ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
[Полное наименование организации] (далее — Оператор) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о ПДн), с изменениями, внесёнными в том числе Федеральным законом от 24.06.2025 № 156-ФЗ, публикует настоящую Политику в отношении обработки персональных данных (далее — Политика).12
1. Общие положения
1.1. Настоящая Политика определяет цели, основания, порядок и условия обработки персональных данных субъектов, использующих платформу Ametaverse (далее — Платформа), расположенную по адресу: [домен платформы].
1.2. Политика распространяется на:
- лиц, регистрирующихся на Платформе в качестве клиентов (организации, ИП, физические лица);
- пользователей, получающих доступ к Платформе в рамках учётных записей клиентов;
- лиц, чьи данные могут обрабатываться в рамках функционала CRM, диалогов и каналов связи, предоставляемых клиентам Платформы.
1.3. Термины и определения:
- Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определённому физическому лицу (субъекту персональных данных).
- Обработка ПДн — любое действие (операция) или совокупность действий с ПДн, включая сбор, запись, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
- Оператор — организация, самостоятельно или совместно с другими лицами определяющая цели обработки ПДн, состав ПДн, подлежащих обработке, а также действия, совершаемые с ПДн.
- Обработчик по поручению — организация, осуществляющая обработку ПДн по поручению Оператора.
2. Перечень обрабатываемых персональных данных
2.1. Данные, предоставляемые при регистрации и использовании Платформы (учётная запись):
- фамилия, имя, отчество;
- адрес электронной почты;
- номер телефона;
- хэш пароля (в открытом виде пароль не хранится);
- наименование организации и должность (для корпоративных аккаунтов).
2.2. Технические и эксплуатационные данные:
- IP-адрес и данные о сетевом соединении;
- тип и версия браузера, операционная система;
- идентификаторы сессии (JWT-токены, cookies);
- данные о времени и частоте использования Платформы;
- журналы безопасности и аудита действий.
2.3. Данные, обрабатываемые в рамках функционала Платформы:
- содержимое диалогов, сообщений и переписки, ведущейся через каналы Платформы (Telegram, email и иные интегрированные каналы);
- данные, внесённые в CRM-систему Платформы (карточки клиентов, контакты, история взаимодействий);
- сведения, содержащиеся в документах, генерируемых с использованием функционала Платформы (договоры, заявки);
- данные о платёжных операциях (без хранения полных реквизитов банковских карт — они хранятся в платёжном сервисе ЮKassa).
2.4. Данные конечных клиентов тенантов. В рамках оказания услуг клиентам Платформы (тенантам) Оператор может обрабатывать персональные данные физических лиц — конечных пользователей или клиентов тенантов — в качестве обработчика по поручению. В таком случае обработка осуществляется исключительно в соответствии с указаниями тенанта (оператора) на основании отдельного соглашения об обработке ПДн.
3. Цели обработки персональных данных
| Цель обработки | Правовое основание | Категория ПДн |
|---|---|---|
| Регистрация и аутентификация пользователей | Исполнение договора (ст. 6 152-ФЗ) | Email, телефон, имя, хэш пароля |
| Оказание услуг Платформы (доступ к функционалу) | Исполнение договора | Все данные учётной записи |
| Обработка платежей и выставление счётов | Исполнение договора, законодательные требования | Email, реквизиты, платёжные данные |
| Обеспечение безопасности Платформы | Законный интерес Оператора (ст. 6 152-ФЗ) | IP-адрес, логи, идентификаторы сессий |
| Направление сервисных уведомлений | Исполнение договора | Email, телефон |
| Аналитика и улучшение качества сервиса | Законный интерес / согласие | Технические данные, поведение в системе |
| Маркетинговые рассылки | Согласие субъекта | Email, имя |
4. Сроки хранения персональных данных
4.1. ПДн хранятся в течение срока действия договора с клиентом (тенантом), а также в течение срока, необходимого для исполнения требований законодательства РФ (налоговый учёт — 5 лет, бухгалтерский — не менее 5 лет).
4.2. После расторжения договора ПДн удаляются или обезличиваются в течение 30 (тридцати) календарных дней, если иной срок не предусмотрен применимым законодательством.
4.3. Данные журналов безопасности и аудита хранятся не более 12 (двенадцати) месяцев.
5. Передача персональных данных третьим лицам
5.1. ПДн могут передаваться следующим категориям получателей:
- Платёжный сервис ЮKassa — для проведения платёжных операций;
- Провайдеры облачной инфраструктуры — для обеспечения работы серверной части Платформы (хостинг на территории РФ);3
- Сервис Яндекс.Диск — для хранения и обмена файлами в рамках функционала Платформы;
- Операторы каналов связи — Telegram (в части технических идентификаторов для работы интеграции).
5.2. При передаче ПДн третьим лицам Оператор заключает с ними соответствующие договоры (соглашения об обработке ПДн), обеспечивающие конфиденциальность и защиту передаваемых данных.
5.3. Трансграничная передача данных. Ряд интеграций Платформы (Google Sheets, Telegram) подразумевает взаимодействие с серверной инфраструктурой, расположенной за пределами РФ. В таких случаях передача осуществляется только при наличии надлежащих правовых оснований. Первичная запись и хранение ПДн российских пользователей осуществляется на серверах, физически расположенных на территории РФ.13
6. Меры по защите персональных данных
6.1. Оператор применяет следующие организационные и технические меры защиты ПДн:
- хранение паролей в хэшированном виде;
- шифрование секретов каналов интеграции;
- аутентификация по JWT с ограниченным сроком действия токенов;
- ведение журналов безопасности и аудита;
- ограничение доступа к ПДн по принципу минимальных привилегий;
- использование HTTPS/TLS для всех соединений;
- защита от SSRF-атак на уровне сервисных компонентов.
7. Права субъектов персональных данных
В соответствии с Законом о ПДн субъект вправе:
- получить информацию об обработке его ПДн;
- потребовать уточнения неточных или неполных ПДн;
- потребовать удаления ПДн (право на забвение) — при наличии оснований;
- отозвать согласие на обработку ПДн — для случаев, где основанием является согласие;
- обжаловать действия Оператора в Роскомнадзор или в судебном порядке.
Для реализации прав субъект направляет запрос на адрес: [email для запросов по ПДн] или [почтовый адрес]. Срок ответа — 10 (десять) рабочих дней.
8. Использование файлов cookies и аналогичных технологий
8.1. На Платформе используются cookies и аналогичные технологии. Подробное описание используемых технологий и порядок управления ими содержится в Политике использования файлов cookie (Документ 4 настоящего пакета), доступной по адресу /cookies.45
9. Обработка данных с использованием технологий искусственного интеллекта
9.1. Платформа использует технологии искусственного интеллекта (ИИ) для генерации автоматических ответов в чат-ботах, анализа содержимого диалогов и вспомогательных функций SEO-анализа. Ответы, генерируемые ИИ, носят информационный характер и не являются юридически значимыми заявлениями Оператора.
9.2. Фрагменты переписки могут обрабатываться алгоритмами машинного обучения на серверной инфраструктуре Оператора. Передача данных в сторонние языковые модели осуществляется только при явном указании на это в документации конкретного функционала.
10. Изменение Политики
10.1. Оператор вправе вносить изменения в настоящую Политику без предварительного уведомления. Актуальная редакция размещается по адресу [домен]/privacy. Продолжение использования Платформы после вступления изменений в силу означает согласие с новой редакцией.
Оператор:
[Полное наименование организации]
ИНН: [ИНН] | ОГРН: [ОГРН]
Адрес: [юридический адрес]
Email: [email] | Телефон: [телефон]
Ответственное лицо по вопросам обработки ПДн: [ФИО или должность], [email]