Политика обработки персональных данных

Оператор: Индивидуальный предприниматель Птичкин Сергей Робертович
ИНН: 667478865403
ОГРНИП: 325665800265152

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее - Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями, вступившими в силу 1 сентября 2025 года) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в программе CoreRelay и на сайте corerelay.ru.

1.2. Оператором персональных данных является: Индивидуальный предприниматель Птичкин Сергей Робертович (далее - Оператор).

1.3. Контактные данные Оператора:

• ИНН: 667478865403
• ОГРНИП: 325665800265152
• Адрес: 620085, Свердловская обл., г. Екатеринбург, ул. Крестинского, д. 49/1
• Телефон: +7 (992) 010-97-86
• Email: support@corerelay.ru
• Ответственное лицо за организацию обработки персональных данных: Птичкин Сергей Робертович

1.4. Политика действует в отношении всех персональных данных, которые Оператор может получить от Пользователей сайта corerelay.ru и программы CoreRelay.

1.5. Регистрация в Сервисе, начало использования его функционала и (или) оплата услуг означают полное и безоговорочное согласие Пользователя (субъекта персональных данных) с условиями настоящей Политики и предоставление Оператору свободного, конкретного, информированного и сознательного согласия на обработку его персональных данных в объёме и для целей, указанных в настоящей Политике, в соответствии со статьёй 9 Федерального закона № 152-ФЗ.

2. Основные понятия

В настоящей Политике используются следующие понятия:

• Персональные данные - любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных) (статья 3 Федерального закона № 152-ФЗ).
• Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (статья 3 Федерального закона № 152-ФЗ).
• Пользователь (субъект персональных данных) - физическое лицо, использующее программу CoreRelay и (или) сайт corerelay.ru.
• Сервис - программа для электронных вычислительных машин «CoreRelay» и сопутствующий веб-сайт https://corerelay.ru.
• Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
• Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (статья 3 Федерального закона № 152-ФЗ). Оператором не осуществляется.

3. Цели обработки персональных данных

3.1. Оператор обрабатывает персональные данные Пользователя в следующих целях:

• Регистрация и идентификация Пользователя в Сервисе;
• Предоставление доступа к функционалу программы CoreRelay по подписке;
• Учёт оплат, формирование чеков и иных документов, требуемых законодательством;
• Связь с Пользователем по вопросам использования Сервиса;
• Отправка служебных уведомлений о работе Сервиса и существенных изменениях условий обслуживания;
• Обеспечение информационной безопасности и предотвращение мошеннических действий;
• Улучшение качества Сервиса на основании обезличенной диагностики;
• Соблюдение требований законодательства Российской Федерации, в том числе налогового.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей в соответствии со статьёй 5 Федерального закона № 152-ФЗ.

4. Перечень обрабатываемых персональных данных

4.1. Оператор обрабатывает следующие категории персональных данных:

• Идентификационные данные: адрес электронной почты;
• Учётные данные: пароль, хранится исключительно в виде криптографического хеша по алгоритму bcrypt с фактором сложности 12;
• Данные о подписке: тариф, дата активации, дата окончания, статус;
• Данные о платежах: идентификатор заказа, сумма, дата, статус транзакции (реквизиты карты у Оператора не обрабатываются);
• Технические данные: IP-адрес сессии, идентификатор экземпляра программы;
• Диагностические данные (опционально, по согласию): обезличенные сведения о результатах запуска приложений в программе CoreRelay.

4.2. Оператор не обрабатывает специальные категории персональных данных (расовое или национальное происхождение, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь), а также биометрические персональные данные.

5. Правовые основания обработки персональных данных

5.1. Обработка персональных данных осуществляется на следующих правовых основаниях в соответствии со статьёй 6 Федерального закона № 152-ФЗ:

• Согласие субъекта персональных данных на обработку его персональных данных (пункт 1 части 1 статьи 6 152-ФЗ);
• Исполнение договора, стороной которого является субъект персональных данных (пункт 5 части 1 статьи 6 152-ФЗ);
• Соблюдение требований законодательства Российской Федерации (пункт 2 части 1 статьи 6 152-ФЗ);
• Осуществление прав и законных интересов Оператора (пункт 7 части 1 статьи 6 152-ФЗ).

5.2. Согласие на обработку персональных данных считается полученным с момента регистрации в Сервисе и (или) оплаты подписки в соответствии с пунктом 1.5 настоящей Политики.

6. Порядок и условия обработки персональных данных

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования таких средств.

6.2. При обработке персональных данных Оператор обеспечивает:

• Конфиденциальность персональных данных;
• Защиту персональных данных от неправомерного доступа;
• Соответствие целям обработки;
• Точность и актуальность данных;
• Минимизацию объёма обрабатываемых данных в соответствии с целями.

6.3. Хранение персональных данных осуществляется на серверах, расположенных на территории Российской Федерации (г. Москва), в соответствии с частью 5 статьи 18 Федерального закона № 152-ФЗ.

6.4. Автоматизированных решений, влекущих юридические или иные значимые последствия для субъекта, без участия человека Оператор не принимает.

7. Передача персональных данных третьим лицам

7.1. Оператор может передавать персональные данные следующим третьим лицам и только в объёме, необходимом для достижения целей обработки:

• Банк-эквайер АО «ТБанк» (Тинькофф Касса) - в части идентификатора заказа, суммы платежа и контактных сведений для направления электронного чека;
• Хостинг-провайдер (ООО «Таймвэб») - в составе данных, размещённых в инфраструктуре провайдера на территории Российской Федерации;
• Уполномоченные государственные органы - в случаях, предусмотренных законодательством Российской Федерации.

7.2. Оператор не продаёт и не передаёт персональные данные третьим лицам в маркетинговых целях.

7.3. Трансграничная передача данных не осуществляется. Все персональные данные Пользователей обрабатываются и хранятся на серверах, расположенных в Российской Федерации.

7.4. В случае передачи персональных данных третьим лицам для обработки по поручению Оператора с такими лицами заключаются договоры в соответствии со статьёй 6 Федерального закона № 152-ФЗ, которые обязывают их обеспечивать конфиденциальность и безопасность передаваемых данных.

8. Оценка вреда субъектам персональных данных

8.1. Оператор проводит оценку возможного вреда субъектам персональных данных в соответствии с требованиями статьи 18.1 Федерального закона № 152-ФЗ.

8.2. Возможные последствия нарушения безопасности персональных данных:

• Несанкционированный доступ к учётной записи Пользователя;
• Утечка адреса электронной почты;
• Компрометация сведений о подписке и платежах.

8.3. Меры по минимизации вреда: шифрование канала связи по протоколу TLS, хеширование паролей по алгоритму bcrypt, ограничение прав доступа, автоматический мониторинг подозрительной активности, регулярное резервное копирование, локализация данных в Российской Федерации.

9. Сроки обработки персональных данных

9.1. Персональные данные обрабатываются до момента:

• Достижения целей обработки;
• Отзыва согласия субъектом персональных данных;
• Удаления учётной записи Пользователем;
• Истечения срока исковой давности (3 года с момента прекращения договорных отношений).

9.2. В случае отзыва согласия на обработку персональных данных или удаления учётной записи обработка прекращается, а персональные данные уничтожаются в соответствии с порядком, указанным в пункте 9.3 настоящей Политики.

9.3. Порядок прекращения обработки персональных данных

УДАЛЕНИЕ (в течение 30 календарных дней). Идентификационные данные (адрес электронной почты), данные о подписке и сведения об активности удаляются из основной базы данных. Данные сохраняются в резервных копиях для обеспечения возможности восстановления системы.

УНИЧТОЖЕНИЕ (в течение 90 календарных дней). Полное и безвозвратное удаление персональных данных из всех систем хранения, включая резервные копии. Восстановление данных после уничтожения невозможно.

ИСКЛЮЧЕНИЕ - хранение технических журналов (5 лет). Технические журналы (логи), содержащие IP-адреса, время доступа, идентификаторы сессий, хранятся в течение 5 (пяти) лет для обеспечения информационной безопасности, расследования инцидентов и соблюдения требований статьи 17 Федерального закона № 152-ФЗ. По истечении указанного срока технические журналы подлежат уничтожению.

ОБЕЗЛИЧИВАНИЕ (без ограничения срока). Обезличенная статистическая информация (общее количество пользователей, средние показатели использования сервиса, агрегированные сведения о совместимости приложений) может храниться без ограничения срока для аналитических целей и совершенствования качества Сервиса.

СОХРАНЕНИЕ ДАННЫХ ДЛЯ ИСПОЛНЕНИЯ ЗАКОНОДАТЕЛЬСТВА. Отдельные персональные данные, необходимые для исполнения требований законодательства Российской Федерации (в частности, данные о платежах), хранятся в течение сроков, установленных налоговым и бухгалтерским законодательством (5 лет).

10. Меры по защите персональных данных

10.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в соответствии со статьёй 19 Федерального закона № 152-ФЗ, Постановлением Правительства РФ от 01.11.2012 № 1119 и Приказом ФСТЭК России от 18.02.2013 № 21.

10.2. Технические меры защиты

• Шифрование данных при передаче по защищённому протоколу HTTPS с использованием TLS версии 1.2 и выше;
• Принудительный редирект с HTTP на HTTPS, заголовок Strict-Transport-Security на 1 год;
• Хеширование паролей с использованием алгоритма bcrypt (фактор сложности 12);
• Подписанные токены сессии (JWT, алгоритм HS256) с механизмом версионирования сессий для мгновенной инвалидации при компрометации;
• Ограничение количества попыток входа и регистрации с одного IP-адреса с автоматической временной блокировкой;
• Защита от типовых веб-атак: межсайтовая подделка запросов (CSRF), внедрение SQL-кода (SQL injection), межсайтовый скриптинг (XSS);
• Запрет прямого доступа к служебным файлам конфигурации на уровне веб-сервера;
• Регулярное обновление программного обеспечения и устранение известных уязвимостей;
• Резервное копирование данных с обеспечением защиты резервных копий.

10.3. Организационные меры защиты

• Назначение лица, ответственного за организацию обработки персональных данных (Птичкин Сергей Робертович);
• Ограничение круга лиц, имеющих доступ к персональным данным;
• Ведение журнала учёта действий с персональными данными в соответствии с требованиями статьи 18.1 Федерального закона № 152-ФЗ;
• Ежегодная проверка соответствия обработки персональных данных требованиям Федерального закона № 152-ФЗ;
• Разработка и утверждение локальных актов по вопросам обработки персональных данных.

11. Права субъекта персональных данных

11.1. В соответствии со статьями 14-17 Федерального закона № 152-ФЗ Пользователь имеет право:

• Получить информацию об обработке своих персональных данных, включая подтверждение факта обработки, правовые основания и цели обработки, применяемые способы обработки, сроки обработки, перечень обрабатываемых данных;
• Требовать уточнения, блокирования или уничтожения персональных данных в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• Отозвать согласие на обработку персональных данных;
• Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порядке;
• На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
• Удалить свою учётную запись через личный кабинет на сайте либо запросом на электронную почту.

11.2. Для реализации своих прав Пользователь может направить запрос на email: support@corerelay.ru. Запрос должен содержать:

• Фамилию, имя, отчество субъекта персональных данных;
• Номер основного документа, удостоверяющего личность;
• Сведения о дате выдачи указанного документа и выдавшем его органе;
• Подпись субъекта персональных данных (для запросов на бумажном носителе);
• Суть запроса.

11.3. Оператор обязан рассмотреть запрос и дать ответ по существу в срок, не превышающий 30 (тридцати) календарных дней с момента получения запроса в соответствии со статьёй 20 Федерального закона № 152-ФЗ.

12. Действия при утечке персональных данных

12.1. В случае обнаружения утечки персональных данных Оператор обязуется в соответствии со статьёй 21 Федерального закона № 152-ФЗ:

• Уведомить Роскомнадзор в течение 24 (двадцати четырёх) часов с момента обнаружения в установленной форме;
• Провести расследование инцидента в течение 72 (семидесяти двух) часов;
• Уведомить затронутых Пользователей о факте утечки при наличии технической возможности;
• Принять меры по минимизации последствий инцидента;
• Предоставить отчёт о результатах расследования в Роскомнадзор.

12.2. Оператор ведёт журнал учёта инцидентов информационной безопасности.

13. Файлы cookie и локальное хранилище

13.1. Сайт corerelay.ru не использует файлы cookie.

13.2. В локальном хранилище браузера Пользователя (Web Storage API, localStorage) сохраняются исключительно технические сведения, необходимые для функционирования личного кабинета:

• cr_token - токен сессии, обеспечивающий аутентификацию субъекта при последующих запросах;
• cr_last_email - адрес электронной почты, использованный при последнем входе, для автозаполнения формы;
• cr_cookie_ack - признак того, что субъекту было предъявлено уведомление о составе технических сведений.

13.3. Указанные сведения хранятся исключительно на устройстве субъекта и удаляются вместе с очисткой данных сайта средствами браузера. Аналитические системы, рекламные сети, трекеры и сторонние скрипты на сайте отсутствуют.

14. Изменение Политики

14.1. Оператор вправе вносить изменения в настоящую Политику.

14.2. Порядок уведомления об изменениях:

• Несущественные изменения (исправление опечаток, уточнение формулировок, изменение контактных данных) - путём публикации новой редакции Политики на странице corerelay.ru/privacy.
• Существенные изменения (изменение целей обработки, состава обрабатываемых персональных данных, перечня третьих лиц, которым передаются данные, порядка реализации прав субъектов персональных данных) - путём направления уведомления на адрес электронной почты Пользователя не менее чем за 15 (пятнадцать) календарных дней до вступления изменений в силу.

14.3. Новая редакция Политики вступает в силу:

• Для несущественных изменений - с момента размещения на сайте;
• Для существенных изменений - через 15 (пятнадцать) календарных дней после направления уведомления Пользователям.

15. Продолжение использования сервиса

15.1. Продолжение использования Сервиса после вступления в силу новой редакции Политики означает согласие Пользователя с внесёнными изменениями.

15.2. В случае несогласия с изменениями Пользователь обязан прекратить использование Сервиса до вступления изменений в силу.

16. Контактная информация

По вопросам, связанным с обработкой персональных данных, обращайтесь:

Индивидуальный предприниматель Птичкин Сергей Робертович

Юридический адрес:
620085, Свердловская обл., г. Екатеринбург, ул. Крестинского, д. 49/1

Электронная почта для запросов по персональным данным:
support@corerelay.ru

Телефон:
+7 (992) 010-97-86
(в рабочие дни с 10:00 до 18:00 по московскому времени)

Срок рассмотрения обращений:
Оператор обязуется рассмотреть и дать ответ на поступивший запрос в срок, не превышающий 30 (тридцати) календарных дней с момента его получения и идентификации отправителя в соответствии со статьёй 20 Федерального закона № 152-ФЗ.

Редакция от 11.05.2026.