Политика обработки персональных данных сервиса Righty
Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Индивидуальным предпринимателем Филяев Илья Юрьевич (далее — «Оператор»).
1. Общие положения
1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая Политика применяется ко всем персональным данным, которые Оператор может получить о Пользователях сайта https://righty.ru и сервиса Righty.
1.3. Оператор осуществляет обработку персональных данных в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и иных нормативных правовых актов Российской Федерации в области персональных данных.
2. Оператор персональных данных
| Наименование | Индивидуальный предприниматель Филяев Илья Юрьевич |
| ИНН | 482619918391 |
| ОГРНИП | 324480000044861 |
| Юридический адрес | предоставляется по запросу на support@righty.ru |
| Email по вопросам ПДн | privacy@righty.ru |
| Сайт | https://righty.ru |
Ответственный за организацию обработки персональных данных (DPO): Филяев Илья Юрьевич.
3. Основные понятия
- «Персональные данные» (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
- «Пользователь» — посетитель сайта
https://righty.ruи/или зарегистрированный пользователь Сервиса. - «Обработка ПДн» — любое действие с ПДн (сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
- «Согласие» — добровольное волеизъявление субъекта ПДн на обработку его данных, оформленное путём проставления отметки в форме регистрации или акцепта Оферты.
4. Цели обработки персональных данных
Оператор обрабатывает ПДн Пользователей в следующих целях:
4.1. Регистрация и авторизация в Сервисе Righty.
4.2. Заключение и исполнение договора (Публичной оферты) на оказание информационно-консультационных услуг.
4.3. Биллинг — формирование платёжных документов, кассовых чеков (54-ФЗ), возвратов.
4.4. Информационная и техническая поддержка Пользователей.
4.5. Направление уведомлений, связанных с использованием Сервиса (изменение тарифов, истечение подписки, технические уведомления).
4.6. Маркетинговые коммуникации — направление рекламной информации, рассылок (исключительно при наличии отдельного согласия Пользователя).
4.7. Аналитика использования Сервиса для улучшения качества услуг (агрегированная аналитика, без идентификации конкретных пользователей).
4.8. Исполнение обязательств, предусмотренных законодательством РФ (хранение бухгалтерских документов, ответы на запросы государственных органов).
5. Правовые основания обработки
Обработка персональных данных Оператором осуществляется на основании:
- согласия субъекта ПДн (п. 1 ч. 1 ст. 6 152-ФЗ);
- необходимости исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект ПДн (п. 5 ч. 1 ст. 6 152-ФЗ);
- необходимости исполнения обязанностей, возложенных на Оператора законодательством РФ (п. 2 ч. 1 ст. 6 152-ФЗ): Налоговый кодекс РФ, ФЗ № 54-ФЗ «О применении контрольно-кассовой техники», ФЗ № 402-ФЗ «О бухгалтерском учёте».
6. Перечень обрабатываемых персональных данных
Оператор обрабатывает следующие категории ПДн Пользователей:
6.1. При регистрации и использовании Сервиса:
- Имя (по желанию Пользователя)
- Email (обязательно — для авторизации и связи)
- Хеш пароля (если Пользователь использует email/password-провайдер; пароль не хранится в открытом виде, применяется алгоритм bcrypt rounds=12)
- Идентификаторы OAuth-провайдеров — Google ID / VK ID / Яндекс ID (если Пользователь авторизуется через OAuth)
6.2. Технические данные:
- IP-адрес Пользователя (для целей безопасности и анти-фрода)
- User-Agent браузера
- Cookies — функциональные, аналитические, маркетинговые (см. Cookie Policy)
- Логи действий в Сервисе (для целей расследования инцидентов)
6.3. Платёжные данные:
- Номер платёжной карты — Оператором не обрабатывается и не хранится. Все платежи проходят через ЮКассу (ООО НКО «ЮMoney»); ЮКасса самостоятельно обрабатывает данные карт в соответствии с PCI DSS.
- Оператор хранит только идентификатор платежа в ЮКассе и метаданные транзакции (сумма, статус, дата).
6.4. OAuth-токены сторонних сервисов:
- Refresh-токены Яндекс.Директ и Яндекс.Метрики — при подключении Пользователем своих рекламных аккаунтов. Токены хранятся в зашифрованном виде (AES-256-GCM) с уникальным IV для каждой записи. Доступ к зашифрованным токенам имеют только серверные процессы Сервиса при выполнении операций от имени Пользователя.
6.5. Контент Пользователя:
- Информация, загружаемая Пользователем в Сервис: домены проектов, ключевые фразы, CSV-файлы RFM-аудита, тексты объявлений, гипотезы УТП, и иной user-generated content. Этот контент не считается персональными данными третьих лиц, если Пользователь не загружает CSV с email/телефонами клиентов.
6.6. Если Пользователь загружает CSV клиентских данных (RFM-аудит, оффлайн-конверсии):
- В этом случае Пользователь выступает как Оператор этих ПДн, а Righty — как Обработчик. Условия обработки регулируются отдельным Data Processing Agreement (DPA, см.
/dpa).
7. Сторонние обработчики (sub-processors)
Оператор привлекает следующих обработчиков ПДн на основании договоров и в соответствии с ч. 3 ст. 6 152-ФЗ:
| Обработчик | Назначение | Локализация | Ссылка на политику |
|---|---|---|---|
| ЮKassa (ООО НКО «ЮMoney») | Приём платежей, формирование чеков ОФД (54-ФЗ) | РФ | yookassa.ru/legal/fz-152 |
| Яндекс.Метрика (ООО «Яндекс») | Сбор статистики использования сайта (с согласия Пользователя через cookie banner) | РФ | yandex.ru/legal/confidential |
| Sentry | Сбор технических ошибок (имя пользователя/IP анонимизированы) | РФ-серверы при использовании self-hosted, либо ЕС при облачной версии | sentry.io/privacy |
| UFO Hosting LLC, ЦОД в Москве (РФ) (например, Яндекс Облако / Selectel / Timeweb) | Хостинг серверов и баз данных | РФ (ст. 18 ч. 5 152-ФЗ) | (заполняется по факту) |
| Resend (опционально) | Транзакционные email-рассылки | США (направление сообщений по адресам, указанным Пользователями) | resend.com/legal/privacy-policy |
| Cloudflare Turnstile (опционально) | Защита от ботов | США / глобальная CDN | cloudflare.com/privacypolicy |
Передача ПДн третьим лицам, не указанным в данном перечне, не осуществляется.
8. Локализация персональных данных (ст. 18 ч. 5 152-ФЗ)
8.1. При сборе персональных данных, в том числе посредством сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
8.2. Производственная база данных Сервиса (PostgreSQL) и резервные копии физически размещены в дата-центрах на территории РФ (UFO Hosting LLC, ЦОД в Москве (РФ), ЦОД в Москве/Санкт-Петербурге).
9. Сроки обработки и хранения
9.1. ПДн Пользователя обрабатываются в течение всего срока действия договора (Оферты) и 3 (трёх) лет после прекращения договора, что соответствует сроку исковой давности по ГК РФ.
9.2. Платёжные документы и кассовые чеки хранятся 5 (пять) лет в соответствии с требованиями налогового и бухгалтерского законодательства РФ.
9.3. Логи действий и технические данные хранятся не более 12 (двенадцати) месяцев.
9.4. По истечении сроков хранения данные подлежат удалению (физическое уничтожение или обезличивание).
10. Меры по защите персональных данных
Оператор принимает следующие меры для защиты ПДн:
- Шифрование в покое (at rest) — пароли (bcrypt rounds=12), OAuth-токены (AES-256-GCM), бэкапы (gzip + опционально SSE-S3).
- Шифрование в передаче (in transit) — TLS 1.2+ для всех соединений (Strict-Transport-Security, max-age=63072000).
- Ограничение доступа — доступ к производственной БД имеют только серверные процессы Сервиса и Оператор лично.
- Журналирование — структурированные логи (pino) всех операций с ПДн.
- Анти-bruteforce — rate-limit на формы авторизации и восстановления пароля.
- Анти-bot — Cloudflare Turnstile на регистрации.
- Резервное копирование — ежедневные бэкапы БД с retention 30 дней (локально) и 90 дней (в S3-совместимое хранилище в РФ).
- Регулярный аудит безопасности — см. docs/production-checklist.md.
11. Cookies и аналогичные технологии
Подробное описание используемых cookies — в документе Cookie Policy.
Аналитические cookies (Яндекс.Метрика) загружаются только после явного согласия Пользователя через cookie banner.
12. Передача ПДн в иностранные государства
12.1. Оператор не осуществляет трансграничную передачу персональных данных в государства, не обеспечивающие адекватную защиту прав субъектов ПДн (определяются Роскомнадзором).
12.2. В случае необходимости трансграничной передачи (например, при использовании сторонних SaaS-инструментов) Оператор предварительно уведомляет Пользователей и получает их явное согласие в соответствии с ч. 4 ст. 12 152-ФЗ.
13. Права субъектов персональных данных
Пользователь как субъект персональных данных имеет следующие права:
13.1. Право на доступ — запросить у Оператора подтверждение факта обработки и информацию об обрабатываемых ПДн (ст. 14 152-ФЗ). Реализуется через функцию «Экспорт моих данных» в Личном кабинете или через email-запрос на privacy@righty.ru.
13.2. Право на исправление — потребовать уточнения, блокирования или уничтожения ПДн, если они являются неполными, устаревшими, неточными или незаконно полученными (ч. 1 ст. 14 152-ФЗ).
13.3. Право на удаление — потребовать удаления Аккаунта со всеми связанными ПДн. Реализуется через функцию «Удалить аккаунт» в настройках Личного кабинета (DELETE /api/auth/me) или email-запрос. Удаление выполняется в срок до 30 дней.
13.4. Право на отзыв согласия — отозвать согласие на обработку ПДн в любое время путём отправки заявления на privacy@righty.ru. При отзыве согласия обработка прекращается, ПДн удаляются в срок до 30 дней, за исключением случаев, когда обработка необходима для исполнения договорных или законодательных обязательств.
13.5. Право на обжалование — обратиться с жалобой в уполномоченный орган по защите прав субъектов персональных данных — Роскомнадзор (pd.rkn.gov.ru).
13.6. Реализация прав — запросы рассматриваются в срок до 30 (тридцати) календарных дней с момента поступления. Адрес для запросов: privacy@righty.ru.
14. Уведомление об инцидентах
14.1. В случае утечки персональных данных Оператор уведомляет:
- Роскомнадзор — в течение 24 часов с момента обнаружения инцидента (ст. 21 152-ФЗ);
- затронутых субъектов ПДн — без неоправданной задержки;
- иные уполномоченные органы — в соответствии с законодательством РФ.
15. Изменение Политики
15.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её публикации на странице https://righty.ru/privacy.
15.2. При существенных изменениях Оператор направляет Пользователям email-уведомление за 14 (четырнадцать) календарных дней до вступления изменений в силу.
15.3. История изменений ведётся в журнале /changelog/legal.
16. Контакты
По всем вопросам, связанным с обработкой персональных данных, обращайтесь:
- Email DPO:
privacy@righty.ru - Email общей поддержки:
support@righty.ru - Почтовый адрес: предоставляется по запросу на support@righty.ru
Оператор гарантирует ответ на запросы субъектов ПДн в срок до 30 календарных дней.
Дата вступления в силу настоящей редакции: 1 июня 2026 года. Версия документа: 1.0.