Политика обработки персональных данных
01 Общие положения
1.1. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также иными нормативными правовыми актами Российской Федерации в области персональных данных.
1.2. Политика действует в отношении всех персональных данных, которые Оператор получает от субъектов персональных данных — посетителей сайта, заказчиков (юридических лиц и индивидуальных предпринимателей), их сотрудников и представителей (далее — «Пользователи»).
1.3. Использование Сервиса, заполнение форм на сайте, регистрация аккаунта или оплата услуг означают безоговорочное согласие Пользователя с настоящей Политикой. Если Пользователь не согласен с условиями Политики, он должен прекратить использование Сервиса.
1.4. Оператор обеспечивает неограниченный доступ к настоящей Политике путём её размещения по адресу https://naparnik.ai/legal/privacy в соответствии с ч. 2 ст. 18.1 152-ФЗ.
02 Основные понятия
В настоящей Политике используются следующие понятия:
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Оператор персональных данных — ИП Шамышев Алексей Борисович, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки, состав персональных данных и совершаемые действия.
Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта или наличия иного законного основания.
03 Принципы обработки персональных данных
3.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.2. Обработка ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных.
3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.5. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых данных по отношению к целям.
3.6. При обработке обеспечиваются точность, достаточность и актуальность персональных данных. Оператор принимает меры по удалению или уточнению неполных или неточных данных.
3.7. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки, если иной срок не установлен законодательством или договором.
04 Цели обработки персональных данных
4.1. Оператор обрабатывает персональные данные в следующих целях:
| № | Цель обработки | Категории субъектов |
|---|---|---|
| 1 | Регистрация и идентификация Заказчиков и Пользователей в Сервисе, создание и управление учётными записями | Заказчики, Пользователи |
| 2 | Исполнение обязательств по Договору-оферте, предоставление доступа к функциональным возможностям Сервиса | Заказчики, Пользователи |
| 3 | Обработка платежей, ведение бухгалтерского и налогового учёта | Заказчики |
| 4 | Направление сервисных уведомлений о работе Сервиса (технические работы, изменения условий, безопасность аккаунта) | Заказчики, Пользователи |
| 5 | Обеспечение работы AI-ассистентов: передача запросов Пользователей LLM-провайдерам для формирования ответов | Пользователи |
| 6 | Техническая поддержка и обработка обращений Пользователей | Заказчики, Пользователи |
| 7 | Улучшение качества Сервиса, анализ статистики использования, обеспечение безопасности и предотвращение мошенничества | Посетители сайта, Пользователи |
| 8 | Исполнение обязанностей, предусмотренных законодательством Российской Федерации | Все категории |
05 Состав обрабатываемых персональных данных
5.1. Оператор осуществляет обработку следующих категорий персональных данных (не являющихся специальными или биометрическими):
| Категория данных | Перечень | Способ получения |
|---|---|---|
| Регистрационные данные | Фамилия, имя, отчество; адрес электронной почты; номер телефона (при указании); должность | Предоставляются Пользователем при регистрации |
| Данные организации | Наименование организации; ИНН; ОГРН/ОГРНИП | Предоставляются Заказчиком при регистрации |
| Платёжные данные | Сведения об оплате (дата, сумма, статус). Данные банковских карт не хранятся Оператором — обработка платежей осуществляется платёжным сервисом ЮKassa | Формируются в процессе оплаты |
| Контент взаимодействия | Текстовые запросы к AI-ассистентам; загруженные документы и файлы; история диалогов | Создаются Пользователем в процессе использования Сервиса |
| Техническая информация | IP-адрес; тип и версия браузера; тип устройства и разрешение экрана; операционная система; данные cookie-файлов; дата и время доступа; реферальный URL | Собираются автоматически при посещении сайта |
| Обращения в поддержку | Содержание обращений; контактные данные, указанные в обращении | Предоставляются Пользователем при обращении |
5.2. Оператор не осуществляет обработку специальных категорий персональных данных (расовая принадлежность, политические взгляды, состояние здоровья и т. д.) и биометрических персональных данных.
06 Правовые основания обработки
6.1. Обработка персональных данных осуществляется на следующих правовых основаниях:
- Согласие субъекта персональных данных на обработку его персональных данных, выраженное акцептом Договора-оферты, регистрацией в Сервисе или заполнением форм на сайте (п. 1 ч. 1 ст. 6 152-ФЗ);
- Исполнение договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 152-ФЗ);
- Исполнение обязанностей, возложенных на Оператора законодательством Российской Федерации, в том числе в области бухгалтерского и налогового учёта (п. 2 ч. 1 ст. 6 152-ФЗ);
- Необходимость для достижения целей, осуществляемых в общественном интересе (п. 4 ч. 1 ст. 6 152-ФЗ) — в части обеспечения безопасности Сервиса и предотвращения мошенничества.
07 Порядок и способы обработки
7.1. Обработка персональных данных осуществляется смешанным способом: с использованием средств автоматизации и без использования таких средств.
7.2. В ходе обработки с персональными данными совершаются следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
7.3. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных 152-ФЗ.
08 Передача персональных данных третьим лицам
8.1. Оператор вправе передавать персональные данные третьим лицам исключительно в следующих случаях и на следующих условиях:
| Получатель | Цель передачи | Объём передаваемых данных |
|---|---|---|
| LLM-провайдеры (поставщики языковых моделей ИИ) | Формирование ответов AI-ассистентов на запросы Пользователей | Содержание текстовых запросов и загруженных в рамках диалога документов. Персональные данные из профиля (ФИО, email, телефон) не передаются LLM-провайдерам |
| ЮKassa (платёжный сервис) | Обработка платежей за услуги Сервиса | Данные, необходимые для проведения платежа |
| Уполномоченные государственные органы | Исполнение требований законодательства РФ | В объёме, предусмотренном соответствующим запросом |
8.2. Оператор не продаёт, не обменивает и не передаёт персональные данные третьим лицам в целях, не связанных с оказанием услуг Сервиса.
8.3. При привлечении третьих лиц к обработке персональных данных Оператор обеспечивает выполнение ими требований по конфиденциальности и безопасности данных в соответствии с ч. 3 ст. 6 152-ФЗ.
09 Трансграничная передача персональных данных
9.1. Трансграничная передача персональных данных осуществляется на основании согласия субъекта персональных данных, выраженного акцептом Договора-оферты, и в целях исполнения Договора (п. 1 и п. 2 ч. 4 ст. 12 152-ФЗ).
9.2. Передача осуществляется на территорию государств, обеспечивающих адекватную защиту прав субъектов персональных данных, а также на территорию иных государств — при наличии согласия субъекта.
9.3. Заказчик и Пользователь самостоятельно определяют, какие данные включать в запросы к AI-ассистентам, и принимают на себя ответственность за содержание передаваемых запросов.
9.4. Персональные данные из профиля Пользователя (ФИО, адрес электронной почты, номер телефона, реквизиты организации) не передаются за пределы Российской Федерации и хранятся на серверах, расположенных на территории РФ.
10 Хранение персональных данных и сроки обработки
10.1. Персональные данные Пользователей хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ч. 5 ст. 18 152-ФЗ.
10.2. Сроки обработки персональных данных:
| Категория данных | Срок обработки |
|---|---|
| Регистрационные данные и данные аккаунта | В течение срока действия Договора и 90 календарных дней после его прекращения |
| Данные бухгалтерского и налогового учёта | В соответствии с требованиями законодательства (не менее 5 лет) |
| Контент взаимодействия (диалоги с AI-ассистентами) | В течение срока действия Договора и 90 календарных дней после его прекращения |
| Техническая информация (IP, cookie, логи) | Не более 12 месяцев с момента сбора |
| Обращения в техническую поддержку | В течение срока действия Договора и 90 календарных дней после его прекращения |
10.3. По истечении указанных сроков или при достижении целей обработки персональные данные уничтожаются, если иное не предусмотрено законодательством Российской Федерации.
10.4. Уничтожение персональных данных из информационных систем осуществляется встроенными средствами систем в порядке, обеспечивающем невозможность их восстановления.
11 Меры по защите персональных данных
11.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных, в соответствии со ст. 19 152-ФЗ.
11.2. Оператор применяет следующие меры по обеспечению безопасности персональных данных:
- передача данных по защищённым каналам связи с использованием протоколов TLS/SSL;
- хранение паролей в хэшированном виде с использованием криптостойких алгоритмов;
- ограничение и регулярный контроль доступа к персональным данным — доступ имеют только уполномоченные сотрудники Оператора;
- разграничение прав доступа к информационным системам;
- регулярное резервное копирование данных;
- мониторинг и журналирование доступа к персональным данным;
- применение межсетевого экранирования и средств обнаружения вторжений;
- регулярная оценка эффективности принимаемых мер по обеспечению безопасности.
11.3. Оператор не может гарантировать абсолютную безопасность передачи данных через сеть Интернет, однако предпринимает все разумные меры для минимизации рисков.
12 Права субъекта персональных данных
12.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, в порядке, предусмотренном ст. 14 152-ФЗ;
- требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать согласие на обработку персональных данных;
- принимать предусмотренные законом меры по защите своих прав;
- обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
12.2. Для реализации своих прав субъект персональных данных может направить письменное обращение Оператору на адрес электронной почты info@naparnik.ai.
12.3. Обращение должно содержать:
- фамилию, имя, отчество (при наличии) субъекта;
- контактную информацию (адрес электронной почты или номер телефона);
- сведения, подтверждающие наличие отношений с Оператором;
- суть требования.
12.4. Оператор рассматривает обращение в течение 10 (десяти) рабочих дней с момента его получения и направляет мотивированный ответ.
12.5. Отзыв согласия на обработку персональных данных. Субъект вправе отозвать согласие, направив письменное уведомление на адрес info@naparnik.ai. Отзыв согласия влечёт прекращение доступа к Сервису. Персональные данные уничтожаются в течение 30 (тридцати) календарных дней с момента получения уведомления, за исключением данных, хранение которых обусловлено требованиями законодательства.
12.6. Уполномоченный орган. Субъект персональных данных вправе обратиться за защитой своих прав в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): https://rkn.gov.ru.
13 Cookie-файлы и средства аналитики
13.1. Сервис использует cookie-файлы — небольшие текстовые файлы, размещаемые на устройстве Пользователя, для обеспечения корректной работы Сервиса.
13.2. Оператор использует следующие типы cookie-файлов:
- Технические (обязательные) — обеспечивают авторизацию, сохранение сессии и корректную работу Сервиса. Без них функционирование Сервиса невозможно.
- Аналитические — используются для сбора статистики посещений и анализа поведения пользователей в целях улучшения качества Сервиса. Могут включать сервисы веб-аналитики (Яндекс.Метрика и аналоги).
13.3. Использование Сервиса означает согласие с применением cookie-файлов. Пользователь может отключить cookie-файлы в настройках браузера, при этом работоспособность Сервиса может быть ограничена.
13.4. Сервисы веб-аналитики могут собирать обезличенные данные о посещениях (страницы, время на сайте, источники перехода) в соответствии с их собственными политиками конфиденциальности.
14 Актуализация Политики
14.1. Настоящая Политика является общедоступным документом и может быть актуализирована Оператором в следующих случаях:
- при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
- при получении предписаний уполномоченных органов на устранение несоответствий, затрагивающих область действия Политики;
- по решению Оператора;
- при изменении целей и условий обработки персональных данных;
- при изменении организационной структуры или технических средств обработки.
14.2. Актуальная редакция Политики размещается в открытом доступе по адресу https://naparnik.ai/legal/privacy. Предыдущие редакции утрачивают силу с момента публикации новой редакции.
14.3. Продолжение использования Сервиса после публикации изменений означает согласие с новой редакцией Политики.
15 Реквизиты оператора
Индивидуальный предприниматель Шамышев Алексей Борисович
Оператор персональных данных
ИНН: 165123453265
ОГРНИП: 323169000271371
Email: info@naparnik.ai
Сайт: https://naparnik.ai