Политика конфиденциальности

Настоящая Политика конфиденциальности (далее — Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки и защиты персональных данных Лицензиатов индивидуальным предпринимателем Демчуком Данилом Александровичем (далее — Лицензиар, Оператор) в связи с предоставлением права использования программного обеспечения «Лидхолд» (далее — ПО).

01Оператор персональных данных

Уведомление о намерении осуществлять обработку персональных данных направлено Оператором в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в порядке ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Сведения об Операторе подлежат включению в Реестр операторов, осуществляющих обработку персональных данных, в установленные законом сроки. Актуальные сведения о регистрации Оператора доступны на официальном сайте Роскомнадзора по ИНН Оператора.

02Разграничение операторских ролей

Применительно к использованию ПО «Лидхолд» между Лицензиаром и Лицензиатом действует следующее разграничение операторских функций по 152-ФЗ:

• Лицензиар выступает Оператором исключительно в отношении персональных данных самого Лицензиата (физического лица либо физического лица, выступающего от имени Лицензиата — юридического лица или ИП), обрабатываемых для целей заключения и исполнения лицензионного договора, ведения расчётов, технической поддержки и соблюдения требований законодательства Российской Федерации.
• Лицензиат самостоятельно выступает Оператором в отношении любых иных персональных данных, размещаемых, передаваемых, хранимых и обрабатываемых им посредством функциональных возможностей ПО, в том числе в отношении персональных данных любых третьих лиц, чьи данные обрабатываются Лицензиатом через ПО.
• В части обработки персональных данных третьих лиц, осуществляемой Лицензиатом, Лицензиар выступает в качестве лица, осуществляющего обработку персональных данных по поручению Лицензиата (ч. 3 ст. 6 152-ФЗ), исключительно в объёме технических операций, обусловленных функциональными возможностями ПО. Содержание поручения определяется выбранными Лицензиатом параметрами ПО и командами, отдаваемыми Лицензиатом через пользовательский интерфейс. Самостоятельных целей обработки таких данных Лицензиар не определяет.
• Регистрация в реестре операторов в части персональных данных, обрабатываемых Лицензиатом, обеспечение надлежащего правового основания обработки (включая получение согласий субъектов персональных данных), а равно исполнение запросов субъектов и уведомления контролирующих органов в этой части — относятся к зоне ответственности Лицензиата (раздел 06 Условий использования ПО).

03Категории обрабатываемых данных Лицензиата

Оператор обрабатывает следующие категории персональных данных Лицензиата:

• идентификационные данные: Telegram ID, username, имя, фамилия, language_code, идентификатор учётной записи в ПО;
• контактные данные: адрес электронной почты для юридической переписки и направления квитанций; номер телефона — при добровольном предоставлении Лицензиатом;
• платёжные метаданные: сумма, дата, идентификатор транзакции, способ платежа (без хранения полных реквизитов платёжных карт у Оператора);
• технические данные: IP-адрес, User-Agent, метаданные сессий, временная зона;
• сведения об использовании: журнал событий учётной записи, журнал согласий, журнал обращений в поддержку.

Оператор не обрабатывает специальные категории персональных данных (раса, национальность, политические, религиозные или философские убеждения, состояние здоровья, интимная жизнь) и биометрические персональные данные.

04Цели и правовые основания обработки

05Место и сроки хранения

Базы данных Оператора, содержащие персональные данные Лицензиатов, размещаются на серверах в Российской Федерации (АО «Селектел», ДЦ Москва, зона ru-1) в соответствии с требованиями ч. 5 ст. 18 152-ФЗ.

Сроки хранения:

• идентификационные, контактные данные и технические сведения — до удаления учётной записи Лицензиата либо до отзыва согласия на обработку;
• платёжные метаданные и первичные документы — в течение сроков, установленных налоговым и бухгалтерским законодательством РФ (не менее 4 лет в силу пп. 8 п. 1 ст. 23 НК РФ);
• журнал согласий и факт акцепта оферты — бессрочно для целей доказывания факта заключения договора;
• сведения, обрабатываемые в связи с функциональными командами Лицензиата (Контент Лицензиата), — на серверах Лицензиара в течение сроков, установленных конфигурацией ПО, но не более 90 календарных дней с момента создания соответствующей записи, если иное не определено Лицензиатом и не противоречит требованиям законодательства.

06Привлекаемые подрядчики

Для обеспечения функционирования ПО Оператор привлекает следующих подрядчиков на основании договоров, предусматривающих условия конфиденциальности и соблюдения требований 152-ФЗ:

Перечень конкретных подрядчиков может быть изменён Оператором в одностороннем порядке при условии сохранения требуемого уровня защиты персональных данных.

Взаимодействие ПО с мессенджерами и иными внешними коммуникационными сервисами по команде Лицензиата осуществляется по инициативе Лицензиата и не образует передачи персональных данных Оператора указанным сервисам в значении 152-ФЗ. Применительно к таким сервисам Лицензиат самостоятельно определяет состав и объём передаваемых данных, выступает их оператором согласно разделу 02 настоящей Политики и несёт самостоятельную ответственность за соблюдение требований законодательства.

07Обезличивание данных и отсутствие трансграничной передачи

В отношении функции программной обработки текстового контента средствами больших языковых моделей, реализуемой Оператором с привлечением подрядчика OpenRouter Inc. (юрисдикция США), Оператор применяет процедуру обезличивания персональных данных в значении п. 9 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ.

Содержание процедуры обезличивания

До момента передачи текстового контента подрядчику OpenRouter Inc. программными средствами Оператора в автоматическом режиме выполняется удаление либо замена на обезличивающие токены следующих категорий идентификаторов:

• номера телефонов — заменяются на токен [phone];
• адреса электронной почты — заменяются на токен [email];
• идентификаторы пользователей в формате @username — заменяются на токен @user;
• числовые идентификаторы Telegram (Telegram ID) и иные системные идентификаторы — исключаются из передаваемого потока;
• имена и фамилии, выявленные программными средствами, — заменяются на нейтральные обезличивающие токены.

Идентификаторы учётной записи Лицензиата (Telegram ID, имя, фамилия, контактные сведения, платёжные метаданные) подрядчику OpenRouter Inc. не передаются ни в каком виде.

Правовые последствия обезличивания

В силу п. 9 ст. 3 152-ФЗ обезличивание персональных данных — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Обезличенные данные не являются персональными данными в значении 152-ФЗ.

Соответственно, передача обезличенного текстового контента подрядчику OpenRouter Inc. за пределы Российской Федерации не образует трансграничной передачи персональных данных в значении ст. 12 152-ФЗ. Обязанность Оператора по направлению в Роскомнадзор уведомления о трансграничной передаче в порядке ст. 12 152-ФЗ применительно к настоящему процессу не возникает.

Контроль качества обезличивания

Качество автоматизированной процедуры обезличивания контролируется автоматическим тестированием на каждом релизе ПО. Методика обезличивания утверждена внутренним актом Оператора — Приказом ИП Демчука Д.А. от 27.04.2026 № 1-ОПД «Об утверждении методики обезличивания персональных данных, обрабатываемых в информационной системе «Лидхолд»» с учётом требований Приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных» (метод введения идентификаторов, ст. 5 указанного Приказа). Копия методики предоставляется по запросу контролирующего органа.

08Меры защиты данных

Оператор применяет правовые, организационные и технические меры защиты персональных данных в соответствии с ч. 1 ст. 18.1 и ст. 19 152-ФЗ. Подробное описание применяемых мер изложено в документе «Безопасность данных».

09Права субъекта персональных данных

В соответствии с главой 3 152-ФЗ Лицензиат как субъект персональных данных вправе:

• получать от Оператора подтверждение факта обработки, информацию о правовых основаниях, целях, способах, сроках обработки и о лицах, имеющих доступ к его персональным данным;
• требовать уточнения, блокирования или уничтожения персональных данных в случае их неточности, неполноты или неактуальности;
• отозвать ранее данное согласие на обработку персональных данных;
• требовать прекращения обработки и уничтожения персональных данных, обрабатываемых на основании отозванного согласия, за исключением случаев, когда обработка может осуществляться без согласия субъекта (ч. 1 ст. 6 152-ФЗ);
• обжаловать действия или бездействие Оператора в Роскомнадзоре и в судебном порядке.

Запросы направляются в письменной форме на адрес электронной почты Оператора или в поддержку @Leadhold_support_bot. Срок ответа Оператора — 10 рабочих дней с даты получения запроса (ч. 1 ст. 20 152-ФЗ); указанный срок может быть продлён, но не более чем на 5 рабочих дней, с уведомлением заявителя о продлении и его причинах (ч. 2 ст. 20 152-ФЗ). По требованию о прекращении обработки персональных данных, не имеющей правовых оснований, — срок исполнения 10 рабочих дней (ч. 3 ст. 21 152-ФЗ).

Требования к форме и содержанию запроса. Верификация заявителя

В соответствии с ч. 3 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ запрос субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность заявителя или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе либо иные сведения, подтверждающие факт обработки персональных данных Оператором, а также подпись заявителя или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Запросы, не соответствующие требованиям ч. 3 ст. 14 152-ФЗ (анонимные обращения, обращения без идентификационных сведений заявителя, обращения, не позволяющие однозначно установить связь заявителя с обрабатываемыми Оператором персональными данными), Оператор оставляет без рассмотрения с уведомлением заявителя о причинах. В случае поступления запроса от имени Лицензиата с адреса электронной почты, не соответствующего контактному адресу учётной записи Лицензиата, Оператор направляет дополнительный верификационный запрос на контактный адрес, указанный при регистрации; срок ответа на такой запрос приостанавливается до получения подтверждения от Лицензиата.

В случае поступления массовых однотипных запросов, обращений с признаками автоматизированной (ботовой) подачи либо обращений, направленных явно с целью создания препятствий для нормальной деятельности Оператора (злоупотребление правом, ст. 10 ГК РФ), Оператор вправе ввести разумные технические и организационные ограничения на их обработку с уведомлением Роскомнадзора. Указанное не ограничивает права добросовестных субъектов персональных данных.

Внутренняя система контроля соответствия 152-ФЗ

Оператор для обеспечения исполнения обязанностей оператора персональных данных применяет следующие правовые и организационные меры (ст. 18.1 152-ФЗ):

• назначение ответственного за организацию обработки персональных данных (Приказ ИП Демчука Д.А. от 27.04.2026 № 1-ОПД);
• назначение ответственного за обеспечение безопасности персональных данных в информационной системе (Приказ ИП Демчука Д.А. от 27.04.2026 № 2-ИБ);
• утверждение Положения об обработке персональных данных, Положения об обеспечении безопасности персональных данных, Перечня обрабатываемых персональных данных, Перечня мест хранения, Регламента реагирования на инциденты информационной безопасности (внутренние акты Оператора, копии предоставляются по запросу контролирующего органа);
• ведение Журнала ознакомления лиц, имеющих доступ к персональным данным, с требованиями локальных актов Оператора и 152-ФЗ;
• ведение Журнала учёта обращений субъектов персональных данных и ответов на них;
• применение технических мер защиты в объёме, достаточном для обеспечения уровня защищённости УЗ-3 согласно Постановлению Правительства РФ от 01.11.2012 № 1119 и Приказу ФСТЭК России от 18.02.2013 № 21 (подробное описание — в документе «Безопасность данных»);
• ежегодная самопроверка соблюдения 152-ФЗ с документированием результатов.

10Изменение Политики

Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке. Действующая редакция размещается на сайте по постоянному адресу privacy.html. Существенные изменения сопровождаются уведомлением Лицензиата сообщением в ПО либо на адрес электронной почты не менее чем за 15 календарных дней до вступления изменений в силу.

11Контакты Оператора

По всем вопросам обработки персональных данных Лицензиат вправе обратиться к Оператору:

• электронная почта: danilka2d1d@gmail.com;
• телефон: +7 917 023 7105;
• служба поддержки в Telegram: @Leadhold_support_bot;
• место осуществления деятельности: г. Кременки.

Срок ответа на письменные запросы — 10 рабочих дней с возможностью продления не более чем на 5 рабочих дней (ч. 1, 2 ст. 20 152-ФЗ).

12Cookie-файлы и серверные логи посетителей сайта

При посещении сайта Оператора в информационно-телекоммуникационной сети «Интернет» Оператор автоматически осуществляет обработку следующих сведений о посетителях сайта:

• IP-адрес устройства посетителя;
• агентская строка (User-Agent) браузера, тип и версия браузера, тип и версия операционной системы;
• дата и время посещения, URL запрошенной страницы, URL страницы-перехода (Referrer);
• cookie-файлы, устанавливаемые Оператором в браузер посетителя для обеспечения работоспособности сайта (сессионные cookie, cookie с настройками отображения, cookie с отметкой о прохождении уведомления настоящего раздела).

Цели обработки указанных сведений:

• обеспечение работоспособности сайта и корректного отображения его страниц;
• защита от автоматизированных атак, перебора паролей и иных нарушений информационной безопасности;
• ведение серверных журналов аудита для целей расследования инцидентов и предоставления сведений уполномоченным государственным органам в случаях, предусмотренных законом.

Правовое основание — п. 7 ч. 1 ст. 6 152-ФЗ (правомерные интересы оператора при обеспечении безопасности информационных систем) и п. 2 ч. 1 ст. 6 152-ФЗ (исполнение возложенных законодательством обязанностей по ведению журналов аудита).

Указанные сведения хранятся в серверных журналах в срок не более 6 месяцев и по истечении срока подлежат уничтожению либо обезличиванию. Третьим лицам сведения не передаются, за исключением случаев, предусмотренных законодательством Российской Федерации.

Оператор не использует сторонние системы веб-аналитики (Яндекс.Метрика, Google Analytics, иные аналогичные сервисы), не размещает на сайте рекламные cookie-файлы, не осуществляет таргетинг и ретаргетинг рекламы. Применение cookie-файлов ограничено технически необходимыми (сессионными и настроечными) cookie.

Посетитель сайта вправе в любое время отключить приём cookie-файлов в настройках своего браузера. При отключении cookie-файлов отдельные функции сайта могут стать недоступными либо работать некорректно, что не будет рассматриваться как нарушение со стороны Оператора.