На главную

Политика конфиденциальности

Редакция от 01 апреля 2026 года

сервиса предоставления доступа к программному интерфейсу (API) для получения информации из открытых государственных реестров «API Gateway»

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, хранения, обработки и защиты персональных данных пользователей сервиса «API Gateway» (далее — «Сервис»), принадлежащего Индивидуальному предпринимателю [ФИО ОПЕРАТОРА] (ИНН [ИНН ОПЕРАТОРА], ОГРНИП [ОГРНИП ОПЕРАТОРА]) (далее — «Оператор»).

1.2. Политика разработана в соответствии с:

  • Конституцией Российской Федерации;
  • Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Иными нормативными актами Российской Федерации в области персональных данных.

1.3. Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.4. Используя Сервис и/или регистрируясь в нём, Пользователь выражает согласие с условиями настоящей Политики. Если Пользователь не согласен с условиями Политики, он обязан прекратить использование Сервиса.

1.5. Настоящая Политика применяется только к Сервису «API Gateway». Оператор не контролирует и не несёт ответственности за сторонние веб-сайты, на которые Пользователь может перейти по ссылкам из Сервиса.

2. Основные понятия

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

2.3. Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

2.4. Пользователь — физическое лицо, использующее Сервис и являющееся субъектом персональных данных.

2.5. Cookies — фрагмент данных, отправляемый веб-сервером и хранимый на компьютере Пользователя.

3. Правовые основания обработки

3.1. Обработка персональных данных осуществляется на следующих правовых основаниях:

  • Согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 Федерального закона N 152-ФЗ) — при регистрации в Сервисе Пользователь даёт согласие на обработку своих персональных данных;
  • Исполнение договора (п. 5 ч. 1 ст. 6 Федерального закона N 152-ФЗ) — обработка необходима для исполнения договора (Публичной оферты), стороной которого является Пользователь;
  • Законные интересы Оператора (п. 7 ч. 1 ст. 6 Федерального закона N 152-ФЗ) — обеспечение безопасности Сервиса и предотвращение злоупотреблений;
  • Исполнение обязанностей, возложенных законодательством (п. 2 ч. 1 ст. 6 Федерального закона N 152-ФЗ) — хранение данных в целях бухгалтерского и налогового учёта.

4. Цели обработки персональных данных

4.1. Персональные данные обрабатываются для следующих целей:

  1. Регистрация и идентификация — создание учётной записи, идентификация Пользователя в Сервисе, предоставление доступа к Личному кабинету;
  2. Предоставление услуг (API) — предоставление доступа к API, обработка запросов, обеспечение работы Личного кабинета;
  3. Биллинг и расчёты (ЮКасса) — учёт использования API, списание средств с Баланса, обработка платежей через платёжного агрегатора ЮКасса (АО «ЮМани» / НКО «ЮМани»), формирование финансовых документов;
  4. Техническая поддержка — обработка обращений Пользователей, расследование инцидентов, диагностика технических проблем;
  5. Аналитика и улучшение Сервиса — анализ статистики использования (в агрегированном и обезличенном виде), оптимизация производительности, разработка новых функций;
  6. Обеспечение безопасности — предотвращение несанкционированного доступа, выявление мошенничества, защита от DDoS-атак;
  7. Сервисные уведомления — информирование о состоянии баланса, изменениях в Сервисе, технических работах;
  8. Исполнение юридических обязанностей — соблюдение требований законодательства, ответы на запросы уполномоченных органов.

5. Перечень обрабатываемых персональных данных

5.1. Данные, предоставляемые Пользователем:

Категория данных Примеры Момент сбора
Идентификационные данные Адрес электронной почты (email), номер телефона Регистрация учётной записи
Данные организации ИНН (для юридических лиц и ИП), наименование организации Регистрация, оформление документов

5.2. Данные, собираемые автоматически:

Категория данных Примеры Момент сбора
Технические данные IP-адрес, User-Agent, тип браузера, операционная система Автоматически при каждом обращении к Сервису
Данные об использовании API Вызванные методы, параметры запросов (в маскированном виде), время запросов, объём использования При каждом обращении к API
Платёжные данные Данные транзакций (сумма, дата, статус). Данные банковских карт обрабатываются платёжной системой ЮКасса и не хранятся на серверах Оператора. Пополнение баланса
Cookies Сессионные идентификаторы, предпочтения интерфейса Автоматически при посещении сайта

5.3. Оператор не обрабатывает специальные категории персональных данных (расовая принадлежность, политические взгляды, состояние здоровья, биометрические данные).

5.4. КРИТИЧЕСКИ ВАЖНЫЙ ДИСКЛЕЙМЕР: Оператор НЕ осуществляет сбор, обработку или хранение персональных данных третьих лиц, которые Заказчики запрашивают через API. Данные проксируются из государственных источников и не сохраняются на серверах Оператора. Персональные данные в логах маскируются (первые символы фамилии + ***, паспорт ***/***789 и т.п.).

6. Принципы обработки персональных данных

6.1. Обработка персональных данных осуществляется на основе следующих принципов:

  • Законность и справедливость обработки;
  • Соответствие целей обработки целям, заранее определённым и заявленным при сборе персональных данных;
  • Соответствие объёма и характера обрабатываемых данных, способов обработки целям обработки;
  • Недопустимость объединения баз данных, созданных для несовместимых целей;
  • Обеспечение точности, достаточности и актуальности персональных данных;
  • Хранение данных не дольше, чем этого требуют цели обработки;
  • Уничтожение или обезличивание по достижении целей обработки.

7. Условия обработки персональных данных

7.1. Обработка персональных данных осуществляется:

  • С согласия субъекта персональных данных;
  • Для исполнения договора (Публичной оферты), стороной которого является субъект;
  • Для осуществления законных интересов Оператора (обеспечение безопасности);
  • Для статистических и аналитических целей с обязательным обезличиванием;
  • Для исполнения обязанностей, возложенных на Оператора законодательством.

7.2. Обработка осуществляется с использованием средств автоматизации и без использования таких средств.

8. Хранение данных и сроки обработки

8.1. Персональные данные Пользователей хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ч. 5 ст. 18 Федерального закона N 152-ФЗ.

8.2. Сроки хранения персональных данных:

Категория данных Срок хранения
Данные учётной записи (email, телефон) Весь срок действия учётной записи + 1 (один) год после её удаления
Платёжные данные (транзакции) 5 (пять) лет в соответствии с требованиями бухгалтерского и налогового законодательства
Логи API-запросов (маскированные) 90 (девяносто) дней
Технические данные (IP, User-Agent) 12 (двенадцать) месяцев
Cookies Согласно настройкам конкретного cookie (см. Политику cookies)

8.3. По истечении указанных сроков персональные данные уничтожаются или обезличиваются.

8.4. Пользователь вправе запросить удаление своей учётной записи. При этом данные, хранение которых требуется законодательством, продолжают храниться в течение установленного срока.

9. Передача данных третьим лицам

9.1. Оператор не продаёт, не обменивает и не передаёт персональные данные Пользователей третьим лицам, за исключением следующих случаев:

  1. Обработка платежей — данные, необходимые для обработки платежей, передаются платёжному агрегатору ЮКасса (АО «ЮМани» / НКО «ЮМани»). ЮКасса обрабатывает данные в соответствии с собственной политикой конфиденциальности и стандартом PCI DSS;
  2. Хостинг и инфраструктура — данные могут размещаться на серверах хостинг-провайдеров, расположенных на территории Российской Федерации, с заключением соответствующих соглашений о защите данных;
  3. Email-рассылки — для отправки сервисных уведомлений могут использоваться сторонние сервисы почтовых рассылок с заключением соглашений о конфиденциальности;
  4. По требованию закона — передача данных по запросу уполномоченных государственных органов Российской Федерации (суды, правоохранительные органы, налоговые органы) в порядке, предусмотренном действующим законодательством;
  5. Защита прав — если раскрытие информации необходимо для защиты прав, собственности или безопасности Оператора, Пользователей или третьих лиц.

9.2. При привлечении третьих лиц к обработке персональных данных Оператор заключает с ними соответствующие соглашения, обеспечивающие надлежащую защиту данных.

9.3. Трансграничная передача персональных данных осуществляется только в страны, обеспечивающие адекватную защиту прав субъектов персональных данных, либо при наличии согласия субъекта.

10. Меры по защите персональных данных

10.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий:

  • Шифрование при передаче — все данные передаются по защищённому протоколу HTTPS/TLS 1.3. Устаревшие протоколы (TLS 1.0, 1.1) отключены;
  • Шифрование при хранении — данные в состоянии покоя шифруются;
  • Хэширование паролей — пароли хранятся в виде криптографических хэшей (bcrypt) и не могут быть восстановлены в исходном виде;
  • Маскирование PII — чувствительные параметры API-запросов (ФИО, номера паспортов, даты рождения) маскируются в логах и системах мониторинга (первые символы фамилии + ***, паспорт ***/***789);
  • Ограниченный доступ — доступ к персональным данным имеют только уполномоченные лица, которым данный доступ необходим для выполнения их обязанностей;
  • Мониторинг — осуществляется постоянный мониторинг инцидентов информационной безопасности;
  • Резервное копирование — регулярное резервное копирование данных с шифрованием резервных копий;
  • Аудит безопасности — периодический аудит и обновление мер безопасности.

11. Данные, запрашиваемые через API

ВАЖНЫЙ ДИСКЛЕЙМЕР: Оператор НЕ осуществляет сбор, обработку или хранение персональных данных третьих лиц, которые Заказчики запрашивают через API. Данные из государственных источников проксируются (передаются транзитом) к клиенту и не сохраняются на серверах Оператора.

11.1. При обработке API-запросов:

  • Параметры запросов (ФИО, ИНН, даты рождения, номера паспортов и пр.) маскируются в логах и не хранятся в открытом виде;
  • Ответы от государственных источников не сохраняются на серверах Оператора (за исключением технического кэширования на срок не более 24 часов для снижения нагрузки на источники);
  • Технический кэш автоматически очищается и не содержит идентификаторов, позволяющих связать данные с конкретным субъектом;
  • Оператор фиксирует только факт обращения к конкретному методу API, время запроса и его результат (успех/ошибка) для целей биллинга.

11.2. Ответственность за законное использование данных, полученных через API, несёт Заказчик (Пользователь).

11.3. Вся информация, предоставляемая через API, находится в общедоступном доступе, не является конфиденциальной и получена из открытых государственных реестров Российской Федерации.

12. Файлы cookie

12.1. Сервис использует минимальное количество файлов cookie, необходимых для корректной работы. Подробная информация о cookie содержится в Политике использования файлов cookie.

12.2. Мы не используем трекинговые cookie, cookie рекламных сетей и маркетинговые cookie.

12.3. Пользователь может управлять cookie через настройки своего браузера. Отключение cookie может привести к ограничению функциональности Личного кабинета.

13. Данные несовершеннолетних

13.1. Сервис не предназначен для лиц младше 18 лет.

13.2. Оператор не осуществляет целенаправленный сбор персональных данных несовершеннолетних.

13.3. При выявлении факта сбора данных несовершеннолетних такие данные подлежат немедленному удалению.

14. Права субъекта персональных данных

14.1. В соответствии с Федеральным законом N 152-ФЗ Пользователь имеет право:

  1. Право на доступ — получить информацию об обрабатываемых персональных данных, целях обработки, третьих лицах, которым данные передаются;
  2. Право на изменение — потребовать уточнения, обновления или исправления своих персональных данных, если они являются неполными, устаревшими или неточными;
  3. Право на удаление — потребовать удаления своих персональных данных при отсутствии законных оснований для их дальнейшей обработки;
  4. Право на отзыв согласия — отозвать ранее данное согласие на обработку персональных данных. Отзыв согласия не влияет на законность обработки, осуществлённой до момента отзыва;
  5. Право на получение информации — получить информацию о порядке обработки своих персональных данных;
  6. Право на обжалование — обратиться в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке в случае нарушения прав.

14.2. Для реализации своих прав Пользователь направляет запрос на адрес электронной почты, указанный в разделе 16 настоящей Политики. Запрос должен содержать:

  • Фамилию, имя, отчество субъекта;
  • Адрес электронной почты, указанный при регистрации;
  • Суть запроса.

14.3. Срок рассмотрения запроса — 30 (тридцать) календарных дней с момента получения.

15. Изменение Политики конфиденциальности

15.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на сайте Сервиса.

15.2. О существенных изменениях Оператор уведомляет Пользователей по электронной почте или путём размещения уведомления в Личном кабинете.

15.3. Продолжение использования Сервиса после внесения изменений в Политику означает согласие Пользователя с новой редакцией.

15.4. Пользователям рекомендуется регулярно проверять актуальность настоящей Политики.

16. Контакты ответственного за обработку персональных данных

Оператор: Индивидуальный предприниматель [ФИО ОПЕРАТОРА]

ИНН: [ИНН ОПЕРАТОРА]

ОГРНИП: [ОГРНИП ОПЕРАТОРА]

Адрес: [АДРЕС ОПЕРАТОРА]

Email: info@[DOMAIN]

Уполномоченный орган по защите прав субъектов персональных данных:

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

Адрес: 109992, Москва, Китайгородский проезд, д. 7, стр. 2

Телефон: +7 (495) 983-33-93

Сайт: https://rkn.gov.ru