Политика Конфиденциальности

Настоящая Политика в отношении обработки персональных данных (далее — «Политика») разработана Индивидуальным предпринимателем Пащенко Эдуардом Леонидовичем (ОГРНИП 321237500279053, ИНН 231221935418), именуемым в дальнейшем «Оператор», в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152). Политика устанавливает порядок обработки персональных данных, меры по обеспечению их безопасности, права субъектов персональных данных и обязанности Оператора.

1. Оператор персональных данных

Оператором персональных данных является Индивидуальный предприниматель Пащенко Эдуард Леонидович, зарегистрированный в соответствии с законодательством Российской Федерации. Реквизиты Оператора: ОГРНИП 321237500279053, ИНН 231221935418. Адрес регистрации: 350072, Краснодарский край, г. Краснодар.

Оператор осуществляет свою деятельность под торговой маркой «Связио» (Svyazio) и предоставляет SaaS-сервис онлайн-чата для сайтов, расположенный по адресам: связио.рф, svyazio.ru, svyazio.com и их поддоменах (далее — «Сервис»). Оператор самостоятельно определяет цели обработки персональных данных, состав обрабатываемых данных и совершаемые с ними действия (операции).

В случаях, когда клиенты Сервиса используют виджет чата на своих сайтах для общения со своими посетителями, Оператор осуществляет обработку персональных данных по поручению клиента в соответствии с ч. 3 ст. 6 ФЗ-152 на основании Соглашения об обработке данных (DPA).

2. Основные понятия

• Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
• Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Пользователь (клиент) — физическое лицо, зарегистрировавшее учётную запись в Сервисе для использования его функционала в качестве оператора онлайн-чата.
• Посетитель виджета — физическое лицо, взаимодействующее с виджетом чата «Связио», установленным на сайте клиента Сервиса.
• Оператор — ИП Пащенко Эдуард Леонидович, осуществляющий обработку персональных данных, определяющий цели обработки и состав обрабатываемых данных.
• Трансграничная передача — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Категории обрабатываемых персональных данных

3.1. Данные учётной записи (аккаунта)

При регистрации в Сервисе и в ходе его использования Оператор собирает и обрабатывает данные, необходимые для создания и поддержания учётной записи: имя и фамилия пользователя, адрес электронной почты (e-mail), хэш пароля (пароль хранится исключительно в захэшированном виде с использованием алгоритма bcrypt и не может быть восстановлен Оператором), фотография профиля (при загрузке пользователем), название организации, роль в организации и языковые настройки. Эти данные необходимы для идентификации пользователя, предоставления доступа к функционалу Сервиса и обеспечения корректной работы личного кабинета.

3.2. Данные биллинга и платежей

В рамках оказания платных услуг Оператор обрабатывает данные, связанные с биллингом: текущий тарифный план, история изменений тарифов, даты и суммы платежей, статус подписки. Оператор не хранит полные данные банковских карт. Оператор может хранить последние четыре цифры номера карты и тип платёжной системы исключительно для идентификации способа оплаты в интерфейсе пользователя.

3.3. Данные переписки и коммуникации

Сервис обрабатывает содержание сообщений, передаваемых через онлайн-чат между пользователями (операторами) и посетителями виджета, включая текстовые сообщения, прикреплённые файлы (изображения, документы и иные вложения), метаданные сообщений (дата и время отправки, идентификатор отправителя, статус доставки и прочтения), а также внутренние заметки операторов. Данные переписки необходимы для обеспечения основной функциональности Сервиса — организации онлайн-коммуникации между клиентами и их посетителями.

3.4. Данные использования и аналитики

Для улучшения качества Сервиса Оператор собирает обезличенные данные об использовании: действия пользователя в панели управления (dashboard), частота и продолжительность сессий, используемые функции, данные о производительности и ошибках приложения. Эти сведения позволяют выявлять проблемы в работе Сервиса, определять приоритеты разработки и обеспечивать стабильность платформы.

3.5. Технические данные

При каждом обращении к Сервису автоматически собираются технические данные: IP-адрес пользователя и производная от него приблизительная геолокация (страна, город), тип и версия веб-браузера, операционная система и её версия, тип устройства (настольный компьютер, планшет, мобильное устройство) и разрешение экрана, языковые настройки браузера, источник перехода (referrer URL), а также данные из серверных логов (время запроса, запрашиваемый URL, код ответа сервера). Эти данные необходимы для обеспечения информационной безопасности, предотвращения несанкционированного доступа, диагностики технических неполадок и оптимизации работы Сервиса.

3.6. Файлы cookie и аналогичные технологии

Сервис использует файлы cookie и аналогичные технологии (localStorage, sessionStorage) для поддержания сессии пользователя, сохранения настроек, обеспечения безопасности и сбора аналитических данных. Подробная информация о типах используемых файлов cookie, их назначении, сроках хранения и порядке управления ими приведена в Политике использования файлов cookie, размещённой на сайте Сервиса. К используемым категориям cookie относятся: строго необходимые (аутентификация, безопасность), функциональные (языковые предпочтения, настройки интерфейса), аналитические (Яндекс.Метрика) и маркетинговые (Roistat).

3.7. Данные посетителей виджета

Когда посетитель сайта взаимодействует с виджетом чата «Связио», Оператор автоматически собирает: IP-адрес и производную от него приблизительную геолокацию, URL страницы, на которой установлен виджет, источник перехода (referrer), тип и версию браузера, операционную систему, тип устройства и разрешение экрана, а также уникальный идентификатор посетителя (visitorId), привязанный к конкретной организации-клиенту. Если посетитель начинает диалог в чате, дополнительно обрабатываются: имя (при указании), адрес электронной почты (при указании), текст сообщений и прикреплённые файлы. Сбор этих данных необходим для обеспечения функционирования виджета чата и предоставления клиентам Сервиса информации об их посетителях.

4. Цели обработки и правовые основания

Оператор обрабатывает персональные данные исключительно для достижения заранее определённых целей и на основании конкретных правовых оснований, предусмотренных ст. 6 ФЗ-152.

4.1. Оказание услуг и исполнение договора

Основной целью обработки является предоставление пользователю доступа к функционалу Сервиса: регистрация и ведение учётной записи, организация онлайн-чата между клиентами и их посетителями, хранение истории переписки, обработка входящих обращений, установление обратной связи, техническая поддержка. Правовое основание по ФЗ-152: п. 5 ч. 1 ст. 6 — обработка необходима для исполнения договора, стороной которого является субъект персональных данных (Пользовательское соглашение / оферта).

4.2. Биллинг и финансовые расчёты

Обработка данных биллинга осуществляется для выставления счетов, проведения платежей, управления подписками и предоставления финансовой отчётности. Правовое основание по ФЗ-152: п. 5 ч. 1 ст. 6 — исполнение договора, а также п. 1 ч. 1 ст. 6 — обязанность, предусмотренная законодательством (ведение бухгалтерского и налогового учёта в соответствии с НК РФ).

4.3. Аналитика и улучшение Сервиса

Оператор анализирует обезличенные данные об использовании Сервиса для выявления технических проблем, определения приоритетов разработки, оптимизации пользовательского интерфейса и повышения общего качества обслуживания. Для этих целей используются инструменты веб-аналитики, описанные в разделе 5 настоящей Политики. Правовое основание по ФЗ-152: п. 7 ч. 1 ст. 6 — обработка необходима для осуществления прав и законных интересов Оператора.

4.4. Маркетинг и рекламные коммуникации

С согласия пользователя Оператор может направлять информационные и рекламные сообщения о Сервисе, обновлениях, новых функциях и специальных предложениях. Маркетинговые рассылки осуществляются исключительно при наличии предварительного согласия пользователя, которое может быть отозвано в любой момент путём нажатия ссылки «Отписаться» в письме или через настройки учётной записи. Правовое основание по ФЗ-152: п. 1 ч. 1 ст. 6 — согласие субъекта персональных данных.

4.5. Обеспечение безопасности

Оператор обрабатывает технические данные (IP-адреса, журналы доступа, данные аутентификации) для предотвращения несанкционированного доступа, обнаружения мошенничества, защиты от DDoS-атак и иных угроз информационной безопасности. Правовое основание по ФЗ-152: п. 7 ч. 1 ст. 6 — законный интерес Оператора в обеспечении безопасности Сервиса и данных пользователей.

4.6. Исполнение юридических обязанностей

Оператор может обрабатывать и хранить персональные данные для исполнения обязанностей, предусмотренных законодательством Российской Федерации, включая ведение бухгалтерского и налогового учёта (НК РФ, Федеральный закон № 402-ФЗ «О бухгалтерском учёте»), ответ на законные запросы государственных органов, соблюдение требований ФЗ-152 и иных нормативных актов. Правовое основание по ФЗ-152: п. 2 ч. 1 ст. 6 — обработка необходима для осуществления и выполнения возложенных на Оператора функций и обязанностей.

5. Получатели данных и третьи лица

Оператор может передавать персональные данные следующим категориям получателей исключительно для достижения целей, указанных в разделе 4 настоящей Политики, и при наличии соответствующих правовых оснований и договорных гарантий защиты данных.

5.1. Яндекс.Метрика с Вебвизором (ООО «Яндекс», Россия)

Сервис использует Яндекс.Метрику (счётчик № 108253237) с включёнными функциями Вебвизор, карта кликов и электронная коммерция для анализа поведения пользователей на сайте. Яндекс.Метрика собирает данные о посещённых страницах, действиях на сайте (клики, скроллинг, заполнение форм), источниках трафика, типе устройства и браузера, а также записывает сессии посетителей (Вебвизор). Данные обрабатываются на серверах ООО «Яндекс» на территории Российской Федерации. Обработка осуществляется в соответствии с Политикой конфиденциальности Яндекса. Срок хранения данных в Яндекс.Метрике составляет 12 месяцев.

5.2. Roistat (ООО «Бизнес-аналитика», Россия)

Сервис использует систему сквозной маркетинговой аналитики Roistat для отслеживания источников трафика, оценки эффективности маркетинговых каналов и атрибуции конверсий. Roistat собирает данные о визитах пользователей, источниках переходов, UTM-метках, совершённых конверсиях и связывает их с рекламными кампаниями. Данные обрабатываются на серверах Roistat на территории Российской Федерации. Обработка осуществляется в соответствии с Политикой конфиденциальности Roistat.

5.3. Серверная инфраструктура

Серверная инфраструктура Сервиса для российских пользователей размещена у хостинг-провайдера ООО «Смартэйп» (SmartApe, smartape.ru) в дата-центре DataPro 1, расположенном по адресу: г. Москва, ул. Авиамоторная, 69. Все персональные данные хранятся и обрабатываются на серверах, расположенных в России, в соответствии с требованиями ч. 5 ст. 18 ФЗ-152.

5.4. Иные случаи передачи данных

Оператор может передавать персональные данные третьим лицам в случаях, прямо предусмотренных законодательством Российской Федерации: по запросу уполномоченных государственных органов (суд, прокуратура, следственные органы, Роскомнадзор) при наличии надлежащего правового основания; в рамках процедуры реорганизации или продажи бизнеса — с предварительным уведомлением субъектов данных; а также в иных случаях, предусмотренных ФЗ-152. Оператор не продаёт персональные данные третьим лицам.

6. Хранение данных на территории Российской Федерации

Все персональные данные хранятся и обрабатываются исключительно на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ч. 5 ст. 18 ФЗ-152. Трансграничная передача персональных данных не осуществляется.

Сторонние сервисы аналитики, используемые на сайте (Яндекс.Метрика, Roistat), являются российскими компаниями и обрабатывают данные на серверах, расположенных на территории Российской Федерации.

Серверная инфраструктура Сервиса размещена у хостинг-провайдера ООО «Смартэйп» (SmartApe) в дата-центре DataPro 1 (г. Москва, ул. Авиамоторная, 69). Оператор не передаёт персональные данные российских пользователей за рубеж.

7. Сроки хранения персональных данных

Оператор хранит персональные данные не дольше, чем это необходимо для достижения целей обработки, после чего данные уничтожаются или обезличиваются. Установлены следующие конкретные сроки хранения:

• Данные учётной записи (имя, email, настройки профиля): хранятся в течение срока действия учётной записи и в течение 90 (девяноста) календарных дней после удаления аккаунта пользователем или прекращения действия подписки. По истечении этого срока данные безвозвратно удаляются из систем Оператора.
• Данные переписки (сообщения чата, вложения, метаданные диалогов): хранятся в течение срока действия учётной записи и в течение 30 (тридцати) календарных дней после удаления аккаунта. Данный срок предусмотрен для возможности восстановления данных в случае ошибочного удаления.
• Данные биллинга (история платежей, счета, финансовая документация): хранятся в течение 5 (пяти) лет с момента совершения соответствующей операции в соответствии с требованиями Налогового кодекса Российской Федерации (пп. 8 п. 1 ст. 23 НК РФ) и Федерального закона № 402-ФЗ «О бухгалтерском учёте».
• Данные Яндекс.Метрики: хранятся на серверах Яндекса на территории РФ в течение 12 (двенадцати) месяцев.
• Серверные логи (журналы доступа, журналы ошибок): хранятся в течение 90 (девяноста) календарных дней с момента создания записи, после чего автоматически ротируются и уничтожаются.
• Данные посетителей виджета: хранятся в течение срока действия учётной записи организации-клиента и удаляются в те же сроки, что и данные переписки (30 дней после удаления аккаунта).

8. Права субъектов персональных данных по законодательству Российской Федерации

В соответствии со статьями 14–17 ФЗ-152 субъект персональных данных имеет следующие права:

8.1. Право на получение сведений об обработке

Субъект персональных данных вправе получить от Оператора информацию о том, обрабатываются ли его персональные данные, а также получить сведения о целях обработки, категориях обрабатываемых данных, категориях получателей, срока обработки, способах обработки и применяемых мерах защиты. Для реализации данного права необходимо направить запрос на адрес электронной почты privacy@svyazio.ru с указанием имени и адреса электронной почты, зарегистрированного в Сервисе. Оператор предоставит ответ в течение 10 (десяти) рабочих дней с момента получения запроса.

8.2. Право на уточнение данных

Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Пользователь может самостоятельно уточнить данные учётной записи через настройки профиля в панели управления Сервиса. Для иных случаев необходимо направить запрос на адрес privacy@svyazio.ru.

8.3. Право на блокирование данных

Субъект персональных данных вправе требовать блокирования своих персональных данных на период проверки их достоверности или правомерности обработки. Блокирование означает временное прекращение обработки данных (за исключением случаев, когда обработка необходима для уточнения данных). Для реализации данного права необходимо направить письменный запрос на адрес privacy@svyazio.ru с указанием оснований для блокирования.

8.4. Право на удаление (уничтожение) данных

Субъект персональных данных вправе требовать уничтожения своих персональных данных, если данные обрабатываются незаконно, являются неполными, устаревшими или неточными, либо если цели обработки достигнуты или обработка более не является необходимой. Пользователь может инициировать удаление своей учётной записи через настройки Сервиса или направить запрос на адрес privacy@svyazio.ru. Оператор обязан уничтожить данные в течение 30 (тридцати) календарных дней с момента получения соответствующего требования, за исключением случаев, когда хранение данных необходимо в силу законодательных обязанностей (см. раздел 7).

8.5. Право на отзыв согласия

В случаях, когда обработка персональных данных осуществляется на основании согласия субъекта, он вправе отозвать такое согласие в любой момент. Отзыв согласия не влияет на правомерность обработки, осуществлявшейся до момента отзыва. Для отзыва согласия необходимо направить уведомление на адрес privacy@svyazio.ru с пометкой «Отзыв согласия на обработку персональных данных». Отзыв согласия на обработку данных, необходимых для исполнения договора, может привести к невозможности оказания услуг Сервиса.

8.6. Право на обжалование

Субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов персональных данных — Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), сайт: rkn.gov.ru, а также в судебном порядке в соответствии с законодательством Российской Федерации.

9. Файлы cookie

Сервис использует файлы cookie и аналогичные технологии отслеживания для обеспечения корректной работы, персонализации пользовательского опыта и сбора аналитических данных. Файлы cookie подразделяются на следующие категории:

• Строго необходимые cookie — обеспечивают аутентификацию, поддержание сессии и базовую функциональность Сервиса. Без этих cookie Сервис не может работать корректно, и они не могут быть отключены.
• Аналитические cookie — используются Яндекс.Метрикой для сбора обезличенной статистики о посещаемости и использовании сайта. Позволяют понять, какие страницы и функции наиболее востребованы.
• Маркетинговые cookie — используются Roistat для отслеживания эффективности рекламных кампаний и атрибуции конверсий.

Пользователь может управлять файлами cookie через настройки своего браузера. Отключение определённых категорий cookie может привести к ограничению функциональности Сервиса. Подробная информация о каждом используемом cookie, его назначении, сроке хранения и способах управления будет приведена в отдельной Политике использования файлов cookie.

10. Автоматизированное принятие решений и профилирование

Сервис может использовать элементы автоматизированной обработки данных в следующих случаях: автоматическая маршрутизация входящих обращений в чате на основании заданных клиентом правил (распределение по группам операторов, распределение по каналам); автоматические ответы (AI-ассистент), формируемые на основании контекста диалога и настроек, заданных клиентом; автоматическая классификация обращений по теме и приоритету.

Указанные функции автоматизации не принимают решений, порождающих правовые последствия для субъекта данных или аналогичным образом существенно влияющих на него. Автоматические ответы AI-ассистента носят рекомендательный характер и могут быть скорректированы или дополнены живым оператором. Пользователь (клиент Сервиса) самостоятельно определяет, какие функции автоматизации активированы для его организации. Посетитель виджета вправе запросить передачу диалога живому оператору в любой момент.

11. Меры по обеспечению безопасности персональных данных

Оператор принимает комплекс организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных, в соответствии с требованиями ст. 19 ФЗ-152.

Технические меры защиты: шифрование всех данных при передаче с использованием протокола TLS 1.2 и выше (HTTPS); шифрование конфиденциальных данных при хранении (пароли IMAP/SMTP — AES-256-GCM); хэширование паролей пользователей с использованием алгоритма bcrypt с солью; межсетевое экранирование (firewall) с ограничением доступа по портам и IP-адресам; регулярное резервное копирование баз данных с хранением на отдельных серверах; мониторинг безопасности и логирование доступа к системам.

Организационные меры защиты: ролевая модель управления доступом (RBAC) — каждый пользователь получает доступ только к данным, необходимым для выполнения его функций; проверка полномочий доступа к организации (verifyOrgAccess) для всех пользовательских ролей без исключения; регулярное обновление программного обеспечения и оперативное устранение уязвимостей; минимизация данных — сбор и обработка только тех данных, которые необходимы для заявленных целей; разграничение данных между организациями-клиентами на уровне базы данных.

12. Порядок уведомления об инцидентах безопасности (утечках данных)

В случае установления факта неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, распространения или иных неправомерных действий (далее — «инцидент безопасности»), Оператор обязуется предпринять следующие действия:

Уведомление Роскомнадзора (ФЗ-152): В соответствии с ч. 3.1 ст. 21 ФЗ-152, Оператор уведомляет Роскомнадзор о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, в срок не позднее 24 (двадцати четырёх) часов с момента обнаружения инцидента. Уведомление направляется через портал Роскомнадзора и содержит информацию о характере инцидента, категориях и приблизительном количестве затронутых субъектов данных, предполагаемых последствиях и принятых мерах. В течение 72 (семидесяти двух) часов Оператор направляет уведомление о результатах внутреннего расследования.

Уведомление субъектов данных: Если инцидент безопасности может повлечь высокий риск для прав и свобод субъектов персональных данных, Оператор без неоправданной задержки уведомляет затронутых субъектов данных о характере инцидента, возможных последствиях и мерах, которые они могут предпринять для защиты своих интересов. Уведомление направляется по адресу электронной почты, указанному в учётной записи. Оператор ведёт внутренний реестр всех инцидентов безопасности с описанием обстоятельств, последствий и принятых мер.

13. Обработка данных несовершеннолетних

Сервис не предназначен для использования лицами младше 16 (шестнадцати) лет. Оператор сознательно не собирает и не обрабатывает персональные данные лиц, не достигших указанного возраста. Если Оператору станет известно, что персональные данные были собраны у лица младше 16 лет без согласия родителя или законного представителя, такие данные будут незамедлительно удалены. Если вы являетесь родителем или законным представителем и вам стало известно, что ваш ребёнок предоставил свои персональные данные Сервису, просим незамедлительно связаться с нами по адресу privacy@svyazio.ru.

14. Изменения настоящей Политики

Оператор оставляет за собой право вносить изменения в настоящую Политику в одностороннем порядке. Новая редакция Политики вступает в силу с момента её размещения на сайте Сервиса, если иной срок не указан в новой редакции. Дата последнего обновления указывается в заголовке документа.

В случае внесения существенных изменений, затрагивающих права субъектов персональных данных (изменение целей обработки, расширение категорий обрабатываемых данных, появление новых получателей данных), Оператор уведомляет зарегистрированных пользователей путём направления уведомления на адрес электронной почты, указанный в учётной записи, и (или) путём размещения заметного уведомления в панели управления Сервиса не позднее чем за 15 (пятнадцать) календарных дней до вступления изменений в силу. Продолжение использования Сервиса после вступления изменений в силу означает согласие пользователя с новой редакцией Политики. Если пользователь не согласен с изменениями, он вправе прекратить использование Сервиса и удалить свою учётную запись.

15. Контактная информация и реквизиты Оператора

По всем вопросам, связанным с обработкой персональных данных, реализацией прав субъектов данных, а также по иным вопросам, касающимся настоящей Политики, вы можете обращаться к Оператору:

Настоящая Политика вступает в силу с 13 апреля 2026 года и действует до её замены новой редакцией.