Политика обработки персональных данных
Настоящая Политика определяет порядок обработки персональных данных на сайте aicrmlab.com (далее — Сайт) и составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Приказа Роскомнадзора от 05.09.2013 № 996.
Версия документа: 2026-05-11. Действует с даты публикации.
1. Сведения об операторе
Оператор персональных данных:
- Наименование: [указывается при регистрации в реестре операторов Роскомнадзора]
- ИНН: [указывается]
- ОГРН / ОГРНИП: [указывается]
- Адрес: [указывается]
- Email: info@aicrmlab.com
- Telegram: @AaLlleee
- Номер в реестре операторов Роскомнадзора: [вносится после регистрации на pd.rkn.gov.ru]
Контактное лицо по вопросам обработки персональных данных — Александр Легеза.
2. Категории субъектов и обрабатываемых данных
2.1. Посетители Сайта
- обезличенный идентификатор сессии браузера в localStorage (для аналитики глубины и переходов)
- хеш IP-адреса (SHA-256 с секретным ключом, необратимый при недоступе к ключу)
- путь страницы, источник перехода (referrer), тип браузера
2.2. Лица, обратившиеся через форму обратной связи
- имя
- номер телефона
- текст сообщения / комментарий (опционально)
- хеш IP-адреса и User-Agent (для защиты от спама)
- дата и факт проставления согласия
2.3. Лица, использующие AI-ассистента (чат-виджет)
- имя
- номер телефона
- email (опционально)
- содержание переписки с AI-ассистентом
- оценка качества лида (lead-score), полученная автоматически на основе анализа диалога
- факт проставления трёх согласий: на обработку ПД, политику, трансграничную передачу
3. Правовые основания и цели обработки
| Цель | Правовое основание (ст. 6 ФЗ-152) |
|---|---|
| Обработка обращений через форму обратной связи | Согласие субъекта (ч. 1 п. 1) |
| Консультация через AI-ассистента | Согласие субъекта (ч. 1 п. 1) |
| Информирование о наших услугах | Согласие субъекта (ч. 1 п. 1) |
| Обеспечение функционирования и безопасности Сайта | Законный интерес Оператора (ч. 1 п. 7); обработка обезличенных данных (ст. 7) |
| Выполнение обязанностей, возложенных законодательством | Закон (ч. 1 п. 2) |
4. Поручение обработки третьим лицам (обработчики в РФ)
Оператор поручает обработку отдельных операций обработчикам в смысле ч. 3 ст. 6 ФЗ-152:
- Хостинг-провайдер VPS (хостинг сервера сайта на территории Российской Федерации)
- Internet Security Research Group (Let's Encrypt) — выдача TLS-сертификатов. Передаются только публичные технические данные (доменное имя), персональные данные субъектов не передаются.
Сторонние системы аналитики (Яндекс.Метрика, Google Analytics, Facebook Pixel и т. п.) на Сайте не подключены.
5. Трансграничная передача данных
Для работы AI-ассистента (чат-виджет на сайте) тексты сообщений пользователя передаются на серверы зарубежных провайдеров обработки естественного языка (LLM):
| Провайдер | Страна | Категория |
|---|---|---|
| OpenAI | США | Не обеспечивающая адекватной защиты |
| Google (Gemini) | США | Не обеспечивающая адекватной защиты |
| Anthropic (Claude) | США | Не обеспечивающая адекватной защиты |
| OpenRouter, Groq, Mistral и др. | США / EU | Зависит от провайдера |
Что передаётся: только тексты сообщений пользователя в чате.
Что НЕ передаётся: контактные данные (имя, телефон, email), история сессии вне текущего сообщения, IP-адреса, идентификаторы.
⚠️ США и ряд других стран не входят в перечень стран, обеспечивающих адекватную защиту прав субъектов ПД, утверждённый Конвенцией Совета Европы № 108. В соответствии с ч. 4 ст. 12 ФЗ-152 такая передача допускается только при наличии письменного согласия субъекта.
Перед началом диалога с AI-ассистентом пользователю предлагается отдельный чекбокс с явным согласием на трансграничную передачу его сообщений в указанные страны. Без проставления этого согласия диалог с AI-ассистентом не начинается. Факт согласия фиксируется в базе данных (дата, время, IP, версия Политики).
Оператор подал в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) уведомление о намерении осуществлять трансграничную передачу персональных данных в соответствии с ч. 3 ст. 12 ФЗ-152. [номер уведомления и дата подачи вносятся после получения от РКН]
Альтернатива для пользователей, не согласных на трансграничную передачу: обратиться через форму обратной связи или Telegram @AaLlleee — в этом случае обработка осуществляется без передачи зарубежным провайдерам.
6. Условия и порядок обработки
6.1. Способы обработки
Обработка осуществляется автоматизированным и неавтоматизированным способом.
6.2. Локализация данных
В соответствии с ч. 5 ст. 18 ФЗ-152 запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации. Серверы сайта расположены в дата-центрах на территории РФ.
При трансграничной передаче (см. п. 5) российская копия данных также продолжает храниться в РФ; зарубежный провайдер обрабатывает данные транзитно для предоставления ответа.
7. Сроки обработки и хранения
- История переписки с AI-ассистентом — 12 месяцев с момента последнего сообщения
- Контактные данные из формы обратной связи и чата — 36 месяцев, либо до отзыва согласия
- Хеши IP-адресов, идентификаторы сессий, обезличенная аналитика — 90 дней
- Журналы попыток входа в административную панель — 30 дней
- Доказательство согласия (дата, время, версия Политики, факт трёх чекбоксов в чате) — бессрочно либо до отзыва согласия
По истечении срока или по требованию субъекта данные удаляются необратимым способом, в том числе из резервных копий в течение разумного срока (обычно до 90 дней).
8. Меры защиты
Оператор применяет правовые, организационные и технические меры защиты в соответствии с ч. 1 ст. 19 ФЗ-152, Постановлением Правительства РФ № 1119, Приказом ФСТЭК России № 21:
- Шифрование канала передачи данных (TLS 1.2+, HTTPS, HSTS)
- Хранение паролей в виде криптографических хешей (argon2id)
- Обезличивание IP-адресов и идентификаторов браузера через SHA-256 с секретным ключом
- Разграничение доступа на уровне операционной системы, СУБД и приложения
- Защита от автоматизированного спама: honeypot, временные ловушки, валидация номера и email, фильтр одноразовых доменов, ограничение частоты запросов
- Журналирование действий администраторов с маскировкой персональных данных
- Регулярное резервное копирование на серверах в Российской Федерации
- Принятие локального акта, регулирующего обработку персональных данных
9. Права субъекта персональных данных
В соответствии со ст. 14–17, 20, 21 ФЗ-152 субъект имеет право:
- получать сведения о наличии и характере обрабатываемых о нём данных (ст. 14)
- требовать уточнения, исправления неполных или неточных данных (ст. 14, 21)
- требовать удаления своих персональных данных (ст. 21)
- требовать ограничения обработки своих персональных данных (ст. 21)
- отозвать согласие на обработку (включая отдельный отзыв согласия на трансграничную передачу) (ч. 2 ст. 9)
- обжаловать действия Оператора в Роскомнадзор или в судебном порядке (ст. 17)
- требовать возмещения убытков и компенсации морального вреда (ст. 17 ч. 2)
Порядок реализации прав
Запрос направляется:
- через специальную форму на странице /privacy/request
- на email info@aicrmlab.com с пометкой «Запрос ФЗ-152»
- в Telegram @AaLlleee
Срок рассмотрения и ответа — не более 30 дней с момента получения (ст. 20 ч. 1).
10. Согласие на обработку
Согласие предоставляется субъектом одним из следующих способов:
- проставление отметки в чекбоксе при отправке формы обратной связи
- проставление трёх отметок в чекбоксах перед началом диалога с AI-ассистентом (на обработку ПД, на политику, на трансграничную передачу)
Факт проставления согласия (дата, время, версия Политики, отметки чекбоксов) фиксируется в базе данных в момент действия и хранится в качестве доказательства.
Субъект вправе отозвать согласие в любой момент способами, указанными в п. 9.
11. Cookie и локальные технические средства
На Сайте используются следующие технические средства:
- Cookie сессии администратора — устанавливаются только после входа в административную панель. На обычных посетителей не устанавливаются.
- sessionStorage — идентификатор активной сессии AI-ассистента (срок жизни до закрытия вкладки)
- localStorage — обезличенный идентификатор посетителя для подсчёта уникальных визитов в самостоятельно размещённой аналитике
Сторонние системы аналитики на Сайте не подключены.
12. Действия при инцидентах безопасности
В случае неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов:
- В течение 24 часов с момента выявления Оператор уведомляет Роскомнадзор (ч. 3.1 ст. 21 ФЗ-152)
- В течение 72 часов предоставляет результаты внутреннего расследования
- Уведомляет затронутых субъектов при существенном риске
- Принимает меры для прекращения неправомерной обработки и устранения её последствий
13. Изменения политики
Оператор вправе вносить изменения. Актуальная редакция всегда доступна по адресу /privacy. Существенные изменения вступают в силу не ранее чем через 7 дней после публикации. Если изменения затрагивают цели обработки или категории передаваемых данных, требующих нового согласия, Оператор запрашивает согласие повторно.
14. Контакты и обжалование
Контакты Оператора указаны в п. 1. Жалоба на действия Оператора направляется:
- Оператору — досудебный порядок
- В Роскомнадзор — rkn.gov.ru
- В суд по месту жительства или местонахождению Оператора