Политика конфиденциальности

• Оператор — Индивидуальный предприниматель Халезов Алексей Олегович, ОГРНИП 319470400040524, ИНН 470516369630, осуществляющий обработку персональных данных и определяющий цели и средства такой обработки.
• Сервис / Сайт / Приложение — программно-аппаратный комплекс moniq, доступный по адресу moniq.space, включая веб-интерфейс и интерфейсы прикладных программ (API).
• Пользователь — физическое лицо, которое прошло регистрацию или иным образом использует Сервис.
• Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому Пользователю.
• Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без таких средств, с персональными данными.
• Учётная запись — совокупность данных Пользователя в Сервисе, идентифицирующих его и предоставляющих доступ к функциональности Сервиса.

2.1. Использование Сервиса означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональных данных. В случае несогласия с условиями Политики Пользователь должен прекратить использование Сервиса.

2.2. Действие Политики распространяется на все персональные данные Пользователя, обрабатываемые Оператором при использовании Сервиса.

2.3. Политика применяется ко всем разделам Сервиса. Оператор не контролирует и не несёт ответственности за обработку персональных данных сайтами третьих лиц, на которые Пользователь может перейти по ссылкам, доступным в Сервисе.

2.4. Оператор не проверяет достоверность персональных данных, предоставленных Пользователем, и исходит из того, что Пользователь предоставляет достоверные данные и поддерживает их в актуальном состоянии.

3.1. Оператор обрабатывает следующие категории персональных данных Пользователя:

Данные, предоставляемые Пользователем:

• адрес электронной почты;
• отображаемое имя (по желанию);
• пароль (хранится исключительно в виде криптографического хеша bcrypt);
• финансовая информация, вносимая Пользователем вручную: счета, операции (доходы, расходы, переводы), категории, регулярные платежи, цели накопления, плановые суммы, задачи и сопутствующие комментарии (примечания, payee).

Данные, получаемые автоматически при использовании Сервиса:

• IP-адрес и сведения, передаваемые HTTP-заголовками (User-Agent, язык, реферер);
• идентификаторы сессии и сервисные токены аутентификации;
• сведения о действиях Пользователя в Сервисе, необходимые для журналирования безопасности и расследования инцидентов;
• обезличенные технические данные, собираемые системами аналитики (см. раздел 7).

3.2. Оператор не запрашивает и не обрабатывает специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь), а также биометрические персональные данные.

3.3. Оператор не имеет доступа к данным банковских карт, банковских счетов и реквизитов платежей Пользователя в финансовых учреждениях. Финансовые операции вносятся Пользователем вручную как описательные записи и не связаны с банковской инфраструктурой.

4.1. Оператор обрабатывает персональные данные Пользователя в следующих целях:

1. создание и поддержка Учётной записи Пользователя;
2. предоставление функциональности Сервиса согласно Пользовательскому соглашению;
3. идентификация и аутентификация Пользователя, в том числе посредством одноразовых ссылок (magic link), отправляемых на электронную почту;
4. обеспечение информационной безопасности Сервиса, выявление и предупреждение мошенничества и неправомерного доступа;
5. направление сервисных уведомлений (подтверждение действий, восстановление доступа, уведомления об изменении условий и важных событиях в Сервисе);
6. обработка обращений и оказание технической поддержки;
7. исполнение обязательств Оператора по возмездным договорам (платная подписка, тарифы), включая выставление счетов и обработку возвратов;
8. улучшение качества Сервиса, проведение статистических и аналитических исследований с использованием обезличенных данных;
9. исполнение требований законодательства Российской Федерации.

4.2. Правовыми основаниями обработки персональных данных являются:

• согласие Пользователя на обработку персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ);
• необходимость обработки для исполнения договора, стороной которого является Пользователь, — в части предоставления возмездных услуг (п. 5 ч. 1 ст. 6 152-ФЗ);
• необходимость осуществления прав и законных интересов Оператора в части обеспечения работоспособности и безопасности Сервиса (п. 7 ч. 1 ст. 6 152-ФЗ);
• исполнение обязанностей, возложенных на Оператора законодательством РФ.

5.1. Пользователь даёт согласие на обработку своих персональных данных свободно, своей волей и в своём интересе путём совершения конклюдентных действий — регистрации в Сервисе, заполнения форм, отправки запроса на одноразовую ссылку для входа или иного использования Сервиса.

5.2. Согласие предоставляется на срок до его отзыва Пользователем. Отзыв согласия производится путём направления письменного заявления на адрес электронной почты Оператора, указанный в разделе 14, либо путём удаления Учётной записи в Сервисе.

5.3. После отзыва согласия Оператор прекращает обработку персональных данных Пользователя и удаляет их в порядке, предусмотренном разделом 12, за исключением случаев, когда дальнейшая обработка необходима в соответствии с законодательством Российской Федерации.

6.1. Персональные данные Пользователя хранятся в течение всего срока действия Учётной записи и 90 (девяноста) календарных дней после её удаления. По истечении указанного срока данные удаляются или обезличиваются, за исключением сведений, подлежащих обязательному хранению в силу требований законодательства РФ (в частности, бухгалтерских и налоговых документов по платным подпискам — в течение сроков, установленных применимым законодательством).

6.2. Журналы безопасности и логи доступа хранятся в течение 1 (одного) года с момента их создания.

6.3. Базы данных, содержащие персональные данные граждан Российской Федерации, размещены на серверах, расположенных на территории Российской Федерации, в соответствии с ч. 5 ст. 18 152-ФЗ. Подробнее — раздел 9.

7.1. Сервис использует файлы cookie и аналогичные технологии (localStorage, токены сессии). Технические cookie необходимы для функционирования Сервиса (поддержание сессии аутентификации, сохранение пользовательских настроек, защита от CSRF-атак) и устанавливаются без отдельного согласия Пользователя.

7.2. Для анализа использования Сервиса и улучшения его качества применяются следующие сторонние сервисы веб-аналитики:

• Vercel Analytics и Speed Insights (Vercel Inc.) — обезличенный сбор технических данных о производительности и посещаемости;
• Google Analytics (Google LLC) — статистика посещений и поведения пользователей;
• Яндекс.Метрика (ООО «ЯНДЕКС») — статистика посещений, тепловые карты, запись действий пользователей в обезличенном виде.

7.3. Указанные сервисы могут устанавливать собственные cookie и собирать обезличенные данные о посещении Сервиса в соответствии с их политиками. Пользователь вправе отключить cookie в настройках своего браузера; при этом отдельные функции Сервиса могут стать недоступными.

8.1. Оператор не передаёт персональные данные Пользователя третьим лицам, за исключением случаев, предусмотренных настоящей Политикой и законодательством РФ.

8.2. Передача персональных данных третьим лицам допускается:

• с согласия Пользователя;
• организациям, обеспечивающим работу Сервиса (хостинг, доставка электронной почты, аналитика), — в объёме, необходимом для оказания соответствующих услуг, при условии обеспечения такими организациями конфиденциальности и безопасности данных;
• по запросу уполномоченных государственных органов в порядке, установленном законодательством РФ;
• в целях защиты прав и законных интересов Оператора, Пользователей и третьих лиц в случае нарушения условий Пользовательского соглашения.

8.3. Трансграничная передача персональных данных осуществляется в государства, обеспечивающие адекватную защиту прав субъектов персональных данных, либо при наличии согласия Пользователя в письменной форме на трансграничную передачу в иные государства. В случаях, когда обезличенные технические данные передаются провайдерам аналитики (Google LLC, Vercel Inc.), такая передача относится к данным, не позволяющим прямо идентифицировать Пользователя.

9.1. В соответствии с ч. 5 ст. 18 152-ФЗ Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

9.2. Сведения о месте нахождения баз данных, содержащих персональные данные граждан РФ, могут быть предоставлены по письменному запросу Пользователя по адресу электронной почты Оператора.

10.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий, в том числе:

• хранение паролей в виде криптографических хешей (bcrypt) без возможности обратной расшифровки;
• передача данных по защищённым каналам связи с использованием протокола HTTPS;
• аутентификация с использованием подписанных JWT-токенов и одноразовых ссылок, ограниченных по сроку действия;
• изоляция данных по принципу «семейного пространства» (household): данные одного Пользователя недоступны другим Пользователям без его явного приглашения;
• регулярная очистка просроченных токенов аутентификации;
• ограничение доступа сотрудников и подрядчиков к персональным данным.

11.1. Пользователь имеет право:

• получать сведения о факте обработки своих персональных данных, целях обработки, способах и сроках обработки;
• требовать уточнения, блокирования или уничтожения своих персональных данных;
• отозвать согласие на обработку персональных данных в любое время;
• обжаловать действия или бездействие Оператора;
• обратиться в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — или в суд для защиты своих прав.

11.2. Запрос на реализацию указанных прав направляется Пользователем по адресу электронной почты Оператора, указанному в разделе 14, и должен содержать сведения, позволяющие идентифицировать Пользователя (адрес электронной почты, привязанный к Учётной записи). Оператор рассматривает обращение в течение 30 (тридцати) дней с момента его получения.

12.1. Пользователь вправе в любой момент удалить свою Учётную запись, направив соответствующий запрос на адрес электронной почты Оператора.

12.2. После получения запроса Учётная запись и связанные с ней персональные данные переводятся в состояние «помечено к удалению». В течение 90 (девяноста) календарных дней Пользователь вправе отменить удаление, обратившись к Оператору. По истечении указанного срока данные удаляются или обезличиваются без возможности восстановления.

12.3. Сведения, подлежащие хранению в силу требований законодательства РФ (бухгалтерские документы по платным подпискам, журналы безопасности и т. п.), сохраняются в течение установленных законом сроков.

13.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения по адресу moniq.space/legal/privacy, если иное не предусмотрено новой редакцией Политики.

13.2. О существенных изменениях Политики Оператор уведомляет Пользователя посредством электронной почты или сервисного уведомления в Сервисе.

13.3. Продолжение использования Сервиса после внесения изменений означает согласие Пользователя с обновлённой редакцией Политики.

14.1. По всем вопросам, связанным с обработкой персональных данных, реализацией прав субъекта персональных данных и иным вопросам применения настоящей Политики, следует обращаться по указанному выше адресу электронной почты.