Первичная запись и хранение в российских базах данных.
Юридический контур
Политика конфиденциальности и обработки персональных данных
Здесь собраны правила обработки персональных данных в Крафти: какие данные нужны сервису, на каких основаниях они используются, как пользователь управляет согласиями и как реализуются его права.
История согласий, экспорт данных и запрос на удаление.
Защита сессий, журналирование и контроль доступа.
Коротко о правах пользователя
Документ не только фиксирует обязанности сервиса, но и показывает, какими инструментами пользователь реально управляет своими данными.
Как защищаются данные
Меры безопасности привязаны к реальной работе кабинета, оплат и истории генераций, а не описаны абстрактно.
1. Общие положения
Настоящая политика определяет порядок обработки персональных данных пользователей сервиса Крафти. Документ подготовлен с учетом требований Федерального закона N 152-ФЗ «О персональных данных», Федерального закона N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и применимых подзаконных актов.
2. Оператор
Оператором выступает владелец сервиса Крафти. Актуальные реквизиты, контактный адрес для обращений субъектов персональных данных и юридически значимые сведения публикуются в оферте и в реквизитах сервиса.
3. Категории субъектов данных
Политика распространяется на посетителей сайта, зарегистрированных пользователей, клиентов, контрагентов, представителей юридических лиц и лиц, направляющих обращения через формы обратной связи или support-каналы.
4. Состав персональных данных
Оператор может обрабатывать email, имя, username, Telegram ID при привязке, IP-адрес, user-agent, историю согласий, информацию о входах, платежах, запросах на удаление данных, историю генераций и настройки профиля, если это необходимо для работы сервиса.
5. Цели обработки
Персональные данные обрабатываются для регистрации и аутентификации, оказания услуг, обеспечения безопасности, ведения учета платежей и операций, исполнения договорных обязательств, обработки запросов пользователя, соблюдения законодательства и направления маркетинговых сообщений при наличии отдельного согласия.
6. Правовые основания
Основаниями являются согласие субъекта персональных данных, необходимость исполнения договора или оферты, требования законодательства РФ, а также законные интересы оператора в части защиты сервиса, предотвращения злоупотреблений и ведения технического аудита без нарушения прав и свобод пользователя.
7. Принципы обработки
Оператор соблюдает принципы законности, справедливости, минимизации, ограничения целей обработки, актуальности и достоверности данных, ограничения сроков хранения и принятия необходимых организационных и технических мер защиты.
8. Согласия пользователя
При регистрации пользователь подтверждает обязательные согласия на обработку персональных данных, принятие оферты и использование обязательных cookies. Отдельно могут предоставляться согласия на функциональные cookies и маркетинговые коммуникации по email и push.
9. Хранение данных и локализация
Первичная запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных осуществляются с использованием баз данных, расположенных на территории Российской Федерации. Трансграничная передача персональных данных запрещена и не используется в штатном контуре сервиса.
10. Условия передачи третьим лицам
Передача данных возможна только в случаях, прямо предусмотренных законодательством РФ, договором с пользователем или поручением обработки. Если для отдельной интеграции требуется внешний подрядчик, данные передаются в минимально необходимом составе и только при наличии законного основания.
11. Сроки хранения
Данные хранятся не дольше, чем это необходимо для достижения целей обработки, исполнения обязательств, разрешения споров, ведения учета и соблюдения обязательных сроков хранения, установленных законодательством и внутренними регламентами оператора.
12. Права субъекта персональных данных
Пользователь вправе получать сведения об обработке, требовать уточнения, блокирования или удаления данных, отзывать согласия, ограничивать маркетинговые коммуникации, запрашивать выгрузку данных и обращаться с жалобой в уполномоченный орган, если считает, что его права нарушены.
13. Порядок реализации прав
Для реализации прав пользователь может использовать страницу /consents, экспорт данных через /api/my-data/export, запрос на удаление через /api/my-data/delete-request и контактные каналы, опубликованные оператором. Обращения рассматриваются в сроки, установленные законодательством РФ.
14. Cookies и похожие технологии
Сервис использует обязательные cookies для аутентификации, безопасности, CSRF-защиты и корректной работы кабинета. Функциональные cookies применяются только при выборе пользователя. Подробные правила описаны на странице /cookies.
15. Меры безопасности
Оператор использует TLS 1.2/1.3, контроль доступа, журналирование действий, защиту сессий, bcrypt-хеширование паролей, CSRF-защиту, rate limiting, аудит доступа к чувствительным данным, отдельный учет согласий и иные технические и организационные меры, достаточные для текущего уровня риска.
16. Изменение политики
Оператор вправе обновлять политику при изменении законодательства, процессов обработки, состава сервисов и мер безопасности. Актуальная версия публикуется на этой странице, а существенные изменения отражаются в журнале согласий пользователя.