ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Редакция от 14 марта 2026 года


1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных (далее — Политика) определяет порядок обработки и защиты персональных данных, обрабатываемых Индивидуальным предпринимателем Хусаиновым Ильдусом Акрамовичем (далее — Оператор), при использовании SaaS-платформы «Витрина» (бренд DIGRIZ) (далее — Платформа).

1.2. Реквизиты Оператора:
  - ИП Хусаинов Ильдус Акрамович;
  - ИНН: 165114640491;
  - ОГРНИП: 319169000190073;
  - Адрес: 423576, Республика Татарстан, г. Нижнекамск, ул. Вокзальная, 6А, кв. 58;
  - Контактный email: info@digriz.ru.

1.3. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными нормативными правовыми актами Российской Федерации в области персональных данных.

1.4. Политика действует в отношении всех персональных данных, которые Оператор получает от субъектов персональных данных в рамках использования Платформы.

1.5. Платформа представляет собой SaaS-сервис для организации онлайн-продаж (AI-витрина в Telegram), обслуживающий два уровня пользователей: B2B-клиенты (владельцы магазинов) и покупатели (физические лица, совершающие покупки через витрины клиентов).

1.6. Настоящая Политика является общедоступным документом и размещается на Платформе по адресу, обеспечивающему беспрепятственный доступ к ней любого заинтересованного лица.

1.7. Согласие субъекта персональных данных на обработку его персональных данных оформляется в виде отдельного документа и не является частью пользовательского соглашения (оферты) или иных договорных документов.


2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Оператор обрабатывает персональные данные в следующих целях:

2.1.1. Регистрация и идентификация B2B-клиентов на Платформе, создание и ведение учетной записи клиента, предоставление доступа к функциональности Платформы.

2.1.2. Исполнение договорных обязательств перед B2B-клиентами по предоставлению SaaS-сервиса, включая техническую поддержку, выставление счетов и прием оплаты.

2.1.3. Обработка заказов покупателей, оформленных через витрины клиентов, включая передачу контактных данных покупателя соответствующему клиенту (продавцу) для исполнения заказа и доставки товара.

2.1.4. Обеспечение работы AI-функций Платформы (чат-бот стилист, AI-фотостудия, виртуальная примерка) в части, касающейся взаимодействия с пользователями.

2.1.5. Направление уведомлений, связанных с использованием Платформы (сервисные уведомления, уведомления о статусе заказа, изменения условий обслуживания).

2.1.6. Улучшение качества работы Платформы, анализ пользовательского опыта, выявление и устранение технических неисправностей.

2.1.7. Соблюдение требований законодательства Российской Федерации, в том числе налогового и бухгалтерского законодательства.

2.2. Оператор не обрабатывает персональные данные в целях, не совместимых с целями, указанными в пункте 2.1 настоящей Политики.


3. КАТЕГОРИИ СУБЪЕКТОВ И ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

3.1.1. B2B-клиенты (владельцы магазинов) — индивидуальные предприниматели и физические лица, зарегистрированные на Платформе в качестве владельцев витрин.

3.1.2. Покупатели — физические лица, совершающие заказы через витрины клиентов Платформы в мессенджере Telegram.

3.2. Перечень персональных данных B2B-клиентов:
  - фамилия, имя, отчество;
  - номер телефона;
  - адрес электронной почты;
  - идентификатор в Telegram (Telegram ID, username);
  - реквизиты индивидуального предпринимателя (ИНН, ОГРНИП) — при наличии;
  - данные о платежах за использование Платформы;
  - история действий на Платформе (логи операций).

3.3. Перечень персональных данных покупателей:
  - имя (как указано в профиле Telegram или сообщено при оформлении заказа);
  - номер телефона (при предоставлении для целей доставки);
  - адрес доставки (при предоставлении для целей доставки);
  - идентификатор в Telegram (Telegram ID);
  - история заказов.

3.4. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

3.5. Оператор не осуществляет обработку биометрических персональных данных.


4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:

4.1.1. Согласие субъекта персональных данных на обработку его персональных данных (статья 6, часть 1, пункт 1 Закона о персональных данных). Согласие оформляется в виде отдельного документа в соответствии с требованиями статьи 9 Закона о персональных данных.

4.1.2. Исполнение договора, стороной которого является субъект персональных данных (статья 6, часть 1, пункт 5 Закона о персональных данных) — для B2B-клиентов в рамках договора на оказание SaaS-услуг.

4.1.3. Необходимость обработки для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных (статья 6, часть 1, пункт 7 Закона о персональных данных) — для обеспечения корректной работы Платформы, предотвращения мошенничества, улучшения качества сервиса.

4.1.4. Необходимость исполнения обязанностей, возложенных на Оператора законодательством Российской Федерации (статья 6, часть 1, пункт 2 Закона о персональных данных) — для целей налогового и бухгалтерского учета.

4.2. Для обработки персональных данных покупателей правовым основанием является совершение покупателем конклюдентных действий (оформление заказа через витрину), свидетельствующих о его согласии на обработку персональных данных в целях исполнения заказа, а также отдельное согласие на обработку персональных данных, предоставляемое при первом взаимодействии с Платформой.


5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных осуществляется следующими способами:
  - автоматизированная обработка с использованием средств вычислительной техники;
  - без использования средств автоматизации (в исключительных случаях, связанных с технической поддержкой).

5.2. Действия с персональными данными включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

5.3. Хранение персональных данных осуществляется на серверах, расположенных на территории Российской Федерации (хостинг-провайдер Selectel, дата-центры в г. Москва), что соответствует требованиям части 5 статьи 18 Закона о персональных данных.

5.4. Оператор вправе поручить обработку персональных данных третьим лицам с согласия субъекта персональных данных на основании заключаемого с этими лицами договора поручения обработки персональных данных.

5.5. Передача персональных данных покупателей соответствующим B2B-клиентам (продавцам) осуществляется в объеме, необходимом для исполнения заказа (имя, телефон, адрес доставки), и является неотъемлемой частью процесса оформления заказа, на что покупатель дает согласие при размещении заказа.

5.6. Оператор обеспечивает конфиденциальность персональных данных и принимает все необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.


6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект персональных данных имеет право:

6.1.1. Получать информацию, касающуюся обработки его персональных данных, в порядке, установленном статьей 14 Закона о персональных данных, в том числе сведения о:
  - подтверждении факта обработки персональных данных Оператором;
  - правовых основаниях и целях обработки;
  - применяемых способах обработки;
  - наименовании и местонахождении Оператора;
  - лицах, которые имеют доступ к персональным данным;
  - перечне обрабатываемых персональных данных и источнике их получения;
  - сроках обработки и хранения персональных данных;
  - порядке осуществления прав субъекта персональных данных.

6.1.2. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.1.3. Отозвать согласие на обработку персональных данных путем направления соответствующего уведомления Оператору на адрес электронной почты: info@digriz.ru.

6.1.4. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.

6.1.5. Защищать свои права и законные интересы, в том числе требовать возмещения убытков и компенсации морального вреда в судебном порядке.

6.2. Для реализации своих прав субъект персональных данных направляет запрос Оператору по адресу электронной почты: info@digriz.ru. Запрос должен содержать:
  - номер основного документа, удостоверяющего личность субъекта, сведения о дате выдачи указанного документа и выдавшем его органе;
  - сведения, подтверждающие участие субъекта в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
  - подпись субъекта персональных данных или его представителя.

6.3. Оператор обязан дать ответ субъекту персональных данных в течение 10 (десяти) рабочих дней с момента получения запроса.

6.4. В случае отзыва согласия на обработку персональных данных Оператор прекращает обработку персональных данных и уничтожает их в срок, не превышающий 30 (тридцати) дней с даты поступления отзыва, за исключением случаев, когда обработка может быть продолжена на ином правовом основании, предусмотренном Законом о персональных данных.


7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. Организационные меры включают:
  - назначение лица, ответственного за организацию обработки персональных данных;
  - издание внутренних документов, определяющих политику и процедуры обработки персональных данных;
  - определение перечня лиц, имеющих доступ к персональным данным;
  - ознакомление работников Оператора с требованиями законодательства и внутренними документами по обработке персональных данных;
  - оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных;
  - контроль за соблюдением установленного порядка обработки персональных данных.

7.3. Технические меры включают:
  - использование шифрования данных при передаче по каналам связи (SSL/TLS);
  - ограничение доступа к информационным системам, содержащим персональные данные, посредством системы аутентификации и авторизации;
  - ведение журналов доступа к персональным данным;
  - регулярное резервное копирование данных;
  - использование межсетевых экранов (firewall);
  - размещение баз данных на серверах, физически расположенных на территории Российской Федерации, в защищенных дата-центрах провайдера Selectel.

7.4. Уровень защищенности персональных данных определяется в соответствии с Постановлением Правительства РФ от 01.11.2012 N 1119.


8. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Оператор не осуществляет трансграничную передачу персональных данных субъектов (физических лиц).

8.2. Для обеспечения AI-функций Платформы (AI-фотостудия, виртуальная примерка, генерация описаний товаров) Оператор использует внешние сервисы обработки данных (Anthropic, Google Gemini, fal.ai). Во внешние сервисы передаются исключительно данные о товарах (фотографии товаров, описания товаров, характеристики товаров), которые не являются персональными данными.

8.3. Персональные данные пользователей (B2B-клиентов и покупателей) не передаются во внешние AI-сервисы и обрабатываются исключительно на серверах Оператора, расположенных на территории Российской Федерации.

8.4. В случае возникновения необходимости трансграничной передачи персональных данных Оператор обеспечит выполнение требований статьи 12 Закона о персональных данных, включая получение отдельного согласия субъекта персональных данных и проверку уровня защиты персональных данных в стране-получателе.


9. COOKIES И АНАЛИТИКА

9.1. Платформа функционирует в рамках мессенджера Telegram в формате Telegram Mini App и не использует файлы cookie (куки) в традиционном понимании веб-сайтов.

9.2. Для обеспечения корректной работы Платформы могут использоваться технические данные, предоставляемые Telegram API:
  - идентификатор пользователя Telegram;
  - языковые настройки;
  - параметры устройства (тип, платформа) для адаптации интерфейса.

9.3. Указанные технические данные используются исключительно для обеспечения функционирования Платформы и не передаются третьим лицам в маркетинговых или рекламных целях.

9.4. Оператор может собирать обезличенные статистические данные об использовании Платформы (количество просмотров товаров, частота обращений к функциям) для целей улучшения качества сервиса. Обезличенные данные не позволяют идентифицировать конкретного пользователя.


10. СРОКИ ОБРАБОТКИ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Персональные данные обрабатываются в течение сроков, необходимых для достижения целей обработки, если иной срок не установлен законодательством Российской Федерации.

10.2. Сроки обработки персональных данных:

10.2.1. Персональные данные B2B-клиентов обрабатываются в течение срока действия договора на оказание SaaS-услуг и в течение 5 (пяти) лет после его прекращения (в соответствии с требованиями налогового законодательства и законодательства о бухгалтерском учете).

10.2.2. Персональные данные покупателей обрабатываются в течение срока, необходимого для исполнения заказа, и в течение 1 (одного) года после завершения исполнения заказа (доставки товара или отмены заказа), если иное не предусмотрено законодательством.

10.2.3. При отзыве согласия на обработку персональных данных — в течение 30 (тридцати) дней с даты получения отзыва, за исключением случаев, когда обработка может быть продолжена на ином правовом основании.

10.3. По достижении целей обработки или при наступлении иных законных оснований для прекращения обработки Оператор прекращает обработку и уничтожает персональные данные в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.

10.4. Уничтожение персональных данных осуществляется способом, исключающим возможность их восстановления, с составлением акта об уничтожении.


11. ОТВЕТСТВЕННЫЙ ЗА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Ответственным за организацию обработки персональных данных у Оператора является Хусаинов Ильдус Акрамович.

11.2. Контактные данные ответственного лица:
  - Адрес: 423576, Республика Татарстан, г. Нижнекамск, ул. Вокзальная, 6А, кв. 58;
  - Email: info@digriz.ru.

11.3. Ответственный за организацию обработки персональных данных обязан:
  - осуществлять внутренний контроль за соблюдением Оператором законодательства о персональных данных;
  - доводить до сведения работников Оператора требования законодательства и внутренних документов по обработке персональных данных;
  - организовывать прием и обработку обращений и запросов субъектов персональных данных;
  - контролировать меры по обеспечению безопасности персональных данных;
  - осуществлять взаимодействие с уполномоченным органом по защите прав субъектов персональных данных (Роскомнадзор).


12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Настоящая Политика является общедоступным документом. Оператор обеспечивает доступность Политики путем ее размещения в информационной системе Платформы.

12.2. Оператор имеет право вносить изменения в настоящую Политику. Актуальная редакция Политики размещается на Платформе с указанием даты последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией.

12.3. К настоящей Политике и отношениям между субъектом персональных данных и Оператором применяется законодательство Российской Федерации.

12.4. По всем вопросам, связанным с обработкой персональных данных, в том числе по вопросам реализации прав субъектов персональных данных, субъект может обратиться к Оператору по адресу электронной почты: info@digriz.ru.

12.5. Настоящая Политика вступает в силу с момента ее утверждения Оператором и действует бессрочно до замены новой редакцией.

12.6. В случае возникновения споров, связанных с обработкой персональных данных, субъект персональных данных вправе обратиться в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд по месту своего жительства.


Дата утверждения: 14 марта 2026 года.

ИП Хусаинов И.А.