English

--- document: Privacy Policy (Политика конфиденциальности) language: ru status: draft version: 0.1.0-draft last_updated: 2026-05-20 master: true ---

> Draft — owner + counsel review required before publishing. > Этот документ — внутренний черновик. Применимое право: GDPR (EU customers); Федеральный закон «О персональных данных» № 152-ФЗ (граждане РФ). Юридическую силу политика приобретает после ревью владельца и юриста. > Russian = master.

Политика конфиденциальности Bendahara

Версия: 0.1.0-draft  •  Действует с: [TBD: дата публикации]

Настоящая Политика конфиденциальности (далее — «Политика») описывает, какие данные о пользователях собирает сервис Bendahara, как они используются, передаются третьим лицам и защищаются. Политика применяется как к юридическим лицам — клиентам сервиса (тенантам), так и к физическим лицам — конечным пользователям (сотрудникам тенантов).

В терминологии GDPR:

  • Контролёр (controller) персональных данных сотрудников = компания-Клиент (тенант), пригласившая сотрудника в Сервис;
  • Процессор (processor) персональных данных = Оператор сервиса Bendahara, действующий по поручению Контролёра в рамках DPA (см. dpa.ru.md).
  • В отношении владельцев тенантов и регистрационных данных самой компании Оператор может выступать как Контролёр.

---

1. Данные оператора (Контролёра / Процессора)

Полное наименование: [TBD: юридическое наименование] Адрес: [TBD: юридический адрес] Регистрационный номер: [TBD: ОГРН / company number] Email: [TBD: privacy@bendahara.app] Data Protection Officer / Ответственный за обработку ПДн: [TBD: имя и контакт DPO, обязательно для GDPR Art. 37 при обработке special categories или large scale]

Для жителей РФ — уведомление в Роскомнадзор о намерении обработки персональных данных (152-ФЗ ст. 22): [TBD: статус подачи].

---

2. Какие данные мы собираем

2.1. От Владельца тенанта (при регистрации компании)

| Категория данных | Цель | Правовое основание (GDPR) | |-----------------------------------|--------------------------------------------|-------------------------------| | Email | Идентификация, восстановление пароля, уведомления | Исполнение договора (Art. 6.1.b) | | Имя / Display name | Идентификация в интерфейсе | Исполнение договора | | Хэш пароля (если не OAuth) | Аутентификация (Firebase Auth) | Исполнение договора | | Название компании | Идентификация тенанта | Исполнение договора | | Платёжные реквизиты (через провайдера) | Биллинг | Исполнение договора | | IP-адрес, user-agent | Защита от abuse, безопасность | Законный интерес (Art. 6.1.f) |

2.2. От сотрудников (при подключении к тенанту)

| Категория данных | Цель | Правовое основание (GDPR) | |-----------------------------------|--------------------------------------------|-------------------------------| | Email или phone (через Telegram contact) | Идентификация, уведомления | Исполнение договора | | Display name | Отображение в интерфейсе | Исполнение договора | | Telegram chatid, userid | Маршрутизация сообщений | Исполнение договора | | Номер телефона (от Telegram) | Маршрутизация, идентификация | Исполнение договора | | Роль и отдел | RBAC, маршрутизация согласований | Исполнение договора | | IP-адрес, user-agent | Безопасность | Законный интерес |

2.3. В процессе использования Сервиса

| Категория данных | Цель | |-----------------------------------|--------------------------------------------| | Содержимое заявок (суммы, описания, категории, отделы, даты) | Основная функция Сервиса | | Прикреплённые файлы (чеки, receipts, документы) | Основная функция Сервиса | | Действия согласующих (approve / reject / комментарии) | Audit-log, основная функция | | Метаданные взаимодействия (timestamp, IP, действие, target) | Audit-log, безопасность | | Сообщения Telegram (callbackdata, текст команд) | Маршрутизация, отладка ошибок | | Логи бэкенда (структурированные, с tenantid тэгом) | Поддержка, безопасность, debugging | | Аналитика использования (anonymised aggregate) | Улучшение Сервиса |

2.4. Что мы НЕ собираем

  • Номера платёжных карт — обрабатываются исключительно платёжными провайдерами (Stripe / YooKassa / иной); Оператор получает только токен.
  • Геолокация (GPS / IP-геолокация для маркетинга).
  • Биометрические данные.
  • Специальные категории ПДн (GDPR Art. 9): здоровье, политические убеждения, вероисповедание, и т. п. — Клиент обязуется не загружать (см. ToS 5.1.7).
  • Содержимое сообщений Telegram, не предназначенных для бота. Бот видит только обращённые к нему команды и callback-нажатия.

---

3. Цели обработки

3.1. Оказание Сервиса — основная функция: создание тенантов, обработка заявок, согласование, audit-log.

3.2. Биллинг и подписка — учёт оплат, выставление счетов, отправка чеков.

3.3. Связь с пользователем — технические уведомления, ответы на обращения в поддержку, юридически значимые уведомления (изменения ToS, breach notification).

3.4. Безопасность — обнаружение и предотвращение abuse, мошенничества, атак; rate-limiting; investigation инцидентов.

3.5. Аналитика и улучшение Сервиса — обезличенные агрегаты (DAU, MAU, signups/день, churn). Индивидуальные данные не используются для рекламы.

3.6. Соответствие закону — ответы на правомерные запросы государственных органов, соблюдение требований 152-ФЗ / GDPR / иных применимых норм.

3.7. Маркетинг — только с предварительного opt-in согласия пользователя (newsletter, product updates). Opt-out — в каждом сообщении и в /admin/profile.

---

4. Срок хранения данных

| Категория | Срок хранения | |--------------------------------------------|--------------------------------------------------------------------------| | Активные данные тенанта (заявки, members, audit) | Пока тенант активен | | Soft-deleted тенант | 30 дней grace + 365 дней архивного хранения = ~13 месяцев | | Логи бэкенда | [TBD: 30 / 90 дней — определить при настройке Cloud Logging] | | Платёжные данные (для бух-учёта) | Согласно требованиям законодательства о бух-учёте — обычно 5 лет | | Резервные копии | До 90 дней rolling, затем перезаписываются | | Audit-log | Сохраняется в течение всего срока жизни тенанта; экспортируется при удалении | | Запросы в поддержку | До 2 лет после закрытия тикета | | Маркетинговые согласия | До отзыва согласия |

После истечения срока — физическое удаление с проверкой целостности удаления (для GDPR Art. 17).

---

5. Передача данных третьим сторонам (sub-processors)

Сервис использует следующих суб-обработчиков. Полный актуальный список и характер обработки — в dpa.ru.md (приложение «Список суб-обработчиков»).

| Sub-processor | Что обрабатывает | Юрисдикция / трансфер | |--------------------------------|------------------------------------------------|------------------------------| | Google Firebase / Cloud (Google LLC) | Аутентификация, Firestore, Storage, Functions, Logging | США / region europe-west1 для данных тенантов; SCC для EU | | [TBD: Stripe / YooKassa / Cloudpayments] | Обработка платежей | США / РФ соответственно; PCI-DSS | | Telegram Messenger LLP / Telegram FZ-LLC | Доставка сообщений через бот | Дубай (UAE) / международная инфраструктура | | Resend (Plus Five Five, Inc.) | Транзакционный email (приглашения, сброс пароля) | США; SCC для EU | | [TBD: Sentry / Better Stack] | Отчёты об ошибках, observability | США / EU |

5.1. Перед добавлением нового sub-processor Оператор уведомляет тенантов не менее чем за 30 дней через email и публикует обновление в dpa.ru.md. Клиент вправе возразить; при невозможности разумного компромисса — расторгнуть подписку с возвратом за неиспользованную часть периода.

5.2. Международная передача (GDPR Chapter V). Передача данных за пределы EEA осуществляется на основании Standard Contractual Clauses (SCC, 2021/914) или эквивалентных механизмов. Для Google Firebase — стандартные SCC Google Workspace; для Stripe — SCC Stripe + PCI-DSS.

5.3. Правоохранительные органы. Раскрытие данных по правомерному запросу властей — только в объёме, требуемом законом. По возможности уведомляем Клиента, кроме случаев законного запрета на уведомление.

5.4. Передача при M&A. В случае слияния, реорганизации, продажи бизнеса данные могут быть переданы правопреемнику с уведомлением Клиента не менее чем за 30 дней.

---

6. Права пользователей (GDPR Art. 12–22, 152-ФЗ гл. 4)

Каждый пользователь Сервиса (Владелец тенанта, сотрудник) имеет следующие права:

6.1. Право доступа (Art. 15)

Получить подтверждение факта обработки и копию своих данных. Канал реализации: /admin/profile/export или письменный запрос на email из § 1.

6.2. Право на исправление (Art. 16)

Изменить неточные или устаревшие данные через /admin/profile, либо обратиться в поддержку.

6.3. Право на удаление (Art. 17, «право быть забытым»)

  • Сотрудник тенанта — через /admin/profile/delete. Удаляются users/{uid} и tenants/{tid}/members/{uid}; ссылки в audit-log заменяются на псевдоним [deleted-user-<hash>] для сохранения целостности audit (legitimate interest).
  • Владелец тенанта — удаление тенанта (см. ToS 7.1).
  • Срок исполнения — не более 30 дней.

6.4. Право на ограничение обработки (Art. 18)

Возможно через обращение в поддержку с обоснованием. Применяется во время разрешения спора о точности данных.

6.5. Право на переносимость данных (Art. 20)

Экспорт в машиночитаемом формате (JSON + бинарные файлы):

  • сотрудник — /admin/profile/export (свои данные + видимые ему данные тенанта);
  • Владелец — /admin/export (полный экспорт тенанта).

6.6. Право на возражение (Art. 21)

Против обработки на основании законного интереса (§ 2.1, IP/user-agent для безопасности) — обращение в поддержку. Будет рассмотрено индивидуально с балансировкой интересов.

6.7. Право не быть субъектом полностью автоматизированного решения (Art. 22)

Сервис не принимает полностью автоматизированных решений с юридическими последствиями (approve/reject — это решения людей, не AI).

6.8. Право на отзыв согласия (Art. 7.3)

Для обработок, основанных на согласии (маркетинг, opt-in) — отзыв через /admin/profile или unsubscribe-link в email.

6.9. Право на жалобу в надзорный орган (Art. 77)

  • EU: в DPA по месту проживания пользователя.
  • РФ: Роскомнадзор (rkn.gov.ru).
  • UK: ICO (ico.org.uk).

6.10. Сроки и формат

  • Ответ на запрос — в течение 30 дней (по умолчанию) или 60 дней (при сложности; с предварительным уведомлением).
  • Бесплатно (кроме повторных однотипных запросов от одного субъекта — возможна разумная плата за обработку).
  • Канал по умолчанию — email из § 1.

---

7. Cookies и аналогичные технологии

7.1. Сервис использует только функционально необходимые cookies (essential cookies):

  • __session или эквивалент — Firebase Auth session cookie;
  • csrf_token — защита от CSRF;
  • tenant_id (в локальном хранилище) — текущий тенант (для multi-tenant навигации, Phase 2+).

7.2. Мы не используем:

  • Маркетинговые / рекламные cookies (Google Ads, Meta Pixel, и т. п.);
  • Cross-site tracking;
  • Аналитику с долговременной идентификацией пользователя (например, GA с user-id).

7.3. Аналитика — server-side, без cookies. События — eventtype, tenantid (hash), timestamp. Без device fingerprinting.

7.4. Cookie banner — не требуется по умолчанию, так как используются только essential cookies (GDPR Art. 5.3 / ePrivacy Directive 5(3) — для essential cookies согласие не требуется). [TBD: при добавлении любых неэссенциальных cookies — добавить cookie banner UI в Phase 3.4 follow-up.]

---

8. Безопасность данных

8.1. Шифрование:

  • В покое (at rest) — AES-256 (Google Cloud Storage / Firestore default).
  • В транспорте (in transit) — TLS 1.2+ для всех соединений.

8.2. Контроль доступа:

  • Firebase Auth + Firestore rules (см. docs/multi-tenancy.md);
  • Принцип наименьших привилегий для сотрудников Оператора;
  • Audit-log всех значимых действий, в том числе административных.

8.3. Изоляция тенантов:

  • Subcollection-based isolation;
  • Cross-tenant негативные тесты в CI (см. Phase 1 Done criteria).

8.4. Резервное копирование:

  • Daily Firestore export → Google Cloud Storage europe-west1;
  • Retention 90 дней rolling;
  • Зашифрованно (Google-managed keys; [TBD: Customer-managed keys для Enterprise]).

8.5. Управление инцидентами / Breach notification:

  • Обнаружение → triage (< 4 часа);
  • Уведомление Клиентов (в случае утечки персональных данных) — в течение 72 часов с момента обнаружения (GDPR Art. 33);
  • Уведомление субъектов данных (если высокий риск) — без неоправданной задержки (Art. 34);
  • Уведомление Роскомнадзора (если применимо к 152-ФЗ) — в установленные законом сроки.

8.6. Сотрудники Оператора:

  • Подписывают NDA;
  • Доступ к prod-данным — только при технической необходимости и с логированием;
  • Регулярное обучение по безопасности и privacy.

---

9. Дети и Сервис

9.1. Сервис не предназначен для лиц моложе 18 лет. Мы целенаправленно не собираем данные несовершеннолетних. В случае выявления — данные удаляются по запросу законного представителя.

---

10. Изменения политики

10.1. Существенные изменения анонсируются за 30 дней через email Владельца тенанта + in-app баннер.

10.2. Несущественные (уточнения формулировок, обновление контактов) могут вноситься без предварительного уведомления; об актуальной версии сообщается датой «Действует с» в шапке документа.

10.3. Архив предыдущих версий — app/(public)/legal/privacy/history ([TBD]).

---

11. Контакты по вопросам конфиденциальности

Privacy / DPO: [TBD: privacy@bendahara.app или dpo@bendahara.app] Почтовый адрес: [TBD]

Запросы на реализацию прав по разделу 6 — на указанный email с темой [Privacy Request]. Срок реакции — до 30 календарных дней.

> Версионирование: 0.1.0-draft → 1.0.0 при первой публикации.

Политика конфиденциальности — Bendahara