SANCTIONSAI.ORG · ДОКУМЕНТ 152-ФЗ
Политика обработки и хранения персональных данных
Оператор персональных данных
Оператором персональных данных является проект SanctionsAI (sanctionsai.org).
Контакт оператора: info@sanctionsai.org
Настоящий документ разработан во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Регламента ЕС 2016/679 (GDPR).
Субъекты персональных данных
Субъектами персональных данных, обрабатываемых Оператором, являются:
- Незарегистрированные пользователи Сервиса (анонимные сессии)
- Зарегистрированные пользователи (при создании аккаунта)
- Представители юридических лиц — корпоративных клиентов
Состав обрабатываемых персональных данных
Для незарегистрированных пользователей:
- Анонимный идентификатор сессии (не позволяет идентифицировать личность)
- Страна пользователя (определяется по IP; IP-адрес не хранится)
- Технические cookie (языковые и тематические настройки)
Для зарегистрированных пользователей (дополнительно):
- Адрес электронной почты
- Имя (отображаемое)
- Хэш пароля (при регистрации через email/пароль)
- Идентификатор OAuth-провайдера (при входе через Google/Яндекс)
- Дата и время регистрации
- История запросов (коды ТН ВЭД)
- Статус подписки и тарифный план
Специальные категории персональных данных (ст. 10 152-ФЗ, ст. 9 GDPR) не обрабатываются.
Цели и основания обработки
| Цель | Правовое основание | Состав данных |
|---|---|---|
| Идентификация и аутентификация пользователя | Договор (ст. 6(1)(b) GDPR; ст. 6 п.5 152-ФЗ) | Email, хэш пароля, OAuth ID |
| Предоставление функциональности Сервиса | Договор | История запросов, сессия |
| Управление подпиской и тарификацией | Договор | Email, план, статус |
| Научное исследование санкционных рисков | Согласие (ст. 6(1)(a) GDPR) | Анонимные запросы ТН ВЭД |
| Обеспечение безопасности | Законный интерес (ст. 6(1)(f) GDPR) | IP (временно), сессия |
| Направление сервисных уведомлений | Договор |
Порядок сбора данных
Персональные данные собираются следующими способами:
- При заполнении регистрационной формы на сайте
- При авторизации через OAuth 2.0 (Google, Яндекс)
- Автоматически при использовании Сервиса (технические данные)
- При добровольном предоставлении пользователем в рамках обращений в поддержку
Обработка персональных данных до 18 лет не осуществляется. Используя Сервис, вы подтверждаете, что достигли 18-летнего возраста.
Сроки обработки и хранения
| Категория данных | Срок хранения | Основание прекращения |
|---|---|---|
| Данные аккаунта | До удаления аккаунта пользователем | Отзыв согласия / заявление об удалении |
| После удаления аккаунта | 30 дней (резервная копия) | Истечение срока |
| История запросов | Срок действия аккаунта | Удаление аккаунта |
| Анонимные данные исследования | До 24 месяцев | Достижение срока |
| Технические логи | 90 дней | Ротация |
| Cookie согласия | 12 месяцев | Истечение срока |
После истечения сроков хранения данные уничтожаются путём безвозвратного удаления из баз данных и резервных копий.
Передача и трансграничная передача данных
Получатели данных:
- Провайдеры AI-сервисов: Google LLC (Gemini API), OpenAI L.L.C. — для обработки запросов на соответствие санкциям. Запросы передаются без привязки к личности пользователя.
- Инфраструктурные провайдеры (хостинг, CDN) — для технической работы Сервиса.
- Платёжный сервис Prodamus — при оформлении подписки (только необходимые платёжные данные).
Трансграничная передача осуществляется в страны, обеспечивающие адекватный уровень защиты персональных данных (решения ЕС об адекватности), либо на основании стандартных договорных положений (SCC).
Данные не передаются третьим лицам в рекламных или маркетинговых целях.
Меры защиты персональных данных
Оператор принимает следующие организационные и технические меры защиты:
- Шифрование данных при передаче (TLS 1.3)
- Хэширование паролей алгоритмом Argon2id
- Ограничение доступа к данным по принципу минимальных привилегий
- Хранение конфиденциальных данных в изолированных базах данных
- Ротация токенов аутентификации (refresh token rotation)
- Регулярный аудит доступа и журналирование операций
- Процедуры уведомления об инцидентах в соответствии со ст. 26.1 152-ФЗ и ст. 33–34 GDPR
Права субъектов персональных данных
В соответствии с 152-ФЗ и GDPR вы вправе:
- Получить доступ к своим персональным данным (ст. 14 152-ФЗ, ст. 15 GDPR)
- Потребовать исправления неточных данных (ст. 16 GDPR)
- Потребовать удаления данных (ст. 21 152-ФЗ, ст. 17 GDPR)
- Отозвать согласие на обработку в любое время
- Возразить против обработки в целях прямого маркетинга
- Получить данные в машиночитаемом формате (ст. 20 GDPR)
Порядок реализации прав: направьте письменный запрос на info@sanctionsai.org. Срок ответа — 30 дней. При необходимости срок может быть продлён ещё на 60 дней (с уведомлением).
Согласие на обработку персональных данных
Согласие на обработку персональных данных в исследовательских целях предоставляется пользователем добровольно при первом использовании Сервиса через баннер согласия.
Отзыв согласия осуществляется через настройки Сервиса или путём обращения на info@sanctionsai.org.
Отзыв согласия не влияет на законность обработки, осуществлённой до момента отзыва.
Обращения и жалобы
По вопросам обработки персональных данных: info@sanctionsai.org
Надзорные органы:
- Россия: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): rkn.gov.ru
- ЕС: ваш национальный орган по защите данных: edpb.europa.eu
- Великобритания: Information Commissioner's Office (ICO): ico.org.uk
© 2026 SANCTIONSAI.ORG · ВСЕ ПРАВА ЗАЩИЩЕНЫ
← НА ГЛАВНУЮ