Политика конфиденциальности

1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей сервиса НУБИ (программная платформа, доступная по адресу нубиаи.рф).

Оператор персональных данных: Индивидуальный предприниматель Базлеев Иван Валентинович, ИНН 773475020907, ОГРНИП 325774600258609. Зарегистрирован в реестре операторов персональных данных Роскомнадзора, регистрационный номер 77-26-542369 от 23.03.2026.

Политика распространяется на все персональные данные, обрабатываемые Оператором: при регистрации и использовании сервиса НУБИ, при обращении в службу поддержки, а также данные клиентов конечных пользователей (мастеров, салонов), обрабатываемые Оператором по поручению в рамках оказания SaaS-услуг.

Регистрируясь на сайте или используя сервис, вы подтверждаете своё согласие с настоящей Политикой. Если вы не согласны с условиями Политики — пожалуйста, прекратите использование сервиса.

2. Какие персональные данные мы обрабатываем

2.1. Данные пользователей сервиса (мастера, администраторы салонов)

• Фамилия, имя, отчество
• Адрес электронной почты
• Номер мобильного телефона
• Данные аккаунта (логин, хэш пароля)
• ИНН, ОГРНИП/ОГРН (для самозанятых и юридических лиц)
• IP-адрес и данные браузера/устройства
• Данные о расчёте заработной платы мастеров (начисления, выплаты)
• Данные складского учёта (товары, расходные материалы, движения)
• Данные об услугах, расписании, категориях услуг
• Токены push-уведомлений (FCM) для мобильного приложения
• Фотография профиля и логотип организации
• История действий в системе (аудит-лог)

2.2. Данные клиентов конечных пользователей (записи в салон)

В рамках оказания SaaS-услуг мастера и салоны вносят в систему данные своих клиентов. Оператор обрабатывает эти данные исключительно по поручению мастера (пользователя сервиса):

• Имя и фамилия клиента
• Номер телефона
• Адрес электронной почты (если предоставлен)
• Telegram username и chat_id (если подключён канал)
• История визитов и записей
• Комментарии мастера к карточке клиента
• Отзывы и оценки после визита (включая фотографии, если прикреплены)
• Данные программы лояльности (баланс бонусов, история начислений и списаний)
• Подарочные сертификаты (коды, баланс, история использования)
• Абонементы на услуги (тип, остаток визитов, срок действия)
• Реферальные коды и данные приглашений
• Подписки клиента на мастеров (уведомления о свободных окнах)
• Данные записей на групповые занятия
• Токены push-уведомлений (FCM) для мобильного приложения
• Данные об устройстве при использовании мобильного приложения
• История переписки с ИИ-администратором

2.3. Платёжные данные

Платёжные данные (номер карты, данные СБП) обрабатываются исключительно платёжными операторами — ЮКасса (ООО НКО «ЮМани») и СБП (Банк России). Оператор не хранит и не имеет доступа к полным реквизитам платёжных карт. В системе хранится только идентификатор транзакции и статус платежа.

3. Цели обработки персональных данных

• —Предоставление сервиса: регистрация аккаунта, авторизация, управление профилем, расписанием, клиентской базой, складским учётом, расчётом заработных плат.
• —Онлайн-запись клиентов: обработка заявок на индивидуальную запись и групповые занятия, отправка подтверждений и напоминаний через Telegram, email, push-уведомления (FCM).
• —Проведение платежей: передача необходимых данных платёжным операторам для обработки оплаты услуг, абонементов, подарочных сертификатов и тарифов платформы.
• —Фискализация (54-ФЗ): формирование чеков через Атол Онлайн; для самозанятых — передача данных в ФНС («Мой Налог») для формирования чеков НПД.
• —ИИ-коммуникации: обработка сообщений через ИИ-администратора (на базе языковых моделей DeepSeek и Anthropic Claude) для ответа клиентам в чатах (Telegram Business Bot API, Web-виджет). Персональные данные в диалогах минимизируются.
• —Программа лояльности и маркетинг: начисление и списание бонусов, управление реферальными кодами, учёт подарочных сертификатов, управление подписками клиентов на мастеров.
• —Маркетплейс и мини-сайт: публикация профиля организации/мастера в каталоге (нубиаи.рф/explore), формирование публичного мини-сайта мастера, генерация изображений свободных окошек.
• —Мобильное приложение: предоставление функций сервиса через мобильное приложение, отправка push-уведомлений через Firebase Cloud Messaging (FCM).
• —Экспорт данных: формирование выгрузок данных (клиенты, записи) в форматах Excel (XLSX) и CSV по запросу пользователя.
• —Поддержка и безопасность: ответы на обращения, выявление и предотвращение мошеннических действий, ведение аудит-лога, мониторинг ошибок (Sentry).
• —Аналитика и улучшение сервиса: агрегированная и обезличенная статистика использования для улучшения функциональности.

4. Правовые основания обработки

Обработка персональных данных осуществляется на следующих правовых основаниях в соответствии с Федеральным законом № 152-ФЗ:

• Исполнение договора (ст. 6, ч. 1, п. 5 152-ФЗ): обработка данных пользователей, необходимая для исполнения договора об оказании SaaS-услуг (публичная оферта), заключаемого при регистрации на сайте.
• Согласие субъекта (ст. 6, ч. 1, п. 1 и ст. 9 152-ФЗ): обработка данных клиентов конечных пользователей осуществляется на основании согласия, предоставляемого при записи через виджет или бота. Мастер (пользователь сервиса) несёт ответственность за получение согласия от своих клиентов в соответствии с действующим законодательством. С 01.09.2025 согласие оформляется как самостоятельный документ.
• Исполнение правовых обязанностей (ст. 6, ч. 1, п. 2 152-ФЗ): передача данных в ФНС для фискализации в рамках 54-ФЗ и законодательства о налоге на профессиональный доход.
• Законные интересы Оператора (ст. 6, ч. 1, п. 7 152-ФЗ): обработка данных для обеспечения безопасности сервиса, предотвращения мошенничества, ведения аудит-лога в целях исполнения требований законодательства об информационной безопасности.

5. Передача данных третьим лицам

Оператор не продаёт персональные данные третьим лицам. Передача данных осуществляется только в следующих случаях:

Все субподрядчики, которым поручается обработка персональных данных, обязаны соблюдать принципы и требования 152-ФЗ на основании заключённых договоров о конфиденциальности.

5.1. Трансграничная передача данных

Для обеспечения функциональности сервиса часть данных может передаваться за пределы Российской Федерации следующим получателям:

• —Telegram Messenger Inc. (Британские Виргинские Острова) — идентификатор чата и текст уведомлений, только при подключении Telegram.
• —DeepSeek AI (Китай) — текст диалогов с ИИ-администратором (анонимизированный, без прямых идентификаторов).
• —Anthropic PBC (США) — текст диалогов с ИИ-администратором (анонимизированный, без прямых идентификаторов).
• —Google LLC (США) — токены push-уведомлений через Firebase Cloud Messaging.
• —Functional Software Inc. (Sentry) (США) — технические данные об ошибках (IP-адрес, user-agent).
• —Cloudflare Inc. (США) — транзитная передача вебхуков без сохранения данных.

Все базы данных с персональными данными граждан РФ хранятся исключительно на территории Российской Федерации. Перечисленные зарубежные сервисы получают только минимально необходимые данные для исполнения своих функций и не используются для первичного накопления ПДн. Передача осуществляется на основании согласия субъекта (Согласие на передачу данных третьим лицам).

6. Хранение данных

Территория хранения: все базы данных с персональными данными граждан Российской Федерации размещены на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ст. 18 ч. 5 Федерального закона № 152-ФЗ (в редакции, действующей с 01.07.2025).

Сроки хранения:

• Данные аккаунта пользователя — в течение срока действия договора + 3 года после его прекращения (для исполнения налоговых обязательств)
• История платежей и финансовые данные — 5 лет с момента совершения операции (требование налогового законодательства)
• Данные клиентов в системе мастера — до удаления пользователем или в течение 3 лет после прекращения договора
• Аудит-логи — 1 год с момента записи
• Данные переписки с поддержкой — 3 года

По истечении указанных сроков данные удаляются или обезличиваются.

7. Права субъектов персональных данных

В соответствии с 152-ФЗ вы имеете право:

• ✓Право на доступ: получить подтверждение факта обработки и копию ваших персональных данных.
• ✓Право на исправление: потребовать уточнения или исправления неточных данных.
• ✓Право на удаление: потребовать удаления ваших данных, если они обрабатываются неправомерно или цель обработки достигнута. Удаление будет произведено в течение 30 дней, если иное не предусмотрено законодательством.
• ✓Право на отзыв согласия: отозвать согласие на обработку данных в любой момент. Отзыв согласия не влияет на законность обработки данных до момента отзыва.
• ✓Право на ограничение обработки: потребовать прекращения обработки данных в определённых целях при наличии законных оснований.
• ✓Право на обжалование: обратиться с жалобой в Роскомнадзор (rkn.gov.ru), если вы считаете, что ваши права нарушены.

Для реализации прав направьте обращение ответственному за обработку персональных данных на email dpo@nubiai.ru с темой письма «Персональные данные — [ваш запрос]». Мы ответим в течение 10 рабочих дней.

8. Безопасность данных

Оператор принимает технические и организационные меры защиты персональных данных в соответствии с требованиями ст. 19 152-ФЗ:

• Шифрование данных при передаче (TLS 1.3) и хранении (AES-256)
• Row-Level Security в базе данных — изоляция данных между тенантами на уровне СУБД
• JWT-авторизация с коротким сроком жизни токена (15 минут) + refresh-токены в httpOnly cookies
• Rate limiting и защита от брутфорса на всех публичных эндпоинтах
• Аудит-лог всех операций с персональными данными
• Разграничение доступа сотрудников по принципу минимально необходимых привилегий
• Регулярный аудит зависимостей на уязвимости (npm audit, CVE мониторинг)
• Резервное копирование с шифрованием

При обнаружении инцидента безопасности, затрагивающего персональные данные, Оператор уведомит Роскомнадзор в течение 24 часов с момента обнаружения (первичное уведомление), а о результатах внутреннего расследования — в течение 72 часов, в соответствии с требованиями 152-ФЗ в редакции, действующей с 01.09.2025 (Федеральный закон от 08.08.2024 № 266-ФЗ).

9. Файлы cookies и аналитика

Сайт нубиаи.рф использует файлы cookies для обеспечения функциональности сервиса. Подробная информация о типах и целях использования cookies изложена в Политике использования cookies.

Для веб-аналитики используются только российские сервисы (Яндекс.Метрика), данные которых хранятся на серверах в Российской Федерации. Передача cookie-данных на зарубежные аналитические платформы не осуществляется.

10. Изменения политики

Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке. При существенных изменениях пользователи будут уведомлены по email и/или через уведомление в личном кабинете не менее чем за 7 дней до вступления изменений в силу.

Актуальная версия Политики всегда доступна по адресу нубиаи.рф/legal/privacy-policy. Продолжение использования сервиса после обновления Политики означает согласие с её новой редакцией.

11. Контакты оператора