Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — Политика) определяет порядок сбора, обработки, хранения и защиты персональных данных пользователей сервиса FrankFMY CRM (далее — Сервис) в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — 152-ФЗ).

1.2. Оператором персональных данных является самозанятый Прянишников Артём Алексеевич (далее — Оператор), применяющий специальный налоговый режим «Налог на профессиональный доход» (422-ФЗ).

1.3. Регистрация в Сервисе означает безусловное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки персональных данных, включая обработку с использованием технологий искусственного интеллекта и передачу данных технологическим партнёрам, указанным в разделе 6.

1.4. Оператор вправе обновлять настоящую Политику без предварительного уведомления Пользователя. Актуальная редакция размещается по адресу crm.frankfmy.com/privacy. Продолжение использования Сервиса после публикации изменений означает согласие с новой редакцией.

2. Цели обработки персональных данных

Оператор обрабатывает персональные данные в следующих целях:

• Идентификация Пользователя и предоставление доступа к функциям Сервиса
• Выполнение обязательств перед Пользователем (обработка заказов, подписок, платежей)
• Отправка уведомлений о тендерах, дедлайнах и событиях в Сервисе
• Обеспечение работы AI-функций: скоринг тендеров, аудит документации, генерация коммерческих предложений, анализ звонков и иная автоматизированная обработка с применением технологий искусственного интеллекта
• Обогащение данных организации по ИНН через публичные справочные сервисы
• Обеспечение безопасности аккаунта (предотвращение несанкционированного доступа)
• Улучшение качества Сервиса и клиентского опыта
• Исполнение требований законодательства Российской Федерации

3. Перечень обрабатываемых данных

3.1. Данные, предоставляемые Пользователем:

• Фамилия, имя, отчество (или псевдоним)
• Адрес электронной почты
• Номер телефона (при привязке Telegram)
• Идентификатор Telegram (при привязке аккаунта)
• Название организации, ИНН, ОГРН, отрасль деятельности
• Реквизиты организации (юридический/фактический адрес, банковские реквизиты, контактные данные)
• Описание деятельности компании (профиль для AI-скоринга)
• Сведения о кадровом составе (должности, количество, квалификация)
• Сведения о лицензиях и допусках (наименование, номер, срок действия)

3.2. Данные, собираемые автоматически:

• IP-адрес
• Информация о браузере и устройстве (User-Agent)
• Дата и время обращения к Сервису
• Действия в Сервисе (журнал аудита)
• Файлы cookie (техническая идентификация сессии)

3.3. Оператор не собирает и не обрабатывает специальные категории персональных данных (расовая принадлежность, политические взгляды, состояние здоровья, биометрические данные).

3.4. Оператор не хранит платёжные данные Пользователя (номера банковских карт, CVV-коды). Обработка платежей осуществляется исключительно на стороне сертифицированного платёжного агрегатора.

4. Правовые основания обработки

• Согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ)
• Исполнение договора (публичной оферты), стороной которого является субъект (п. 5 ч. 1 ст. 6 152-ФЗ)
• Обязанности Оператора, предусмотренные законодательством РФ (п. 2 ч. 1 ст. 6 152-ФЗ)
• Законный интерес Оператора в обеспечении безопасности и работоспособности Сервиса (п. 7 ч. 1 ст. 6 152-ФЗ)

5. Защита персональных данных

Оператор принимает следующие организационные и технические меры по защите персональных данных:

• Хеширование паролей (bcrypt) — пароли не хранятся в открытом виде
• Шифрование каналов передачи данных (TLS/HTTPS)
• JWT-токены с ограниченным сроком действия для аутентификации
• Защита от CSRF-атак (токены на мутирующие запросы)
• Ограничение частоты запросов (rate limiting) для предотвращения атак перебором
• Блокировка аккаунта при превышении попыток входа
• Изоляция данных организаций (multi-tenant архитектура с проверкой принадлежности на каждом запросе)
• Журналирование действий (аудит-лог) для обнаружения инцидентов
• Регулярное резервное копирование баз данных
• Минимизация данных: AI-сервисам передаются только данные, необходимые для выполнения конкретной операции, без идентификаторов Пользователя

6. Передача данных третьим лицам

6.1. Оператор не продаёт, не сдаёт в аренду и не передаёт персональные данные третьим лицам в коммерческих целях. Передача осуществляется исключительно для обеспечения функциональности Сервиса в следующих случаях:

• С согласия Пользователя
• Обработка платежей: АО «ЮМани» (ЮKassa) — передаются только данные, необходимые для проведения операции (сумма, идентификатор заказа)
• Уведомления: Telegram Bot API — передаётся идентификатор чата для доставки уведомлений о тендерах
• AI-сервисы: для работы функций AI-скоринга, аудита документации, генерации предложений и анализа звонков данные о тендерах и профиле организации (описание деятельности, кадровый состав, лицензии, ОКПД2-коды) передаются в обезличенном виде провайдерам языковых моделей через API. Персональные данные физических лиц (ФИО, email, телефон) AI-провайдерам не передаются. Оператор вправе менять провайдеров AI без уведомления Пользователя
• Обогащение данных: при обогащении контактов по ИНН, ИНН организации передаётся в справочный сервис ДаДата (ООО «Ху Из»). Передаются исключительно публичные реквизиты юридических лиц, не являющиеся персональными данными
• По требованию уполномоченных органов государственной власти РФ в порядке, установленном законодательством

6.2. Серверы Сервиса и базы данных расположены на территории Российской Федерации. Для работы отдельных функций (AI-обработка, платежи) данные могут передаваться на серверы технологических партнёров за пределами РФ в объёме, строго необходимом для оказания услуг, с соблюдением требований ст. 12 152-ФЗ. Передаваемые данные не содержат сведений, позволяющих идентифицировать физическое лицо.

7. Сроки хранения данных

• Данные аккаунта — в течение всего срока использования Сервиса
• После удаления аккаунта — данные удаляются в течение 30 календарных дней, за исключением данных, которые Оператор обязан хранить по законодательству РФ
• Журнал аудита — хранится 12 месяцев
• Данные о платежах — хранятся 5 лет (требование 402-ФЗ «О бухгалтерском учёте»)
• Данные, переданные AI-провайдерам, не хранятся на стороне Оператора после получения результата обработки

8. Права субъекта персональных данных

Пользователь имеет право:

• Получить информацию об обработке своих персональных данных
• Потребовать уточнения, блокирования или уничтожения персональных данных
• Отозвать согласие на обработку персональных данных (при этом доступ к Сервису прекращается)
• Обжаловать действия Оператора в Роскомнадзор или в суд

Для реализации указанных прав направьте запрос на email Оператора, указав ФИО и адрес электронной почты, зарегистрированный в Сервисе. Срок ответа — не более 10 рабочих дней с момента получения запроса (ч. 4 ст. 14 152-ФЗ).

Отзыв согласия не влечёт удаления данных, которые Оператор вправе продолжать обрабатывать на иных правовых основаниях (исполнение договора, требования закона).

9. Реагирование на инциденты

9.1. В случае установления факта неправомерной или случайной утечки персональных данных Оператор обязуется:

• В течение 24 часов уведомить Роскомнадзор о факте инцидента (ч. 3.1 ст. 21 152-ФЗ)
• В течение 72 часов уведомить Роскомнадзор о результатах внутреннего расследования
• Принять меры по минимизации последствий инцидента
• Уведомить затронутых Пользователей, если инцидент может повлечь риски для их прав и свобод

9.2. Оператор не несёт ответственности за утечки данных, произошедшие на стороне третьих лиц (платёжный агрегатор, AI-провайдер, провайдер хостинга), если Оператор предпринял разумные меры по выбору надёжных партнёров и контролю их деятельности.

10. Файлы cookie

Сервис использует строго необходимые cookie для поддержания пользовательской сессии (refresh-токен в httpOnly cookie). Рекламные и аналитические cookie не используются. Отключение cookie может привести к невозможности использования Сервиса.

11. Контактные данные Оператора

12. Заключительные положения

12.1. Настоящая Политика является неотъемлемой частью Публичной оферты и Пользовательского соглашения.

12.2. К настоящей Политике и отношениям между Пользователем и Оператором применяется законодательство Российской Федерации.