Политика обработки персональных данных
Оператор: Индивидуальный предприниматель Стихин Михаил Сергеевич ОГРНИП: 321237500271189 ИНН: 232013847184 Адрес для корреспонденции: Российская Федерация, Краснодарский край, г. Сочи, Курортный проспект, 98/13 Email для запросов субъектов ПДн: st-mikle@mail.ru Номер реестра операторов ПДн (РКН): {{RKN_REGISTRY_NUMBER}}
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных Индивидуальным предпринимателем Стихин Михаил Сергеевич (далее — «Оператор») при оказании услуг через сервис Ugli (домены ugolyok.tech, app.ugolyok.tech, далее — «Сервис»).
1.2. Политика составлена в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и иными нормативными правовыми актами Российской Федерации в области защиты персональных данных.
1.3. Политика применяется ко всем посетителям Сервиса и пользователям, прошедшим регистрацию.
1.4. Действующая редакция Политики опубликована по адресам https://ugolyok.tech/legal/privacy и https://app.ugolyok.tech/legal/privacy.
2. Категории субъектов персональных данных
Оператор обрабатывает персональные данные следующих категорий субъектов:
- Клиенты — физические лица, использующие Сервис для бронирования столов в заведениях.
- Владельцы заведений — индивидуальные предприниматели и юридические лица, использующие Сервис для управления заведением и приёма бронирований (через платную SaaS-подписку).
- Дистрибьюторы — лица, участвующие в реферальной программе Сервиса.
- Посетители — лица, посещающие сайт без прохождения регистрации.
3. Категории обрабатываемых персональных данных
| Категория | Конкретные данные | Источник получения |
|---|---|---|
| Идентификационные | Номер мобильного телефона | Ввод субъектом при регистрации |
| Базовые | Имя, отображаемое в учётной записи | Ввод субъектом при регистрации |
| Контактные (для владельцев) | Адрес электронной почты | Ввод субъектом в форме регистрации владельца |
| Геолокация | Координаты (широта, долгота) | Браузер субъекта, при использовании функции «рядом» с явного согласия браузера |
| Поведенческие | История бронирований, тексты отзывов и оценок, push-подписки браузера | Действия субъекта в Сервисе |
| Технические | IP-адрес, данные User-Agent, идентификатор сессии, cookie | Автоматический сбор веб-сервером |
Банковские карты и реквизиты платёжных средств Оператором не обрабатываются — все платежи проходят через сервис ООО НКО «ЮMoney» (YooKassa), который выступает самостоятельным оператором персональных данных в этой части.
Биометрические персональные данные Оператором не обрабатываются.
Специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) Оператором не обрабатываются.
4. Цели обработки персональных данных
| Цель | Правовое основание |
|---|---|
| Создание и ведение учётной записи, аутентификация субъекта | Согласие субъекта; договор (ст. 6 ч. 1 п. 5 152-ФЗ) |
| Бронирование столов в заведениях через Сервис | Договор (ст. 6 ч. 1 п. 5 152-ФЗ) |
| Отправка функциональных уведомлений о состоянии бронирования (push, SMS) — без рекламного содержания | Согласие субъекта |
| Обработка платежей по подписке владельцев заведений | Договор; передача в YooKassa как обработчику |
| Аналитика использования Сервиса (Яндекс.Метрика) | Согласие субъекта (даётся через cookie-баннер при первом визите); до получения согласия аналитические инструменты не подключаются |
| Защита от мошенничества, антиспам, обеспечение информационной безопасности | Законный интерес Оператора (ст. 6 ч. 1 п. 7 152-ФЗ) |
| Исполнение требований налогового и иного законодательства | Закон (ст. 6 ч. 1 п. 2 152-ФЗ) |
5. Третьи лица — обработчики персональных данных
В рамках оказания услуг Оператор поручает обработку персональных данных следующим обработчикам в соответствии с ч. 3 ст. 6 152-ФЗ. Со всеми обработчиками заключены договоры (или акцептованы публичные оферты), содержащие требования по соблюдению режима конфиденциальности и защиты данных.
| Обработчик | Состав передаваемых данных | Цель передачи | Локация |
|---|---|---|---|
| ООО НКО «ЮMoney» (YooKassa) | ФИО, номер телефона, email, сумма платежа | Обработка платежей по подписке | Россия |
| ООО «СМС Центр» (smsc.ru) | Номер телефона, текст SMS-сообщения | Отправка SMS с одноразовыми кодами и уведомлениями о броне | Россия |
| ООО «Яндекс» (Яндекс.Метрика) | Cookie-идентификатор, IP-адрес, действия субъекта на страницах Сервиса | Аналитика посещений (только при наличии согласия) | Россия |
| ООО «Таймвеб» (Timeweb Cloud) | Все обрабатываемые персональные данные | Хостинг базы данных и серверов API | Россия, ЦОД Москва |
| Cloudflare, Inc. (США) | Технические данные запросов к статическому сайту (IP, User-Agent) | CDN для маркетингового сайта ugolyok.tech | Глобальный CDN |
Важно про Cloudflare: маркетинговый сайт ugolyok.tech не содержит форм сбора персональных данных. Все формы, через которые субъекты передают свои данные (регистрация, бронирование, отзывы), расположены на домене app.ugolyok.tech, который обслуживается из ЦОД ООО «Таймвеб» в Российской Федерации. Cloudflare обрабатывает только технические данные запросов к статическому контенту маркетингового сайта; персональные данные через Cloudflare не передаются.
6. Сроки хранения персональных данных
| Категория данных | Срок хранения |
|---|---|
| Учётная запись (телефон, имя) | До удаления учётной записи субъектом или до отзыва согласия |
| Бронирования | 3 года с даты бронирования (срок исковой давности по ст. 196 ГК РФ) |
| Отзывы и оценки | До удаления автором или по запросу субъекта на удаление; обезличиваются при удалении учётной записи |
Записи о согласиях (ConsentRecord) | До отзыва согласия + 3 года |
| Технические логи (IP, User-Agent) | 90 дней |
| Бухгалтерские документы по платежам | 5 лет (ст. 23 НК РФ) |
По истечении сроков хранения персональные данные подлежат уничтожению или обезличиванию.
7. Локализация персональных данных
7.1. Первичная база персональных данных граждан Российской Федерации размещена на серверах ООО «Таймвеб» (Timeweb Cloud) на территории Российской Федерации в соответствии с ч. 5 ст. 18 152-ФЗ.
7.2. Резервные копии персональных данных могут размещаться за пределами Российской Федерации в качестве вторичного хранения, что не противоречит требованиям ч. 5 ст. 18 152-ФЗ при условии сохранения первичной базы в Российской Федерации.
7.3. Трансграничная передача персональных данных третьим лицам, находящимся за пределами Российской Федерации, Оператором не осуществляется.
8. Права субъекта персональных данных
В соответствии со статьями 14, 20, 21 152-ФЗ субъект персональных данных имеет право:
- получать сведения об обработке его персональных данных;
- требовать от Оператора уточнения, блокирования или уничтожения своих персональных данных;
- отзывать согласие на обработку персональных данных;
- обжаловать действия (бездействие) Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
8.1. Запросы субъектов направляются на электронный адрес st-mikle@mail.ru. Срок ответа — 30 дней с даты получения запроса.
8.2. Самообслуживание. В личном кабинете на странице /profile доступны функции:
- «Скачать мои данные» — выгрузка всех обрабатываемых данных в формате JSON;
- «Удалить аккаунт» — удаление учётной записи с обезличиванием связанных бронирований и отзывов; подтверждение через одноразовый код, отправляемый по SMS на привязанный номер.
9. Меры защиты персональных данных
В соответствии со ст. 19 152-ФЗ и Постановлением Правительства РФ от 01.11.2012 № 1119 Оператор применяет следующие меры:
Технические меры:
- шифрование передачи данных по протоколу TLS 1.2 и выше;
- шифрование хранения данных в системе управления базами данных;
- разграничение доступа к данным на основе ролевой модели;
- ведение журнала событий безопасности (логи аутентификации, экспорта и удаления данных);
- регулярное резервное копирование с проверкой восстановимости;
- защита от внешних сетевых угроз через firewall на уровне инфраструктурного провайдера.
Организационные меры:
- утверждённое внутреннее Положение об обработке и защите персональных данных;
- приказ о назначении лица, ответственного за организацию обработки персональных данных;
- ведение реестра обрабатываемых персональных данных;
- инструкция по реагированию на инциденты в области персональных данных.
Уровень защищённости персональных данных установлен Оператором как УЗ-4 в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 и Приказом ФСБ России от 10.07.2014 № 378.
10. Реагирование на инциденты
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор:
- в течение 24 часов уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор);
- в течение 72 часов передаёт результаты внутреннего расследования с указанием возможных причин инцидента и принятых мер;
- уведомляет затронутых субъектов персональных данных в установленные законом сроки.
11. Изменение Политики
11.1. Оператор вправе вносить изменения в настоящую Политику. Действующая редакция Политики всегда доступна по указанным выше адресам.
11.2. О существенных изменениях Политики (касающихся целей, состава ПДн, обработчиков, сроков хранения) Оператор уведомляет субъектов персональных данных через интерфейс Сервиса при следующем входе в учётную запись и/или электронной почтой (для владельцев заведений).
11.3. Все предыдущие редакции Политики хранятся в архиве Оператора и могут быть предоставлены по запросу.
Дата последней редакции: 2026-04-26 Версия: 1.0 (черновик, ожидает финальной вычитки юристом)