Политика обработки персональных данных
Настоящая Политика составлена в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Оператор: Индивидуальный предприниматель Лачугина А. В.
ИНН: 583502906945 · ОГРНИП: 325580000056167
Адрес: 440039, г. Пенза, Пензенская обл., Россия
Email: silcore-notifications@yandex.ru
Налоговый режим: УСН «Доходы», ставка 6% (ст. 346.12, 346.13 НК РФ)
1. Общие положения
Настоящая Политика определяет порядок обработки персональных данных (далее — ПДн) пользователей сервиса Zepra. Оператор платформы: ИП Лачугина А. В., ИНН 583502906945, ОГРНИП 325580000056167.
Zepra — технологическая платформа (SaaS) для онлайн-записи в салоны услуг. Мы обрабатываем ПДн владельцев салонов (ФИО, email, телефон) как Оператор, и ПДн клиентов салонов как Обработчик (по поручению салона, ст. 6 152-ФЗ).
2. Категории обрабатываемых данных
Мы обрабатываем: ФИО, номер телефона, адрес электронной почты, сведения об оказанных услугах в салонах, технические данные (IP-адрес, файлы cookie).
3. Цели обработки
- Предоставление доступа к CRM-системе Zepra
- Обеспечение работы формы онлайн-записи
- Фискализация платежей за подписку: при оплате через ЮKassa кассовые чеки формируются сервисом «Чеки от ЮKassa» (ИП на УСН «Доходы» 6%, 54-ФЗ); аренда сторонних облачных касс не используется
- Информирование о статусе записи (в личном кабинете)
3.1. Цели, категории данных, основания и сроки
| Цель | Категория ПДн | Правовое основание | Срок хранения |
|---|---|---|---|
| Регистрация и доступ владельца салона к CRM | ФИО, email, телефон | Договор-оферта (исполнение договора, п. 5 ч. 1 ст. 6 152-ФЗ) | 3 года с момента регистрации; при удалении аккаунта — уничтожение в течение 30 дней; бухгалтерские документы — 5 лет (ст. 29 402-ФЗ) |
| Онлайн-запись клиента в салон | Имя, телефон, история визитов | Поручение оператора (салон) + согласие субъекта | До отзыва согласия или 90 дней после закрытия салона |
| Сервисные уведомления о записи | Исполнение договора записи (сервисные сообщения, без маркетинга; SMS/WhatsApp/Telegram не используются) | До завершения визита + 30 дней | |
| Маркетинговые рассылки об акциях | Email (при наличии согласия) | Отдельное согласие (ст. 6, 9 152-ФЗ; ст. 18 ФЗ «О рекламе»). Без SMS и мессенджеров. | До отзыва согласия / отписки |
| Оплата подписки Zepra | Email, сумма платежа, идентификатор транзакции | Договор-оферта, 54-ФЗ | 5 лет (налоговый учёт) |
| Техническая безопасность и расследование инцидентов | IP-адрес, User-Agent, журналы запросов | Законный интерес оператора (п. 7 ч. 1 ст. 6 152-ФЗ), обеспечение безопасности | 90 дней (журналы доступа), до 1 года при инциденте |
| Веб-аналитика (Яндекс.Метрика) | Cookie (_ym_uid, _ym_d), обезличенные технические данные | Согласие субъекта (ст. 6, 9 152-ФЗ; ФЗ № 420-ФЗ) — только после баннера | До отзыва согласия или 13 месяцев без активности |
| Запись выбора cookie-баннера | Запись в localStorage браузера (cookie_consent) |
Согласие / законный интерес (необходимые cookies) | 12 месяцев с даты выбора |
4. Правовое основание
Обработка осуществляется на основании договора-оферты, согласий пользователей и ст. 6 152-ФЗ.
В отношении ПДн клиентов салона ИП Лачугина А. В. выступает обработчиком по поручению оператора (Салона). Ответственность за наличие согласий клиентов, законность рассылок салона и содержание публичных страниц записи несёт Салон. Zepra не отвечает за услуги салона, действия мастеров и маркетинг салона.
Участники партнёрской программы продвигают сервис самостоятельно и от своего имени. Принципал (ИП Лачугина А. В.) не является рекламодателем материалов партнёров и не несёт ответственности за способ их продвижения, кроме случаев, прямо предусмотренных законом; претензии по рекламе партнёра направляются партнёру и/или на silcore-notifications@yandex.ru.
4.1. Сроки хранения
Персональные данные подлежат уничтожению в срок, не превышающий 30 дней с даты поступления отзыва согласия или требования об уничтожении, если иное не предусмотрено договором.
Хранение осуществляется на серверах на территории РФ (ООО «ТаймВэб.Клауд», Timeweb Cloud VPS; резервное хранение — в дата-центрах РФ).
5. Объём обрабатываемых данных (по категориям)
5.1. Для владельцев салонов
- ФИО, Email, телефон, данные организации
- Данные об оплате подписки (обрабатываются через ЮKassa; данные карт мы не храним)
5.2. Для клиентов салонов
- Имя (для идентификации клиента)
- Номер телефона (для идентификации и связи по записи)
- Email (для сервисных напоминаний о визите — только при указании клиентом)
- История посещений (для программы лояльности и учёта записей)
- Стандартные запросы по записи (перенос, отмена, вопрос) — без свободного чата
5.3. Технические данные
- Логи запросов (IP-адреса, временные метки, типы событий)
- Данные об ошибках для диагностики
6. Сроки обработки
Персональные данные обрабатываются до достижения целей обработки или до отзыва согласия субъектом. Данные клиентов удаляются через 90 дней после прекращения подписки салона. Запрос на удаление исполняется в течение 30 дней.
7. Место обработки данных (локализация)
В соответствии с ч. 5 ст. 18 Закона № 152-ФЗ хранение и обработка персональных данных граждан РФ осуществляется на серверах, расположенных на территории Российской Федерации (Timeweb Cloud VPS, регион РФ).
8. Передача данных
Данные клиента передаются только тому салону, в который осуществляется запись, а также обработчикам из раздела 11 — исключительно для работы сервиса.
9. Согласие на обработку персональных данных
В соответствии с ч. 1 ст. 9 Закона № 152-ФЗ (в редакции Федерального закона от 24.06.2025 № 156-ФЗ) согласие субъекта персональных данных оформляется отдельным самостоятельным документом и не включается в настоящую Политику, договор-оферту, пользовательское соглашение или иные документы.
Текст согласия на обработку персональных данных: /pdn-consent.
Текст согласия на получение рекламных материалов (ст. 18 ФЗ «О рекламе»): /marketing-consent. Согласие на рекламу не объединяется с согласием на обработку ПДн.
Отзыв согласия: письмо на silcore-notifications@yandex.ru или через личный кабинет клиента (кнопки «Удалить профиль» / «Отписаться от акций»).
10. Хранение данных
Данные хранятся в защищённой базе данных PostgreSQL на VPS в РФ (Timeweb Cloud). ПО Supabase используется как self-hosted слой доступа к БД на сервере Оператора; трансграничная передача не осуществляется. Мы не храним данные банковских карт — они обрабатываются на стороне ЮKassa. Кэш сессий хранится в памяти сервера приложения и удаляется автоматически по истечении срока.
Уничтожение персональных данных осуществляется путём безвозвратного стирания записей в базе данных PostgreSQL (Supabase) без возможности восстановления. Уничтожение подтверждается формированием электронного лога в системном журнале базы данных (таблица pdn_destruction_acts, Приказ РКН № 179), дублированием в системных логах платформы и составлением письменного Акта об уничтожении персональных данных с указанием перечня стёртых категорий данных и уникального идентификатора system_log_hash. Шаблон акта: docs/legal/pdn_destruction_act_template.md. Владелец салона может выгрузить электронный акт через API.
11. Операторы и обработчики
ИП Лачугина А. В. (ИНН 583502906945, ОГРНИП 325580000056167) является оператором ПДн владельцев салонов и обработчиком ПДн клиентов салонов (по поручению салона, ст. 6 152-ФЗ). Салон, использующий Zepra, остаётся оператором ПДн своих клиентов.
Перечень третьих лиц, осуществляющих обработку ПДн по поручению Оператора:
- ООО «ТаймВэб.Клауд» (ОГРН 1157746428281, ИНН 7810945525), 196084, г. Санкт-Петербург, ул. Заставская, д. 33, лит. А — хостинг VPS, предоставление инфраструктуры облачного сервера и хранение баз данных на территории РФ (договор поручения на обработку ПДн)
- ООО «НКО «ЮМани» (Сервис ЮKassa) (ОГРН 1127711000039, ИНН 7750005725), 115035, г. Москва, Садовническая ул., д. 82, стр. 2 — проведение безналичных расчётов за лицензии, фискализация чеков
- ООО «ЯНДЕКС» (ИНН 7736207543, ОГРН 1027700229193, адрес: 119021, г. Москва, ул. Льва Толстого, д. 16) — передача обезличенных технических данных (файлы cookie, IP-адреса) посредством сервиса веб-аналитики «Яндекс.Метрика» в целях улучшения работы и юзабилити интернет-ресурса.
Трансграничная передача персональных данных Оператором не осуществляется. Обработка данных производится исключительно на мощностях российских провайдеров в дата-центрах на территории РФ.
Актуальный перечень операторов может уточняться. Запрос актуального списка: silcore-notifications@yandex.ru.
11.1. Ответственный за организацию обработки персональных данных
Ответственным за организацию обработки персональных данных у Оператора назначен: Индивидуальный предприниматель Лачугина А. В. (контактный email: silcore-notifications@yandex.ru).
12. Ваши права
В соответствии с действующим законодательством вы вправе:
- Запросить доступ к своим персональным данным
- Запросить выгрузку своих данных в машиночитаемом формате (реализовано в личном кабинете через
/api/bookings/me/export-data) - Потребовать исправления неточных данных
- Потребовать удаления ваших данных (право на забвение, ст. 21 152-ФЗ)
- Отозвать согласие на обработку данных
- Требовать ограничения обработки, если она неправомерна или цели достигнуты, но данные необходимы для защиты прав в суде
- Подать жалобу в надзорный орган (Роскомнадзор)
Для реализации прав (включая право на забвение, ст. 21 152-ФЗ):
- Автоматически: войдите в личный кабинет клиента → раздел «Мои записи» → кнопка «Удалить профиль». Персональные данные будут безвозвратно уничтожены; формируется электронный акт уничтожения (Приказ РКН № 179).
- По email: направьте запрос на silcore-notifications@yandex.ru с темой «Удаление персональных данных».
Срок исполнения запроса — до 30 календарных дней.
Выгрузка данных (DSAR, ст. 14 152-ФЗ) производится в машиночитаемом формате JSON через личный кабинет клиента (кнопка «Скачать мои данные», API /api/bookings/me/export-data). Уничтожение данных фиксируется формированием электронного акта в системе и составлением письменного Акта об уничтожении персональных данных в соответствии с Приказом РКН № 179.
13. Cookie и аналитика
Необходимые cookies (сессия, безопасность, JWT refresh в HttpOnly-cookie) используются для работы сервиса без отдельного согласия.
Аналитические cookies (Яндекс.Метрика, домен mc.yandex.ru) подключаются только после вашего явного согласия в баннере на сайте (кнопки «Принять все» или включение переключателя «Аналитика» в настройках).
Мы не используем Google Analytics, Google Tag Manager, Meta Pixel, TikTok Pixel и иные иностранные счётчики. Сервисные и маркетинговые email-сообщения платформы направляются только при отдельном согласии в формах регистрации/записи (не через cookie-баннер).
Отозвать согласие на аналитику: нажмите «Настройки cookies» в подвале сайта и выберите «Только необходимые», либо удалите запись cookie_consent в localStorage браузера (Инструменты разработчика → Application → Local Storage) и обновите страницу.
14. Статус организатора распространения информации (149-ФЗ)
Zepra не является мессенджером и не предоставляет свободный обмен сообщениями между пользователями. Клиент может отправить администратору салона только стандартный запрос по записи (перенос, отмена, вопрос, проблема со входом). Платформа не попадает под обязанности организатора распространения информации (ОРИ).
15. Уведомление Роскомнадзора
В соответствии со ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных до начала обработки (подача через pd.rkn.gov.ru).
16. Безопасность
Мы используем HTTPS-шифрование, секретные токены для вебхуков, хеширование паролей, маскирование телефонов в логах и разграничение доступа между салонами. Ключи доступа к базе данных (service role) хранятся только на сервере приложения и не передаются клиентам.
17. Уведомления об инцидентах и утечках (ст. 21.1 152-ФЗ)
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор в течение 24 часов уведомляет Роскомнадзор, а в течение 72 часов проводит внутреннее расследование и уведомляет уполномоченные органы о результатах.
Уполномоченные представители платформы могут экспортировать реестр контактных лиц владельцев салонов для подготовки уведомления об инциденте (эндпоинт breach-contacts).
18. Изменения в политике
При существенных изменениях мы уведомим пользователей по email. Актуальная версия всегда доступна на странице /privacy.
19. Контакты
По вопросам конфиденциальности: silcore-notifications@yandex.ru.