ВЫШКА

Политика обработки персональных данных

Шаблон-документ. Обновлено: 2026-05-16. Версия 1.2 (углублённый 152-ФЗ compliance).

Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки и меры по обеспечению безопасности персональных данных в платформе ВЫШКА (далее — «Сервис»). Документ разработан в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), а также с учётом разъяснений Роскомнадзора. Связанный документ: Согласие на обработку персональных данных.

1. Оператор персональных данных

Оператором является:
Индивидуальный предприниматель Сапрыкина Екатерина Викторовна (бренд «ВЫШКА»)
ОГРНИП: 324762700015359
ИНН: 760309674718
Адрес: Ярославская область, Ярославский район, деревня Липовицы
Email оператора: help@vyshka.cloud

2. Основные термины (ст. 3 152-ФЗ)

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Оператор — лицо, организующее и (или) осуществляющее обработку персональных данных, определяющее цели и состав обрабатываемых данных. Обработка — любое действие (операция) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

3. Категории субъектов персональных данных

  • Клиенты — физические лица и уполномоченные представители юридических лиц / ИП, заключившие или планирующие заключить договор на использование Сервиса.
  • Сотрудники Клиентов — пользователи, получившие доступ к Сервису в рамках корпоративной подписки Клиента.
  • Посетители — физические лица, посещающие публичные страницы Сервиса (landing, pricing, demo, FAQ) без авторизации.
  • Подписчики — лица, оформившие подписку на email-рассылку или уведомления Сервиса.
  • Кандидаты и контрагенты — лица, подавшие заявку через формы обратной связи или указанные в платёжных документах.

4. Категории обрабатываемых персональных данных

  • Идентификационные данные: фамилия, имя, отчество (при наличии).
  • Контактные данные: email, номер телефона, должность, наименование компании.
  • Платёжные / реквизитные данные: для индивидуальных предпринимателей и юридических лиц — ИНН, ОГРН/ОГРНИП, КПП, расчётный счёт, банковские реквизиты, юридический адрес (необходимы для выставления счетов, чеков, актов, УПД).
  • Аутентификационные данные: хешированный пароль (bcrypt/argon2), секрет 2FA, журнал входов.
  • Технические данные: IP-адрес, user-agent, тип устройства, операционная система, разрешение экрана, временные метки действий.
  • Cookie-файлы и идентификаторы сессии.
  • Данные взаимодействия с AI-чатом: содержимое сообщений, запросы к LLM, контекст переписки.
  • Данные из подключённой CRM Bitrix24: сделки, контакты, активности — только в объёме, необходимом для выполнения функций Сервиса.

Специальные категории персональных данных (раса, политические взгляды, состояние здоровья, интимная жизнь и т.д.) и биометрические данные Оператором не обрабатываются.

5. Цели обработки персональных данных

Оператор обрабатывает персональные данные в следующих явных и определённых целях:

  1. Регистрация и идентификация пользователя в Сервисе.
  2. Заключение, исполнение и расторжение договора (оферты) на использование Сервиса.
  3. Предоставление функционала Сервиса: AI-ассистент, аналитика CRM, автоматизация задач, тренажёры персонала.
  4. Биллинг: формирование и выставление счетов, чеков, актов, УПД; приём платежей через эквайринг.
  5. Техническая поддержка пользователей и обработка обращений.
  6. Информирование пользователей о работе Сервиса, обновлениях, плановых работах, инцидентах безопасности.
  7. Маркетинговая коммуникация (только при наличии отдельного согласия и возможности отписаться).
  8. Аналитика использования Сервиса в обезличенном виде для улучшения качества продукта.
  9. Обеспечение информационной безопасности, выявление и предотвращение злоупотреблений.
  10. Выполнение требований законодательства РФ: налогового, бухгалтерского, по противодействию легализации доходов (ФЗ-115), о ПД (152-ФЗ).

6. Правовые основания обработки (ст. 6 152-ФЗ)

  • Согласие субъекта (ст. 6 ч. 1 п. 1) — для регистрации, маркетинга, AI-чата.
  • Исполнение договора (ст. 6 ч. 1 п. 5) — для предоставления Сервиса.
  • Возложенные законом обязанности (ст. 6 ч. 1 п. 2) — для налогового и бухгалтерского учёта.
  • Законные интересы Оператора (ст. 6 ч. 1 п. 7) — для защиты от мошенничества, безопасности.

7. Способы и сроки хранения

Все персональные данные обрабатываются и хранятся исключительно на серверах, расположенных на территории Российской Федерации (соответствие ст. 18 ч. 5 152-ФЗ). При on-premise установке — на серверах Клиента под его ответственностью.

Сроки хранения:

  • Учётные записи и регистрационные данные — в течение всего срока действия договора и 3 (три) года после деактивации учётной записи (либо до момента отзыва субъектом согласия — что наступит ранее).
  • Платёжные документы, чеки, акты, УПД — 5 (пять) лет в силу требований налогового и бухгалтерского законодательства (ст. 23 НК РФ, ст. 29 ФЗ-402 «О бухгалтерском учёте»).
  • Журналы доступа и событий безопасности (audit log) — 1 (один) год.
  • Логи взаимодействия с AI-чатом — 90 дней, после чего обезличиваются или удаляются.
  • Cookie-файлы — согласно сроку, установленному в самом cookie (от сессии до 365 дней).
  • Резервные копии — 30 дней с момента создания, после чего перезаписываются.

По истечении срока хранения персональные данные подлежат уничтожению или обезличиванию в течение 30 дней.

8. Передача персональных данных третьим лицам

Оператор не продаёт и не передаёт персональные данные третьим лицам, за исключением случаев, прямо предусмотренных настоящей Политикой или законодательством РФ:

  • Платёжный процессинг — ООО НКО «ЮMoney» / ООО «ЮKassa» (юридическое лицо РФ, лицензия Банка России): передаются ФИО, email, телефон, сумма платежа, реквизиты для формирования чека по 54-ФЗ. Цель — приём платежей.
  • SMTP-провайдер email-доставки — российский провайдер транзакционной почты (Mailgun.ru / Unisender / SendPulse — на выбор Оператора): передаются email-адрес получателя и содержимое сервисного письма. Цель — доставка уведомлений.
  • LLM-провайдеры — российские (YandexGPT, GigaChat, iCore AI) или локальные модели на собственных серверах: передаётся обезличенное содержимое сообщений AI-чата. Иностранные LLM-API по умолчанию отключены.
  • Налоговые и иные государственные органы — по официальному запросу в случаях, прямо предусмотренных законом.
  • ОФД (оператор фискальных данных) — для передачи чеков в ФНС согласно 54-ФЗ.

Передача данных за пределы РФ не осуществляется. При on-premise развёртывании передача внешним подрядчикам определяется DPA между Оператором и Клиентом.

9. Cookie-файлы

Сервис использует cookies четырёх категорий (152-ФЗ + ePrivacy):

  • Необходимые (always-on) — session id, CSRF, авторизация. Без них портал не работает.
  • Аналитика — Яндекс.Метрика для статистики посещений и UX-метрик. Загружается только после явного согласия.
  • Маркетинг — UTM-атрибуция, реферальные ссылки, ретаргетинг. Загружается только после явного согласия.
  • Функциональные — тема, язык, сохранённые фильтры. Опционально.

Решение о согласии запоминается на 365 дней. Вы можете изменить выбор или отозвать согласие в любое время:

Также возможна полная отписка от cookies в настройках браузера — это может ограничить функциональность Сервиса.

10. Меры обеспечения безопасности (ст. 18.1, 19 152-ФЗ)

  • Шифрование транзитных каналов — TLS 1.3.
  • Хеширование паролей (bcrypt/argon2id), 2FA через TOTP.
  • RBAC: 8 ролей с гранулярными правами и журналом доступа (audit log).
  • Rate-limit и WAF-фильтры на публичных endpoint'ах.
  • Резервное копирование с шифрованием и контролем целостности.
  • Регулярный аудит безопасности и penetration-тесты.
  • Принцип минимизации: храним только необходимые данные.
  • Назначено лицо, ответственное за обработку персональных данных.

11. Права субъекта персональных данных (ст. 14–21 152-ФЗ)

Субъект персональных данных вправе:

  • Получать сведения о наличии у Оператора персональных данных, относящихся к данному субъекту, и об обстоятельствах их обработки (ст. 14).
  • Требовать уточнения (исправления) персональных данных, если они являются неполными, устаревшими, неточными (ст. 14 ч. 1).
  • Требовать блокирования или уничтожения (удаления) персональных данных в случае их неправомерной обработки или достижения цели обработки (ст. 14 ч. 1, ст. 21).
  • Отозвать согласие на обработку персональных данных в любое время (ст. 9 ч. 2). Отзыв направляется письменно на email Оператора.
  • Получать копию своих персональных данных в машиночитаемом формате (право на портативность).
  • Обжаловать действия или бездействие Оператора в Роскомнадзоре (https://rkn.gov.ru) либо в судебном порядке.

Для реализации прав направьте запрос на email help@vyshka.cloud с подтверждением личности. Срок ответа — не более 30 (тридцати) дней с момента получения запроса.

12. Уведомление об инцидентах

В случае выявления неправомерного или случайного доступа к персональным данным, повлёкшего нарушение прав субъектов, Оператор уведомляет Роскомнадзор в течение 24 часов о факте инцидента и в течение 72 часов о результатах его расследования (ст. 21 ч. 3.1 152-ФЗ).

13. Изменения Политики

Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента публикации на этой странице. Существенные изменения дополнительно доводятся до сведения пользователей по email не менее чем за 10 дней до вступления в силу.

14. Контакты

По вопросам обработки персональных данных:
ИП Сапрыкина Екатерина Викторовна (ВЫШКА)
ОГРНИП: 324762700015359
ИНН: 760309674718
Адрес: Ярославская область, Ярославский район, деревня Липовицы
Email оператора: help@vyshka.cloud
Поддержка: hello@vyshka.cloud

Зарегистрировано УФНС по Ярославской области 26.03.2024. УСН, ПСН. Включено в Единый реестр субъектов МСП (микропредприятие, 10.04.2024).