AI Ops Sprint Утренний разбор / Политика конфиденциальности

Политика обработки персональных данных

Редакция: 1.0 Дата редакции: 2026-05-27 Дата вступления в силу: 2026-05-27 Место публикации: https://aiopssprint.ru/utr-razbor/privacy.html

Настоящая Политика разработана в соответствии с требованиями ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - «152-ФЗ»), определяет порядок обработки персональных данных и меры по обеспечению их безопасности, принятые Индивидуальным предпринимателем Тухбатуллиной Еленой Сергеевной (далее - «Оператор»).

Политика является публичным документом и применяется ко всем персональным данным, обрабатываемым Оператором, в том числе при использовании сайта https://aiopssprint.ru и сервисов Оператора, размещённых в маркетплейсах-партнёрах.

1. Оператор персональных данных

Полное наименование: Индивидуальный предприниматель Тухбатуллина Елена Сергеевна

Лицо, ответственное за организацию обработки персональных данных (DPO): Тухбатуллина Елена Сергеевна, email: support@aiopssprint.ru.

2. Цели обработки персональных данных

Оператор обрабатывает персональные данные исключительно в следующих целях:

2.1. Оказание услуги «Утренний разбор» - программного обеспечения формата SaaS, формирующего ежедневную аналитическую сводку по операционным показателям бизнеса Клиента (собственника мульти-точечной розницы, HoReCa, beauty или иного малого/среднего бизнеса).

2.2. Заключение и исполнение договора (публичной оферты) с Клиентом, включая идентификацию Клиента, ведение деловой переписки и направление сервисных уведомлений.

2.3. Биллинг через маркетплейс-партнёр (МойСклад, RetailCRM, Bitrix24, AmoCRM и иные), включая обмен данными о подписке, состоянии оплаты и срока действия.

2.4. Оказание технической поддержки Клиенту по каналам электронной почты и Telegram.

2.5. Исполнение Оператором требований налогового, бухгалтерского и иного законодательства Российской Федерации (включая Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»).

Обработка персональных данных в маркетинговых целях, для целей профилирования или принятия автоматизированных юридически значимых решений в отношении субъектов не осуществляется.

3. Категории субъектов и состав обрабатываемых персональных данных

3.1. Категория А - Клиент (собственник, представитель Клиента)

Оператор обрабатывает следующие персональные данные Клиента (если Клиент - индивидуальный предприниматель или самозанятый) и/или представителя Клиента (если Клиент - юридическое лицо):

Источник получения: маркетплейс-партнёр (при установке приложения), личный кабинет Оператора, переписка с Клиентом.

3.2. Категория Б - третьи лица (работники Клиента, его клиенты, представители контрагентов)

По общему правилу Оператор не запрашивает и не обрабатывает персональные данные третьих лиц. Услуга «Утренний разбор» построена на обработке агрегированных коммерческих показателей.

В случаях технически неустранимого присутствия персональных данных третьих лиц в данных, получаемых через API маркетплейса (например, поля с ФИО клиентов в карточках продаж, контакты в карточках контрагентов, поля «комментарий» с произвольным текстом), такие данные подлежат немедленному обезличиванию либо удалению Оператором в порядке, установленном Договором-поручением на обработку персональных данных (Приложение № 1 к публичной оферте «Утренний разбор»), который автоматически заключается между Клиентом (как Оператором ПД третьих лиц) и Оператором (как Лицом, осуществляющим обработку по поручению).

Состав возможных к временному получению персональных данных третьих лиц: ФИО, телефон, e-mail, идентификаторы в мессенджерах, иные данные, технически возвращаемые API маркетплейса.

Специальные категории персональных данных (раса, политические взгляды, состояние здоровья и др.), биометрические персональные данные, сведения о судимости, персональные данные несовершеннолетних Оператор не обрабатывает.

4. Правовые основания обработки

Обработка персональных данных осуществляется Оператором на следующих правовых основаниях:

5. Способы и принципы обработки

5.1. Обработка персональных данных осуществляется Оператором с использованием средств автоматизации. Обработка без использования средств автоматизации (на бумажных носителях) допускается только в исключительных случаях, связанных с исполнением требований налогового и бухгалтерского законодательства.

5.2. Хранение персональных данных осуществляется в базе данных PostgreSQL, размещённой на серверах российского хостинг-провайдера Timeweb, расположенных на территории Российской Федерации. Локализация обработки соответствует требованиям ч. 5 ст. 18 152-ФЗ.

5.3. Передача персональных данных третьим лицам. Персональные данные Клиента могут быть переданы исключительно:

Передача персональных данных в иные третьи лица, в том числе во внешние AI-сервисы, не осуществляется.

5.4. Использование зарубежных AI-сервисов. При оказании услуги Оператор использует внешний AI-сервис Claude (оператор - Anthropic, PBC, юрисдикция США) исключительно для обработки обезличенной коммерческой информации (агрегированные показатели по точкам, обезличенные коды, числовые ряды). До передачи во внешний AI-сервис применяется обязательная многоступенчатая фильтрация:

Поскольку в AI-сервис передаются исключительно обезличенные сведения, не относящиеся к персональным данным в значении ст. 3 152-ФЗ, требования 152-ФЗ о трансграничной передаче персональных данных к такой передаче не применяются. Технические и организационные меры, обеспечивающие невозможность передачи персональных данных в AI-сервис, изложены в Договоре-поручении (раздел 4) и зафиксированы во внутренних архитектурных решениях Оператора (ADR-020, ADR-025).

5.5. Принципы обработки (ст. 5 152-ФЗ): обработка осуществляется на законной и справедливой основе, ограничивается достижением конкретных, заранее определённых и законных целей, соответствует целям обработки, не является избыточной по отношению к заявленным целям. Объём и характер обрабатываемых данных не превышает минимально необходимого для достижения целей, перечисленных в разделе 2.

6. Меры защиты персональных данных

Оператор применяет следующие правовые, организационные и технические меры защиты персональных данных в соответствии со ст. 18.1, 19 152-ФЗ и Постановлением Правительства РФ от 01.11.2012 № 1119:

6.1. Локализация хранения - серверы российского хостинг-провайдера Timeweb на территории Российской Федерации.

6.2. Шифрование персональных данных: - при передаче по открытым каналам связи - протокол TLS 1.3; - при хранении (at-rest) - на уровне приложения с использованием библиотеки pgsodium (алгоритм AEAD).

6.3. Изоляция данных Клиентов друг от друга - multi-tenant архитектура с разграничением по строкам базы данных (Row-Level Security, RLS) на уровне PostgreSQL. Доступ Клиента ограничен исключительно его собственным контуром данных.

6.4. Разграничение доступа - доступ к персональным данным предоставляется только Тухбатуллиной Е.С. и явно допущенным привлечённым лицам, подписавшим соглашение о неразглашении.

6.5. Журналирование (audit log) - все операции с персональными данными фиксируются в журнале: дата и время, идентификатор пользователя, тип операции, объём данных. Срок хранения журнала - 3 (три) года.

6.6. Резервное копирование с применением шифрования; срок хранения резервных копий не превышает срок хранения исходных данных.

6.7. Парольная защита доступа с обязательной сменой паролей не реже 1 раза в 90 дней; антивирусная защита рабочих мест и серверов.

6.8. Уровень защищённости 4 в значении Постановления Правительства РФ от 01.11.2012 № 1119 - минимально достаточный для обрабатываемых категорий персональных данных. Перечень и состав используемых средств защиты информации оформляется отдельным внутренним документом Оператора «Положение об организационных и технических мерах защиты ПД».

6.9. Реагирование на инциденты. При выявлении неправомерного доступа к персональным данным Оператор уведомляет Роскомнадзор в порядке, установленном Приказом Роскомнадзора от 14.11.2022 № 187 (первичное уведомление - в течение 24 часов, расширенное - в течение 72 часов), и информирует пострадавших субъектов.

7. Сроки обработки и хранения

7.1. Персональные данные Клиента (категория А) обрабатываются в течение всего срока действия договора и 3 (трёх) лет после его прекращения по любому основанию - для целей бухгалтерского учёта в соответствии со ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте» и Налогового кодекса РФ.

7.2. Бухгалтерские и платёжные документы (счета, акты, чеки), содержащие персональные данные, хранятся в течение 5 (пяти) лет в соответствии с законодательством РФ.

7.3. Персональные данные третьих лиц (категория Б), технически попавшие в систему Оператора через API маркетплейса, подлежат обезличиванию либо удалению в течение 3 (трёх) рабочих дней с момента поступления; максимальный срок хранения - 30 (тридцать) календарных дней в соответствии с Договором-поручением.

7.4. При отзыве согласия субъектом персональных данных Оператор прекращает обработку и уничтожает соответствующие данные в течение 30 (тридцати) календарных дней с момента получения отзыва, за исключением случаев, когда обработка продолжается на ином правовом основании, не требующем согласия (исполнение договора, исполнение требований законодательства).

7.5. При прекращении договора с Клиентом все первичные данные Клиента, полученные через API маркетплейса, удаляются в течение 30 (тридцати) календарных дней; API-токены доступа отзываются.

8. Права субъекта персональных данных

В соответствии со ст. 14 152-ФЗ субъект персональных данных вправе:

8.1. Получать от Оператора информацию об обработке своих персональных данных, включая: - подтверждение факта обработки; - правовые основания и цели обработки; - применяемые Оператором способы обработки; - наименование и адрес Оператора, сведения о лицах, имеющих доступ к ПД; - обрабатываемые персональные данные и источник их получения; - сроки обработки; - порядок осуществления субъектом своих прав.

8.2. Требовать уточнения, блокирования или уничтожения своих персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

8.3. Отзывать согласие на обработку персональных данных в любой момент (в случае, если обработка осуществляется на основании согласия). Отзыв направляется в письменной форме на адрес электронной почты Оператора: support@aiopssprint.ru.

8.4. Обжаловать действия или бездействие Оператора: - в уполномоченный орган по защите прав субъектов персональных данных - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), https://rkn.gov.ru; - в судебном порядке в соответствии с законодательством Российской Федерации.

8.5. Требовать возмещения убытков и/или компенсации морального вреда в судебном порядке в случае нарушения Оператором требований 152-ФЗ.

9. Cookies и иные технологии отслеживания

9.1. Сайт https://aiopssprint.ru использует сессионные cookies, технически необходимые для функционирования авторизации в личном кабинете и поддержания пользовательской сессии. Такие cookies не содержат персональных данных и удаляются автоматически по завершении сессии.

9.2. Веб-аналитика на сайте Оператора реализована исключительно на стороне сервера (server-side) на основе анонимизированных логов веб-сервера. Системы поведенческой аналитики, использующие clientside-трекеры (Google Analytics, Yandex Metrika с user-id, Facebook Pixel, VK Pixel и иные), не применяются.

9.3. При первом визите сайта Посетителю выводится информационный баннер о применяемых cookies. Продолжение использования сайта означает согласие Посетителя с применением технически необходимых cookies, описанных в п. 9.1.

9.4. Оператор не передаёт данные о Посетителях сайта рекламным сетям, маркетинговым платформам и иным третьим лицам.

10. Контакты для обращений субъектов персональных данных

Все обращения по вопросам обработки персональных данных (запросы об информации, требования об уточнении, блокировании, уничтожении, отзыв согласия, жалобы) направляются в письменной форме на адрес электронной почты:

support@aiopssprint.ru

В обращении указываются: ФИО заявителя, способ связи (email или телефон), суть обращения, при необходимости - основания для обработки данного запроса (например, копия документа, подтверждающего личность, при запросе об удалении ПД).

Срок рассмотрения обращения: 30 (тридцать) календарных дней с даты получения, в соответствии с ч. 1 ст. 20 152-ФЗ. В случаях, требующих проведения проверки, срок может быть продлён, но не более чем ещё на 30 календарных дней, с уведомлением заявителя.

11. Изменения Политики

11.1. Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке. Новая редакция Политики публикуется по адресу https://aiopssprint.ru/privacy не менее чем за 14 (четырнадцать) календарных дней до вступления изменений в силу.

11.2. Уведомление об изменениях направляется Клиентам в канал доставки (Telegram, e-mail) и через интерфейс личного кабинета.

11.3. Продолжение использования сервисов Оператора после вступления новой редакции Политики в силу означает согласие субъекта персональных данных с её условиями.

11.4. История редакций Политики сохраняется Оператором; предыдущие редакции доступны по запросу на адрес support@aiopssprint.ru.

Реквизиты Оператора

Индивидуальный предприниматель Тухбатуллина Елена Сергеевна

Дата редакции: 2026-05-27 Версия: 1.0 Документ опубликован по адресу: https://aiopssprint.ru/utr-razbor/privacy.html