Политика обработки персональных данных

Политика обработки персональных данных

Оператор: Индивидуальный предприниматель {ФИО}, ОГРНИП {15 цифр}, ИНН {12 цифр}
Регистрационный номер в реестре операторов ПДн: {заполнить после получения от РКН}
Дата редакции: {дата}
URL действующей редакции: https://aiseogeo.ru/legal/privacy


Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и определяет порядок обработки персональных данных и меры по обеспечению их безопасности при использовании сервиса AISEOGEO (далее — Сервис).

1. Основные понятия

Используются термины ст. 3 152-ФЗ: «персональные данные», «обработка», «оператор», «субъект», «трансграничная передача», «уничтожение».

2. Принципы обработки

2.1. Обработка осуществляется на основе принципов:

  • законности и справедливости (ст. 5 152-ФЗ)
  • ограничения обработки достижением конкретных, заранее определённых и законных целей
  • соответствия объёма и характера обрабатываемых данных целям обработки
  • точности, достаточности и актуальности данных
  • хранения данных в форме, позволяющей идентифицировать субъекта, не дольше, чем требуется

3. Категории обрабатываемых ПДн и категории субъектов

Полный перечень обрабатываемых данных приведён в Согласии на обработку персональных данных (/legal/consent).

Категории субъектов:

  • Зарегистрированные пользователи Сервиса (физические лица, индивидуальные предприниматели, представители юридических лиц)
  • Посетители сайта aiseogeo.ru (включая заполнивших форму Free-аудита без регистрации)
  • Контрагенты Оператора (физические лица — представители юридических лиц-партнёров)

4. Правовые основания обработки

  • Согласие субъекта (п. 1 ч. 1 ст. 6 152-ФЗ) — основное основание
  • Договор с субъектом и публичная оферта (п. 5 ч. 1 ст. 6) — для биллинга и оказания услуг
  • 54-ФЗ «О ККТ» — для фискальной отчётности
  • 402-ФЗ «О бухгалтерском учёте» — для финансового учёта
  • 115-ФЗ «О ПОД/ФТ» — для верификации крупных корпоративных клиентов

5. Цели обработки

Изложены в Согласии на обработку персональных данных (/legal/consent, раздел 2).

6. Меры обеспечения безопасности персональных данных

6.1. Организационные:

  • Назначен ответственный за организацию обработки ПДн (Приказ № 1 от {дата})
  • Утверждён Перечень обрабатываемых ПДн
  • Утверждена Модель угроз безопасности (УЗ-4)
  • Сотрудники, имеющие доступ к ПДн, ознакомлены с положениями 152-ФЗ под подпись

6.2. Технические:
  • Локализация базы данных в РФ (Selectel ru-1a, Москва) — выполнение 242-ФЗ
  • Шифрование данных at-rest (PostgreSQL native + AES-256 на S3-хранилище snapshot'ов)
  • Шифрование данных in-transit (TLS 1.2+ на всех каналах)
  • Шифрование секретов (OAuth-токены, SSH-учётные данные, API-ключи) в БД через pgcrypto с мастер-ключом в защищённой переменной окружения
  • Многофакторная аутентификация для административного доступа (Selectel, GitHub, Тинькофф Бизнес, Unisender Go)
  • Сегментация сетевого доступа (firewall, доступ к БД только из приложения с whitelisted IP)
  • Журналирование операций с ПДн (таблица audit_log — кто, когда, что, IP, user-agent)
  • Резервное копирование (ежесуточные snapshot'ы managed PostgreSQL с retention 30 дней)
  • Разграничение доступа к БД (3 роли: app/readonly/backup)
  • Регулярный мониторинг событий безопасности (Pino-логи + ручной аудит)

6.3. Криптографические:
  • Используются стандартные средства TLS (OpenSSL ≥ 3.0) — не подлежат сертификации ФСБ
  • Сертифицированные ФСБ СКЗИ не используются (отсутствует обработка ПДн категории 1)

7. Трансграничная передача

7.1. Перечень иностранных получателей и обоснование изложены в Согласии (/legal/consent, раздел 4.2).

7.2. Перед началом трансграничной передачи в страны, не обеспечивающие адекватный уровень защиты ПДн, Оператор уведомил Роскомнадзор в составе общего уведомления оператора (см. раздел 8 настоящей Политики).

8. Сведения о подаче уведомления в РКН

8.1. Уведомление об обработке ПДн направлено в Роскомнадзор {дата}, регистрационный номер оператора в реестре: {заполнить после получения от РКН}.

8.2. Реестр операторов ПДн доступен по адресу https://pd.rkn.gov.ru/operators-registry/

9. Сроки обработки и хранения

9.1. ПДн обрабатываются в течение срока действия договора (до момента отказа субъекта от автопродления подписки и окончания оплаченного периода).

9.2. После расторжения договора ПДн хранятся 3 (три) года для целей бухгалтерского учёта и потенциальных требований ФНС.

9.3. Фискальные данные (по 54-ФЗ) — 5 (пять) лет.

9.4. По истечении срока хранения ПДн уничтожаются или обезличиваются в течение 30 календарных дней.

10. Права субъекта персональных данных

Изложены в Согласии (/legal/consent, раздел 7).

Каналы обращения:

  • Email: privacy@aiseogeo.ru
  • Срок ответа на запросы: 10 рабочих дней
  • Срок устранения нарушений по обоснованной жалобе: 7 рабочих дней

11. Cookie

11.1. Сервис использует следующие типы cookie:

  • Технические (обязательные) — сессионные cookie для авторизации (NextAuth.js); хранятся до закрытия браузера или 30 дней при отметке «Запомнить меня»
  • Аналитические (по согласию) — Яндекс.Метрика; устанавливаются только после согласия в Cookie Consent баннере
  • Маркетинговые — не используются

11.2. Управление cookie: пользователь может отозвать согласие на аналитические cookie через ссылку «Настройки cookie» в футере сайта или очистить cookie в настройках браузера.

12. Уведомление об инцидентах

12.1. При утечке ПДн (несанкционированной передаче, уничтожении, изменении) Оператор уведомляет Роскомнадзор:

  • в течение 24 часов о факте инцидента
  • в течение 72 часов о результатах внутреннего расследования

12.2. При утечке, затронувшей значительное число субъектов, Оператор уведомляет затронутых субъектов через email в течение 5 рабочих дней.

13. Изменение Политики

13.1. Оператор оставляет за собой право изменять Политику. Новая редакция вступает в силу с момента публикации на https://aiseogeo.ru/legal/privacy и доводится до зарегистрированных пользователей через email-уведомление.

13.2. Продолжение использования Сервиса после изменения Политики означает согласие пользователя с новой редакцией.


Контакты ответственного за обработку ПДн:

  • Email: privacy@aiseogeo.ru
  • Адрес для письменных обращений: {юр. адрес ИП}

← На главную