Политика конфиденциальности

Дата вступления в силу: 3 октября 2025 г.
Последнее обновление: 3 октября 2025 г.

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей сервиса «Метка» (далее — «Сервис»).

1.2. Оператором персональных данных является [Наименование юридического лица/ИП], ОГРН/ОГРНИП [номер], ИНН [номер], адрес: [юридический адрес] (далее — «Оператор»).

1.3. Обработка персональных данных осуществляется в соответствии с:

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральным законом от 21.07.2014 № 242-ФЗ (о локализации данных);
Постановлениями Правительства РФ № 1119 от 01.11.2012 и № 687 от 15.09.2008;
Иными нормативными правовыми актами Российской Федерации.

1.4. Оператор зарегистрирован в Реестре операторов персональных данных Роскомнадзора. Уведомление об обработке персональных данных подано в установленном порядке.

1.5. Используя Сервис, вы даёте своё согласие на обработку персональных данных на условиях, изложенных в настоящей Политике.

2. Определения и термины

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Обработка ПДн — любое действие (операция) или совокупность действий (операций) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Пользователь — физическое лицо, использующее Сервис и предоставившее свои персональные данные Оператору.

Субъект ПДн — физическое лицо, к которому относятся персональные данные.

3. Категории обрабатываемых персональных данных

3.1. Оператор обрабатывает следующие категории персональных данных:

А) Данные, предоставляемые при регистрации:

Адрес электронной почты (обязательно);
Пароль в хешированном виде (обязательно);
Номер телефона (опционально, для двухфакторной аутентификации и связи);
Фамилия, имя, отчество (опционально, при необходимости выставления документов).

Б) Данные для интеграции с ЕРИР/ОРД:

ИНН (индивидуальный номер налогоплательщика);
СНИЛС (страховой номер индивидуального лицевого счёта);
Токены доступа к API ОРД ВКонтакте (хранятся в зашифрованном виде с использованием AES-256-GCM).

Примечание: ИНН и СНИЛС не сохраняются в базе данных Сервиса, а передаются напрямую в API ОРД по защищённому каналу (HTTPS/TLS 1.3). Локально хранятся только зашифрованные токены доступа.

В) Технические данные:

IP-адрес (маскируется в логах, хранятся только первые 3 октета для статистики по регионам);
User-Agent (браузер, операционная система);
Cookies и локальное хранилище браузера (тема интерфейса, флаги просмотренных записей);
Данные сессии (session ID, дата/время входа, IP).

Г) Контент для анализа:

Тексты публикаций, изображения, видео, ссылки, загружаемые для проверки на наличие рекламы;
Результаты анализа (вердикт, уровень уверенности, признаки рекламы, цитаты из законодательства);
История запросов и анализов.

Примечание: Контент обрабатывается исключительно для выполнения анализа. Полные тексты и медиафайлы могут не сохраняться после завершения анализа (сохраняются только метаданные, хеш-суммы и результаты).

3.2. Оператор не обрабатывает специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ч. 1 ст. 10 152-ФЗ).

3.3. Оператор не обрабатывает биометрические персональные данные (ч. 1 ст. 11 152-ФЗ).

4. Цели обработки персональных данных

4.1. Персональные данные обрабатываются в следующих целях:

Регистрация и аутентификация Пользователя в Сервисе;
Предоставление доступа к функциям Сервиса (анализ публикаций, интеграция с ОРД, получение ERID, подача отчётности в ЕРИР);
Идентификация Пользователя при взаимодействии с API внешних сервисов (ОРД ВКонтакте, социальные сети);
Обеспечение технической поддержки и консультирование по вопросам использования Сервиса;
Выполнение финансовых операций (приём платежей, выставление счетов, актов выполненных работ);
Информирование о новых возможностях Сервиса, изменениях в законодательстве, обновлениях (при согласии Пользователя);
Аудит качества алгоритмов анализа, статистика и аналитика для улучшения Сервиса;
Соблюдение требований законодательства РФ (налоговое, бухгалтерское, антифрод).

4.2. Обработка персональных данных осуществляется на основании:

Согласия Пользователя (ч. 1 ст. 6 152-ФЗ);
Необходимости исполнения договора, стороной которого является Пользователь (ч. 5 ст. 6 152-ФЗ — предоставление услуг Сервиса);
Законных интересов Оператора (обеспечение безопасности, предотвращение мошенничества, улучшение качества услуг).

5. Правовые основания обработки персональных данных

5.1. Обработка персональных данных осуществляется при наличии хотя бы одного из следующих условий (ст. 6 152-ФЗ):

Субъект персональных данных дал согласие на обработку своих персональных данных;
Обработка необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей;
Обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
Обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

6. Способы и сроки обработки персональных данных

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования таких средств (смешанная обработка).

6.2. Персональные данные обрабатываются в течение следующих сроков:

Email, пароль, телефон: в течение всего срока использования Сервиса + 30 дней после удаления учётной записи;
ИНН, СНИЛС: не сохраняются локально, передаются напрямую в API ОРД;
Токены доступа к ОРД: до отзыва Пользователем или истечения срока действия;
Контент и результаты анализа: хранятся в течение 1 года с момента последнего анализа, либо до запроса Пользователя на удаление;
Финансовые документы (счета, акты): 5 лет с момента последнего действия (в соответствии с требованиями налогового законодательства);
Логи безопасности (IP, сессии): 6 месяцев.

6.3. По истечении сроков хранения персональные данные подлежат уничтожению, если иное не предусмотрено законодательством РФ.

7. Хранение и защита персональных данных

7.1. Все персональные данные хранятся на серверах, физически расположенных на территории Российской Федерации (дата-центры REG.RU).

7.2. Трансграничная передача персональных данных не осуществляется.

7.3. Оператор применяет следующие организационные и технические меры защиты:

Технические меры:

Шифрование передачи данных по протоколу HTTPS/TLS 1.3;
Хеширование паролей с использованием bcrypt (cost factor 12);
Шифрование токенов доступа к ОРД с использованием AES-256-GCM;
Планируется шифрование чувствительных колонок в PostgreSQL (pgcrypto) для email, телефона, ИНН, СНИЛС;
Маскирование персональных данных в логах (телефон, email, ИНН, СНИЛС);
Файрвол на уровне сервера и сети (UFW, ограничение доступа по IP);
Регулярные обновления программного обеспечения и патчи безопасности;
Изоляция сервисов (Docker, внутренние сети);
Антивирусное ПО и мониторинг аномальной активности;
Резервное копирование баз данных (ежедневно, шифрованные бэкапы).

Организационные меры:

Назначение ответственного за обработку персональных данных;
Разграничение доступа к персональным данным (принцип минимальных привилегий);
Внутренние регламенты и инструкции по работе с персональными данными;
Обучение персонала правилам обработки и защиты персональных данных;
Контроль и аудит действий с персональными данными;
Процедура реагирования на инциденты информационной безопасности (уведомление РКН в течение 24 часов при утечке).

7.4. Уровень защищённости информационной системы соответствует требованиям УЗ-4 (4-й уровень защищённости) согласно Приказу ФСТЭК России № 21 от 18.02.2013.

7.5. Доступ к персональным данным имеют только уполномоченные сотрудники Оператора, подписавшие соглашение о неразглашении конфиденциальной информации.

8. Передача персональных данных третьим лицам

8.1. Оператор не передаёт персональные данные Пользователей третьим лицам, за исключением следующих случаев:

ОРД ВКонтакте (ООО «ВКонтакте»): передача данных для получения ERID и подачи отчётности в ЕРИР (на основании согласия Пользователя и договора с ОРД). Передаются: ИНН, СНИЛС, токен доступа, данные о рекламных креативах.
Платёжные системы (Stripe, ЮKassa, Тинькофф и др.): передача минимально необходимых данных для обработки платежей (email, сумма платежа). Карточные данные напрямую Оператору не передаются, обработка ведётся в соответствии с стандартом PCI DSS на стороне платёжных систем.
Провайдеры аутентификации (ВКонтакте OAuth, Яндекс ID, Telegram Login):при использовании входа через социальные сети передаются email, имя, аватар в соответствии с политикой соответствующих сервисов.
Государственные органы: по официальным запросам в случаях, предусмотренных законодательством РФ (суд, прокуратура, налоговая, полиция, РКН).

8.2. Все третьи лица, получающие доступ к персональным данным, обязуются соблюдать конфиденциальность и обеспечивать защиту данных.

8.3. Оператор не продаёт, не обменивает и не передаёт персональные данные в маркетинговых целях.

9. Cookies и локальное хранилище браузера

9.1. Сервис использует cookies и локальное хранилище браузера (localStorage) для обеспечения работоспособности и удобства интерфейса.

9.2. Используемые технологии:

Сессионные cookies: для аутентификации пользователя (session ID, срок действия — до закрытия браузера или выхода из системы);
localStorage («theme»): сохранение предпочтений темы интерфейса (светлая/тёмная/системная). Не содержит персональных данных.
localStorage («analysis_viewed_ids»): локальная метка просмотренных записей анализа для удобства навигации. Не содержит персональных данных и не передаётся на сервер.

9.3. Пользователь может отключить cookies в настройках браузера, однако это может ограничить функциональность Сервиса (невозможность аутентификации).

9.4. Сторонние трекеры и аналитические системы (Google Analytics, Яндекс.Метрика и др.) не используются.

9.5. В будущем возможно внедрение self-hosted аналитики (Umami, Plausible) с анонимизацией IP и хостингом в РФ. В этом случае Политика будет обновлена.

10. Права субъектов персональных данных

10.1. В соответствии с 152-ФЗ Пользователь (субъект персональных данных) имеет право:

Получать информацию, касающуюся обработки его персональных данных (цели, способы, сроки, третьи лица);
Требовать уточнения, блокирования или удаления неточных, неполных, устаревших, незаконно полученных или не являющихся необходимыми персональных данных;
Отозвать согласие на обработку персональных данных (при этом Оператор вправе продолжить обработку в случаях, предусмотренных законом);
Получить копию своих персональных данных в структурированном, машиночитаемом формате (выгрузка в JSON/CSV);
Обжаловать действия или бездействие Оператора в Роскомнадзоре или в судебном порядке.

10.2. Для реализации своих прав Пользователь может направить запрос:

По электронной почте: privacy@metka.example.ru
Через форму обратной связи в личном кабинете Сервиса;
Письмом на юридический адрес Оператора (с пометкой «Персональные данные»).

10.3. Запрос должен содержать:

Фамилию, имя, отчество;
Контактные данные (email, телефон);
Суть запроса (уточнение, удаление, отзыв согласия и т.д.);
Документ, удостоверяющий личность (для подтверждения, что запрос направлен самим субъектом ПДн).

10.4. Срок рассмотрения запроса — не более 30 дней с момента получения. В сложных случаях срок может быть продлён ещё на 30 дней с уведомлением Пользователя.

11. Согласие на обработку персональных данных

11.1. Регистрируясь в Сервисе и отмечая чекбокс «Я принимаю Правила сервиса и Политику конфиденциальности», Пользователь даёт своё согласие на обработку персональных данных на условиях, изложенных в настоящей Политике.

11.2. Согласие считается данным на весь срок использования Сервиса.

11.3. Пользователь вправе в любой момент отозвать согласие, направив соответствующий запрос (см. п. 10.2). При отзыве согласия дальнейшее использование Сервиса становится невозможным, и учётная запись подлежит удалению.

11.4. Для отдельных целей (рассылка новостей, маркетинговые коммуникации) может запрашиваться дополнительное согласие через отдельный чекбокс или форму.

12. Обработка персональных данных несовершеннолетних

12.1. Сервис предназначен для лиц, достигших 18 лет.

12.2. Оператор не осуществляет целенаправленный сбор персональных данных несовершеннолетних без согласия их законных представителей.

12.3. Если Оператору станет известно, что персональные данные получены от лица младше 18 лет без надлежащего согласия законного представителя, такие данные будут удалены незамедлительно.

13. Обезличивание и статистика

13.1. Оператор вправе использовать обезличенные данные (не позволяющие идентифицировать конкретного Пользователя) для:

Статистического анализа и аналитики;
Улучшения алгоритмов анализа контента;
Исследовательских целей (изучение эффективности маркировки, паттернов рекламы);
Публикации агрегированной статистики (без указания персональных данных).

13.2. Обезличенные данные не являются персональными данными и могут обрабатываться без ограничений, установленных 152-ФЗ.

14. Инциденты информационной безопасности

14.1. В случае инцидента информационной безопасности, повлекшего несанкционированный доступ к персональным данным, Оператор обязуется:

Незамедлительно принять меры по локализации и устранению инцидента;
Уведомить Роскомнадзор в течение 24 часов с момента обнаружения инцидента (в соответствии с Постановлением Правительства РФ № 1119);
Уведомить затронутых Пользователей по электронной почте в течение 72 часов (если инцидент создаёт риск нарушения прав и свобод);
Принять дополнительные меры по усилению защиты персональных данных.

14.2. Оператор ведёт журнал инцидентов информационной безопасности и регулярно проводит аудит систем защиты.

15. Изменение Политики конфиденциальности

15.1. Оператор вправе в любой момент изменять настоящую Политику в одностороннем порядке.

15.2. Новая редакция Политики вступает в силу с момента её размещения на сайте Сервиса, если иной срок не указан в самой редакции.

15.3. Существенные изменения (затрагивающие цели обработки, третьих лиц, сроки хранения) доводятся до сведения Пользователей посредством уведомления по электронной почте не менее чем за 7 дней до вступления в силу.

15.4. Продолжение использования Сервиса после вступления в силу новой редакции Политики означает согласие Пользователя с изменениями.

15.5. Актуальная версия Политики всегда доступна по адресу: [URL сервиса]/privacy

16. Заключительные положения

16.1. Настоящая Политика составлена в соответствии с законодательством Российской Федерации.

16.2. Все споры, связанные с обработкой персональных данных, разрешаются в соответствии с законодательством РФ путём переговоров, а при недостижении согласия — в судебном порядке по месту нахождения Оператора.

16.3. Если какое-либо положение настоящей Политики будет признано недействительным, это не влияет на действительность остальных положений.

Контактная информация

Оператор персональных данных: [Наименование юридического лица/ИП]

Юридический адрес: [адрес]

ОГРН/ОГРНИП: [номер]

ИНН: [номер]

Уведомление о регистрации в реестре операторов ПДн РКН: [номер/дата]

Ответственный за обработку персональных данных:

Email: privacy@metka.example.ru

Телефон: +7 (___) ___-__-__

Почтовый адрес: [адрес для направления запросов о ПДн]

Техническая поддержка:

Email: support@metka.example.ru

Сайт: https://metka.example.ru

Используя Сервис «Метка», вы подтверждаете, что ознакомились с настоящей Политикой конфиденциальности и даёте согласие на обработку ваших персональных данных на изложенных условиях.