Политика конфиденциальности

Последнее обновление: 13 мая 2026

Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), Конституции Российской Федерации, Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и иных нормативных правовых актов в области защиты персональных данных.

Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые AIOPA (далее — «Оператор», «мы») в отношении Пользователей сервиса https://aiopa.ru (далее — «Сервис»).

1. Оператор персональных данных

Полное наименование: {{Юр. наименование}}

ИНН: {{ИНН}}

ОГРН: {{ОГРН}}

Юридический адрес: {{Юр. адрес}}

Контакты по вопросам обработки ПДн:

  • Email Ответственного за организацию обработки ПДн (DPO): dpo@aiopa.ru
  • Общая поддержка: support@aiopa.ru
  • Почтовый адрес для письменных обращений: {{Почтовый адрес}}

Оператор зарегистрирован в Реестре операторов, осуществляющих обработку персональных данных, под номером {{Регистрационный номер}} (для оформления уведомления в Роскомнадзор после регистрации юр. лица).

2. Категории субъектов персональных данных

Оператор обрабатывает персональные данные следующих категорий субъектов:

  • Пользователи Сервиса — физические лица, прошедшие регистрацию или совершающие действия в Сервисе.
  • Представители юридических лиц — сотрудники компаний-клиентов (агентств, банков, девелоперов).
  • Контрагенты и посетители — лица, оставляющие заявки через формы обратной связи.
  • Сотрудники Оператора — в рамках трудовых и кадровых отношений (отдельно).

3. Состав обрабатываемых персональных данных

3.1. Регистрационные данные

  • Фамилия, имя, отчество (ФИО) — при добровольном указании.
  • Email-адрес.
  • Контактный телефон.
  • Пароль (хранится в виде криптографического хеша bcrypt, не извлекаемого).
  • Тип лица (физическое / юридическое), для юр. лиц — наименование, ИНН.
  • Аватар (необязательно).

3.2. Профильные и поведенческие

  • История запросов через AI-чат, поисковые фильтры, избранные объекты.
  • Лайки и дизлайки в режиме «Панорама».
  • Просмотренные объекты, время сессии.
  • Подписки (платные планы), история платежей.
  • Сообщения, отправленные через встроенный чат с агентами/собственниками.

3.3. Платёжные данные

  • Записи об оплате (сумма, дата, статус, идентификатор платежа).
  • Данные банковских карт не хранятся на стороне Оператора — обработка осуществляется платёжным партнёром Altyn Gate в соответствии с PCI DSS.

3.4. Технические данные

  • IP-адрес, User-Agent, тип устройства, версия браузера.
  • Cookies (см. Политику cookies).
  • Данные о времени и геолокации визитов (на уровне региона).
  • Логи запросов к API.

3.5. Данные через OAuth-провайдеры

При входе через Yandex / VK / Mail.ru / Tinkoff ID / Sber ID Оператор получает: имя, email, аватар, идентификатор провайдера. Объём передаваемых данных регулируется политиками соответствующих провайдеров.

3.6. Биометрические и специальные категории

Оператор не обрабатывает биометрические персональные данные (ст. 11 152-ФЗ) и не обрабатывает специальные категории ПДн (раса, политические взгляды, состояние здоровья и т.п. — ст. 10 152-ФЗ), за исключением случаев, прямо предусмотренных законодательством.

4. Цели обработки персональных данных

  • Идентификация и аутентификация Пользователя при работе с Сервисом.
  • Предоставление функций Сервиса: каталог, AI-поиск, аналитика, чат с агентами.
  • Обработка платежей и предоставление подписок.
  • Информирование (транзакционные уведомления — обязательно; маркетинговые — только при согласии).
  • Улучшение качества AI-моделей и UX через анонимизированную аналитику.
  • Защита от мошенничества, антифрод, AML/KYC (см. отдельный документ).
  • Соблюдение требований законодательства РФ (бухгалтерский учёт, противодействие отмыванию доходов, ответы на запросы органов).
  • Защита законных интересов Оператора и Пользователей в рамках возможных правовых разбирательств.

5. Правовые основания обработки

Обработка персональных данных осуществляется на основаниях, предусмотренных ст. 6 ФЗ-152:

  • п. 1 ч. 1 ст. 6 — согласие субъекта (выражается при регистрации, оформлении подписки, отправке заявки; согласие может быть отозвано).
  • п. 5 ч. 1 ст. 6 — исполнение договора (Пользовательское соглашение и подписка).
  • п. 2 ч. 1 ст. 6 — соблюдение обязанностей, возложенных на Оператора законодательством (115-ФЗ, НК РФ).
  • п. 7 ч. 1 ст. 6 — осуществление законных интересов Оператора и третьих лиц при условии, что не нарушаются права субъекта.

6. Сроки хранения персональных данных

Сроки хранения определяются в соответствии с целями обработки и требованиями законодательства:

  • Регистрационные и профильные данные — в течение всего срока действия аккаунта.
  • После удаления аккаунта — 30 дней «холодного» хранения (для восстановления по запросу), затем безвозвратное удаление, за исключением:
  • Данных бухгалтерского/налогового учёта — 5 лет согласно ст. 23 НК РФ и 402-ФЗ.
  • Данных, подпадающих под 115-ФЗ (платежи, AML/KYC) — не менее 5 лет с даты прекращения отношений.
  • Логов доступа и технических данных — до 1 года (для расследования инцидентов).
  • Маркетинговых данных — до отзыва согласия или 3 года с последнего взаимодействия.

7. Порядок обработки и передача третьим лицам

7.1. Принципы обработки

Обработка ПДн осуществляется на законной и справедливой основе, ограничена достижением конкретных, заранее определённых и законных целей. Не допускается объединение баз данных, обработка которых осуществляется в целях, несовместимых между собой.

7.2. Передача третьим лицам

Персональные данные могут передаваться следующим категориям получателей:

  • Платёжный партнёр Altyn Gate — для обработки платежей. Объём: ФИО, email, сумма, идентификатор операции.
  • Yandex Metrica — обезличенная веб-аналитика поведения. Передача с применением мер деперсонификации.
  • OAuth-провайдеры (Yandex, VK, Mail.ru, Tinkoff, Sber) — при использовании входа через них; передача в рамках протокола OAuth 2.0.
  • Облачные провайдеры инфраструктуры — обработка осуществляется на серверах в РФ.
  • Государственные органы — по официальным запросам в случаях, предусмотренных законом.
  • Аккредитованные операторы Росреестра (Контур.Реестр и т.п.) — при заказе выписок ЕГРН по запросу Пользователя в тарифе «Премиум».

7.3. Трансграничная передача

Оператор не осуществляет трансграничную передачу персональных данных за пределы Российской Федерации. Все ИТ-системы Оператора располагаются на территории РФ в соответствии со ст. 18 ч. 5 152-ФЗ.

7.4. Поручения на обработку

В случаях, когда обработка осуществляется иными лицами по поручению Оператора, заключаются соглашения, обязывающие соблюдать требования 152-ФЗ.

8. Меры защиты персональных данных

Оператор применяет правовые, организационные и технические меры:

8.1. Технические меры

  • HTTPS-шифрование всего трафика (TLS 1.2 и выше).
  • Хеширование паролей (bcrypt, cost factor ≥ 10).
  • Шифрование чувствительных полей в БД (Laravel Crypt, AES-256-CBC).
  • Защита от SQL-инъекций, XSS, CSRF (фреймворк-уровень).
  • Web Application Firewall (WAF) перед публичной точкой входа.
  • Резервное копирование с шифрованием.
  • Логирование доступа и мониторинг подозрительной активности.
  • Антивирусная защита серверов.

8.2. Организационные меры

  • Назначен Ответственный за организацию обработки ПДн.
  • Утверждены локальные акты: Положение об обработке ПДн, Перечень ПДн, Положение об использовании ИСПДн.
  • Контроль доступа сотрудников по принципу минимальных привилегий (RBAC).
  • Обучение сотрудников вопросам защиты ПДн (ежегодно).
  • Соглашения о неразглашении (NDA) со всеми сотрудниками и подрядчиками.

8.3. Реагирование на инциденты

В случае инцидента с персональными данными (утечка, несанкционированный доступ) Оператор уведомляет Роскомнадзор не позднее 24 часов с момента обнаружения и субъектов ПДн, чьи данные могли быть затронуты — не позднее 72 часов, в соответствии с ч. 3.1 ст. 21 152-ФЗ.

9. Права субъекта персональных данных

В соответствии с гл. 3 ФЗ-152 субъект имеет следующие права:

  • Право на информацию (ст. 14) — получать сведения об обрабатываемых данных, источниках, целях, способах обработки, лицах, имеющих доступ.
  • Право на уточнение (ст. 14, ч. 1) — требовать уточнения, изменения или дополнения некорректных или неактуальных данных.
  • Право на блокирование (ст. 14, ч. 1) — требовать блокирования обработки.
  • Право на удаление (ст. 21) — требовать уничтожения данных.
  • Право на отзыв согласия (ч. 2 ст. 9) — в любой момент.
  • Право на возражение (ч. 1 ст. 14) — против обработки в маркетинговых целях.
  • Право на обжалование — в Роскомнадзор (rkn.gov.ru) и в суд.

Запросы по правам направляются на dpo@aiopa.ru с приложением документа, удостоверяющего личность (или сканом). Срок ответа — 30 дней с возможным продлением до 60 дней при необходимости дополнительной проверки.

Если Пользователь считает, что его права нарушены, он вправе обратиться:

  • В Роскомнадзор: rkn.gov.ru, форма обращения через Госуслуги.
  • В суд по месту нахождения Оператора или по месту жительства субъекта.

10. Маркетинговые сообщения и согласие

Маркетинговые рассылки (новости, специальные предложения) направляются только при наличии согласия Пользователя. Согласие может быть отозвано в любой момент через ссылку «Отписаться» в письме или через настройки личного кабинета. Транзакционные уведомления (подтверждение оплаты, изменение пароля, безопасность) направляются независимо от согласия на маркетинг.

11. Cookies и трекеры

Использование cookies и аналогичных технологий (localStorage, sessionStorage, web beacons) описано в отдельной Политике cookies.

12. Несовершеннолетние

Сервис не предназначен для лиц младше 16 лет. Оператор не осуществляет целенаправленный сбор персональных данных детей. При обнаружении факта обработки данных лица младше 16 лет данные удаляются по запросу законного представителя.

13. Изменения настоящей Политики

Оператор вправе вносить изменения в Политику. Актуальная редакция с указанием даты последнего обновления публикуется по адресу /legal/privacy. О существенных изменениях уведомляем по email и/или баннером на сайте.

14. Контакты

По вопросам обработки персональных данных:

  • Ответственный за организацию обработки ПДн: dpo@aiopa.ru
  • Общая поддержка: support@aiopa.ru
  • Почтовый адрес: {{Почтовый адрес}}