Политика обработки персональных данных мобильного приложения «Денег хватит»
Дата вступления в силу: 15.06.2026 Версия документа: 1.2 Адрес публикации актуальной редакции: https://pcyk.app/privacy
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и определяет порядок обработки персональных данных пользователей мобильного приложения «Денег хватит» (далее — «Приложение»).
1.2. Оператором персональных данных является:
Индивидуальный предприниматель Кузьменков Юрий Юрьевич ОГРНИП: 322508100626823 ИНН: 501105687509 Контактный email: privacy@pcyk.app (далее — «Оператор»)
Сведения об Операторе как индивидуальном предпринимателе размещены в открытом доступе в Едином государственном реестре индивидуальных предпринимателей (ЕГРИП) и могут быть получены по идентификаторам ОГРНИП и ИНН через сервисы ФНС России.
1.3. Регистрационный номер Оператора в реестре операторов, осуществляющих обработку персональных данных (Роскомнадзор): 77-26-554973 (приказ Роскомнадзора № 290 от 01.06.2026).
1.4. Обработка персональных данных осуществляется на серверах, расположенных на территории Российской Федерации, что обеспечивает соблюдение требования ч. 5 ст. 18 152-ФЗ о первичной обработке персональных данных граждан Российской Федерации в базах данных, расположенных на территории Российской Федерации.
2. Принятие Политики и согласие на обработку
2.1. Регистрируясь в Приложении, Пользователь подтверждает, что ознакомлен с настоящей Политикой и даёт согласие на обработку своих персональных данных на условиях, изложенных в настоящей Политике.
Отдельное согласие на трансграничную передачу персональных данных в Google LLC (США) для целей доставки push-уведомлений даётся Пользователем при регистрации — отдельным действием (проставлением отдельной отметки в интерфейсе регистрации), независимым от согласия на обработку персональных данных и от принятия Пользовательского соглашения. До предоставления такого согласия передача данных в Google LLC не осуществляется. Пользователь вправе в любой момент отозвать это согласие, отключив push-уведомления (Настройки → Уведомления) либо удалив учётную запись. Условия трансграничной передачи описаны в разделе 6 настоящей Политики. Канонический полный текст согласия — в §2.1.1 ниже.
2.1.1. Канонический текст согласия на трансграничную передачу персональных данных в Google LLC
Я даю своё согласие Оператору — Индивидуальному предпринимателю Кузьменкову Юрию Юрьевичу (ОГРНИП 322508100626823, ИНН 501105687509; регистрационный номер в реестре операторов персональных данных Роскомнадзора 77-26-554973) — на трансграничную передачу моих персональных данных в Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, Соединённые Штаты Америки).
Объём передаваемых персональных данных: FCM-токен моего устройства; идентификатор приложения; текст push-уведомления, который может включать сумму, дату, описание планового платежа и название счёта в объёме, необходимом для информирования меня о предстоящих платежах.
Цель передачи: доставка push-уведомлений о предстоящих платежах через сервис Firebase Cloud Messaging.
Правовое основание: ч. 4 ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Я уведомлён(а), что Соединённые Штаты Америки не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Роскомнадзором.
Срок действия: на срок существования моей учётной записи в Приложении.
Порядок отзыва: отключение push-уведомлений в настройках Приложения (Настройки → Уведомления) либо удаление учётной записи. Отзыв согласия не препятствует использованию иных функций Приложения.
Добровольность: согласие даётся отдельно от согласия на обработку персональных данных, не является условием доступа к иным функциям Приложения и не является элементом акцепта Пользовательского соглашения.
Настоящий канонический текст согласия предъявляется Пользователю в Приложении путём явного действия по проставлению отдельной отметки в интерфейсе регистрации (краткая формулировка с прямой гиперссылкой на настоящий пункт §2.1.1). Факт согласия фиксируется на стороне Оператора с указанием даты и времени проставления отметки, а также версии настоящей Политики, действующей на момент получения согласия (поле consent_cross_border_version в учётной записи Пользователя соответствует версии настоящей Политики). При существенном изменении объёма передаваемых данных, цели передачи, получателя или государства передачи Оператор действует в порядке, предусмотренном §10.4 настоящей Политики.
2.2. Согласие на обработку даётся на весь срок существования учётной записи Пользователя и может быть отозвано в любой момент:
- путём удаления учётной записи через интерфейс Приложения (Настройки → Удалить аккаунт) — мгновенно, без участия Оператора;
- путём направления письменного заявления на email privacy@pcyk.app — в порядке, описанном в §2.3.
Письменное заявление направляется в форме электронного письма на указанный адрес электронной почты. Иные формы корреспонденции (в том числе бумажная) Оператором не принимаются: Оператор не имеет публичного почтового адреса для приёма документов. Связь с Оператором осуществляется исключительно по email privacy@pcyk.app.
2.3. Порядок обработки письменного отзыва согласия. При получении письменного заявления об отзыве согласия Оператор:
- в течение 5 (пяти) рабочих дней направляет Пользователю по email подтверждение получения заявления;
- в течение 30 (тридцати) календарных дней с момента получения заявления прекращает обработку и уничтожает все обрабатываемые персональные данные Пользователя, относящиеся к учётной записи, на которую направлен отзыв.
Срок может быть продлён в случаях, прямо предусмотренных ч. 5 ст. 9 и ст. 21 152-ФЗ, с письменным уведомлением Пользователя о причинах продления.
2.4. Возрастной ценз. Приложение предназначено для использования лицами, достигшими возраста 18 (восемнадцати) лет. Оператор не осуществляет целенаправленный сбор персональных данных лиц, не достигших указанного возраста. При выявлении факта регистрации несовершеннолетнего Оператор удаляет учётную запись и связанные с ней данные в течение 5 (пяти) рабочих дней с момента получения соответствующего обращения от законного представителя или установления факта Оператором.
3. Категории обрабатываемых персональных данных
3.1. Оператор обрабатывает следующие категории персональных данных Пользователя:
| Категория | Назначение | Источник |
|---|---|---|
| Email пользователя | Идентификатор учётной записи, подтверждение, восстановление пароля, системные уведомления | Указывается Пользователем при регистрации |
| Криптографический хеш пароля (Argon2id) | Аутентификация. Открытый пароль не хранится | Создаётся из пароля Пользователя в момент регистрации/смены |
| IP-адрес устройства Пользователя | Журналирование, защита от атак, диагностика | Автоматически при обращении к серверу |
| User-Agent (тип и версия приложения, ОС) | Журналирование, диагностика | Автоматически |
| FCM-токен устройства | Доставка push-уведомлений на устройство Пользователя | Автоматически генерируется операционной системой Android при регистрации устройства в сервисе Firebase Cloud Messaging |
| Платежные записи Пользователя: суммы, описания, даты, наименования контрагентов, активностей и счетов | Предоставление функциональности Приложения по ведению платежного календаря | Вводятся Пользователем |
| Настройки уведомлений (включено/выключено, горизонт дайджеста, время) | Доставка уведомлений в соответствии с предпочтениями Пользователя | Задаются Пользователем |
| Дата регистрации, дата подтверждения email, дата последнего изменения пароля | Безопасность сессий, защита аккаунта | Автоматически |
3.2. Дополнительные категории, связанные с функцией совместного доступа к счёту:
| Категория | Назначение | Источник |
|---|---|---|
| Email-адрес лица, приглашаемого Пользователем-владельцем счёта в качестве оператора счёта | Направление приглашения, создание учётной записи или связи на момент акцепта приглашения, обеспечение функции совместного доступа | Вводится Пользователем-владельцем счёта при инициировании приглашения |
| Связь между владельцем счёта и приглашённым оператором (статус приглашения: ожидает / принято / отозвано) | Управление правами доступа к счёту | Создаётся автоматически по факту приглашения и его акцепта |
Обработка email-адреса приглашаемого лица осуществляется в минимально необходимом объёме исключительно для целей доставки приглашения и установления связи доступа. До момента акцепта приглашения email-адрес используется только для направления приглашения; в иных целях не обрабатывается и третьим лицам, кроме почтового сервис-провайдера (см. §6), не передаётся.
3.3. Дополнительные категории, связанные с функцией интеграции со сторонним сервисом «Финтабло»:
| Категория | Назначение | Источник |
|---|---|---|
| API-ключ Пользователя для доступа к сервису Финтабло | Получение плановых операций Пользователя из сервиса Финтабло | Вводится Пользователем добровольно при подключении интеграции |
| Параметры запроса синхронизации (период, фильтры) | Формирование запроса к API Финтабло | Формируются Оператором автоматически |
| Импортированные из Финтабло плановые операции: суммы, даты, описания, тип операции (поступление / списание). Переводы между счетами Стороннего сервиса Оператором не импортируются | Создание соответствующих записей в платежном календаре Пользователя | Получаются от сервиса Финтабло по запросу Оператора с использованием API-ключа Пользователя |
Подключение интеграции с Финтабло — добровольное действие Пользователя. Без явного подключения интеграции Оператор не запрашивает и не обрабатывает API-ключ, и не получает данные из сервиса Финтабло. Отключение интеграции (Настройки → Интеграции) прекращает обработку соответствующих данных и удаляет API-ключ из систем Оператора.
Направление обмена данными. Интеграция реализована исключительно как чтение Оператором плановых операций Пользователя, уже находящихся у Пользователя в сервисе Финтабло. Оператор не передаёт в сервис Финтабло никакие персональные данные Пользователя из Приложения — ни email, ни хеш пароля, ни платежные записи Приложения, ни сведения о счетах, контрагентах, активностях, операторах счёта или иную информацию из учётной записи Пользователя в Приложении. В сервис Финтабло отправляются только технические данные авторизации запроса (API-ключ Пользователя в заголовке HTTP-запроса) и параметры запроса (период синхронизации). Пользователь имеет в сервисе Финтабло собственную учётную запись, отношения с оператором сервиса Финтабло (ООО «Нескучный финансовый софт») регулируются договором Пользователя с указанным оператором отдельно от настоящей Политики.
3.4. Оператор не собирает и не хранит:
- фамилию, имя, отчество, дату рождения;
- паспортные и иные документы, удостоверяющие личность;
- банковские реквизиты, номера карт, реквизиты банковских счетов;
- номер телефона;
- данные геолокации;
- список контактов Пользователя;
- фотографии и иные мультимедийные данные;
- биометрические данные;
- специальные категории данных (раса, политические взгляды, состояние здоровья и т.п.).
4. Цели обработки
Персональные данные обрабатываются Оператором в следующих целях:
- Регистрация Пользователя и создание учётной записи в Приложении.
- Аутентификация Пользователя при каждом входе в Приложение.
- Предоставление функциональности по ведению платежного календаря (хранение и отображение платежных записей, формирование календарных представлений).
- Восстановление пароля по запросу Пользователя.
- Информирование Пользователя о событиях в Приложении: напоминаниях о предстоящих платежах, ежедневном дайджесте — в объёме и формате, заданных Пользователем в настройках.
- Информирование Пользователя о событиях безопасности (вход с нового устройства, смена пароля).
- Обеспечение функции совместного доступа к счёту (направление приглашений, управление правами операторов).
- Обеспечение функции интеграции со сторонним сервисом «Финтабло» — получение и отображение плановых операций Пользователя.
- Обеспечение информационной безопасности информационных систем Оператора (журналирование, защита от атак, диагностика).
- Исполнение требований законодательства Российской Федерации, в том числе реагирование на обращения уполномоченных органов государственной власти.
5. Правовые основания обработки
Обработка персональных данных осуществляется на следующих правовых основаниях (ст. 6 152-ФЗ):
-
Согласие субъекта персональных данных, выраженное путём принятия настоящей Политики при регистрации в Приложении (п. 1 ч. 1 ст. 6) — общее основание обработки данных учётной записи Пользователя.
-
Отдельное согласие субъекта персональных данных на трансграничную передачу данных в Google LLC (США) — выражается отдельным действием Пользователя при регистрации в Приложении, отдельно от согласия на обработку персональных данных (ч. 4 ст. 12 152-ФЗ).
-
Исполнение договора, стороной которого является субъект персональных данных, — Пользовательского соглашения (п. 5 ч. 1 ст. 6 152-ФЗ) — общее основание обработки данных Пользователя в рамках исполнения Пользовательского соглашения.
-
Исполнение договора в пользу третьего лица (выгодоприобретателя) — в части обработки email-адресов приглашаемых Операторов счёта (п. 5 ч. 1 ст. 6 152-ФЗ): Оператор обрабатывает email-адрес приглашаемого лица в порядке исполнения Пользовательского соглашения с Пользователем-владельцем счёта в пользу приглашаемого лица как выгодоприобретателя функции совместного доступа. Обработка ограничена минимально необходимым объёмом (направление приглашения, установление связи доступа при акцепте приглашения, автоматическое истечение pending-приглашения по сроку). Приглашаемое лицо вправе игнорировать приглашение; в этом случае приглашение автоматически истекает и удаляется в порядке §7.1 настоящей Политики.
-
Достижение законных интересов Оператора в части обеспечения информационной безопасности информационных систем Оператора и журналирования действий с целью защиты от несанкционированного доступа (п. 7 ч. 1 ст. 6). Внутренняя оценка баланса интересов Оператора и прав субъектов персональных данных проведена Оператором и зафиксирована в его внутренних документах.
6. Третьи лица — обработчики персональных данных. Трансграничная передача
6.1. Для выполнения целей, указанных в разделе 4, Оператор привлекает следующих обработчиков персональных данных:
| Обработчик | Юрисдикция | Категории передаваемых данных | Цель | Основание |
|---|---|---|---|---|
| ООО «Бегет» (хостинг-провайдер beget.com), ОГРН 1077847645590, ИНН 7801451618, юридический адрес: 195112, г. Санкт-Петербург, пл. Карла Фаберже, д. 8Б, офис 726А | Российская Федерация (г. Санкт-Петербург) | Все категории, размещённые в базе данных и журналах Приложения | Размещение сервера, обеспечение хранения данных, инфраструктурное резервное копирование | Договор оказания услуг хостинга; данные размещаются и обрабатываются на серверах на территории Российской Федерации |
| ООО «Яндекс 360 для Бизнеса» (сервис Яндекс 360, smtp.yandex.ru), ОГРН 1257700155668, ИНН 9704259180, юридический адрес: 119021, г. Москва, ул. Тимура Фрунзе, д. 11, стр. 44 | Российская Федерация (г. Москва) | Email Пользователя, текст системного письма | Доставка системных писем (коды подтверждения email, ссылки восстановления пароля, уведомления безопасности, приглашения операторов счёта) | Договор с Оператором (поручение на обработку персональных данных) |
| ООО «Нескучный финансовый софт» (сервис Финтабло, api.fintablo.ru), ОГРН 1202300015103, ИНН 2311303019, юридический адрес: 350010, Краснодарский край, г. Краснодар, ул. Ростовское шоссе, д. 74/4 | Российская Федерация (Краснодарский край) | API-ключ Пользователя (в заголовке HTTP-запроса) и параметры запроса (период синхронизации). Направление обмена данными и перечень персональных данных Пользователя, не передаваемых в сервис Финтабло, — см. §3.3 настоящей Политики | Получение Оператором плановых операций Пользователя из стороннего сервиса для отображения в платежном календаре Приложения — только при добровольном подключении интеграции Пользователем | Отдельное согласие Пользователя, выраженное путём подключения интеграции в Приложении |
| Google LLC (сервис Firebase Cloud Messaging), юридический адрес: 1600 Amphitheatre Parkway, Mountain View, CA 94043 | Соединённые Штаты Америки | FCM-токен устройства, идентификатор приложения, текст push-уведомления, который может включать сумму, дату, описание планового платежа и название счёта в объёме, необходимом для информирования Пользователя | Доставка push-уведомлений на устройство Пользователя | Отдельное согласие Пользователя на трансграничную передачу (§2.1, §2.1.1; ч. 4 ст. 12 152-ФЗ) |
6.2. Трансграничная передача персональных данных. Передача данных в Google LLC (США) для целей доставки push-уведомлений является трансграничной передачей персональных данных в иностранное государство, не включённое в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждённый приказом Роскомнадзора.
6.3. Трансграничная передача в Google LLC осуществляется исключительно на основании отдельного согласия Пользователя на трансграничную передачу персональных данных в соответствии с ч. 4 ст. 12 152-ФЗ, выражаемого при регистрации отдельным действием — отдельно от общего согласия на обработку персональных данных (см. §2.1). Иные правовые основания (в частности, исполнение договора по п. 5 ч. 1 ст. 6 152-ФЗ) для трансграничной передачи в Google LLC Оператором не используются: push-уведомления не являются функционально необходимым элементом исполнения Пользовательского соглашения — при отказе Пользователя от трансграничной передачи прочие функции Приложения остаются доступными (см. §6.5).
6.4. Уведомление о намерении осуществлять трансграничную передачу персональных данных в Google LLC направлено Оператором в Роскомнадзор в порядке, установленном ч. 3 ст. 12 152-ФЗ. Решение Роскомнадзора получено 08.06.2026 — трансграничная передача разрешена без ограничений.
6.5. Пользователь вправе в любой момент отказаться от получения push-уведомлений в настройках Приложения (Настройки → Уведомления), что прекратит передачу его персональных данных в Google LLC. Отказ от push-уведомлений не препятствует использованию иных функций Приложения.
6.6. Трансграничная передача в иные иностранные государства не осуществляется. Передача данных в сервис Финтабло осуществляется в пределах территории Российской Федерации (юрисдикция обработчика — Российская Федерация).
6.7. Оператор не передаёт персональные данные Пользователей иным третьим лицам и не использует их в рекламных, маркетинговых или иных целях, не предусмотренных настоящей Политикой.
6.8. Содержимое push-уведомлений. Текст push-уведомления, передаваемого в Google LLC, формируется из сведений, введённых самим Пользователем (сумма, дата, описание планового платежа, название счёта). Пользователю запрещено указывать в полях платёжных записей персональные данные третьих лиц, не относящиеся к функции совместного доступа (§8.1 Пользовательского соглашения); ответственность за содержание введённых сведений несёт Пользователь. Пользователь, не желающий передачи содержимого платежей в Google LLC, вправе не активировать push-уведомления (в этом случае передача не осуществляется) либо отключить их в настройках (Настройки → Уведомления).
7. Сроки хранения и порядок удаления
7.1. Сроки хранения персональных данных:
| Данные | Срок хранения |
|---|---|
| Учётная запись (email, хеш пароля, настройки) | До удаления учётной записи Пользователем или до автоматической деактивации (см. §7.4) |
| Платежные записи Пользователя | До удаления учётной записи или до удаления соответствующих записей Пользователем |
| Записи о совместном доступе — активные операторы счёта | До отзыва приглашения / удаления оператора счёта либо до удаления учётной записи владельца счёта |
| Pending-приглашения (email приглашаемого лица, ещё не акцептовавшего приглашение через регистрацию в Приложении) | До отзыва приглашения Пользователем-владельцем счёта; до акцепта приглашения приглашаемым лицом; либо автоматическое истечение по сроку — не более 90 (девяноста) календарных дней с момента отправки приглашения, после чего pending-приглашение удаляется Оператором автоматически |
| API-ключ интеграции с Финтабло | До отключения интеграции Пользователем либо до удаления учётной записи |
| Импортированные из Финтабло плановые операции (категория §3.3) | До отключения интеграции Пользователем (одновременно с удалением интеграционного счёта по §5.7 Пользовательского соглашения) либо до удаления учётной записи; до этого момента — пока соответствующие записи не удалены Пользователем вручную |
| FCM-токены устройств | До отмены регистрации устройства, удаления учётной записи или признания токена недействительным сервисом Firebase |
| Refresh-токены сессий | Не более 30 дней с момента выпуска; отзываются при смене пароля, восстановлении пароля или повторной авторизации |
| Одноразовые коды подтверждения email и восстановления пароля | 15 минут с момента генерации |
| Журналы веб-сервера (IP-адреса, User-Agent) | До 30 дней с автоматической ротацией |
7.2. Удаление по запросу Пользователя. При удалении учётной записи через интерфейс Приложения (Настройки → Удалить аккаунт) все данные, относящиеся к Пользователю и содержащиеся в основной базе данных Приложения, удаляются без возможности восстановления в течение 1 (одного) часа.
Резервное копирование инфраструктуры. Резервное копирование серверной инфраструктуры обеспечивается хостинг-провайдером (см. §6.1) в рамках стандартных процедур хостинга. Срок хранения инфраструктурных резервных копий — не более 7 (семи) дней с автоматической ротацией. Данные, удалённые из основной базы данных, выбывают из резервных копий по мере их естественной ротации в течение указанного срока.
7.3. Удаление из журналов. Записи в журналах веб-сервера, содержащие IP-адрес и User-Agent, удаляются автоматически по истечении установленного срока ротации.
7.4. Автоматическая деактивация неактивных учётных записей. Учётная запись, по которой за период 1 (одного) календарного года с момента последнего входа Пользователя или последнего изменения данных в Приложении не зафиксировано активности, помечается Оператором как неактивная. Оператор направляет Пользователю уведомление по email о предстоящем удалении данных; повторное (напоминающее) уведомление направляется по email за 7 (семь) календарных дней до предполагаемой даты удаления. При отсутствии активности в течение 30 (тридцати) календарных дней с момента отправки первого уведомления учётная запись и все связанные с ней персональные данные удаляются в порядке, аналогичном §7.2. Любой вход в Приложение либо изменение данных в течение указанного срока автоматически отменяет деактивацию и удаление; о состоявшейся отмене Пользователю выводится уведомление в интерфейсе Приложения.
7.5. Каскадные последствия удаления учётной записи. При удалении учётной записи Пользователя (по запросу Пользователя в порядке §7.2 либо вследствие автоматической деактивации в порядке §7.4) одновременно с удалением учётной записи:
- Пользователь автоматически прекращает быть Оператором счёта в учётных записях иных Пользователей, на которые ранее был добавлен; соответствующие записи о совместном доступе удаляются;
- pending-приглашения, направленные Пользователем как Владельцем счёта иным лицам и ещё не акцептованные, удаляются;
- интеграционные счета Пользователя, API-ключи интеграций и все импортированные плановые операции в составе таких счетов удаляются в порядке §5.7 Пользовательского соглашения.
Уведомления Пользователям-владельцам счетов, в которых удаляемый Пользователь являлся Оператором, Оператор не направляет; факт прекращения операторства отражается в их учётных записях стандартным интерфейсным состоянием.
8. Меры защиты персональных данных
Оператор применяет следующие меры по обеспечению безопасности персональных данных в соответствии со ст. 18.1 и 19 152-ФЗ:
Технические меры:
- передача данных между Приложением и сервером осуществляется исключительно по защищённому протоколу HTTPS с использованием современных шифров TLS 1.2/1.3 (конфигурация Mozilla Intermediate; оценка SSL Labs не ниже A+);
- пароли хранятся в виде криптографического хеша по алгоритму Argon2id; открытые пароли в системе не сохраняются и не передаются;
- секретные данные сторонних сервисов (в частности, API-ключи интеграции с Финтабло) хранятся в зашифрованном виде с использованием алгоритма симметричного шифрования Fernet (AES-128-CBC + HMAC-SHA256). Ключ шифрования хранится в защищённом окружении сервера отдельно от базы данных. Расшифровка API-ключа производится только серверным процессом в момент обращения к стороннему сервису по инициативе Пользователя или регламентной синхронизации; интерактивный доступ к расшифрованным ключам не предоставляется. При компрометации ключа шифрования или сервера применяется внеплановая ротация ключа шифрования с инвалидацией всех сохранённых API-ключей и уведомлением затронутых Пользователей; Пользователь в любой момент может отозвать свой API-ключ, отключив интеграцию. Обращения к стороннему сервису фиксируются в журналах приложения (без записи самого ключа);
- refresh-токены сессий ротируются при каждом обновлении доступа; при смене или восстановлении пароля все активные сессии Пользователя инвалидируются;
- email-адреса в журналах приложения маскируются;
- ограничение частоты запросов (rate limiting) к критичным эндпоинтам аутентификации, восстановления пароля, регистрации устройств, операций удаления данных, управления операторами счёта и интеграциями;
- использование межсетевого экрана, защиты от подбора паролей (fail2ban), регулярного обновления безопасности операционной системы;
- хеширование одноразовых кодов подтверждения; ограничение количества попыток ввода (после 5 неверных попыток код аннулируется).
Организационные меры:
- сервер размещён в дата-центре с физическим контролем доступа на территории Российской Федерации;
- доступ к серверу осуществляется только по протоколу SSH с использованием криптографических ключей; парольная аутентификация на сервере запрещена;
- доступ к персональным данным имеют только уполномоченные представители Оператора в объёме, необходимом для выполнения должностных обязанностей;
- утверждены и применяются документы, определяющие политику обработки персональных данных и иные внутренние процедуры.
9. Права субъекта персональных данных
9.1. Пользователь имеет следующие права (ст. 14 152-ФЗ):
- получать сведения о составе обрабатываемых о нём персональных данных, целях, сроках и способах обработки — через раздел «Профиль» в Приложении или путём направления запроса на privacy@pcyk.app;
- требовать уточнения, исправления, блокирования или удаления персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать согласие на обработку персональных данных — путём удаления учётной записи в Приложении или письменным заявлением (порядок — §2.3);
- обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, https://rkn.gov.ru) или в суд.
9.2. Срок ответа Оператора на письменный запрос Пользователя — не более 10 (десяти) рабочих дней с момента получения запроса. В отдельных случаях срок может быть продлён, но не более чем на 5 (пять) рабочих дней с уведомлением Пользователя.
9.3. Запрос Пользователя должен содержать сведения, позволяющие идентифицировать Пользователя (email учётной записи), и направляться с email-адреса учётной записи или с приложением документов, подтверждающих личность.
10. Изменения Политики
10.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция Политики публикуется по адресу https://pcyk.app/privacy.
10.2. При существенных изменениях Политики Пользователь уведомляется по email учётной записи и в интерфейсе Приложения не менее чем за 14 (четырнадцать) календарных дней до вступления изменений в силу. Существенными признаются изменения, расширяющие категории обрабатываемых данных, цели обработки, перечень обработчиков, перечень стран трансграничной передачи или сроки хранения.
10.3. При несогласии с новой редакцией Пользователь вправе расторгнуть Пользовательское соглашение и удалить учётную запись.
10.4. Изменение редакции отдельных согласий. Отдельные согласия Пользователя, получаемые независимо от настоящей Политики (в том числе согласие на трансграничную передачу персональных данных в Google LLC по §2.1 и согласие на подключение интеграции со сторонним сервисом по §3.3), версионируются отдельно от настоящей Политики. При существенном изменении объёма передаваемых данных, целей передачи, перечня получателей или государств трансграничной передачи Оператор уведомляет Пользователя по email и в интерфейсе Приложения и запрашивает новое согласие при следующем входе Пользователя в Приложение. До получения нового согласия передача данных в соответствующем объёме приостанавливается, прочие функции Приложения остаются доступными. Не существенные изменения (стилистические уточнения, технические правки, не затрагивающие существо согласия) вводятся без повторного запроса согласия с публикацией обновлённой редакции на pcyk.app.
11. Контактная информация
По всем вопросам, связанным с обработкой персональных данных, Пользователь может обратиться:
- email: privacy@pcyk.app
Уполномоченный орган по защите прав субъектов персональных данных в Российской Федерации:
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Адрес: 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2 Сайт: https://rkn.gov.ru