александр Юрьевич, ОГРНИП 319583500040178, ИНН 583508677988, адрес: 440047, Россия, Пензенская область, г. Пенза, ул. 65-летия Победы, д. 31, кв. 290.
1.2. Контактный адрес для обращений субъектов персональных данных: support@naberesh.com.
1.3. Оператор обрабатывает персональные данные посредством Telegram-бота @naberesh_mne_bot и связанной серверной инфраструктуры, размещённой на территории Российской Федерации и Европейского Союза (см. п. 7 «Трансграничная передача»).
1.4. Настоящая Политика применяется в отношении всей информации, которую Оператор может получить о Пользователе (субъекте персональных данных) в процессе использования Сервиса.
2. Термины
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определённому физическому лицу.
Оператор — лицо, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку ПД.
Обработка ПД — любое действие с ПД (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
Автоматизированная обработка — обработка ПД с помощью средств вычислительной техники.
Субъект ПД — Пользователь Сервиса, чьи ПД обрабатывает Оператор.
3. Правовые основания обработки
3.1. Обработка ПД осуществляется на основании:
- Конституции Российской Федерации;
- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федерального закона от 07.07.2003 № 126-ФЗ «О связи»;
- Гражданского кодекса Российской Федерации;
- договора (публичной оферты) с Пользователем, а также согласия Пользователя на обработку персональных данных.
4. Категории субъектов и состав обрабатываемых ПД
4.1. Оператор обрабатывает ПД следующих категорий субъектов:
- физические лица, использующие Сервис для получения услуг связи;
- физические лица, направившие обращения в службу поддержки.
4.2. Оператор обрабатывает следующие ПД Пользователей:
| Категория данных | Состав | Источник |
|---|---|---|
| Идентификаторы Telegram | Идентификатор пользователя (tg_id), имя пользователя (username), отображаемое имя (display name), язык интерфейса Telegram | Передаются Telegram Messenger Inc. при взаимодействии с ботом |
| Платёжная информация | Обезличенный токен банковской карты (rebill token), сумма, дата, статус транзакции. Полный номер карты Оператору не передаётся и не хранится. | Платёжный агент (ООО «КлаудПэйментс») |
| Технические данные подключения | Публичный ключ клиентского устройства (WireGuard/AmneziaWG), выданный внутренний IP-адрес в туннеле, метка устройства, задаваемая Пользователем, тарифный план, дата подключения и время последнего рукопожатия | Автоматически при регистрации устройства |
| Данные обращений | Содержание сообщений, направленных в поддержку через Telegram-бота | Предоставляются самим Пользователем |
4.3. Оператор не собирает и не хранит:
- содержание сетевого трафика Пользователя (запросы к внешним ресурсам, DNS-запросы, содержание переписки и т. п.);
- историю посещаемых сайтов и приложений;
- номер телефона Пользователя (если он не был сообщён Пользователем добровольно);
- биометрические ПД;
- специальные категории ПД (расовая или национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь, судимость).
5. Цели обработки
5.1. Оператор обрабатывает ПД исключительно в следующих целях:
- идентификация Пользователя и предоставление доступа к Сервису;
- оказание услуг связи в объёме, предусмотренном тарифом;
- приём и обработка платежей, включая автоматическое продление подписки;
- формирование фискальных чеков в соответствии с 54-ФЗ и их направление Пользователю;
- рассмотрение обращений Пользователя;
- исполнение требований законодательства Российской Федерации;
- реализация реферальной программы (учёт приглашений и начисление бонусов).
5.2. Обработка ПД в рекламных и маркетинговых целях не осуществляется без отдельного согласия Пользователя.
6. Порядок и условия обработки
6.1. Обработка ПД осуществляется автоматизированным способом с помощью серверной инфраструктуры Оператора и его субподрядчиков.
6.2. Оператор обеспечивает защиту ПД от несанкционированного доступа, изменения, распространения или уничтожения в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 (уровень защищённости — 4) и приказом ФСТЭК России от 18.02.2013 № 21. Применяются, в частности:
- шифрование ПД при передаче между узлами Оператора (TLS 1.3, WireGuard);
- шифрование предразделённых ключей (PSK) в базе данных Оператора алгоритмом AES-128 (Fernet);
- парольная защита и разграничение доступа для персонала Оператора;
- резервное копирование и мониторинг целостности данных;
- межсетевое экранирование (nftables).
6.3. Сроки хранения ПД:
- идентификаторы Telegram и технические данные подключения — на весь срок действия договора и в течение 3 (трёх) лет после его прекращения (общий срок исковой давности по ГК РФ);
- платёжная информация — 5 (пять) лет с момента совершения платежа (требование 54-ФЗ);
- содержание обращений — 1 (один) год с момента поступления;
- rebill-токен — до момента отзыва Пользователем автопродления или прекращения договора, но не более 3 лет.
6.4. По истечении сроков хранения либо при отзыве согласия Пользователем ПД уничтожаются или обезличиваются в течение 30 (тридцати) календарных дней.
7. Передача ПД третьим лицам и трансграничная передача
7.1. Оператор привлекает следующих поручителей обработки ПД:
| Поручитель | Цель передачи | Состав передаваемых ПД | Юрисдикция |
|---|---|---|---|
| Telegram Messenger Inc. | Обмен сообщениями через мессенджер Telegram | tg_id, username, содержание сообщений | Британские Виргинские Острова / ОАЭ |
| ООО «КлаудПэйментс» | Приём платежей, автоматическое продление, формирование чеков | tg_id, email (при наличии), сумма и валюта платежа | Российская Федерация |
| ООО «Таймвэб» (Timeweb) | Хостинг серверной инфраструктуры на территории РФ | Технические данные подключения, обезличенные метаданные | Российская Федерация |
| Hetzner Online GmbH | Хостинг серверной инфраструктуры для международных подключений | Технические данные подключения, обезличенные метаданные | Германия / Финляндия (Европейский Союз) |
| Cloudflare, Inc. | DNS, защита от DDoS, доставка статических страниц (оферта, политика) | IP-адрес, User-Agent посетителя сайта | США |
7.2. Трансграничная передача ПД осуществляется в государства, обеспечивающие адекватную защиту прав субъектов ПД (страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, приказ Роскомнадзора от 05.08.2022 № 128), а также, при согласии субъекта, в иные государства.
7.3. Уведомление о намерении осуществлять трансграничную передачу ПД направлено в Роскомнадзор в порядке ст. 12 152-ФЗ.
7.4. Оператор не осуществляет продажу ПД Пользователей и не передаёт их в целях, не предусмотренных настоящей Политикой, кроме случаев, установленных законодательством Российской Федерации (например, по мотивированному запросу правоохранительных органов).
8. Права субъекта персональных данных
8.1. Субъект ПД вправе:
- получать информацию, касающуюся обработки его ПД (ст. 14 152-ФЗ);
- требовать уточнения, блокирования или уничтожения ПД в случае, если они неполны, устарели, неточны, незаконно получены или не являются необходимыми для заявленной цели обработки;
- отозвать согласие на обработку ПД в любой момент;
- обжаловать действия или бездействие Оператора в Роскомнадзор либо в судебном порядке (ст. 17 152-ФЗ).
8.2. Для реализации прав субъект ПД направляет запрос на адрес support@naberesh.com с указанием:
- ФИО или иных сведений, позволяющих идентифицировать Пользователя (tg_id Telegram, email);
- сведений, подтверждающих участие субъекта в отношениях с Оператором (номер устройства, дата регистрации);
- подписи субъекта (для писем на бумажном носителе) либо ответа с адреса, ранее использовавшегося в переписке с Оператором.
8.3. Оператор рассматривает запрос в течение 10 (десяти) рабочих дней с даты его получения.
8.4. Отзыв согласия на обработку ПД, за исключением тех данных, обработка которых обязательна по закону, влечёт прекращение обработки в течение 30 дней и удаление ПД, если это не противоречит требованиям законодательства.
9. Реквизиты Оператора
Индивидуальный предприниматель Калитурин Александр Юрьевич
ОГРНИП: 319583500040178
ИНН: 583508677988
Адрес: 440047, Россия, Пензенская область, г. Пенза, ул. 65-летия Победы, д. 31, кв. 290
Электронная почта: support@naberesh.com
10. Изменения Политики
10.1. Настоящая Политика может быть изменена Оператором в одностороннем порядке. Актуальная редакция всегда доступна по адресу naberesh.com/privacy.
10.2. Существенные изменения доводятся до сведения Пользователей уведомлением в Telegram-боте не менее чем за 7 (семь) календарных дней до вступления в силу.