1. Общие положения
1.1. Настоящая Политика конфиденциальности (далее — «Политика») разработана в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 года и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые Оператором.
1.2. Оператор ставит своей важнейшей целью соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Использование сайта bazi.cards означает безоговорочное согласие пользователя с настоящей Политикой и условиями обработки его персональных данных. В случае несогласия пользователь должен воздержаться от использования сайта.
2. Какие данные мы собираем
2.1. Оператор обрабатывает следующие категории персональных данных:
| Категория | Конкретные данные |
|---|---|
| Идентификационные | Имя (или псевдоним), адрес электронной почты, идентификатор Telegram (при авторизации через Telegram), идентификатор Google (при авторизации через OAuth) |
| Регистрационные | Хэш пароля (PBKDF2 + соль; оригинальный пароль не сохраняется), дата и время регистрации |
| Данные о рождении (для генерации Отчёта) | Дата рождения, точное время рождения, место рождения (город, страна); опционально — данные о членах семьи / партнёрах, для которых пользователь создаёт дополнительные карты |
| Платёжные | Идентификатор транзакции, сумма, валюта, статус, метод оплаты (без хранения данных банковских карт — они обрабатываются исключительно платёжным сервисом) |
| Технические | IP-адрес, идентификатор устройства, user-agent, тип браузера, операционная система, страна (по IP), геолокация (только по согласию) |
| Поведенческие | История запросов к Оракулу, использование функционала, частота визитов, сохранённые карты, результаты совместимости |
| Cookies | Технические, аналитические и сессионные cookies для работы Сайта и Личного кабинета |
3. Цели обработки персональных данных
3.1. Оператор обрабатывает персональные данные субъекта в следующих целях:
- идентификация пользователя для целей оказания Услуг (раздел 3 Публичной оферты);
- генерация и предоставление аналитических Отчётов на основе данных о рождении пользователя;
- выполнение договорных обязательств (заключение, исполнение, расторжение договора);
- обработка платежей и формирование кассовых чеков;
- информирование пользователя о состоянии заказа, технических уведомлениях;
- обеспечение безопасности Сайта (защита от ботов, мошенничества, DDoS, брутфорса);
- исполнение требований законодательства Российской Федерации (налоговая, финансовая отчётность, ответы на запросы государственных органов);
- улучшение качества Услуг, анализ статистики использования Сайта в обезличенной форме.
4. Правовые основания обработки
4.1. Обработка персональных данных осуществляется на следующих правовых основаниях:
- Согласие субъекта (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ) — выражается путём проставления отметки в чек-боксе при регистрации и/или оплате;
- Исполнение договора (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ) — настоящая Публичная оферта;
- Законные интересы Оператора (п. 7 ч. 1 ст. 6 Закона № 152-ФЗ) — обеспечение безопасности Сайта, борьба с мошенничеством, ведение реестра обращений;
- Исполнение обязанности, возложенной законом (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ) — налоговая отчётность, выдача кассовых чеков.
5. Способы и сроки обработки
5.1. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таковых, и включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
5.2. Сроки хранения персональных данных:
- идентификационные и регистрационные данные — в течение всего срока действия учётной записи + 3 года после её удаления (для разрешения возможных споров);
- данные о рождении и сгенерированные Отчёты — в течение всего срока действия учётной записи; после удаления учётной записи Отчёты обезличиваются (отвязываются от идентификатора пользователя);
- платёжные данные и кассовые чеки — 5 (пять) лет с момента совершения операции в соответствии с требованиями законодательства РФ о бухгалтерском учёте;
- технические логи (IP, user-agent, timestamp) — до 12 (двенадцати) месяцев для целей безопасности;
- обращения в службу поддержки (письма, претензии) — 3 (три) года с момента последнего обращения.
5.3. По истечении сроков хранения персональные данные подлежат удалению или обезличиванию.
6. Передача данных третьим лицам
6.1. Оператор может передавать персональные данные третьим лицам исключительно в следующих случаях и в минимально необходимом объёме:
| Получатель | Цель передачи | Передаваемые данные |
|---|---|---|
| Платёжные сервисы (ЮKassa, СБП, банки-эквайеры) | Обработка платежей | Имя, e-mail, сумма, идентификатор заказа |
| Хостинг-провайдер | Размещение Сайта | Все данные на серверах (зашифрованы при передаче) |
| Сервисы аналитики (Google Analytics, Яндекс.Метрика — в обезличенной форме) | Анализ посещаемости | Обезличенные данные о поведении на Сайте |
| Сервисы рассылок и уведомлений | Доставка чеков, технических уведомлений | E-mail, имя, текст сообщения |
| Государственные органы | Исполнение требований закона | По мотивированному запросу в соответствии с законом |
| Поставщики AI-инфраструктуры (для генерации текстов Отчётов) | Формирование аналитических текстов | Анонимизированные данные карты (без имени, e-mail, IP) |
6.2. Передача персональных данных в страны, не обеспечивающие адекватной защиты, осуществляется только при наличии письменного согласия субъекта и/или иных оснований, предусмотренных статьёй 12 Закона № 152-ФЗ.
6.3. Оператор не передаёт персональные данные субъектов третьим лицам в коммерческих целях (рекламные базы, спам-рассылки и т.п.).
7. Меры по защите персональных данных
7.1. Оператор принимает следующие технические и организационные меры для защиты персональных данных от неправомерного доступа, изменения, копирования, распространения или уничтожения:
- шифрование канала передачи данных по протоколу HTTPS (TLS 1.2+);
- хранение паролей в виде криптографических хэшей (PBKDF2-HMAC SHA-256, 260 000 итераций, индивидуальная соль);
- ограничение доступа к серверной инфраструктуре по принципу минимально необходимых прав;
- защита от автоматизированных атак (математическая капча, rate limit, ловушки honeypot);
- регулярное обновление серверного программного обеспечения;
- раздельное хранение идентификационных и финансовых данных;
- журналирование действий с персональными данными;
- правовое регулирование обращения с персональными данными (НПА, инструкции, обучение).
8. Права субъекта персональных данных
8.1. Субъект персональных данных имеет право:
- получать информацию о наличии у Оператора своих персональных данных и их обработке;
- требовать уточнения, блокирования или уничтожения своих персональных данных в случаях, предусмотренных Законом № 152-ФЗ;
- отозвать своё согласие на обработку персональных данных в любое время;
- требовать от Оператора прекращения обработки своих персональных данных;
- обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке;
- на защиту своих прав и законных интересов, в том числе возмещение убытков и компенсацию морального вреда.
8.2. Для реализации указанных прав субъект направляет письменный запрос на адрес support@bazi.cards с указанием:
- фамилии, имени, отчества (при наличии);
- сведений, удостоверяющих личность субъекта или его представителя;
- сведений, подтверждающих наличие отношений с Оператором (e-mail, идентификатор аккаунта);
- подпись (электронная подпись или скан собственноручной).
8.3. Срок ответа Оператора на обращение — не более 30 дней с момента получения.
9. Использование cookies
9.1. Сайт использует cookies — небольшие текстовые файлы, сохраняемые в браузере пользователя. Cookies используются для:
- Технических целей — поддержания сессии пользователя в Личном кабинете, хранения языковых настроек, тёмной темы и т.п.;
- Безопасности — защиты от CSRF-атак, обнаружения подозрительных действий;
- Аналитики — анализа поведения пользователей на Сайте в обезличенной форме (Google Analytics, Яндекс.Метрика).
9.2. Пользователь может в любой момент отключить cookies в настройках своего браузера. Отключение технических и сессионных cookies может привести к невозможности работы Личного кабинета.
10. Обработка данных детей
10.1. Сайт не предназначен для использования лицами, не достигшими 18 лет. Оператор не осуществляет сознательный сбор данных у несовершеннолетних.
10.2. В случае если законный представитель несовершеннолетнего самостоятельно создаёт натальную карту для своего ребёнка, ответственность за достоверность и правомерность предоставления таких данных несёт законный представитель.
11. Изменение Политики
11.1. Оператор имеет право вносить изменения в настоящую Политику с публикацией обновлённой редакции на Сайте. Существенные изменения, влияющие на права субъектов, дополнительно публикуются в Личных кабинетах пользователей не менее чем за 14 дней до вступления в силу.
11.2. Продолжение использования Сайта после публикации обновлённой Политики означает согласие с её новой редакцией.