Политика обработки персональных данных «Начеку»

Дата последнего обновления: {{LAST_UPDATED}} Оператор: {{OWNER_NAME}} (ИНН {{OWNER_INN}}) Контакты: legal@nacheku.online Регистрационный номер в реестре операторов ПДн: {{RKN_REG_NUMBER}}

1. Общие положения

Настоящая политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных (далее — «ПДн») и меры по обеспечению безопасности ПДн на сайте https://nacheku.online (далее — «Сайт»).

Оператор обязуется соблюдать принципы, установленные ст. 5 152-ФЗ, в том числе: законность и справедливость обработки, ограничение обработки заявленными целями, минимизация обрабатываемых ПДн, актуальность и достаточность мер защиты.

Действующая версия Политики всегда доступна по адресу https://nacheku.online/legal/pdn. Предыдущие версии хранятся в открытом репозитории с git-хешем для подтверждения версии, действовавшей на момент получения согласия пользователя.

2. Термины и определения

  • Пользователь — физическое лицо, посещающее Сайт и/или использующее сервисы Сайта.
  • Субъект ПДн — Пользователь, чьи ПДн обрабатываются Оператором.
  • ПДн — любая информация, относящаяся прямо или косвенно к определённому или определяемому Пользователю.
  • Обработка — любое действие с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
  • Сервисы Сайта — функционал мультипроверки (проверка URL, телефонных номеров, ИНН/ОГРН), анализ сообщений, кризисный wizard, база мошеннических схем, подписка Pro, форма «Поддержать проект».

Анализ аудио на синтетическое происхождение реализуется только в мобильном приложении и Telegram-боте (on-device / при активной коммуникации пользователя), на Сайте не производится. См. отдельную политику в соответствующих продуктах.

3. Правовые основания обработки

Оператор обрабатывает ПДн на следующих основаниях (ст. 6 152-ФЗ):

  • Согласие субъекта ПДн (п. 1 ч. 1 ст. 6) — при регистрации, подписке на рассылку, оформлении платной подписки.
  • Исполнение договора (п. 5 ч. 1 ст. 6) — обработка ПДн для исполнения условий Пользовательского соглашения, оказания платных услуг, отправки уведомлений.
  • Защита прав и законных интересов (п. 7 ч. 1 ст. 6) — противодействие автоматизированному злоупотреблению (антифрод платёжных операций, защита от автоматических атак через CAPTCHA и rate-limit).

4. Категории обрабатываемых ПДн

КатегорияПримерыОснованиеСрок хранения
Идентификационные данныеemail, имя (если указано), пароль (хранится в виде hash)СогласиеДо отзыва согласия или удаления аккаунта + 180 дней на резервных копиях
Технические данныеIP-адрес (в псевдонимизированном виде через HMAC-SHA256), user-agent, технические cookie-идентификаторы (auth_session, csrf_token, wizard_session, consent_bar)Защита прав и законных интересов90 дней — сырые, неограниченно — агрегированные без возможности идентификации
Функциональные cookieab_hero (A/B тест главной), pro_tier, ui_prefs — значения без ПДн пользователяИсполнение договора (ст. 6 ч. 1 п. 5 152-ФЗ)30 дней — ab_hero; 1 час — pro_tier; 1 год — ui_prefs
Аналитические cookie (Яндекс.Метрика)_ym_uid, _ym_d, _ym_isad — идентификатор посетителя, агрегированная активностьСогласие (ст. 6 ч. 1 п. 1 152-ФЗ), отдельный чек-бокс в cookie-баннере1 год — _ym_uid, _ym_d; сессия — _ym_isad
Данные аналитики событийevent_type + session_hash + properties; псевдонимизация через daily-salt (SHA-256 с ежедневно ротируемым секретным ключом, salt хранится вне prod-БД в защищённое управляемое хранилище секретов (Yandex Lockbox / Selectel Secret Manager))Согласие на аналитику90 дней — сырые события; после 90 дней — агрегаты без возможности re-identify (обезличивание по ст. 3 п. 9 152-ФЗ)
UTM-метки переходовutm_source, utm_medium, utm_campaign — техническая атрибуция каналов привлеченияЗащита прав и законных интересов (оценка эффективности каналов)90 дней; retargeting и профилирование не производятся
Record of consenthash(IP), user-agent, timestamp, версия политики, уровень согласия — доказательство факта согласия пользователяИсполнение обязанности оператора (ст. 6 ч. 1 п. 2 + ст. 9 ч. 4 152-ФЗ)3 года (срок исковой давности)
Данные об использовании сервисовистория запросов проверки (хешированная), статистика посещенийИсполнение договора12 месяцев — персональные, неограниченно — агрегированные
Платёжные данныефакт оплаты, сумма, тип подписки. Реквизиты карты Оператор не получаетИсполнение договора5 лет (требование налогового учёта)
Пользовательский контенттекст отзывов, описания схем (после автоматической очистки от ПДн третьих лиц)СогласиеДо отзыва согласия или удаления аккаунта
<!-- Медиафайлы (аудио) — исключены из Сервисов Сайта (решение 2026-04-16). Анализ реализуется в mobile / bot с on-device обработкой. -->

Оператор НЕ обрабатывает:

  • Специальные категории ПДн (расовая принадлежность, религия, здоровье, политические взгляды и т.п.) — ст. 10 152-ФЗ.
  • Биометрические ПДн (ст. 11 152-ФЗ). Загруженные пользователем медиафайлы обрабатываются в рамках отдельной оферты как обезличенные данные, с немедленным удалением. Оператор не идентифицирует субъектов по медиа.

5. Цели обработки

  • Регистрация и аутентификация Пользователя.
  • Предоставление сервисов Сайта.
  • Отправка уведомлений об изменениях в сервисе и безопасности (обязательные).
  • Отправка информационных рассылок (только с согласия, отдельный чекбокс).
  • Обработка платежей и учёт подписок.
  • Противодействие мошенничеству и злоупотреблениям на Сайте.
  • Соблюдение требований законодательства РФ.
  • Улучшение сервисов на основе обезличенной статистики.

6. Трансграничная передача

Оператор не осуществляет трансграничную передачу ПДн. Все данные обрабатываются и хранятся на серверах, физически расположенных на территории Российской Федерации (ст. 18 ч. 5 152-ФЗ), у следующих поставщиков:

  • Selectel (Москва, Санкт-Петербург)
  • Яндекс Облако / Yandex Object Storage (Россия)

7. Способы обработки

Обработка осуществляется смешанным способом (с использованием и без использования средств автоматизации), с применением:

  • Хранение в реляционной БД (PostgreSQL) с разграничением доступа по ролям
  • Шифрование канала связи (TLS 1.3)
  • Шифрование резервных копий (age + вручную управляемый ключ)
  • Парольная защита, 2FA для административного доступа
  • Журналирование доступа к ПДн
  • Минимизация собираемых данных (principle of least privilege)
  • Псевдонимизация пользовательских идентификаторов в аналитике: пользовательский идентификатор (user_id) преобразуется в user_hash = SHA-256(user_id || daily_salt), где daily_salt — ежедневно ротируемый секретный ключ, хранимый вне продуктивной БД (в защищённом управляемом хранилище секретов — Yandex Lockbox / Selectel Secret Manager). После ротации ключа восстановить соответствие между user_id и user_hash без дополнительной информации невозможно — это соответствует определению обезличивания по ст. 3 п. 9 152-ФЗ.
  • Псевдонимизация IP-адресов: в технических логах и антифрод-записях IP хранится в виде HMAC-SHA256 с секретным ключом; в Яндекс.Метрике — с маскированием последнего октета.

8. Передача третьим лицам

ПДн могут передаваться следующим категориям получателей исключительно в целях исполнения договора или по прямому согласию:

  • Платёжные операторы (ЮKassa, ИНН 6162015663) — факт и сумма платежа
  • Email-провайдер (UniSender Go, ООО «Юнисендер Рус», ИНН 7716920502) — email для отправки транзакционных и (с согласия) информационных писем
  • Хостинг-провайдер (Selectel) — только как технический посредник, доступа к содержимому БД не имеет без ключей Оператора
  • Государственные органы — по официальному мотивированному запросу в рамках действующего законодательства

Оператор НЕ продаёт ПДн, НЕ передаёт рекламодателям, НЕ использует для профилирования в рекламных целях.

9. Права субъекта ПДн

В соответствии с гл. 3 152-ФЗ, Пользователь имеет право:

  • Получить информацию о своих ПДн, обрабатываемых Оператором
  • Требовать уточнения, блокирования или удаления ПДн
  • Отозвать согласие на обработку (п. 1 ч. 1 ст. 6 152-ФЗ)
  • Требовать прекращения обработки в целях рассылки (отписаться)
  • Обжаловать действия Оператора в Роскомнадзор или в суд

Как воспользоваться правами:

  • В Личном кабинете: «Настройки» → «Данные и приватность» → «Запросить данные» или «Удалить аккаунт»
  • Письмо на legal@nacheku.online с темой «Запрос ПДн» и ФИО + email, указанным при регистрации. Срок ответа — 10 рабочих дней (ст. 20 152-ФЗ).

10. Срок хранения и уничтожение ПДн

ПДн хранятся не дольше, чем этого требуют цели обработки (таблица в п. 4). После достижения целей ПДн подлежат уничтожению (п. 7 ч. 1 ст. 21 152-ФЗ).

Исключения:

  • Платёжные данные — 5 лет (НК РФ)
  • Логи запросов в рамках расследования инцидента безопасности — на срок расследования
  • Record of consent (доказательство согласия) — 3 года (срок исковой давности)
  • Обезличенные агрегированные данные — бессрочно
  • Аналитические события старше 24 часов после ротации daily_salt — обезличены через механизм псевдонимизации (см. §7) и не подпадают под определение ПДн по ст. 3 п. 1 152-ФЗ; хранятся в рамках retention 90 дней сырых / бессрочно агрегированных без возможности re-identify

При удалении аккаунта Пользователем:

  • Активные данные удаляются из БД в течение 24 часов
  • Резервные копии перезаписываются в течение 180 дней (ротация backup)
  • Полное уничтожение — в течение 180 дней
  • Аналитические события за последние 24 часа (где ещё активен текущий daily_salt) помечаются user_deleted_at (soft-delete); записи старше 24 часов не затрагиваются, так как уже обезличены и не являются ПДн

11. Меры защиты ПДн

В соответствии со ст. 19 152-ФЗ и «Требованиями к защите ПДн» (Постановление Правительства РФ № 1119):

  • Определён уровень защищённости — УЗ-3 (небольшая ИСПДн, без специальных и биометрических категорий)
  • Применяются антивирусные средства (серверный AV)
  • Контроль доступа по ролям (RBAC)
  • Журналирование операций с ПДн с retention 90 дней
  • Регулярное тестирование резервного копирования
  • Парольная политика: минимум 10 символов, запрет повторного использования паролей из известных утечек (HaveIBeenPwned k-anonymous check)

12. Уведомление об утечках (ст. 21 152-ФЗ, новая редакция)

При установлении факта неправомерной или случайной передачи ПДн третьим лицам Оператор уведомляет Роскомнадзор в течение 24 часов с момента обнаружения инцидента (ст. 21 ч. 3.1 152-ФЗ в ред. от 2024 г.).

В течение 72 часов Оператор представляет в РКН отчёт о результатах внутреннего расследования с указанием принятых мер.

Субъекты ПДн, чьи данные были затронуты утечкой, уведомляются персонально по email в срок, определяемый характером инцидента.

13. Изменения Политики

Оператор вправе вносить изменения в Политику. Новая версия вступает в силу с момента её размещения на Сайте. Пользователь обязан периодически знакомиться с действующей редакцией Политики по адресу https://nacheku.online/legal/pdn.

Существенные изменения (изменение целей обработки, категорий ПДн, получателей) доводятся до Пользователя дополнительно через email и/или уведомление в Личном кабинете не менее чем за 10 дней до вступления в силу.

14. Контакты

  • Оператор: {{OWNER_NAME}}, ИНН {{OWNER_INN}}
  • Email для запросов по ПДн: legal@nacheku.online
  • Почтовый адрес для официальной корреспонденции: [указать при регистрации РКН]

Для обращений в Роскомнадзор: https://rkn.gov.ru/treatments/ask-question/

Этот документ — черновик на {{LAST_UPDATED}}. Перед публикацией на сайте требуется проверка практикующим юристом.

Вопросы и запросы на реализацию прав субъекта ПДн — legal@nacheku.online