Политика в отношении обработки персональных данных
Сервис Anaida.online
Оператор: Индивидуальный предприниматель Мехмандаров Агалар Нуралиевич · г. Москва
Редакция от 29 июня 2026 г. Действует с 29 июня 2026 года.
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных, осуществляемой Индивидуальным предпринимателем Мехмандаровым Агаларом Нуралиевичем (далее — «Оператор»), а также описывает реализуемые Оператором меры по обеспечению безопасности персональных данных.
1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон № 152-ФЗ»), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», иными нормативными правовыми актами Российской Федерации в области персональных данных — с учётом изменений, вступивших в силу в 2025 году, и принятых в соответствии с ними подзаконных актов уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора).
1.3. Политика разрабатывается и публикуется во исполнение требований пункта 2 части 1 статьи 18.1 Закона № 152-ФЗ и определяет позицию Оператора в отношении обработки персональных данных.
1.4. Оператор оказывает услуги с использованием облачной программной платформы Anaida.online (далее — «Платформа», «Сервис»), размещённой в сети «Интернет» по адресу https://anaida.online (далее — «Сайт»). Платформа позволяет компаниям — клиентам Оператора (далее — «Компании-клиенты») создавать и использовать программных ИИ-агентов («онлайн-сотрудников»), которые от имени Компаний-клиентов взаимодействуют с их конечными клиентами в мессенджерах и иных каналах обмена сообщениями: консультируют, оформляют брони и заявки, направляют ссылки на оплату, отвечают на вопросы в режиме 24/7. В перспективе функциональность может включать голосовых агентов.
1.5. Действие Политики распространяется на все процессы обработки персональных данных, осуществляемые Оператором как с использованием средств автоматизации, так и без использования таких средств.
1.6. Политика применяется в отношении двух категорий субъектов персональных данных — пользователей Платформы и конечных клиентов Компаний-клиентов. Распределение ролей Оператора применительно к данным каждой из этих категорий определено в разделе 7 Политики.
1.7. Действующая редакция Политики размещается в свободном доступе на Сайте и доступна неограниченному кругу лиц. Оператор обеспечивает неограниченный доступ к Политике в соответствии с частью 2 статьи 18.1 Закона № 152-ФЗ.
1.8. Использование Сайта и (или) Сервиса означает ознакомление субъекта с настоящей Политикой. Политика не является согласием на обработку персональных данных и не заменяет его; согласие оформляется в порядке, предусмотренном разделом 17 Политики.
1.9. Термины, специально не определённые в Политике, применяются в значениях, установленных Законом № 152-ФЗ.
2. Термины и определения
2.1. В Политике используются следующие основные термины и определения (статья 3 Закона № 152-ФЗ и др.):
2.1.1. Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
2.1.2. Оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с ними.
2.1.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
2.1.4. Лицо, осуществляющее обработку по поручению оператора (обработчик) — лицо, которому оператор на основании договора поручает обработку персональных данных и которое не определяет цели их обработки.
2.1.5. Субъект персональных данных — физическое лицо, к которому относятся соответствующие персональные данные.
2.1.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
2.1.7. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения данных).
2.1.8. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители персональных данных.
2.1.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
2.1.10. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.1.11. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.1.12. Согласие на обработку персональных данных — свободное, конкретное, предметное, информированное, сознательное и однозначное волеизъявление субъекта, которым он разрешает обработку своих персональных данных.
2.1.13. Платформа (Сервис) — программная платформа Anaida.online, предоставляемая Оператором и позволяющая Компаниям-клиентам создавать и использовать ИИ-агентов.
2.1.14. ИИ-агент — программное решение на основе технологий искусственного интеллекта, действующее от имени Компании-клиента при взаимодействии с её конечными клиентами.
2.1.15. Компания-клиент — юридическое лицо или индивидуальный предприниматель, использующие Платформу для создания и применения ИИ-агентов и являющиеся оператором в отношении персональных данных своих конечных клиентов.
2.1.16. Конечный клиент — физическое лицо, взаимодействующее с ИИ-агентом Компании-клиента.
2.1.17. Пользователь Платформы — физическое лицо (представитель Компании-клиента или иное лицо), регистрирующееся в личном кабинете и использующее Сервис.
2.1.18. Внешняя языковая модель (LLM) — предоставляемая внешним поставщиком модель обработки естественного языка, используемая для формирования ответов ИИ-агентов.
2.1.19. Файлы cookie — небольшие файлы, сохраняемые в браузере пользователя при использовании Сайта и обеспечивающие его работу.
3. Сведения об операторе
3.1. Наименование Оператора: Индивидуальный предприниматель Мехмандаров Агалар Нуралиевич.
3.2. ОГРНИП: 325050000108677.
3.3. ИНН: 057101236092.
3.4. Адрес (место регистрации; почтовый адрес для направления обращений): 115477, г. Москва, ул. Бехтерева, д. 9, корп. 1.
3.5. Адрес Сайта: https://anaida.online.
3.6. Адрес электронной почты для обращений субъектов персональных данных по вопросам обработки персональных данных: privacy@anaida.online.
3.7. Лицо, ответственное за организацию обработки персональных данных: Мехмандаров Агалар Нуралиевич (индивидуальный предприниматель). Контактный адрес электронной почты ответственного лица: agalar.info1@gmail.com.
3.8. Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о намерении осуществлять обработку персональных данных в порядке, предусмотренном статьёй 22 Закона № 152-ФЗ; сведения об Операторе подлежат включению в реестр операторов, осуществляющих обработку персональных данных (раздел 18).
4. Принципы обработки персональных данных
4.1. Обработка персональных данных осуществляется на законной и справедливой основе (статья 5 Закона № 152-ФЗ).
4.2. Обработка ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.
4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям и не являются избыточными по отношению к ним (принцип минимизации).
4.5. Оператор обеспечивает точность, достаточность, а при необходимости — актуальность персональных данных и принимает (обеспечивает принятие) меры по удалению или уточнению неполных либо неточных данных.
4.6. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки, если срок хранения не установлен законом или договором. По достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению или обезличиванию.
5. Правовые основания обработки
5.1. Оператор обрабатывает персональные данные при наличии хотя бы одного из правовых оснований, предусмотренных статьёй 6 (а в установленных случаях — статьями 9, 10) Закона № 152-ФЗ.
5.2. Применительно к деятельности Оператора такими основаниями являются, в частности:
- согласие субъекта персональных данных на обработку (пункт 1 части 1 статьи 6, статья 9 Закона № 152-ФЗ) — в том числе для направления маркетинговых сообщений;
- необходимость обработки для исполнения договора, стороной либо выгодоприобретателем или поручителем по которому является субъект, а также для заключения договора по инициативе субъекта (пункт 5 части 1 статьи 6) — оказание услуг Платформы пользователям;
- необходимость обработки для осуществления прав и законных интересов Оператора или третьих лиц при условии, что не нарушаются права и свободы субъекта (пункт 7 части 1 статьи 6) — обеспечение функционирования, доступности и безопасности Сервиса;
- необходимость обработки для исполнения возложенных на Оператора законодательством функций и обязанностей (пункт 2 части 1 статьи 6) — бухгалтерский и налоговый учёт, ответы на законные запросы уполномоченных органов;
- поручение оператора (часть 3 статьи 6) — обработка персональных данных конечных клиентов по поручению Компаний-клиентов (раздел 7).
5.3. Специальные категории персональных данных и биометрические персональные данные Оператором не обрабатываются. Платформа не предназначена для сбора таких данных; Оператор не предлагает Компаниям-клиентам собирать их через ИИ-агентов.
6. Категории субъектов и категории обрабатываемых персональных данных
6.1. Пользователи Платформы — представители Компаний-клиентов и иные лица, регистрирующиеся в личном кабинете и использующие Сервис. В отношении их обрабатываются следующие категории персональных данных:
- фамилия, имя, отчество (при указании) либо имя;
- адрес электронной почты;
- номер телефона;
- учётные данные для доступа (логин и сведения, необходимые для аутентификации, хранимые в защищённом виде);
- сведения о платежах и оплаченных услугах (без хранения полных реквизитов платёжных карт — пункт 11.2);
- сведения об использовании Сервиса (история действий в личном кабинете, технические и журнальные данные);
- сетевые и технические данные: IP-адрес, сведения об устройстве и браузере, технические файлы cookie (раздел 12).
6.2. Конечные клиенты Компаний-клиентов — физические лица, обращающиеся к ИИ-агентам Компаний-клиентов. По поручению Компаний-клиентов обрабатываются следующие категории персональных данных:
- имя (или иное обозначение, которое сообщает сам субъект);
- номер телефона и (или) идентификатор в мессенджере либо ином канале связи;
- содержание сообщений в переписке с ИИ-агентом;
- сведения, которые субъект добровольно сообщает агенту (например, даты бронирования, состав гостей, пожелания, детали заказа).
6.3. Состав персональных данных конечных клиентов определяется Компанией-клиентом (оператором) исходя из её целей. Оператор не собирает избыточные данные; Платформа не осуществляет целенаправленный сбор сведений, не относящихся к взаимодействию конечного клиента с ИИ-агентом.
6.4. Оператор не осуществляет целенаправленную обработку персональных данных несовершеннолетних. Личный кабинет предназначен для использования совершеннолетними и дееспособными лицами, действующими от имени Компаний-клиентов. В отношении конечных клиентов наличие правовых оснований обработки (включая случаи, требующие согласия законного представителя несовершеннолетнего) обеспечивает Компания-клиент как оператор. Если Оператору станет известно, что им как оператором получены персональные данные несовершеннолетнего без необходимого правового основания, такие данные подлежат удалению.
7. Роли Оператора: обработка в качестве оператора и обработка по поручению
7.1. В рамках Сервиса различаются два уровня обработки персональных данных, которым соответствуют разные роли Оператора и разное распределение ответственности.
7.2. Обработка в качестве оператора. В отношении персональных данных пользователей Платформы (пункт 6.1) Индивидуальный предприниматель Мехмандаров А.Н. является оператором: самостоятельно определяет цели и состав обрабатываемых данных, основания и способы обработки и несёт обязанности оператора, предусмотренные Законом № 152-ФЗ.
7.3. Обработка по поручению. В отношении персональных данных конечных клиентов (пункт 6.2) оператором является соответствующая Компания-клиент, которая определяет цели и содержание обработки и обеспечивает наличие правовых оснований (включая получение согласий субъектов, когда это требуется). Оператор обрабатывает такие данные исключительно по поручению Компании-клиента на основании заключённого с ней договора, в порядке части 3 статьи 6 Закона № 152-ФЗ, и не определяет цели их обработки.
7.4. Поручение на обработку оформляется договором (соглашением об обработке персональных данных по поручению), который в соответствии с частью 3 статьи 6 Закона № 152-ФЗ определяет: перечень обрабатываемых персональных данных и перечень действий (операций) с ними; цели обработки; обязанность лица, осуществляющего обработку, соблюдать конфиденциальность и обеспечивать безопасность персональных данных; требование о соблюдении части 5 статьи 18 и статьи 18.1 Закона № 152-ФЗ; требования к защите обрабатываемых данных в соответствии со статьёй 19 Закона № 152-ФЗ, в том числе обязанность уведомлять Компанию-клиента об инцидентах; а также обязанность по запросу Компании-клиента предоставлять документы и сведения, подтверждающие принятие необходимых мер.
7.5. При обработке по поручению Оператор:
- действует в пределах поручения Компании-клиента;
- не обязан получать согласие субъектов на обработку (часть 4 статьи 6 Закона № 152-ФЗ) — наличие правовых оснований обеспечивает Компания-клиент;
- обеспечивает конфиденциальность и безопасность персональных данных;
- реализует меры, предусмотренные разделом 10 Политики;
- обеспечивает логическую изоляцию данных разных Компаний-клиентов друг от друга.
7.6. Распределение ответственности. В соответствии с частью 5 статьи 6 Закона № 152-ФЗ ответственность перед субъектом персональных данных за действия Оператора, осуществляющего обработку по поручению, несёт Компания-клиент (оператор); Оператор несёт ответственность перед Компанией-клиентом. Обращения конечных клиентов, связанные с реализацией их прав (доступ, уточнение, удаление, отзыв согласия и т. п.), рассматривает Компания-клиент как оператор; при получении такого обращения напрямую Оператор переадресует его соответствующей Компании-клиенту и (или) оказывает ей необходимое содействие в пределах поручения (раздел 15).
8. Цели обработки
8.1. Оператор обрабатывает персональные данные пользователей Платформы в следующих целях:
- регистрация пользователя и предоставление доступа к личному кабинету и Сервису;
- оказание услуг Платформы, обеспечение её функционирования и доступности;
- биллинг, приём и учёт платежей за услуги;
- техническая поддержка пользователей и обработка обращений;
- информирование пользователей по вопросам работы Сервиса (сервисные сообщения);
- обеспечение безопасности Сервиса, предотвращение и выявление мошенничества и нарушений;
- улучшение Сервиса, статистика и аналитика (преимущественно на основе обезличенных и (или) агрегированных данных);
- исполнение требований законодательства (бухгалтерский и налоговый учёт, ответы на законные запросы уполномоченных органов);
- направление маркетинговых и рекламных сообщений — только при наличии отдельного согласия (раздел 17).
8.2. Обработка персональных данных конечных клиентов осуществляется Оператором по поручению Компаний-клиентов исключительно в целях обеспечения работы ИИ-агентов от имени Компаний-клиентов: приём и обработка обращений; формирование ответов агента; оформление броней, заявок и иных запросов; направление ссылок на оплату; ведение переписки. Цели такой обработки определяет Компания-клиент.
8.3. Оператор не использует персональные данные конечных клиентов в собственных целях, в том числе для собственного маркетинга, и не передаёт их третьим лицам иначе, как в рамках исполнения поручения Компании-клиента и в соответствии с законом.
9. Порядок и условия обработки персональных данных
9.1. Обработка персональных данных включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
9.2. Сбор персональных данных осуществляется: при регистрации и использовании личного кабинета; при оплате услуг; при обращении в техническую поддержку; автоматически при использовании Сайта (сетевые и технические данные); в отношении конечных клиентов — при их обращении к ИИ-агентам Компаний-клиентов.
9.3. При сборе персональных данных, в том числе через сеть «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (часть 5 статьи 18 Закона № 152-ФЗ; раздел 10).
9.4. Обработка осуществляется автоматизированным, неавтоматизированным и смешанным способами.
9.5. Передача персональных данных третьим лицам осуществляется только в случаях и на основаниях, указанных в разделе 11.
9.6. Обезличивание (маскирование) идентификаторов применяется как мера безопасности при взаимодействии с внешними языковыми моделями (раздел 10).
9.7. По достижении целей обработки, истечении сроков хранения (раздел 13) либо при наступлении иных оснований, предусмотренных законом, персональные данные подлежат уничтожению или обезличиванию.
10. Применяемые меры защиты (организационные и технические)
10.1. Оператор принимает правовые, организационные и технические меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ, и для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (статьи 18.1, 19 Закона № 152-ФЗ). К таким мерам, в частности, относятся следующие.
10.2. Назначение ответственного лица. Оператором определено лицо, ответственное за организацию обработки персональных данных (раздел 3).
10.3. Локальные документы. Оператор издаёт и поддерживает в актуальном состоянии настоящую Политику и внутренние документы (локальные акты) по вопросам обработки и защиты персональных данных, в том числе устанавливающие процедуры предотвращения и выявления нарушений.
10.4. Внутренний контроль и обучение. Оператор осуществляет внутренний контроль соответствия обработки требованиям законодательства и Политике; лица, осуществляющие обработку, ознакомлены с требованиями законодательства и обязаны соблюдать конфиденциальность персональных данных.
10.5. Оценка вреда и угроз. Оператор проводит оценку вреда, который может быть причинён субъектам в случае нарушения Закона № 152-ФЗ, и определяет угрозы безопасности персональных данных при их обработке в информационных системах.
10.6. Локализация данных в Российской Федерации. Все персональные данные граждан Российской Федерации хранятся и обрабатываются с использованием баз данных и серверов, расположенных на территории Российской Федерации (дата-центры на территории РФ), в соответствии с частью 5 статьи 18 Закона № 152-ФЗ.
10.7. Обезличивание (маскирование) перед передачей во внешние языковые модели. Для формирования ответов ИИ-агентов могут использоваться внешние поставщики языковых моделей (LLM). Перед любой передачей текста во внешнюю модель персональные данные автоматически обезличиваются (маскируются): прямые идентификаторы (в частности, имена, номера телефонов и иные сведения, позволяющие определить субъекта) на сервере, расположенном на территории Российской Федерации, заменяются на обезличенные суррогаты. Во внешнюю модель передаётся только обезличенный текст, по которому невозможно без использования дополнительной информации, хранящейся у Оператора на территории Российской Федерации, определить принадлежность сведений конкретному субъекту. Сопоставление суррогатов с исходными данными осуществляется исключительно на стороне Оператора в Российской Федерации. Данная мера исключает передачу идентифицируемых персональных данных во внешние сервисы, в том числе передачу персональных данных в исходном виде за пределы Российской Федерации (раздел 11).
10.8. Использование российской языковой модели для отдельных категорий. Для обработки отдельных категорий данных используется российская языковая модель, функционирующая без трансграничной передачи данных.
10.9. Шифрование. Секреты, токены доступа и иные критичные сведения хранятся и передаются с применением шифрования; для передачи данных по сети применяются защищённые протоколы.
10.10. Разграничение доступа. Доступ к персональным данным предоставляется по принципу минимальных привилегий — только лицам, которым он необходим для исполнения обязанностей; применяются аутентификация и управление правами доступа.
10.11. Журналирование. Ведётся регистрация и учёт действий, совершаемых с персональными данными в информационной системе, в объёме, позволяющем выявлять факты несанкционированного доступа.
10.12. Изоляция данных Компаний-клиентов. В многопользовательской (мультиарендной) архитектуре Платформы обеспечивается логическая изоляция данных разных Компаний-клиентов друг от друга.
10.13. Защита от несанкционированного доступа и восстановление. Применяются средства защиты информации и меры по предотвращению, обнаружению и реагированию на угрозы; осуществляется резервное копирование и восстановление данных.
10.14. Перечень и состав мер Оператор определяет самостоятельно с учётом актуальных угроз безопасности и требований законодательства; меры пересматриваются по мере необходимости.
11. Передача данных третьим лицам. Трансграничная передача
11.1. Оператор не продаёт персональные данные и не передаёт их третьим лицам, кроме случаев, предусмотренных настоящим разделом и законодательством Российской Федерации.
11.2. Персональные данные могут передаваться (предоставляться, к ним может предоставляться доступ):
- Компаниям-клиентам — в части данных их конечных клиентов, обрабатываемых по поручению (раздел 7);
- поставщику платёжных услуг — для приёма и проведения платежей. Приём платежей осуществляется через платёжный сервис ЮKassa; Оператор не получает и не хранит полные реквизиты платёжных карт пользователей — они обрабатываются платёжным сервисом как самостоятельным оператором в соответствии с его правилами и требованиями платёжных систем;
- поставщику услуг хостинга (размещения) — в объёме, необходимом для функционирования Сервиса; данные размещаются в дата-центрах на территории Российской Федерации;
- внешним поставщикам языковых моделей — только в виде обезличенного (маскированного) текста, не содержащего идентифицируемых персональных данных (пункт 10.7);
- уполномоченным государственным органам — по основаниям и в порядке, предусмотренным законодательством Российской Федерации.
11.3. Мессенджеры и иные каналы обмена сообщениями (в том числе Telegram, WhatsApp, MAX и иные сервисы), через которые конечные клиенты взаимодействуют с ИИ-агентами, выступают каналами связи. Передача сообщений между конечным клиентом и Компанией-клиентом (её ИИ-агентом) через такие каналы осуществляется в рамках их функционирования; обработка данных самими операторами мессенджеров регулируется их собственными политиками и условиями, на которые Оператор не влияет.
11.4. Лица, которым Оператор поручает обработку либо которым передаёт персональные данные, обязаны соблюдать конфиденциальность и обеспечивать безопасность персональных данных.
11.5. Трансграничная передача. Оператор не осуществляет трансграничную передачу персональных данных в идентифицируемом (исходном) виде. Во внешние языковые модели передаётся только обезличенный текст (пункт 10.7), который не позволяет определить субъекта; такая передача не является трансграничной передачей персональных данных по смыслу статьи 3 Закона № 152-ФЗ. В случае если Оператор будет намерен осуществлять трансграничную передачу персональных данных, он предварительно направит соответствующее уведомление в Роскомнадзор и обеспечит соблюдение условий, предусмотренных статьёй 12 Закона № 152-ФЗ, до начала такой передачи.
12. Использование файлов cookie
12.1. На Сайте используются файлы cookie и аналогичные технологии, необходимые для функционирования Сайта и личного кабинета (технические, строго необходимые cookie): обеспечение авторизации и сессии, сохранение настроек, обеспечение безопасности.
12.2. Сторонние системы веб-аналитики и рекламные трекеры третьих лиц Оператором не используются.
12.3. Технические файлы cookie обрабатываются на основании законного интереса Оператора в обеспечении работоспособности и безопасности Сайта. Пользователь может ограничить или запретить использование cookie в настройках браузера; при этом отдельные функции Сайта могут стать недоступны.
12.4. В случае подключения в будущем сервисов веб-аналитики либо иных файлов cookie, не являющихся строго необходимыми, Оператор обеспечит информирование пользователей и получение согласия в установленном порядке и внесёт соответствующие изменения в Политику.
13. Сроки хранения и порядок уничтожения персональных данных
13.1. Персональные данные хранятся не дольше, чем этого требуют цели обработки, если иной срок не предусмотрен законом или договором.
13.2. Применяются следующие сроки хранения:
- данные аккаунта пользователя Платформы — в течение срока действия аккаунта и в течение 1 (одного) года после его удаления (прекращения использования Сервиса), после чего уничтожаются или обезличиваются, если иное не требуется законом;
- документы и сведения, связанные с приёмом платежей и необходимые для бухгалтерского и налогового учёта, — в течение сроков, установленных законодательством (в частности, не менее 5 лет);
- персональные данные конечных клиентов, обрабатываемые по поручению, — в течение срока действия договора-поручения с соответствующей Компанией-клиентом и в соответствии с её указаниями; по прекращении поручения такие данные уничтожаются или возвращаются (по указанию Компании-клиента) в срок, не превышающий 30 (тридцати) дней, если иной срок не установлен договором или законом;
- файлы cookie и связанные с ними сведения — в течение установленного для соответствующего файла срока (как правило, не более 26 месяцев);
- технические журналы (логи) — в течение 12 (двенадцати) месяцев, если иное не требуется для обеспечения безопасности либо исполнения требований закона.
13.3. Уничтожение персональных данных осуществляется способом, исключающим дальнейшую обработку, с фиксацией факта уничтожения в порядке, установленном требованиями уполномоченного органа. При отсутствии возможности уничтожения в установленный срок персональные данные блокируются и уничтожаются в срок не более 6 (шести) месяцев, если иной срок не установлен законом.
13.4. При отзыве согласия и отсутствии иных правовых оснований обработки персональные данные уничтожаются в срок, не превышающий 30 дней (раздел 14).
14. Права субъектов персональных данных
14.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (статья 14 Закона № 152-ФЗ), в том числе:
- подтверждение факта обработки, её цели и способы;
- сведения об Операторе, а также сведения о лице, осуществляющем обработку по поручению (его наименование и адрес);
- обрабатываемые персональные данные и источник их получения;
- сроки обработки и хранения персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи;
- иные сведения, предусмотренные законом.
14.2. Субъект вправе требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
14.3. Субъект вправе отозвать согласие на обработку персональных данных, а также возражать против обработки в установленных законом случаях.
14.4. Субъект вправе требовать прекращения обработки персональных данных.
14.5. Субъект вправе обжаловать действия (бездействие) Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке, а также защищать свои права и законные интересы иными способами, предусмотренными законом.
14.6. В отношении обработки в целях продвижения товаров, работ, услуг на рынке (маркетинг) обработка осуществляется только с предварительного согласия субъекта и прекращается по его требованию незамедлительно (статья 15 Закона № 152-ФЗ).
14.7. Сроки реагирования Оператора на обращения и требования субъектов:
- на запрос о предоставлении информации и (или) об ознакомлении с персональными данными (статьи 14, 20) — в течение 10 рабочих дней с даты получения запроса; срок может быть продлён не более чем на 5 рабочих дней с направлением субъекту мотивированного уведомления;
- на требование о прекращении обработки персональных данных — в течение 10 рабочих дней (часть 5.1 статьи 21);
- при отзыве согласия — прекращение обработки и, если сохранение данных более не требуется, их уничтожение в срок, не превышающий 30 дней с даты поступления отзыва (часть 5 статьи 21), если иное не предусмотрено договором или законом;
- при выявлении неправомерной обработки — блокирование персональных данных с момента обращения на период проверки; устранение нарушений либо уничтожение данных в срок не более 10 рабочих дней (статья 21).
14.8. Права конечных клиентов в отношении персональных данных, обрабатываемых Оператором по поручению, реализуются через соответствующую Компанию-клиента как оператора (разделы 7, 15).
15. Порядок обращений субъектов персональных данных
15.1. Обращение (запрос) направляется Оператору по адресу электронной почты privacy@anaida.online либо по почтовому адресу: 115477, г. Москва, ул. Бехтерева, д. 9, корп. 1.
15.2. Запрос должен содержать сведения, предусмотренные частью 3 статьи 14 Закона № 152-ФЗ: номер основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором; подпись субъекта или его представителя. Запрос может быть направлен в форме электронного документа, подписанного в соответствии с законодательством Российской Федерации.
15.3. Оператор рассматривает обращения и предоставляет ответы в сроки, указанные в пункте 14.7. Ответ направляется в той форме, в которой был получен запрос, если иное не указано в обращении.
15.4. Если обращение касается персональных данных конечного клиента, обрабатываемых по поручению Компании-клиента, Оператор уведомляет об этом заявителя и (или) переадресует обращение соответствующей Компании-клиенту как оператору, обеспечивая необходимое содействие в пределах поручения.
16. Действия при инцидентах (утечках)
16.1. Оператор поддерживает порядок реагирования на инциденты, связанные с нарушением безопасности персональных данных (в том числе неправомерные или случайные передачу, предоставление, распространение или доступ).
16.2. При установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор уведомляет Роскомнадзор (часть 3.1 статьи 21 Закона № 152-ФЗ):
- в течение 24 часов с момента выявления инцидента — о произошедшем инциденте, предполагаемых причинах и предполагаемом вреде, принятых мерах по устранению последствий, а также о лице, уполномоченном на взаимодействие с уполномоченным органом по вопросам инцидента;
- в течение 72 часов — о результатах внутреннего расследования инцидента и о лицах, действия которых стали причиной инцидента (при наличии).
16.3. При выявлении компьютерных инцидентов Оператор обеспечивает информирование уполномоченных органов, включая взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), в случаях и порядке, предусмотренных законодательством.
16.4. При обработке по поручению Оператор незамедлительно уведомляет соответствующую Компанию-клиента (оператора) о выявленных инцидентах, затрагивающих данные её конечных клиентов, и оказывает содействие в их устранении и в исполнении обязанностей оператора.
16.5. Оператор принимает меры по локализации и устранению последствий инцидентов, а также по предотвращению их повторения.
17. Согласие на обработку персональных данных
17.1. В случаях, когда обработка осуществляется на основании согласия субъекта, такое согласие оформляется в порядке, предусмотренном законодательством, и является конкретным, предметным, информированным, сознательным и однозначным.
17.2. С 1 сентября 2025 года согласие на обработку персональных данных оформляется отдельным документом и не может включаться в иные документы (договор, оферту, пользовательское соглашение, настоящую Политику и т. п.). Согласие на передачу персональных данных каждому третьему лицу оформляется с указанием конкретных целей и получателей.
17.3. Настоящая Политика не является согласием на обработку персональных данных. Формы согласий (в том числе согласие на обработку персональных данных пользователя Платформы и, при наличии, отдельное согласие на получение маркетинговых сообщений) предоставляются субъектам отдельно — при регистрации, при совершении соответствующих действий на Сайте и (или) посредством отдельного документа «Согласие на обработку персональных данных».
17.4. В отношении персональных данных конечных клиентов получение согласий и обеспечение иных правовых оснований обработки относится к обязанностям Компании-клиента как оператора (раздел 7).
17.5. Отзыв согласия осуществляется путём направления Оператору соответствующего обращения в порядке раздела 15. Последствия отзыва согласия определены в разделах 13 и 14.
18. Уведомление Роскомнадзора (реестр операторов)
18.1. В соответствии со статьёй 22 Закона № 152-ФЗ Оператор до начала обработки персональных данных уведомляет уполномоченный орган (Роскомнадзор) о намерении осуществлять обработку персональных данных; на основании уведомления сведения об Операторе вносятся в реестр операторов, осуществляющих обработку персональных данных.
18.2. Об изменении сведений, содержащихся в ранее поданном уведомлении, и о прекращении обработки персональных данных Оператор информирует Роскомнадзор в сроки, установленные частью 7 статьи 22 Закона № 152-ФЗ.
18.3. Сведения, содержащиеся в реестре операторов (за исключением сведений о средствах обеспечения безопасности персональных данных), являются общедоступными.
19. Ответственность
19.1. Лица, виновные в нарушении требований Закона № 152-ФЗ и принятых в соответствии с ним нормативных правовых актов, несут ответственность, предусмотренную законодательством Российской Федерации (гражданско-правовую, административную, уголовную).
19.2. Распределение ответственности между Оператором и Компаниями-клиентами при обработке по поручению определяется разделом 7 Политики, статьёй 6 Закона № 152-ФЗ, а также договором-поручением.
19.3. Оператор не несёт ответственности за обработку персональных данных третьими лицами, действующими в качестве самостоятельных операторов (в частности, платёжным сервисом, операторами мессенджеров), а равно за сведения, которые субъект самостоятельно раскрывает третьим лицам.
19.4. Настоящая Политика и внутренние документы Оператора не содержат положений, ограничивающих права субъектов персональных данных.
20. Заключительные положения
20.1. Оператор вправе вносить изменения в Политику. Действующая редакция размещается на Сайте по адресу https://anaida.online и вступает в силу с момента её размещения, если иное не указано в редакции.
20.2. О существенных изменениях Политики Оператор уведомляет пользователей доступными способами (в том числе путём размещения сведений на Сайте).
20.3. Субъектам персональных данных рекомендуется периодически знакомиться с актуальной редакцией Политики.
20.4. По всем вопросам, связанным с обработкой персональных данных, субъект может обратиться к Оператору по адресу privacy@anaida.online.
20.5. Настоящая редакция Политики действует с 29 июня 2026 года.