Политика конфиденциальности
Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей сервиса «CRM Oparinseo», размещённого по адресу https://crm.oparinseo.ru/ (далее — «Сервис»). Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1. Оператор персональных данных
Оператором, осуществляющим обработку персональных данных, является:
Полное наименование: Индивидуальный предприниматель Опарин Артём Эдуардович
ИНН: 432985980930
ОГРНИП: 319435000040954
Юридический адрес: 610027, Кировская область, г. Киров, ул. Карла Маркса, д. 120А, кв. 9
Email для запросов: pr.oparin@yandex.ru
Телефон: +7 951 349 5454
2. Термины
- Пользователь — физическое или юридическое лицо, использующее Сервис от собственного имени.
- Клиент Пользователя — третье лицо, информация о котором заносится Пользователем в Сервис (контрагент, лид, сотрудник Пользователя, заказчик Пользователя).
- Аккаунт-агентство (тенант) — изолированная рабочая зона Пользователя в Сервисе. Данные одного тенанта недоступны другим тенантам.
- Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу.
- Обработка — любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
3. Роли Оператора
В рамках Сервиса Оператор выступает в двух ролях:
- Оператор — в отношении персональных данных Пользователей (тех, кто регистрируется в Сервисе и пользуется им от своего имени). Цель — оказание услуги Пользователю.
- Лицо, осуществляющее обработку по поручению (ст. 6 ч. 3 ФЗ № 152-ФЗ) — в отношении персональных данных Клиентов Пользователя, которые Пользователь самостоятельно вносит в Сервис. Оператором таких данных является сам Пользователь. Оператор Сервиса не определяет цели и состав обработки этих данных и обязуется обеспечивать их конфиденциальность и безопасность.
4. Состав обрабатываемых персональных данных
4.1. Данные Пользователя (Оператор)
| Категория | Состав | Источник |
|---|---|---|
| Учётные данные | email, пароль (хэш bcrypt), отображаемое имя, роль в кабинете | Пользователь при регистрации |
| Платёжные данные | сумма, дата, идентификатор операции, выбранный тариф. Реквизиты банковских карт Сервисом не хранятся | платёжный сервис «Продамус» при оплате |
| Технические данные | IP-адрес, тип браузера и устройства, дата и время посещения, идентификатор сессии (cookie), журнал значимых действий (audit log) | фиксируются автоматически |
| Согласие с офертой и Политикой | факт акцепта, дата, IP-адрес, версия документа | фиксируется автоматически при регистрации |
| Двухфакторная аутентификация | зашифрованный секрет TOTP, признак включения, резервные коды | Пользователь при настройке 2FA |
4.2. Данные Клиентов Пользователя (обработка по поручению)
В рамках работы с Сервисом Пользователь может вносить в свой тенант данные третьих лиц — контрагентов, лидов, сотрудников. Состав и объём таких данных определяет сам Пользователь. Сервис хранит эти данные изолированно в рамках тенанта и не использует их для собственных целей.
| Категория | Типовой состав |
|---|---|
| Контакты лидов и клиентов | имя, email, телефон, мессенджер, источник заявки, заметки |
| Сотрудники Пользователя | имя, email, роль, должность |
| Сделки и переписка | история взаимодействия, статус, сумма, прикреплённые файлы |
Ответственность за законность сбора и обработки этих данных, в том числе за наличие согласий от субъектов, несёт Пользователь как Оператор данных категорий.
5. Цели обработки
- Идентификация Пользователя и предоставление доступа к личному кабинету.
- Исполнение договора оказания услуг (публичной оферты), заключённого с Пользователем.
- Информирование Пользователя о статусе тарифа, оплат, изменении услуги.
- Обработка обращений в службу поддержки.
- Исполнение требований налогового, бухгалтерского и иного законодательства Российской Федерации.
- Обеспечение безопасности Сервиса, противодействие злоупотреблениям, спаму, мошенничеству.
- Технологическое обеспечение функционирования Сервиса (резервное копирование, логирование, мониторинг).
6. Правовые основания
- согласие Пользователя на обработку персональных данных, выраженное при регистрации (ст. 6 ч. 1 п. 1 ФЗ № 152-ФЗ);
- исполнение договора, стороной которого является Пользователь (ст. 6 ч. 1 п. 5 ФЗ № 152-ФЗ);
- исполнение полномочий, возложенных на Оператора законодательством РФ (ст. 6 ч. 1 п. 2 ФЗ № 152-ФЗ);
- обработка по поручению Пользователя как Оператора (ст. 6 ч. 3 ФЗ № 152-ФЗ) — в отношении данных Клиентов Пользователя.
7. Порядок и условия обработки
Обработка персональных данных осуществляется с использованием средств автоматизации.
Хранение персональных данных, обрабатываемых в Сервисе, осуществляется на серверах, физически расположенных на территории Российской Федерации (г. Санкт-Петербург, дата-центр хостинг-провайдера ООО «Бегет»).
8. Передача третьим лицам
Оператор передаёт персональные данные третьим лицам только в объёме, необходимом для исполнения договора, и только следующим категориям получателей:
- Хостинг-провайдер — ООО «Бегет» (ИНН 3702603719, сайт https://beget.com/), Российская Федерация — для размещения инфраструктуры Сервиса. Заключён договор-поручение на обработку ПД в составе договора об оказании услуг хостинга.
- Платёжный сервис «Продамус» (ИП Шумилин Артур Сергеевич, ИНН 026621279050, https://prodamus.ru/) — для приёма платежей. Передаются: email, сумма, идентификатор заказа.
- Государственные органы Российской Федерации — в случаях, предусмотренных действующим законодательством, на основании надлежаще оформленного запроса.
Передача персональных данных за пределы территории Российской Федерации (трансграничная передача) Оператором не осуществляется.
9. Сторонние счётчики аналитики
На страницах Сервиса по решению Пользователя может быть размещён счётчик «Яндекс.Метрика» (ООО «ЯНДЕКС», ИНН 7736207543), привязанный к учётной записи Пользователя в системе «Яндекс». В этом случае оператором персональных данных, передаваемых в «Яндекс.Метрику», выступает Пользователь. Оператор Сервиса не передаёт данные в системы аналитики, размещённые за пределами Российской Федерации (Google Analytics, Facebook Pixel и аналогичные сервисы не используются).
10. Сроки обработки и хранения
Персональные данные обрабатываются и хранятся в течение всего периода действия учётной записи Пользователя, а после удаления учётной записи — в течение сроков, установленных действующим законодательством Российской Федерации (в частности, документы первичного бухгалтерского учёта — 5 лет).
Технические данные (логи доступа, audit log) хранятся в течение 180 дней с момента создания, после чего удаляются автоматически.
Резервные копии базы данных хранятся 14 дней (ежедневные) и 12 месяцев (ежемесячные), после чего автоматически удаляются.
11. Меры безопасности
Оператор применяет правовые, организационные и технические меры защиты:
- передача данных по защищённому протоколу HTTPS (TLS);
- хранение паролей Пользователей в виде криптографического хэша (bcrypt);
- шифрование чувствительных данных (TOTP-секреты, токены интеграций) по алгоритму AES-256-GCM;
- двухфакторная аутентификация (TOTP) для административных учётных записей;
- журналирование значимых действий (audit log) на уровне приложения, защита журнала от удаления администратором тенанта;
- разграничение доступа по ролям, изоляция данных тенантов в БД;
- ограничение доступа к серверам по SSH-ключам, отключённая парольная аутентификация SSH;
- регулярное шифрованное резервное копирование (AES-256-CBC), хранение копий отдельно от продакшн-БД;
- обучение лиц, имеющих доступ к персональным данным.
12. Права субъекта персональных данных
Субъект персональных данных имеет право:
- получать информацию о факте, целях, объёме, источниках, способах обработки своих персональных данных;
- требовать уточнения, блокирования или уничтожения своих персональных данных, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать согласие на обработку персональных данных;
- обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.
Запросы и обращения направляются на адрес pr.oparin@yandex.ru с электронной почты, указанной при регистрации, или иным способом, позволяющим однозначно идентифицировать заявителя. Оператор рассматривает обращение в течение 10 рабочих дней с момента получения, при необходимости срок может быть продлён до 30 дней с письменным уведомлением заявителя.
13. Удаление учётной записи и данных
Пользователь вправе в любой момент удалить свою учётную запись из личного кабинета. Данные тенанта (включая Клиентов Пользователя) удаляются необратимо в течение 30 дней с момента запроса, за исключением данных, обязанность хранения которых установлена законодательством РФ.
Альтернативно, запрос на удаление можно направить на pr.oparin@yandex.ru.
14. Файлы cookie
Сервис использует файлы cookie. Подробнее — в Политике использования файлов cookie.
15. Изменение Политики
Оператор вправе в одностороннем порядке изменять настоящую Политику. Новая редакция вступает в силу с момента её опубликования по адресу https://crm.oparinseo.ru/privacy. Пользователь самостоятельно отслеживает актуальную редакцию.