Политика конфиденциальности

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок и условия обработки персональных данных физических лиц оператором сервиса «Геотабель», доступного по адресу geotabel.ru, через Telegram-бота @geotabel_bot и веб-панель управления. Политика разработана в соответствии с требованиями Федерального закона Российской Федерации № 152-ФЗ от 27 июля 2006 г. «О персональных данных». Использование Сервиса означает безоговорочное согласие пользователя с настоящей Политикой и условиями обработки персональных данных, изложенными в ней.

1. Оператор персональных данных

Оператором персональных данных является физическое лицо Тюрдьо Богдан Олегович, ИНН 510515557346, плательщик налога на профессиональный доход (далее — «Оператор», «Сервис»). Адрес для направления обращений по всем вопросам, связанным с обработкой персональных данных: support@geotabel.ru.

Согласие на обработку персональных данных оформляется в виде отдельного документа: Согласие на обработку персональных данных.

2. Состав обрабатываемых персональных данных

2.1. Данные, предоставляемые при регистрации

В целях создания учётной записи и идентификации пользователя Оператор собирает следующие сведения: адрес электронной почты; логин и пароль (пароль хранится исключительно в виде криптографического хеша bcrypt — в открытом виде не сохраняется и не передаётся); имя и фамилия; идентификатор Telegram (Telegram ID) и имя пользователя (username) — при привязке Telegram-бота или авторизации через виджет Telegram Login.

2.2. Данные, формируемые в процессе использования Сервиса

В ходе использования Сервиса Оператор обрабатывает следующие категории данных:

• Геолокация — географические координаты устройства пользователя, фиксируемые исключительно в момент открытия и закрытия рабочей смены при явном действии пользователя (нажатии соответствующей кнопки). Передача координат осуществляется через Telegram или браузерный API геолокации с явного разрешения пользователя. Фоновое отслеживание местоположения Сервисом не производится.
• Фотографии и видеозаписи — медиафайлы, прикреплённые сотрудником к рабочей смене в целях документирования состояния рабочего объекта. Оператор не применяет автоматическое распознавание лиц и не использует медиафайлы для биометрической идентификации.
• Данные о рабочих сменах — дата, время и продолжительность открытия и закрытия смены; текстовые комментарии сотрудника.
• Данные компании — наименование, часовой пояс, настройки, тарифный план, сведения о сотрудниках, рабочих объектах и геозонах.
• Подписка на push-уведомления — адрес подписки и ключи шифрования при оформлении подписки на браузерные push-уведомления (Web Push).
• Записи о согласиях — дата и время принятия, версия документа, IP-адрес, user-agent браузера.

2.3. Технические данные, собираемые автоматически

При обращении к Сервису автоматически фиксируются IP-адрес устройства, тип и версия браузера, операционная система, данные о посещённых страницах и времени сеанса. Данные аналитики Яндекс.Метрики, включая записи сессий вебвизора (движения мыши, клики, прокрутка страниц), собираются исключительно после явного согласия пользователя на аналитические файлы cookie. Данные Bitrix24-чата (имя, email, содержание переписки) фиксируются при непосредственном обращении пользователя в онлайн-чат поддержки; виджет загружается на всех страницах Сервиса как функциональный элемент.

3. Цели обработки персональных данных

Оператор осуществляет обработку персональных данных в следующих целях: регистрация, авторизация и идентификация пользователей в Сервисе; предоставление основного функционала — учёт рабочего времени, фиксация геолокации, хранение фотоотчётов и сопутствующих данных; направление уведомлений о рабочих сменах владельцу компании и менеджерам; формирование статистики и экспорт данных в форматах Excel; обработка и исполнение платёжных операций через YooKassa; оказание технической поддержки; направление транзакционных и информационных электронных писем; совершенствование функциональности Сервиса на основе аналитических данных; обеспечение безопасности Сервиса; исполнение требований законодательства Российской Федерации.

4. Правовые основания обработки

Обработка персональных данных осуществляется Оператором на следующих правовых основаниях в соответствии с Федеральным законом № 152-ФЗ:

• Согласие субъекта персональных данных (ст. 6 ч. 1 п. 1, ст. 9 Федерального закона № 152-ФЗ) — при регистрации пользователь даёт явное согласие путём подтверждения соответствующего документа. Без предоставления согласия регистрация и использование Сервиса невозможны.
• Исполнение договора (ст. 6 ч. 1 п. 5 Федерального закона № 152-ФЗ) — обработка данных, необходимых для оказания оплаченных услуг.
• Законный интерес Оператора (ст. 6 ч. 1 п. 7 Федерального закона № 152-ФЗ) — обеспечение безопасности Сервиса, предотвращение мошенничества, совершенствование функциональности на основе агрегированной аналитики.

5. Геолокация и медиафайлы

Геолокационные данные собираются исключительно в момент открытия или закрытия рабочей смены и только при явном действии пользователя. Сервис не ведёт непрерывного наблюдения за местонахождением пользователя и не формирует историю перемещений. Данные о координатах доступны владельцу компании и менеджерам с соответствующими правами в целях контроля рабочего времени.

Фотографии и видеозаписи, прикреплённые сотрудником к смене, предназначены для документирования состояния рабочего объекта на момент начала и окончания работы (например, фиксация состояния помещения до и после уборки). Оператор не применяет технологии автоматического распознавания лиц и не использует загружаемые медиафайлы в целях биометрической идентификации пользователей.

6. Хранение и защита данных

Все персональные данные пользователей хранятся на защищённых серверах, расположенных исключительно на территории Российской Федерации (хостинг Timeweb Cloud, г. Москва), в соответствии с требованиями ст. 18.1 Федерального закона № 152-ФЗ. Для обеспечения безопасности персональных данных Оператор применяет следующие технические меры: передача данных осуществляется по защищённому протоколу HTTPS (TLS); пароли пользователей хранятся в виде необратимых криптографических хешей (bcrypt) и не могут быть восстановлены в открытом виде; доступ к веб-панели управления защищён JWT-токенами с ограниченным сроком действия; фотографии, загруженные через Telegram-бот, кешируются на сервере Оператора и передаются в веб-панели через защищённый прокси-маршрут.

7. Передача персональных данных третьим лицам

Оператор не продаёт персональные данные пользователей и не передаёт их третьим лицам в коммерческих целях. Передача данных осуществляется исключительно в минимально необходимом объёме следующим получателям:

• YooKassa — оператор платёжного сервиса; получает данные, необходимые для проведения и подтверждения платёжных транзакций.
• Telegram — используется как транспортный канал для работы Telegram-бота @geotabel_bot. Сообщения и медиафайлы, отправляемые через бот, проходят через серверы Telegram в качестве транспортного уровня; все персональные данные пользователей хранятся на собственных серверах Оператора в Российской Федерации. Обработка данных Telegram регулируется политикой конфиденциальности Telegram.
• Unisender — почтовый сервис; получает адрес электронной почты и содержимое письма для отправки транзакционных сообщений (подтверждение адреса, восстановление пароля), а также цепочек ознакомительных писем новым владельцам компаний.
• Яндекс.Метрика — сервис веб-аналитики; получает обезличенные данные о посещении страниц Сервиса, включая записи сессий вебвизора. Передача данных осуществляется только после явного согласия пользователя на аналитические cookie.
• Bitrix24 — платформа онлайн-чата технической поддержки. Виджет загружается на всех страницах сайта как функциональный элемент; данные (имя, email, содержание сообщений) передаются в Bitrix24 только при непосредственном обращении пользователя в чат.
• OpenStreetMap (Nominatim) — сервис обратного геокодирования; получает географические координаты (без идентификаторов пользователя) для преобразования в текстовый адрес. Яндекс.Карты используется для отображения карты в веб-панели управления.
• По требованию уполномоченных органов — при получении законного запроса от государственных органов Российской Федерации в установленном законом порядке.

Ряд указанных сервисов (в частности, Telegram) располагает серверной инфраструктурой за пределами Российской Федерации. Передача данных осуществляется исключительно в объёме, необходимом для транспортного взаимодействия, при этом все персональные данные пользователей хранятся на серверах Оператора на территории Российской Федерации.

8. Файлы cookie

Сервис использует файлы cookie — небольшие текстовые файлы, сохраняемые на устройстве пользователя браузером. Применяемые категории cookie:

• Необходимые (технические) — обязательны для функционирования Сервиса: файл авторизации («session» с JWT-токеном), выбор языка интерфейса, фиксация согласия на cookie. Срок хранения — до 90 дней или до выхода из аккаунта. Применяются без отдельного согласия пользователя.
• Аналитические — Яндекс.Метрика для анализа посещаемости и записи сессий вебвизора (движения мыши, клики, прокрутка страниц). Срок хранения — до 24 месяцев. Загружаются исключительно после выбора пользователем опции «Принять все» в баннере cookie.
• Функциональные — виджет онлайн-чата поддержки Bitrix24 (загружается на всех страницах сайта), баннер установки мобильного приложения. Срок хранения — до 12 месяцев.

Пользователь вправе управлять настройками cookie через баннер на сайте или путём изменения параметров браузера. Отключение необходимых cookie может привести к невозможности авторизации и использования основных функций Сервиса.

9. Права субъектов персональных данных

В соответствии со статьями 14–17 Федерального закона № 152-ФЗ пользователь как субъект персональных данных имеет право:

• получить сведения об обрабатываемых персональных данных, правовых основаниях и целях их обработки;
• потребовать уточнения неточных или устаревших персональных данных, а также их блокирования или удаления при наличии предусмотренных законом оснований;
• отозвать ранее данное согласие на обработку персональных данных;
• получить копию персональных данных в структурированном машиночитаемом формате;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор, rkn.gov.ru) или в судебном порядке.

Для реализации перечисленных прав необходимо направить обращение по адресу support@geotabel.ru. Оператор рассматривает обращения в течение 30 календарных дней с момента их получения.

10. Сроки хранения персональных данных

Оператор хранит персональные данные не дольше, чем это необходимо для достижения целей обработки. Применяются следующие сроки хранения:

• данные учётной записи и рабочих смен — в течение всего срока активного использования Сервиса;
• при удалении учётной записи — все персональные данные удаляются в течение 30 дней с момента поступления соответствующего запроса;
• записи о полученных согласиях (дата принятия, версия документа, IP-адрес, user-agent) — не менее 3 лет после удаления учётной записи в целях подтверждения факта получения согласия;
• данные о платёжных операциях — в соответствии с требованиями налогового законодательства (не менее 4 лет);
• журнал действий (аудит-лог) и лог доставки уведомлений — 90 дней, по истечении которых удаляются автоматически.

11. Данные несовершеннолетних

Сервис предназначен исключительно для лиц, достигших возраста 18 лет. Оператор не осуществляет сознательного сбора и обработки персональных данных несовершеннолетних. В случае если Оператору станет известно о случайном получении персональных данных несовершеннолетних, такие данные будут незамедлительно удалены.

12. Изменение Политики

Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке. При внесении существенных изменений зарегистрированные пользователи уведомляются по адресу электронной почты, указанному при регистрации. Актуальная редакция Политики постоянно доступна по адресу geotabel.ru/privacy.

13. Контактная информация

По всем вопросам, связанным с обработкой персональных данных, а также для реализации прав субъекта персональных данных:

• Электронная почта: support@geotabel.ru
• Telegram: @geotabel_bot