«07» августа 2025 г
Политика конфиденциальности и обработки персональных данных
Общие положения
Настоящая Политика конфиденциальности и обработки персональных данных разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и иными нормативными правовыми актами РФ, определяет позицию и действия Индивидуального предпринимателя Абдуллина Марселя Ряжаповича (ИНН 743809227622, ОГРНИП 325745600078384, далее – «Оператор») в отношении обработки и защиты персональных данных пользователей сервиса. Принятие Пользователем условий Договора (публичной оферты) и передача своих персональных данных Оператору означают согласие Пользователя с данной Политикой и на обработку данных на изложенных условиях.
В настоящей Политике используются основные термины и определения Федерального закона №152-ФЗ. Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. Обработка персональных данных — любое действие (операция) с персональными данными (сбор, запись, систематизация, хранение, использование, обезличивание, блокирование, уничтожение и т.п.). Оператор является оператором персональных данных по смыслу ФЗ-152 и организует их обработку на законной и справедливой основе, соблюдая принципы минимизации и защиты данных.
Обрабатываемые персональные данные
Оператор обрабатывает следующие категории персональных данных Пользователей:
Данные, предоставляемые непосредственно Пользователем: при регистрации через Telegram-бот пользователь предоставляет свой идентификатор аккаунта Telegram (Telegram ID) и адрес электронной почты (для подтверждения авторизации). По желанию могут указываться ФИО. При добавлении нового кабинета маркетплейса Пользователь передаёт API-ключ (токен) своего аккаунта на Wildberries, Ozon и т.д. При формировании счёта на оплату Пользователь сообщает реквизиты юридического лица (наименование, ИНН, КПП, юридический адрес, email, телефон), которым будет выставлен счёт. Эти данные передаются добровольно при заключении Договора и используются для идентификации и оказания услуг.
Данные для доступа к внешним системам: уникальные API-ключи, токены, идентификаторы сессий и др., передаваемые Пользователем для подключения к его аккаунтам на маркетплейсах. Оператор хранит их конфиденциально и использует только для автоматизированного получения данных с площадок; ключи не передаются третьим лицам и хранятся в зашифрованном виде.
Данные, собираемые автоматически через API: сведения, получаемые Оператором с маркетплейсов по предоставленным ключам. К ним относятся ассортимент товаров, остатки, цены; данные о заказах и продажах (количество, суммы, даты, статусы); статистика просмотров, показов товаров; информация о возвратах, рейтингах, отзывах и т.п. Эти данные принадлежат аккаунту Пользователя, однако могут содержать персональные данные (например, если в профиле продавца указан контактный сотрудник или ответственный). Оператор обрабатывает их с соблюдением конфиденциальности и исключительно в целях аналитики.
Переписка и коммуникации: любые персональные данные, которые Пользователь укажет в переписке с Оператором (сообщения в Telegram, письма по email, телефонные разговоры). Это могут быть дополнительные контактные лица, уточнения реквизитов, адресов и пр. Оператор сохраняет историю общения в исходном виде и при необходимости обеспечивает защиту содержащихся там данных.
Технические данные: при доступе к дашборду автоматически фиксируются дата и время доступа, IP-адрес, тип устройства и браузера, объём переданных данных и др. Эти технические сведения сами по себе не предназначены для идентификации личности, однако при совокупности с другими данными могут считаться персональными. Оператор не использует эти данные для идентификации Пользователя и не объединяет их с остальными личными данными.
Иная информация: при необходимости и с согласия Пользователя могут обрабатываться дополнительные сведения (например, информация о составе штата, описания логистики и т.п.), которые Пользователь предоставляет Оператору добровольно. Эти данные используются только для оказания запрошенной услуги и с соблюдением конфиденциальности.
Особые категории данных: Оператор не запрашивает и не обрабатывает специальные категории персональных данных (сведения о расовой/национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, биометрические данные и т.п.). Пользователь не должен предоставлять такие данные. Если они каким-либо образом поступили (например, упомянуты в переписке), Оператор не будет их использовать и хранить целенаправленно.
Данные третьих лиц: некоторые полученные через API сведения могут содержать информацию о третьих лицах (например, данные о покупателях товаров Пользователя — имена, адреса доставки; о сотрудниках Пользователя — контактные лица в аккаунте маркетплейса). Оператор обрабатывает такие данные только по поручению Пользователя, как оператор на стороне Пользователя, и не использует их вне рамок требуемой аналитики. Пользователь гарантирует, что имеет законные основания для передачи таких данных Оператору (согласие субъектов или необходимость для исполнения договоров с ними).
Минимизация данных: Оператор соблюдает принцип минимизации: запрашиваются и обрабатываются только те персональные данные, которые необходимы для заявленных целей. Пользователь вправе не предоставлять часть информации, но должен понимать, что отказ от обязательных данных может ограничить возможности оказания услуги (например, без реквизитов невозможно выписать счёт).
Цели обработки персональных данных
Персональные данные Пользователя обрабатываются Оператором исключительно для конкретных, заранее определённых и законных целей. Основные цели обработки:
Предоставление услуг: Оператор использует персональные данные для идентификации Заказчика, настройки и предоставления индивидуального доступа к аналитическому дашборду, загрузки и обновления данных с аккаунтов Пользователя на маркетплейсах и формирования отчётов. ФИО и контактная информация нужны для связи и обратной связи, API-ключ – для получения данных, а полученная аналитика – для оформления отчётов. Без этих данных Оператор не сможет качественно исполнить свои обязательства по Договору.
Взаимодействие с Пользователем: контактные данные (телефон, мессенджер, email) обрабатываются для коммуникации: отправки уведомлений о готовности доступа, сообщении об обновлениях, консультирования, ответа на вопросы поддержки, согласования технических моментов, информирования о сроках подписки, выставления счётов и т.д. Общение через Telegram предполагает использование персональных данных аккаунта (например, никнейма и ID).
Финансово-бухгалтерские цели: обработка реквизитов Пользователя (ФИО, адрес, ИНН/КПП, реквизиты банковского счёта и др.) проводится для оформления счетов, актов и других бухгалтерских документов, проведения расчётов и учёта оплат. Эти данные используются строго в соответствии с законодательством о бухгалтерском учёте и налогах (например, указание ИНН и адреса в счетах, ФИО в кассовых чеках и т.д.).
Улучшение качества сервиса: анализ обезличенных данных и статистики их обработки (анонимные логи, типичные запросы Пользователей, выявленные ошибки) помогает улучшать функционал и инструкции. При этом Оператор не использует индивидуальные персональные данные пользователей для маркетинговых исследований или продаж без отдельного согласия – обрабатываются только обобщённые сведения (например, наиболее запрашиваемые показатели, среднее время обновления и т.п.).
Информирование о нововведениях: при наличии согласия Пользователя Оператор может отправлять уведомления о новых продуктах или функциях сервиса, специальных предложениях и т.п., если они могут быть полезны Пользователю. Например, Оператор может сообщить клиентам о добавлении нового маркетплейса для аналитики. Пользователь в любой момент вправе отказаться от таких рассылок (достаточно уведомить Оператора).
Исполнение требований закона: обработка и хранение персональных данных в объёме, необходимом для исполнения требований законодательства РФ: предоставление сведений по официальным запросам государственных органов (суды, правоохранительные органы, налоговая служба, Пенсионный фонд и др.), ведение бухгалтерских документов (счета, акты) и их хранение в течение установленных сроков (обычно 5 лет), а также локализация баз данных на территории РФ в соответствии со ст.18 ФЗ-152. Например, при получении законного запроса Оператор обязан передать запрошенные данные в установленные сроки.
Защита прав Оператора: в случае возникновения споров или проверок Оператор может обрабатывать персональные данные в объёме, необходимом для защиты своих прав и законных интересов (например, сохранять переписку, логи доступа, платежные документы), чтобы подтвердить факты оказания услуг, оплаты, уведомлений и т.п.
Оператор не обрабатывает персональные данные Пользователей в целях, не указанных выше. Обработка данных для иной цели допускается только при повторном получении согласия пользователя или наличии иного законного основания. Решения, затрагивающие права пользователя (например, отказ в оказании услуги), не принимаются автоматически без участия человека.
Правовые основания обработки
Оператор обрабатывает персональные данные Пользователей на легальных основаниях, предусмотренных ст. 6 ФЗ-152:
Согласие субъекта персональных данных: предоставление данных и акцепт публичной оферты считаются добровольным и информированным согласием Пользователя на обработку его данных. Для некоторых целей (рассылка рекламы, публикация отзывов и др.) Оператор может запросить отдельное письменное согласие.
Исполнение договора: обработка необходима для исполнения публичной оферты и предоставления услуг. Поскольку Пользователь является стороной Договора с Оператором, его персональные данные (контакты, данные маркетплейсов, реквизиты и т.п.) требуются для оказания услуг, что и является законным основанием их обработки.
Требования закона: обработка и хранение данных в объёме, предписанном законодательством (например, налоговым и бухгалтерским кодексам, законам о бухучёте, об архивах, о противодействии коррупции и др.). Это включает внесение реквизитов в счета/акты, хранение документов в течение установленных сроков, выполнение требований ФЗ-152 по локализации данных, а также передачу персональных данных по законным запросам государственных органов.
Иные основания: другие случаи, предусмотренные ФЗ-152 (например, для защиты жизни и здоровья, для осуществления прав и законных интересов Оператора или третьих лиц при условии, что не нарушаются права субъекта, для выполнения судопроизводства и др.). Оператор может обрабатывать данные на этих основаниях, если они применимы.
Оператор не обрабатывает биометрические данные Пользователей. Файлы cookie не используются Оператором на собственном сайте (кроме технических cookies сервисов Яндекса при работе дашборда, о чём Пользователь уведомляется отдельно, поскольку DataLens регулируется соглашением Яндекс). Пользователь вправе отозвать своё согласие на обработку персональных данных в любой момент, направив запрос Оператору (см. раздел Права субъекта). В случае отзыва согласия на обработку данных, необходимых для исполнения Договора, Оператор будет вынужден приостановить или прекратить оказание услуг.
Условия и способы обработки персональных данных
Обработка персональных данных осуществляется Оператором смешанным способом – как автоматизировано (с использованием информационных систем на базе Yandex.Cloud, серверов ClickHouse, Яндекс.DataLens и др.), так и без использования средств автоматизации (оформление бумажных документов, ведение журналов и т.п.). При сборе данных Оператор ограничивается минимально необходимым объёмом. Оператор обычно получает данные непосредственно от субъекта (через переписку или заполненные реквизиты). При необходимости Оператор может проверять корректность сведений (например, уточнить информацию у Пользователя или проверить ИНН по открытым базам).
Собранные данные хранятся либо на электронных носителях в инфраструктуре, подконтрольной Оператору (серверы Yandex.Cloud, зашифрованные базы данных), либо на бумажных носителях, доступных только Оператору (закрытые архивы).
Сроки хранения: персональные данные хранятся в форме, позволяющей определить Пользователя, не дольше, чем этого требуют цели обработки:
Данные учётной записи (контакты, информация о подписке) хранятся на протяжении срока действия Договора и до 3 лет после его окончания (для возможного восстановления услуг и защиты прав).
Переписка, история взаимодействия и служебные документы (счета, акты) – не менее 3 лет после завершения соответствующей работы или взаимодействия (либо пока они имеют юридическую значимость).
API-ключи и учетные данные маркетплейсов хранятся до прекращения оказания услуг и аннулируются по окончании работы. Оператор рекомендует Пользователю отозвать ключ на стороне маркетплейса после завершения сотрудничества.
Собранные аналитические данные (с момента подключения аккаунта) хранятся для обеспечения полноты аналитики (обычно на протяжении всего периода сотрудничества). После завершения услуг данные могут быть обезличены и использованы только в статистических целях или удалены по требованию Пользователя, если нет законных оснований на их хранение.
Бухгалтерские документы (счета, акты) хранятся не менее 5 лет со следующего года после даты оформления, во исполнение требований бухучёта и налогового законодательства.
По истечении установленных сроков персональные данные уничтожаются (удаляются из баз данных, после чего восстановление невозможно) либо обезличиваются (превращаются в непригодный для идентификации вид).
Место хранения: вся обработка и хранение персональных данных осуществляется на территории Российской Федерации. Электронные базы данных размещены в дата-центрах Яндекс.Cloud, находящихся в РФ (сертификаты соответствия требованиям локализации данных в РФ). Оператор не переносит персональные данные Пользователей за границу своими силами.
Передача внутри Оператора: доступ к персональным данным имеют только ИП Абдуллин М.Р. и привлечённые им сотрудники или специалисты (в настоящее время услуги оказываются силами Оператора без штата). При привлечении сторонних исполнителей к обработке с ними заключается соглашение о неразглашении, и доступ даётся только тем, кому он необходим (принцип ограниченного доступа).
Уничтожение и обезличивание: при достижении целей обработки или по отзыву согласия (если иного правового основания нет) персональные данные подлежат уничтожению. Электронное уничтожение производится удалением записей из баз с невозможностью восстановления; уничтожение на бумаге – путем физического уничтожения (сжигание, шредирование) и составления акта уничтожения. Оператор вправе обезличить данные (удалить указатели на субъектов) и использовать их в обобщённой статистике и исследованиях без ограничения по времени.
Трансграничная передача: Оператор не осуществляет сознательную передачу персональных данных в иностранные государства. Все основные операции с данными происходят в пределах РФ. Однако Пользователь должен учитывать, что при использовании некоторых сервисов (например, Telegram) данные могут технически храниться и на иностранных серверах. Если для Пользователя критично исключить любую трансграничную передачу, рекомендуется использовать каналы связи с российским хостингом (например, электронную почту на российских сервисах). Оператор открыт к обсуждению альтернативных способов обмена данными в таких случаях.
Передача персональных данных третьим лицам
Оператор не передаёт персональные данные Пользователей третьим лицам, за исключением следующих случаев:
Для оказания услуг Пользователю: некоторые контрагенты Оператора, участвующие в технической реализации сервиса, могут обрабатывать персональные данные по поручению Оператора. Например, АО «Яндекс.Cloud» (облачная платформа) технически имеет доступ к хранимым данным; платёжные провайдеры (ЮKassa, банки) обрабатывают персональные данные плательщика при онлайн-оплате; почтовые службы и мессенджеры видят адреса для доставки писем. Все такие контрагенты действуют на основании договоров или оферт, предусматривающих конфиденциальность и защиту данных, и не используют информацию в иных целях.
По закону: персональные данные могут быть переданы без согласия Пользователя уполномоченным государственным органам (судам, правоохранительным органам, налоговой службе, Пенсионному фонду и др.) в случаях, прямо предусмотренных законодательством. Такая передача осуществляется по официальному запросу в пределах его полномочий. Оператор проверяет законность запроса и передает только необходимую информацию.
При реорганизации бизнеса: если Оператор решит продать или передать свой бизнес (в частности, сервис аналитических дашбордов) другому лицу, персональные данные Пользователей могут стать частью передаваемых активов. В таком случае новый собственник принимает на себя все обязательства по защите этих данных, а Пользователи будут заблаговременно уведомлены о смене оператора персональных данных. Пользователь сможет отказаться от услуг у нового оператора, если не согласен с условиями.
По согласию Пользователя: Оператор может передать персональные данные третьим лицам, если на это получено явное, информированное и конкретное согласие Пользователя. Например, по просьбе Пользователя Оператор может предоставить результаты аналитики привлечённому консультанту или агенту. Такое согласие оформляется отдельно.
Обезличенные данные: передача обезличенных (анонимизированных) данных, из которых нельзя определить конкретного Пользователя, не считается передачей персональных данных в правовом смысле и может осуществляться свободно (например, обобщённая статистика рынка без указания конкретных магазинов).
Оператор ни при каких условиях не продаёт и не передаёт персональные данные Пользователей в коммерческих целях (для рекламы или рассылок третьим лицам). Данные не размещаются в открытом доступе. Обмен персональными данными с партнёрами (например, IT-разработчиками, консультантами) может происходить лишь при оформлении поручения на обработку, при котором партнёр выступает обработчиком на стороне Оператора и не получает самостоятельных прав на использование данных. Все передаваемые третьим лицам контрагенты обязаны соблюдать меры по защите и конфиденциальности в соответствии с договором.
Права субъектов персональных данных
Субъект персональных данных (Пользователь) вправе реализовывать свои права, предусмотренные ФЗ-152:
Право доступа: получать у Оператора информацию о том, обрабатываются ли его персональные данные, и, если да, доступ к сведениям о правовых основаниях и целях обработки, перечне обрабатываемых персональных данных, источнике их получения, сроках обработки (включая сроки хранения), способах и фактах передачи данных третьим лицам и др. Оператор обязан предоставить запрошенную информацию Пользователю в доступной форме не позднее 30 дней с момента получения письменного запроса.
Право на уточнение: требовать от Оператора уточнения, обновления, исправления неточных или неполных персональных данных. Например, если у Пользователя сменился номер телефона, он может сообщить новый номер, и Оператор внесёт изменение; если были допущены опечатки в ФИО, Пользователь указывает верный вариант.
Право на отзыв согласия: отозвать своё согласие на обработку персональных данных в любой момент. Отзыв согласия не влияет на законность обработки, осуществлённой до его момента. После получения отзыва Оператор прекращает обработку данных, обрабатываемых только на основании согласия, и уничтожает их при отсутствии иных правовых оснований (при условии, что это не препятствует исполнению обязательств по закону или Договору).
Право на блокирование и удаление: требовать временного прекращения обработки («блокирования») или удаления своих персональных данных, если они обработаны незаконно, устарели, являются избыточными или более не нужны для целей обработки, а также в других случаях, предусмотренных законом. Оператор обязан выполнить блокирование или уничтожение данных и уведомить Пользователя о результатах.
Право на возражение: возражать против обработки своих персональных данных, если она ведётся на основании законных интересов Оператора или третьих лиц и Пользователь считает, что его права нарушаются. В таком случае Оператор приостанавливает соответствующую обработку, если не сможет доказать наличие преобладающих законных оснований продолжать её.
Право на обжалование: обжаловать в уполномоченный орган (Роскомнадзор) и/или в судебном порядке незаконные действия или бездействие Оператора при обработке персональных данных. При этом Пользователь может сначала обратиться к Оператору напрямую (посредством указанной ниже контактной информации) для разрешения проблемы.
Для реализации своих прав субъект направляет соответствующий запрос Оператору. Запрос должен содержать ФИО субъекта, данные документа, удостоверяющего личность, суть требования и личную подпись (или иной аналог подписи при электронном обращении). Запрос может быть направлен почтой на адрес регистрации Оператора (Челябинская область, по нему же указан контактный адрес) или электронно на адрес Оператора. Оператор рассматривает запрос не позднее 30 дней со дня его получения и направляет ответ Пользователю в той форме, в которой поступил запрос, или иной, указанной субъектом.
Оператор может отказать в удовлетворении требований Пользователя в случаях, установленных законодательством (например, если запрашиваемые данные являются служебной или коммерческой тайной Оператора, или если данные должны храниться по закону). При отказе Оператор указывает причину отказа и ссылается на соответствующие нормы закона.
Субъект персональных данных вправе получать информацию о своих данных, требовать их уточнения, блокирования или уничтожения, а также возражать против их обработки и обжаловать действия оператора. Эти права реализуются в соответствии с ФЗ-152 и другими нормативными актами РФ.
Меры по обеспечению безопасности персональных данных
Оператор принимает комплекс правовых, организационных и технических мер для защиты персональных данных Пользователей и предотвращения несанкционированного доступа, утечки, изменения или уничтожения данных:
Правовые меры: Оператор разработал и утвердил Политику обработки персональных данных, регламентирующую порядок работы с данными. При заключении договоров с контрагентами и сотрудниками (если будут) включаются обязательства о неразглашении персональных данных. Оператор доводит до сведения всех лиц с доступом к данным (в настоящее время только сам Оператор) требования законодательства о защите персональных данных и их обязанности по конфиденциальности.
Организационные меры: назначено ответственное лицо за ПД (ИП Абдуллин М.Р.). Ограничен круг лиц, имеющих доступ к персональным данным (принцип «минимума необходимых прав»). Электронные данные хранятся на защищённых серверах Yandex.Cloud под управлением Оператора; бумажные документы (при их наличии) – в запираемых шкафах/сейфах. Регулярно проводятся резервное копирование и тестирование системы восстановления данных (резервные копии зашифрованы и хранятся в изолированном хранилище). Периодически осуществляется аудит мер защиты, и при необходимости меры корректируются.
Технические меры: на рабочих устройствах Оператора установлено антивирусное ПО и настроены межсетевые экраны. Все соединения между компонентами системы защищены протоколами TLS (HTTPS для доступа к DataLens, TLS при подключении к ClickHouse и сервисам маркетплейсов), что предотвращает перехват данных. Конфиденциальная информация (например, API-ключи, пароли) хранится с применением криптографических средств (например, с помощью KMS Яндекс.Cloud или специальных зашифрованных конфигурационных файлов). Доступ к инфраструктуре осуществляется по защищённым учётным записям Оператора (включена двухфакторная аутентификация). Доступ к дашбордам даётся Пользователю по уникальным токенизированным ссылкам; ответственность за сохранность таких ссылок лежит на Пользователе (см. Договор).
Логи и мониторинг: система ведёт логи основных действий (подключения к базе, выполненные запросы и т.п.), которые периодически анализируются Оператором на предмет подозрительной активности. Это позволяет своевременно обнаруживать попытки несанкционированного доступа.
Обновление ПО: Оператор следит за своевременным обновлением программного обеспечения (ClickHouse, DataLens, операционные системы) с установленными актуальными патчами безопасности. Поставщик облака (Yandex.Cloud) также регулярно обновляет свою инфраструктуру и устраняет уязвимости.
Инцидент-менеджмент: в случае выявления несанкционированного доступа к персональным данным Оператор незамедлительно перекрывает уязвимые каналы (смена паролей, отключение скомпрометированных сервисов и т.п.), оценивает масштабы инцидента, восстанавливает целостность и, если требуется по закону, уведомляет Роскомнадзор и самих Пользователей об инциденте. Затем Оператор анализирует причины утечки и усиливает меры защиты во избежание повторения.
Конфиденциальность: все сведения о персональных данных Пользователей являются строго конфиденциальными (за исключением данных, сделанных Пользователем общедоступными). Оператор обеспечивает коммерческую тайну в отношении таких данных. Любые привлечённые в будущем сотрудники или подрядчики будут обязаны подписать соглашения о неразглашении и пройдут обучение по правилам обработки персональных данных.
Оператор принимает все необходимые организационные и технические меры для обеспечения безопасности персональных данных и их защиты.
Заключительные положения
Настоящая Политика является локальным нормативным актом Оператора. Она вступает в силу с указанной даты (27.06.2025) и действует до замены новой редакцией. Оператор вправе в любое время вносить изменения в Политику. Новая редакция утверждается распоряжением Оператора и становится обязательной с момента её опубликования (например, на сайте или рассылкой по контактам пользователей), если иное не предусмотрено законодательством.
Если изменения в Политике затрагивают существенные права или обязанности Пользователей (например, расширяют перечень обрабатываемых данных или целей обработки), Оператор уведомит об этом действующих Пользователей индивидуально (по email или через мессенджер) не позднее чем за 10 дней до вступления изменений в силу. Если Пользователь продолжает пользоваться услугами после введения изменений, это означает его согласие с новой редакцией Политики.
Пользователь может в любой момент направить Оператору вопросы или запросы, связанные с настоящей Политикой или обработкой персональных данных. Для этого можно использовать контактные данные Оператора (почтовый адрес места регистрации или email из реквизитов). Настоящая Политика разработана на русском языке. В случае перевода документа на другие языки приоритет имеет русский текст. В части, не урегулированной настоящей Политикой, Оператор руководствуется требованиями ФЗ-152 и соответствующих подзаконных актов, а также условиями Договора оферты (при противоречии приоритетнее положения Политики, если только Договор не содержит специальных более строгих правил о персональных данных). Политика утверждена ИП Абдуллиным М.Р. приказом от 27.06.2025 и действует до принятия новой редакции.
Контактные данные Оператора: почтовый адрес регистрации (Челябинская обл.) и электронная почта, указанные в реквизитах Договора оферты. Пользователь может обратиться по ним для реализации своих прав или получения разъяснений.
Настоящая Политика конфиденциальности и обработки персональных данных разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и иными нормативными правовыми актами РФ, определяет позицию и действия Индивидуального предпринимателя Абдуллина Марселя Ряжаповича (ИНН 743809227622, ОГРНИП 325745600078384, далее – «Оператор») в отношении обработки и защиты персональных данных пользователей сервиса. Принятие Пользователем условий Договора (публичной оферты) и передача своих персональных данных Оператору означают согласие Пользователя с данной Политикой и на обработку данных на изложенных условиях.
В настоящей Политике используются основные термины и определения Федерального закона №152-ФЗ. Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. Обработка персональных данных — любое действие (операция) с персональными данными (сбор, запись, систематизация, хранение, использование, обезличивание, блокирование, уничтожение и т.п.). Оператор является оператором персональных данных по смыслу ФЗ-152 и организует их обработку на законной и справедливой основе, соблюдая принципы минимизации и защиты данных.
Обрабатываемые персональные данные
Оператор обрабатывает следующие категории персональных данных Пользователей:
Данные, предоставляемые непосредственно Пользователем: при регистрации через Telegram-бот пользователь предоставляет свой идентификатор аккаунта Telegram (Telegram ID) и адрес электронной почты (для подтверждения авторизации). По желанию могут указываться ФИО. При добавлении нового кабинета маркетплейса Пользователь передаёт API-ключ (токен) своего аккаунта на Wildberries, Ozon и т.д. При формировании счёта на оплату Пользователь сообщает реквизиты юридического лица (наименование, ИНН, КПП, юридический адрес, email, телефон), которым будет выставлен счёт. Эти данные передаются добровольно при заключении Договора и используются для идентификации и оказания услуг.
Данные для доступа к внешним системам: уникальные API-ключи, токены, идентификаторы сессий и др., передаваемые Пользователем для подключения к его аккаунтам на маркетплейсах. Оператор хранит их конфиденциально и использует только для автоматизированного получения данных с площадок; ключи не передаются третьим лицам и хранятся в зашифрованном виде.
Данные, собираемые автоматически через API: сведения, получаемые Оператором с маркетплейсов по предоставленным ключам. К ним относятся ассортимент товаров, остатки, цены; данные о заказах и продажах (количество, суммы, даты, статусы); статистика просмотров, показов товаров; информация о возвратах, рейтингах, отзывах и т.п. Эти данные принадлежат аккаунту Пользователя, однако могут содержать персональные данные (например, если в профиле продавца указан контактный сотрудник или ответственный). Оператор обрабатывает их с соблюдением конфиденциальности и исключительно в целях аналитики.
Переписка и коммуникации: любые персональные данные, которые Пользователь укажет в переписке с Оператором (сообщения в Telegram, письма по email, телефонные разговоры). Это могут быть дополнительные контактные лица, уточнения реквизитов, адресов и пр. Оператор сохраняет историю общения в исходном виде и при необходимости обеспечивает защиту содержащихся там данных.
Технические данные: при доступе к дашборду автоматически фиксируются дата и время доступа, IP-адрес, тип устройства и браузера, объём переданных данных и др. Эти технические сведения сами по себе не предназначены для идентификации личности, однако при совокупности с другими данными могут считаться персональными. Оператор не использует эти данные для идентификации Пользователя и не объединяет их с остальными личными данными.
Иная информация: при необходимости и с согласия Пользователя могут обрабатываться дополнительные сведения (например, информация о составе штата, описания логистики и т.п.), которые Пользователь предоставляет Оператору добровольно. Эти данные используются только для оказания запрошенной услуги и с соблюдением конфиденциальности.
Особые категории данных: Оператор не запрашивает и не обрабатывает специальные категории персональных данных (сведения о расовой/национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, биометрические данные и т.п.). Пользователь не должен предоставлять такие данные. Если они каким-либо образом поступили (например, упомянуты в переписке), Оператор не будет их использовать и хранить целенаправленно.
Данные третьих лиц: некоторые полученные через API сведения могут содержать информацию о третьих лицах (например, данные о покупателях товаров Пользователя — имена, адреса доставки; о сотрудниках Пользователя — контактные лица в аккаунте маркетплейса). Оператор обрабатывает такие данные только по поручению Пользователя, как оператор на стороне Пользователя, и не использует их вне рамок требуемой аналитики. Пользователь гарантирует, что имеет законные основания для передачи таких данных Оператору (согласие субъектов или необходимость для исполнения договоров с ними).
Минимизация данных: Оператор соблюдает принцип минимизации: запрашиваются и обрабатываются только те персональные данные, которые необходимы для заявленных целей. Пользователь вправе не предоставлять часть информации, но должен понимать, что отказ от обязательных данных может ограничить возможности оказания услуги (например, без реквизитов невозможно выписать счёт).
Цели обработки персональных данных
Персональные данные Пользователя обрабатываются Оператором исключительно для конкретных, заранее определённых и законных целей. Основные цели обработки:
Предоставление услуг: Оператор использует персональные данные для идентификации Заказчика, настройки и предоставления индивидуального доступа к аналитическому дашборду, загрузки и обновления данных с аккаунтов Пользователя на маркетплейсах и формирования отчётов. ФИО и контактная информация нужны для связи и обратной связи, API-ключ – для получения данных, а полученная аналитика – для оформления отчётов. Без этих данных Оператор не сможет качественно исполнить свои обязательства по Договору.
Взаимодействие с Пользователем: контактные данные (телефон, мессенджер, email) обрабатываются для коммуникации: отправки уведомлений о готовности доступа, сообщении об обновлениях, консультирования, ответа на вопросы поддержки, согласования технических моментов, информирования о сроках подписки, выставления счётов и т.д. Общение через Telegram предполагает использование персональных данных аккаунта (например, никнейма и ID).
Финансово-бухгалтерские цели: обработка реквизитов Пользователя (ФИО, адрес, ИНН/КПП, реквизиты банковского счёта и др.) проводится для оформления счетов, актов и других бухгалтерских документов, проведения расчётов и учёта оплат. Эти данные используются строго в соответствии с законодательством о бухгалтерском учёте и налогах (например, указание ИНН и адреса в счетах, ФИО в кассовых чеках и т.д.).
Улучшение качества сервиса: анализ обезличенных данных и статистики их обработки (анонимные логи, типичные запросы Пользователей, выявленные ошибки) помогает улучшать функционал и инструкции. При этом Оператор не использует индивидуальные персональные данные пользователей для маркетинговых исследований или продаж без отдельного согласия – обрабатываются только обобщённые сведения (например, наиболее запрашиваемые показатели, среднее время обновления и т.п.).
Информирование о нововведениях: при наличии согласия Пользователя Оператор может отправлять уведомления о новых продуктах или функциях сервиса, специальных предложениях и т.п., если они могут быть полезны Пользователю. Например, Оператор может сообщить клиентам о добавлении нового маркетплейса для аналитики. Пользователь в любой момент вправе отказаться от таких рассылок (достаточно уведомить Оператора).
Исполнение требований закона: обработка и хранение персональных данных в объёме, необходимом для исполнения требований законодательства РФ: предоставление сведений по официальным запросам государственных органов (суды, правоохранительные органы, налоговая служба, Пенсионный фонд и др.), ведение бухгалтерских документов (счета, акты) и их хранение в течение установленных сроков (обычно 5 лет), а также локализация баз данных на территории РФ в соответствии со ст.18 ФЗ-152. Например, при получении законного запроса Оператор обязан передать запрошенные данные в установленные сроки.
Защита прав Оператора: в случае возникновения споров или проверок Оператор может обрабатывать персональные данные в объёме, необходимом для защиты своих прав и законных интересов (например, сохранять переписку, логи доступа, платежные документы), чтобы подтвердить факты оказания услуг, оплаты, уведомлений и т.п.
Оператор не обрабатывает персональные данные Пользователей в целях, не указанных выше. Обработка данных для иной цели допускается только при повторном получении согласия пользователя или наличии иного законного основания. Решения, затрагивающие права пользователя (например, отказ в оказании услуги), не принимаются автоматически без участия человека.
Правовые основания обработки
Оператор обрабатывает персональные данные Пользователей на легальных основаниях, предусмотренных ст. 6 ФЗ-152:
Согласие субъекта персональных данных: предоставление данных и акцепт публичной оферты считаются добровольным и информированным согласием Пользователя на обработку его данных. Для некоторых целей (рассылка рекламы, публикация отзывов и др.) Оператор может запросить отдельное письменное согласие.
Исполнение договора: обработка необходима для исполнения публичной оферты и предоставления услуг. Поскольку Пользователь является стороной Договора с Оператором, его персональные данные (контакты, данные маркетплейсов, реквизиты и т.п.) требуются для оказания услуг, что и является законным основанием их обработки.
Требования закона: обработка и хранение данных в объёме, предписанном законодательством (например, налоговым и бухгалтерским кодексам, законам о бухучёте, об архивах, о противодействии коррупции и др.). Это включает внесение реквизитов в счета/акты, хранение документов в течение установленных сроков, выполнение требований ФЗ-152 по локализации данных, а также передачу персональных данных по законным запросам государственных органов.
Иные основания: другие случаи, предусмотренные ФЗ-152 (например, для защиты жизни и здоровья, для осуществления прав и законных интересов Оператора или третьих лиц при условии, что не нарушаются права субъекта, для выполнения судопроизводства и др.). Оператор может обрабатывать данные на этих основаниях, если они применимы.
Оператор не обрабатывает биометрические данные Пользователей. Файлы cookie не используются Оператором на собственном сайте (кроме технических cookies сервисов Яндекса при работе дашборда, о чём Пользователь уведомляется отдельно, поскольку DataLens регулируется соглашением Яндекс). Пользователь вправе отозвать своё согласие на обработку персональных данных в любой момент, направив запрос Оператору (см. раздел Права субъекта). В случае отзыва согласия на обработку данных, необходимых для исполнения Договора, Оператор будет вынужден приостановить или прекратить оказание услуг.
Условия и способы обработки персональных данных
Обработка персональных данных осуществляется Оператором смешанным способом – как автоматизировано (с использованием информационных систем на базе Yandex.Cloud, серверов ClickHouse, Яндекс.DataLens и др.), так и без использования средств автоматизации (оформление бумажных документов, ведение журналов и т.п.). При сборе данных Оператор ограничивается минимально необходимым объёмом. Оператор обычно получает данные непосредственно от субъекта (через переписку или заполненные реквизиты). При необходимости Оператор может проверять корректность сведений (например, уточнить информацию у Пользователя или проверить ИНН по открытым базам).
Собранные данные хранятся либо на электронных носителях в инфраструктуре, подконтрольной Оператору (серверы Yandex.Cloud, зашифрованные базы данных), либо на бумажных носителях, доступных только Оператору (закрытые архивы).
Сроки хранения: персональные данные хранятся в форме, позволяющей определить Пользователя, не дольше, чем этого требуют цели обработки:
Данные учётной записи (контакты, информация о подписке) хранятся на протяжении срока действия Договора и до 3 лет после его окончания (для возможного восстановления услуг и защиты прав).
Переписка, история взаимодействия и служебные документы (счета, акты) – не менее 3 лет после завершения соответствующей работы или взаимодействия (либо пока они имеют юридическую значимость).
API-ключи и учетные данные маркетплейсов хранятся до прекращения оказания услуг и аннулируются по окончании работы. Оператор рекомендует Пользователю отозвать ключ на стороне маркетплейса после завершения сотрудничества.
Собранные аналитические данные (с момента подключения аккаунта) хранятся для обеспечения полноты аналитики (обычно на протяжении всего периода сотрудничества). После завершения услуг данные могут быть обезличены и использованы только в статистических целях или удалены по требованию Пользователя, если нет законных оснований на их хранение.
Бухгалтерские документы (счета, акты) хранятся не менее 5 лет со следующего года после даты оформления, во исполнение требований бухучёта и налогового законодательства.
По истечении установленных сроков персональные данные уничтожаются (удаляются из баз данных, после чего восстановление невозможно) либо обезличиваются (превращаются в непригодный для идентификации вид).
Место хранения: вся обработка и хранение персональных данных осуществляется на территории Российской Федерации. Электронные базы данных размещены в дата-центрах Яндекс.Cloud, находящихся в РФ (сертификаты соответствия требованиям локализации данных в РФ). Оператор не переносит персональные данные Пользователей за границу своими силами.
Передача внутри Оператора: доступ к персональным данным имеют только ИП Абдуллин М.Р. и привлечённые им сотрудники или специалисты (в настоящее время услуги оказываются силами Оператора без штата). При привлечении сторонних исполнителей к обработке с ними заключается соглашение о неразглашении, и доступ даётся только тем, кому он необходим (принцип ограниченного доступа).
Уничтожение и обезличивание: при достижении целей обработки или по отзыву согласия (если иного правового основания нет) персональные данные подлежат уничтожению. Электронное уничтожение производится удалением записей из баз с невозможностью восстановления; уничтожение на бумаге – путем физического уничтожения (сжигание, шредирование) и составления акта уничтожения. Оператор вправе обезличить данные (удалить указатели на субъектов) и использовать их в обобщённой статистике и исследованиях без ограничения по времени.
Трансграничная передача: Оператор не осуществляет сознательную передачу персональных данных в иностранные государства. Все основные операции с данными происходят в пределах РФ. Однако Пользователь должен учитывать, что при использовании некоторых сервисов (например, Telegram) данные могут технически храниться и на иностранных серверах. Если для Пользователя критично исключить любую трансграничную передачу, рекомендуется использовать каналы связи с российским хостингом (например, электронную почту на российских сервисах). Оператор открыт к обсуждению альтернативных способов обмена данными в таких случаях.
Передача персональных данных третьим лицам
Оператор не передаёт персональные данные Пользователей третьим лицам, за исключением следующих случаев:
Для оказания услуг Пользователю: некоторые контрагенты Оператора, участвующие в технической реализации сервиса, могут обрабатывать персональные данные по поручению Оператора. Например, АО «Яндекс.Cloud» (облачная платформа) технически имеет доступ к хранимым данным; платёжные провайдеры (ЮKassa, банки) обрабатывают персональные данные плательщика при онлайн-оплате; почтовые службы и мессенджеры видят адреса для доставки писем. Все такие контрагенты действуют на основании договоров или оферт, предусматривающих конфиденциальность и защиту данных, и не используют информацию в иных целях.
По закону: персональные данные могут быть переданы без согласия Пользователя уполномоченным государственным органам (судам, правоохранительным органам, налоговой службе, Пенсионному фонду и др.) в случаях, прямо предусмотренных законодательством. Такая передача осуществляется по официальному запросу в пределах его полномочий. Оператор проверяет законность запроса и передает только необходимую информацию.
При реорганизации бизнеса: если Оператор решит продать или передать свой бизнес (в частности, сервис аналитических дашбордов) другому лицу, персональные данные Пользователей могут стать частью передаваемых активов. В таком случае новый собственник принимает на себя все обязательства по защите этих данных, а Пользователи будут заблаговременно уведомлены о смене оператора персональных данных. Пользователь сможет отказаться от услуг у нового оператора, если не согласен с условиями.
По согласию Пользователя: Оператор может передать персональные данные третьим лицам, если на это получено явное, информированное и конкретное согласие Пользователя. Например, по просьбе Пользователя Оператор может предоставить результаты аналитики привлечённому консультанту или агенту. Такое согласие оформляется отдельно.
Обезличенные данные: передача обезличенных (анонимизированных) данных, из которых нельзя определить конкретного Пользователя, не считается передачей персональных данных в правовом смысле и может осуществляться свободно (например, обобщённая статистика рынка без указания конкретных магазинов).
Оператор ни при каких условиях не продаёт и не передаёт персональные данные Пользователей в коммерческих целях (для рекламы или рассылок третьим лицам). Данные не размещаются в открытом доступе. Обмен персональными данными с партнёрами (например, IT-разработчиками, консультантами) может происходить лишь при оформлении поручения на обработку, при котором партнёр выступает обработчиком на стороне Оператора и не получает самостоятельных прав на использование данных. Все передаваемые третьим лицам контрагенты обязаны соблюдать меры по защите и конфиденциальности в соответствии с договором.
Права субъектов персональных данных
Субъект персональных данных (Пользователь) вправе реализовывать свои права, предусмотренные ФЗ-152:
Право доступа: получать у Оператора информацию о том, обрабатываются ли его персональные данные, и, если да, доступ к сведениям о правовых основаниях и целях обработки, перечне обрабатываемых персональных данных, источнике их получения, сроках обработки (включая сроки хранения), способах и фактах передачи данных третьим лицам и др. Оператор обязан предоставить запрошенную информацию Пользователю в доступной форме не позднее 30 дней с момента получения письменного запроса.
Право на уточнение: требовать от Оператора уточнения, обновления, исправления неточных или неполных персональных данных. Например, если у Пользователя сменился номер телефона, он может сообщить новый номер, и Оператор внесёт изменение; если были допущены опечатки в ФИО, Пользователь указывает верный вариант.
Право на отзыв согласия: отозвать своё согласие на обработку персональных данных в любой момент. Отзыв согласия не влияет на законность обработки, осуществлённой до его момента. После получения отзыва Оператор прекращает обработку данных, обрабатываемых только на основании согласия, и уничтожает их при отсутствии иных правовых оснований (при условии, что это не препятствует исполнению обязательств по закону или Договору).
Право на блокирование и удаление: требовать временного прекращения обработки («блокирования») или удаления своих персональных данных, если они обработаны незаконно, устарели, являются избыточными или более не нужны для целей обработки, а также в других случаях, предусмотренных законом. Оператор обязан выполнить блокирование или уничтожение данных и уведомить Пользователя о результатах.
Право на возражение: возражать против обработки своих персональных данных, если она ведётся на основании законных интересов Оператора или третьих лиц и Пользователь считает, что его права нарушаются. В таком случае Оператор приостанавливает соответствующую обработку, если не сможет доказать наличие преобладающих законных оснований продолжать её.
Право на обжалование: обжаловать в уполномоченный орган (Роскомнадзор) и/или в судебном порядке незаконные действия или бездействие Оператора при обработке персональных данных. При этом Пользователь может сначала обратиться к Оператору напрямую (посредством указанной ниже контактной информации) для разрешения проблемы.
Для реализации своих прав субъект направляет соответствующий запрос Оператору. Запрос должен содержать ФИО субъекта, данные документа, удостоверяющего личность, суть требования и личную подпись (или иной аналог подписи при электронном обращении). Запрос может быть направлен почтой на адрес регистрации Оператора (Челябинская область, по нему же указан контактный адрес) или электронно на адрес Оператора. Оператор рассматривает запрос не позднее 30 дней со дня его получения и направляет ответ Пользователю в той форме, в которой поступил запрос, или иной, указанной субъектом.
Оператор может отказать в удовлетворении требований Пользователя в случаях, установленных законодательством (например, если запрашиваемые данные являются служебной или коммерческой тайной Оператора, или если данные должны храниться по закону). При отказе Оператор указывает причину отказа и ссылается на соответствующие нормы закона.
Субъект персональных данных вправе получать информацию о своих данных, требовать их уточнения, блокирования или уничтожения, а также возражать против их обработки и обжаловать действия оператора. Эти права реализуются в соответствии с ФЗ-152 и другими нормативными актами РФ.
Меры по обеспечению безопасности персональных данных
Оператор принимает комплекс правовых, организационных и технических мер для защиты персональных данных Пользователей и предотвращения несанкционированного доступа, утечки, изменения или уничтожения данных:
Правовые меры: Оператор разработал и утвердил Политику обработки персональных данных, регламентирующую порядок работы с данными. При заключении договоров с контрагентами и сотрудниками (если будут) включаются обязательства о неразглашении персональных данных. Оператор доводит до сведения всех лиц с доступом к данным (в настоящее время только сам Оператор) требования законодательства о защите персональных данных и их обязанности по конфиденциальности.
Организационные меры: назначено ответственное лицо за ПД (ИП Абдуллин М.Р.). Ограничен круг лиц, имеющих доступ к персональным данным (принцип «минимума необходимых прав»). Электронные данные хранятся на защищённых серверах Yandex.Cloud под управлением Оператора; бумажные документы (при их наличии) – в запираемых шкафах/сейфах. Регулярно проводятся резервное копирование и тестирование системы восстановления данных (резервные копии зашифрованы и хранятся в изолированном хранилище). Периодически осуществляется аудит мер защиты, и при необходимости меры корректируются.
Технические меры: на рабочих устройствах Оператора установлено антивирусное ПО и настроены межсетевые экраны. Все соединения между компонентами системы защищены протоколами TLS (HTTPS для доступа к DataLens, TLS при подключении к ClickHouse и сервисам маркетплейсов), что предотвращает перехват данных. Конфиденциальная информация (например, API-ключи, пароли) хранится с применением криптографических средств (например, с помощью KMS Яндекс.Cloud или специальных зашифрованных конфигурационных файлов). Доступ к инфраструктуре осуществляется по защищённым учётным записям Оператора (включена двухфакторная аутентификация). Доступ к дашбордам даётся Пользователю по уникальным токенизированным ссылкам; ответственность за сохранность таких ссылок лежит на Пользователе (см. Договор).
Логи и мониторинг: система ведёт логи основных действий (подключения к базе, выполненные запросы и т.п.), которые периодически анализируются Оператором на предмет подозрительной активности. Это позволяет своевременно обнаруживать попытки несанкционированного доступа.
Обновление ПО: Оператор следит за своевременным обновлением программного обеспечения (ClickHouse, DataLens, операционные системы) с установленными актуальными патчами безопасности. Поставщик облака (Yandex.Cloud) также регулярно обновляет свою инфраструктуру и устраняет уязвимости.
Инцидент-менеджмент: в случае выявления несанкционированного доступа к персональным данным Оператор незамедлительно перекрывает уязвимые каналы (смена паролей, отключение скомпрометированных сервисов и т.п.), оценивает масштабы инцидента, восстанавливает целостность и, если требуется по закону, уведомляет Роскомнадзор и самих Пользователей об инциденте. Затем Оператор анализирует причины утечки и усиливает меры защиты во избежание повторения.
Конфиденциальность: все сведения о персональных данных Пользователей являются строго конфиденциальными (за исключением данных, сделанных Пользователем общедоступными). Оператор обеспечивает коммерческую тайну в отношении таких данных. Любые привлечённые в будущем сотрудники или подрядчики будут обязаны подписать соглашения о неразглашении и пройдут обучение по правилам обработки персональных данных.
Оператор принимает все необходимые организационные и технические меры для обеспечения безопасности персональных данных и их защиты.
Заключительные положения
Настоящая Политика является локальным нормативным актом Оператора. Она вступает в силу с указанной даты (27.06.2025) и действует до замены новой редакцией. Оператор вправе в любое время вносить изменения в Политику. Новая редакция утверждается распоряжением Оператора и становится обязательной с момента её опубликования (например, на сайте или рассылкой по контактам пользователей), если иное не предусмотрено законодательством.
Если изменения в Политике затрагивают существенные права или обязанности Пользователей (например, расширяют перечень обрабатываемых данных или целей обработки), Оператор уведомит об этом действующих Пользователей индивидуально (по email или через мессенджер) не позднее чем за 10 дней до вступления изменений в силу. Если Пользователь продолжает пользоваться услугами после введения изменений, это означает его согласие с новой редакцией Политики.
Пользователь может в любой момент направить Оператору вопросы или запросы, связанные с настоящей Политикой или обработкой персональных данных. Для этого можно использовать контактные данные Оператора (почтовый адрес места регистрации или email из реквизитов). Настоящая Политика разработана на русском языке. В случае перевода документа на другие языки приоритет имеет русский текст. В части, не урегулированной настоящей Политикой, Оператор руководствуется требованиями ФЗ-152 и соответствующих подзаконных актов, а также условиями Договора оферты (при противоречии приоритетнее положения Политики, если только Договор не содержит специальных более строгих правил о персональных данных). Политика утверждена ИП Абдуллиным М.Р. приказом от 27.06.2025 и действует до принятия новой редакции.
Контактные данные Оператора: почтовый адрес регистрации (Челябинская обл.) и электронная почта, указанные в реквизитах Договора оферты. Пользователь может обратиться по ним для реализации своих прав или получения разъяснений.
