Политика конфиденциальности

1. Оператор персональных данных

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»).

2. Категории персональных данных

Мы обрабатываем следующие категории персональных данных:

• Идентификационные данные: имя, фамилия, электронная почта, номер телефона.
• Профессиональные данные: должность, компания, сфера деятельности, краткое описание (bio).
• Технические данные: IP-адрес, User-Agent, Cookie-идентификаторы, токены сессий.
• Коммуникационные данные: текст сообщений в чатах (исключительно между пользователями сервиса).
• Платёжные данные: идентификатор транзакции, тариф подписки. Банковские реквизиты не хранятся — обрабатываются платёжным агентом ЮKassa.

3. Цели обработки (ст. 5–6 152-ФЗ)

• Предоставление функциональности сервиса (регистрация, авторизация, создание визиток, обмен контактами, чаты).
• Исполнение договора-оферты (ст. 437 ГК РФ) при активации платной подписки.
• Обеспечение безопасности: предотвращение мошенничества, спама, несанкционированного доступа.
• Исполнение обязательств организатора распространения информации (ОРИ) согласно ст. 10.1 149-ФЗ.
• Улучшение качества сервиса на основе агрегированной статистики (без раскрытия данных третьим лицам).

4. Правовые основания

• Согласие субъекта (п. 1 ч. 1 ст. 6 152-ФЗ) — для идентификационных и профессиональных данных при регистрации.
• Исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ) — для платёжных данных.
• Законное основание (п. 7 ч. 1 ст. 6 152-ФЗ) — технические данные для обеспечения безопасности и выполнения требований 149-ФЗ (ОРИ).

5. Сроки хранения

• Сообщения в чатах: 6 месяцев с момента создания (требование ОРИ по ст. 10.1 149-ФЗ).
• Метаданные (IP, User-Agent, время подключений): 1 год с момента создания (требование ОРИ).
• Данные аккаунта: срок действия аккаунта + 30 дней после запроса на удаление.
• Платёжные данные: 5 лет (требование бухгалтерского законодательства).

6. Передача третьим лицам

Персональные данные не продаются и не передаются третьим лицам, кроме:

• Платёжный агент ЮKassa — только платёжные данные, в объёме, необходимом для проведения транзакций.
• Государственные органы РФ — только по законному запросу (ст. 20 149-ФЗ, ст. 10.1 149-ФЗ как ОРИ).
• Облачная инфраструктура Yandex Cloud (дата-центры в РФ) — для хранения и обработки данных на основании договора-поручения.

7. Права субъекта персональных данных (ст. 14–21 152-ФЗ)

• Доступ (ст. 14): получить информацию о составе и обработке ваших данных.
• Исправление (ст. 20): исправить неточные или устаревшие данные.
• Удаление (ст. 21): запросить удаление данных. Выполняется в течение 30 дней, кроме данных, хранение которых обязательно по закону (ОРИ, бухгалтерский учёт).
• Отзыв согласия (ч. 2 ст. 9): отозвать согласие на обработку в любой момент через настройки профиля или по email.
• Жалоба (ст. 17): обратиться в Роскомнадзор (rkn.gov.ru) при нарушении прав.

Для реализации прав направьте запрос на email: [ЗАПОЛНЯЕТ ЮРИСТ: email для обращений по ПД, например privacy@stqyou.ru]

8. Технические меры защиты

• Транспортное шифрование TLS 1.3 для всех соединений.
• Хранение паролей: не применимо (только OAuth-авторизация).
• Токены доступа хранятся только в httpOnly Cookie с флагами Secure и SameSite=Lax.
• Резервные копии шифруются перед передачей в Yandex Object Storage.

9. Файлы Cookie

Сервис использует только функциональные Cookie:

• access_token — сессионный токен (httpOnly, 7 дней).
• refresh_token — токен обновления сессии (httpOnly, 30 дней).
• csrf_token — защита от CSRF-атак (30 дней).

Маркетинговые и аналитические Cookie не используются.

10. Изменения Политики

Оператор вправе вносить изменения в Политику. Действующая версия всегда доступна по адресу stqyou.ru/legal/privacy. При существенных изменениях пользователи будут уведомлены через интерфейс сервиса или по email.

11. Контакты

По вопросам обработки персональных данных: [ЗАПОЛНЯЕТ ЮРИСТ: email, адрес, телефон Оператора]