Политика обработки ПД

⚠ Документ - DRAFT, требует проверки юристом до публикации.

Appendix B - Privacy Policy DRAFT

⚠️ DRAFT, требует проверки юристом до публикации. Этот текст подготовлен в рамках брейнсторма и не является юридической консультацией.

Версия: 2026-06-11

Действует с: [дата запуска]

1. Общие положения

Настоящая Политика регулирует обработку персональных данных, осуществляемую при использовании сайта measurethetreasure.com (далее - «Сайт») оператором - самозанятым [ФИО], ИНН [ИНН] (далее - «Оператор»).

Используя Сайт и/или регистрируясь на нём, пользователь подтверждает, что ознакомлен с настоящей Политикой и согласен с её условиями.

Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

2. Цели обработки персональных данных

Оператор обрабатывает персональные данные пользователя в следующих целях:

• регистрация и идентификация пользователя на Сайте;
• предоставление доступа к платным услугам (аналитическим отчётам);
• осуществление расчётов и приём платежей;
• информирование пользователя о новых отчётах и состоянии подписки;
• информирование пользователя о событиях по тикерам, добавленным им в Избранное (персональный дайджест), с возможностью отключения в настройках уведомлений и по ссылке отписки в каждом письме;
• обеспечение безопасности Сайта и противодействие мошенничеству;
• ответы на обращения и оказание поддержки;
• исполнение обязанностей Оператора по налоговой и иной отчётности.

3. Правовые основания обработки

• пункт 1 части 1 статьи 6 ФЗ-152 - согласие субъекта персональных данных, оформленное при регистрации (Приложение D)
• пункт 5 части 1 статьи 6 ФЗ-152 - необходимость для исполнения договора, стороной которого является пользователь (договор-оферта, Приложение C)
• пункт 2 части 1 статьи 6 ФЗ-152 - необходимость для исполнения возложенных на Оператора обязанностей, предусмотренных законодательством (налоговый учёт, отчётность по специальному налоговому режиму «Налог на профессиональный доход»)

4. Категории и объём обрабатываемых данных

Оператор обрабатывает следующие категории персональных данных:

• Регистрационные данные: email-адрес, пароль (в виде криптографического хеша)
• Технические данные: IP-адрес, информация о браузере и устройстве (User-Agent), идентификаторы сессии
• Платёжные данные: сведения о факте и параметрах платежа (сумма, дата, статус, идентификатор у платёжного провайдера). Реквизиты платёжных карт Оператором не хранятся - обработка осуществляется на стороне ЮKassa.
• Данные о подписке: тариф, период действия, история платежей
• Контактные данные для уведомлений: email-адрес, идентификатор Telegram-аккаунта (при добровольной привязке)
• Аудит-логи: записи о действиях пользователя (входы, изменения настроек, платежи) с указанием IP-адреса

5. Способы и условия обработки

Обработка осуществляется автоматизированными средствами. Основная база данных размещена на территории Европейской экономической зоны (Нидерланды, хостинг Timeweb Cloud); на территории Российской Федерации функционирует узел первичной записи (ru-node), обеспечивающий первичный сбор и запись персональных данных на территории РФ в соответствии с частью 5 статьи 18 ФЗ-152.

Доступ к персональным данным имеет Оператор и привлечённые им лица в объёме, необходимом для выполнения должностных обязанностей.

В соответствии со статьёй 19 ФЗ-152 Оператор принимает следующие меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования и распространения:

• хранение паролей пользователей исключительно в виде криптографического хеша (алгоритм bcrypt, фактор 12)
• передача данных между пользователем и Сайтом по защищённому протоколу HTTPS (TLS)
• ограничение доступа к серверной инфраструктуре по протоколу SSH с обязательной аутентификацией по ключам
• регулярное резервное копирование баз данных
• ведение аудит-логов всех значимых действий пользователя и Оператора
• разграничение прав доступа: Оператор имеет полный доступ; иные лица - только в объёме, необходимом для исполнения служебных обязанностей

6. Передача персональных данных третьим лицам

Оператор передаёт персональные данные следующим лицам и в следующем объёме:

• ООО НКО «ЮMoney» (ЮKassa, юрисдикция РФ) - данные о платежах для приёма оплаты
• ООО «Регистратор Р01» (reg.ru, юрисдикция РФ) - email-сервер для отправки служебных сообщений
• Telegram FZ-LLC (юрисдикция Объединённые Арабские Эмираты) - идентификатор Telegram-аккаунта пользователя и текст уведомлений; передача осуществляется исключительно при добровольной привязке Telegram-аккаунта пользователем в личном кабинете и только для отправки уведомлений на указанный пользователем аккаунт

6.1. Трансграничная передача

Хранение персональных данных в основной базе данных на территории Европейской экономической зоны представляет собой трансграничную передачу в иностранное государство, обеспечивающее адекватную защиту прав субъектов персональных данных (государства ЕС/EFTA включены в перечень Роскомнадзора, приказ № 274 от 15.03.2013). Такая передача осуществляется при наличии согласия пользователя на трансграничную передачу, оформляемого при регистрации (consent_kind='cross_border'); отзыв этого согласия влечёт удаление аккаунта.

Передача персональных данных в Telegram FZ-LLC осуществляется на территории иностранного государства, не обеспечивающего адекватной защиты прав субъектов персональных данных в смысле части 1 статьи 12 ФЗ-152 (по состоянию на дату вступления Политики в силу - Объединённые Арабские Эмираты не включены в перечень государств, обеспечивающих адекватную защиту, утверждённый Роскомнадзором).

Соответственно, такая передача осуществляется только при наличии письменного согласия пользователя, оформленного отдельно при привязке Telegram-аккаунта в личном кабинете. Согласие на передачу может быть отозвано пользователем в любой момент путём отвязки Telegram-аккаунта.

Иной трансграничной передачи, помимо указанной выше, Оператор не осуществляет.

7. Сроки хранения

• Регистрационные и контактные данные (email, хеш пароля, идентификатор Telegram при привязке) - в течение срока существования аккаунта пользователя
• Данные о подписке и платежах - в течение срока существования аккаунта; после удаления аккаунта - в течение срока, установленного законодательством Российской Федерации о бухгалтерском учёте, налогообложении и противодействии легализации (отмыванию) доходов (но не менее 5 лет с даты соответствующей операции)
• Аудит-логи - в течение 12 месяцев с даты записи, после чего обезличиваются (удаляются идентификатор пользователя, IP-адрес и User-Agent); при удалении аккаунта обезличивание выполняется незамедлительно, а в записи об удалении аккаунта сохраняется псевдонимный хеш как подтверждение исполнения права на удаление
• Технические данные сессии (IP, User-Agent в текущих сессиях) - до окончания соответствующей сессии или до явного выхода пользователя

После прекращения обработки персональные данные подлежат уничтожению или обезличиванию в порядке, предусмотренном статьёй 21 ФЗ-152.

8. Права субъекта персональных данных

Пользователь имеет право:

• получать сведения о факте и условиях обработки своих персональных данных
• требовать уточнения, блокирования или уничтожения неверных или неполных данных
• отзывать согласие на обработку
• удалять свой аккаунт через раздел `/account/danger` или через обращение на support@measurethetreasure.com
• обжаловать действия Оператора в Роскомнадзор и в суд

9. Cookies

Сайт использует следующие технические cookies, без которых функционирование Сайта невозможно:

• `mtt_session` - идентификатор сессии пользователя (HttpOnly, Secure, SameSite=Lax); срок хранения - до окончания сессии или до явного выхода
• `mtt_csrf` - токен защиты от CSRF-атак (HttpOnly, Secure, SameSite=Strict); срок хранения - в рамках сессии
• `mtt_lang` - выбранный пользователем язык интерфейса (ru/en); срок хранения - 12 месяцев

Сторонние счётчики, рекламные идентификаторы и аналитические сервисы (включая Yandex.Metrica, Google Analytics, Facebook Pixel и аналогичные) не используются.

Использование технических cookies является необходимым для оказания услуг и не требует отдельного согласия пользователя; об их использовании Сайт информирует посредством специального уведомления при первом посещении.

10. Обращения

По всем вопросам, связанным с обработкой персональных данных, пользователь может обратиться по адресу: support@measurethetreasure.com.

Оператор рассматривает обращения в сроки, установленные ФЗ-152, в частности:

• запрос о предоставлении сведений об обработке (часть 7 статьи 14 ФЗ-152) - в течение 10 рабочих дней с даты получения, с возможностью продления ещё на 5 рабочих дней с уведомлением субъекта
• требование об уточнении, блокировании или уничтожении данных (часть 1 статьи 21 ФЗ-152) - в течение 7 рабочих дней с даты получения подтверждающих документов
• иные обращения - в разумный срок, не превышающий 30 календарных дней

11. Изменения

Оператор вправе вносить изменения в настоящую Политику. Актуальная версия публикуется на странице `/legal/privacy` с указанием даты вступления в силу.

О существенных изменениях, расширяющих перечень обрабатываемых данных, цели обработки или круг получателей, Оператор уведомляет существующих пользователей по адресу электронной почты не менее чем за 30 календарных дней до вступления изменений в силу.

Если пользователь не согласен с изменениями, он вправе удалить свой аккаунт до даты вступления изменений в силу. Продолжение использования Сайта после указанной даты означает согласие пользователя с новой редакцией Политики.

---