Политика в отношении обработки персональных данных

Утверждена: 6 апреля 2026
Оператор: ИП Панков Андрей Алексеевич (ОГРНИП 321237500423527, ИНН 230903478917)

Содержание

1. Общие положения
2. Цели сбора персональных данных
3. Правовые основания обработки
4. Объём и категории обрабатываемых данных
5. Порядок и условия обработки
6. Меры по защите персональных данных
7. Права субъектов и порядок их реализации
8. Ответственность за нарушение требований
9. Контактная информация
10. Заключительные положения

1. Общие положения

1.1. Назначение политики

Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных ИП Панков Андрей Алексеевич (далее — Оператор).

Оператор является оператором персональных данных. Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Основные понятия

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Безопасность персональных данных — состояние защищённости персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3. Основные права Оператора

Обработка персональных данных осуществляется на законной и справедливой основе, а также с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ) на основании согласия субъекта персональных данных на обработку его персональных данных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ.

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Оператор оставляет за собой право проверить полноту и точность предоставленных персональных данных (далее также — ПДн), их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.

Оператор вправе поручить обработку ПДн третьим лицам с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом соглашения (договора). Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ.

В случае отзыва субъектом ПДн согласия на обработку своих ПДн, Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

1.4. Основные обязанности Оператора

Оператор не собирает, не обрабатывает и не передаёт ПДн субъектов ПДн третьим лицам без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

В случае выявления неправомерной обработки ПДн Оператор осуществляет блокирование неправомерно обрабатываемых ПДн с момента обращения субъекта ПДн или его представителя либо уполномоченного органа на период проверки.

В случае подтверждения факта неточности ПДн Оператор уточняет ПДн в течение 7 рабочих дней со дня представления сведений и снимает блокирование ПДн.

В случае выявления неправомерной обработки ПДн Оператор в срок, не превышающий 3-х рабочих дней, осуществляет прекращение неправомерной обработки. В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий 10 рабочих дней, осуществляет уничтожение таких ПДн.

В случае установления факта неправомерной или случайной передачи ПДн, повлекшей нарушение прав субъекта(-ов) ПДн, Оператор обязан уведомить уполномоченный орган по защите прав субъектов ПДн:

В течение 24-х часов — о произошедшем инциденте, предполагаемых причинах и принятых мерах;
В течение 72-х часов — о результатах внутреннего расследования выявленного инцидента.

В случае достижения цели обработки ПДн Оператор прекращает обработку и уничтожает ПДн в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено договором.

В случае отзыва субъектом ПДн согласия на обработку Оператор прекращает обработку и уничтожает ПДн в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором или законодательством.

1.5. Основные права субъекта ПДн

Субъект ПДн принимает решение о предоставлении своих ПДн и даёт согласие на их обработку свободно, своей волей и в своём интересе.

В целях обеспечения своих законных интересов субъекты ПДн имеют право:

Получать полную информацию о своих ПДн и обработке этих данных;
Осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии;
Требовать уточнения своих ПДн, их блокирования или уничтожения;
Требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные ПДн, обо всех произведённых изменениях;
Обжаловать в суде или в Роскомнадзоре любые неправомерные действия или бездействие Оператора.

2. Цели сбора персональных данных

Обработка ПДн ограничивается достижением конкретных, заранее определённых и законных целей. Обработке подлежат только ПДн, которые отвечают целям их обработки. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

Целями обработки ПДн в Операторе являются:

2.1. Предоставление доступа к Платформе и оказание Сервисов

Регистрация и авторизация пользователей;
Идентификация пользователей;
Предоставление доступа к функциональным возможностям Платформы (видеосессии, транскрипция, AI-аналитика, клиентская база, расписание);
Исполнение договорных обязательств;
Предоставление технической поддержки.

2.2. Оформление и исполнение договорных отношений

Заключение и исполнение договоров;
Выставление счетов;
Оформление первичных документов;
Взаиморасчеты с контрагентами.

2.3. Обработка платежей и ведение бухгалтерского учета

Проведение расчетов;
Бухгалтерский и налоговый учет;
Формирование отчетности.

2.4. Связь с пользователями

Отправка уведомлений об изменениях в Платформе;
Информирование о новых Сервисах;
Ответы на обращения пользователей;
Рассылка информационных материалов (с согласия субъекта ПДн).

2.5. Улучшение качества Сервисов

Анализ использования Платформы;
Персонализация контента;
Тестирование новых функций.

2.6. Обеспечение безопасности

Предотвращение мошенничества;
Защита от несанкционированного доступа;
Обеспечение информационной безопасности.

2.7. Соблюдение требований законодательства

Выполнение требований законодательства РФ;
Ответы на запросы государственных органов;
Защита прав и законных интересов Оператора.

3. Правовые основания обработки персональных данных

Обработка персональных данных осуществляется на следующих основаниях:

3.1. strong Согласие субъекта персональных данных | (п. 1 ч. 1 ст. 6 Федерального закона № 152-ФЗ);

3.2. strong Исполнение договора | (п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ), стороной которого является субъект персональных данных;

3.3. strong Исполнение возложенных законодательством РФ функций | (п. 2, 3, 4 ч. 1 ст. 6 Федерального закона № 152-ФЗ);

3.4. strong Осуществление правосудия | (п. 6 ч. 1 ст. 6 Федерального закона № 152-ФЗ);

3.5. strong Защита жизни, здоровья или иных жизненно важных интересов | (п. 8 ч. 1 ст. 6 Федерального закона № 152-ФЗ);

3.6. strong Осуществление прав и законных интересов оператора | (п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ) или третьих лиц при условии, что не нарушаются права и свободы субъекта персональных данных.

Нормативные правовые акты:

Конституция Российской Федерации;
Гражданский кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Иные нормативные правовые акты Российской Федерации.

4. Объём и категории обрабатываемых персональных данных

4.1. Пользователи Платформы

Цель: Предоставление доступа к Платформе и оказание Сервисов.

Категории персональных данных:

Фамилия, имя, отчество;
Адрес электронной почты;
Контактный телефон;
Фотография (аватар);
Информация о профессиональной деятельности и специализации;
Данные об использовании Платформы (логи, история действий);
IP-адрес;
Сведения о браузере и устройстве;
Геолокационные данные (на основе IP-адреса).

Специальные категории ПДн: целенаправленно не собираются. Однако в транскриптах сессий и заметках клиентов могут содержаться сведения о состоянии здоровья и интимной жизни; их обработка осуществляется по поручению пользователя-психолога (см. п. 4.3).

Способ обработки: смешанный (автоматизированная и неавтоматизированная обработка).

Действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Срок обработки и хранения: в течение срока действия Учетной записи + 3 года после удаления (для возможности восстановления и разрешения споров).

4.2. Контрагенты (юридические лица и индивидуальные предприниматели)

Цель: Оформление и исполнение договорных отношений, ведение бухгалтерского учета.

Категории персональных данных:

Фамилия, имя, отчество (для ИП и представителей юридических лиц);
Адрес регистрации;
Данные документа, удостоверяющего личность;
ИНН, ОГРНИП (для ИП);
Контактный телефон;
Адрес электронной почты;
Должность (для представителей юридических лиц);
Реквизиты банковского счета.

Способ обработки: смешанный.

Срок обработки и хранения: в течение срока действия договора + не менее 5 лет после прекращения (в соответствии с требованиями законодательства о бухгалтерском учете).

4.3. Клиенты пользователей Платформы (субъекты, чьи данные вносит психолог)

Цель: Предоставление психологу инструментов ведения клиентской базы в рамках Сервисов Платформы.

Категории персональных данных (определяются пользователем-психологом):

Имя, фамилия;
Контактные данные;
Иные данные, вносимые психологом.

Важно: Оператор (PsySpace) является лицом, обрабатывающим данные по поручению пользователя-психолога. Психолог самостоятельно определяет объём и цели обработки данных своих клиентов и несёт ответственность за получение информированного согласия клиентов в соответствии с Федеральным законом № 152-ФЗ.

В клиентской базе и транскриптах сессий могут содержаться специальные категории персональных данных (сведения о состоянии здоровья, интимной жизни и др., ст. 10 Федерального закона № 152-ФЗ). Их обработка осуществляется пользователем-психологом как оператором персональных данных, а PsySpace — как обработчик по поручению, на основании информированного согласия клиента.

Способ обработки: автоматизированная обработка.

Срок обработки и хранения: в течение срока действия Учетной записи психолога. Удаляются в течение 30 дней: по запросу клиента, по запросу психолога или при удалении его аккаунта.

5. Порядок и условия обработки персональных данных

5.1. Принципы обработки

Обработка персональных данных осуществляется в соответствии со следующими принципами:

Законности целей и способов обработки персональных данных;
Добросовестности;
Соответствия целей обработки целям, заранее определенным и заявленным при сборе;
Соответствия объема и характера обрабатываемых данных целям обработки;
Недопустимости объединения баз данных, созданных для несовместимых целей;
Обеспечения точности, достаточности и актуальности данных;
Уничтожения либо обезличивания данных по достижении целей их обработки.

5.2. Получение согласия на обработку

5.2.1. Согласие получается одним из следующих способов:

Путем предоставления согласия в форме проставления галочки (чекбокса) при регистрации на Платформе или использовании соответствующих сервисов;
В письменной форме (на бумажном носителе) — при необходимости.

5.2.2. Текст согласия на обработку персональных данных предоставляется субъекту отдельно от иных документов (договоров, оферт) для самостоятельного ознакомления и свободного волеизъявления. Согласие не является частью договора и не встраивается в текст оферты.

5.2.3. Субъект персональных данных вправе отозвать согласие путем направления письменного заявления на privacy@psyspace.io.

5.2.4. Для передачи персональных данных обработчикам, привлекаемым для оказания сервисов Платформы (хостинг, платежная инфраструктура, сервисы транскрипции и AI-обработки), оформляется отдельное согласие субъекта персональных данных при регистрации/активации доступа к Платформе.

5.3. Передача данных третьим лицам

5.3.1. Персональные данные не передаются третьим лицам без согласия субъекта, за исключением случаев, предусмотренных законодательством РФ.

5.3.2. Персональные данные могут передаваться:

Лицам, обрабатывающим данные по поручению Оператора (обработчики по поручению);
Государственным органам по официальным запросам;
Иным третьим лицам с согласия субъекта.

5.3.2.1. Передача данных обработчикам в целях оказания сервисов Платформы осуществляется на основании отдельного согласия субъекта, указанного в п. 5.2.4.

5.3.3. При передаче данных обработчикам Оператор заключает договоры, содержащие условия, определенные в ч. 3 ст. 6 Федерального закона № 152-ФЗ.

5.3.4. Реестр обработчиков по поручению

Обработчик	Цель обработки	Категории данных	Юрисдикция
Хостинг-провайдер (серверы на территории РФ)	Размещение и хранение данных Платформы	Все категории ПДн	Российская Федерация
АО «ТБанк»	Обработка платежей	Платёжные данные, ФИО, email	Российская Федерация
Яндекс.Метрика	Веб-аналитика	Технические данные, cookie-идентификаторы	Российская Федерация
Yandex SpeechKit (основной)	Транскрибация аудиопотока сессий	Аудиопоток сессии (удаляется сразу после транскрибации)	Российская Федерация
Deepgram, Inc. (резервный)	Транскрибация аудиопотока сессий при недоступности основного обработчика	Аудиопоток сессии (удаляется сразу после транскрибации)	США (трансграничная передача)
OpenAI, Inc. (резервный)	Транскрибация аудиопотока и AI-анализ транскриптов сессий	Аудиопоток сессии, текст транскрипта	США (трансграничная передача)
ElevenLabs, Inc. (резервный)	Транскрибация аудиопотока сессий при недоступности основного обработчика	Аудиопоток сессии (удаляется сразу после транскрибации)	США (трансграничная передача)

5.4. Трансграничная передача

5.4.1. Основное хранение и обработка персональных данных осуществляются на серверах, расположенных на территории Российской Федерации (ч. 5 ст. 18 Федерального закона № 152-ФЗ).

5.4.2. Трансграничная передача на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов, может осуществляться только с письменного согласия субъекта.

5.4.3. Основной обработчик AI-транскрипции — Yandex SpeechKit (обработка на территории РФ). При технической недоступности основного обработчика или недостаточном качестве распознавания в качестве резервных обработчиков привлекаются: Deepgram, Inc. (США), OpenAI, Inc. (США), ElevenLabs, Inc. (США). Трансграничная передача осуществляется в соответствии с требованиями ст. 12 Федерального закона № 152-ФЗ; уведомление в Роскомнадзор направлено. Подробный перечень субобработчиков и целей передачи указан в Политике конфиденциальности (раздел 7).

5.5. Место обработки и хранения

5.5.1. Обработка и хранение персональных данных осуществляются на территории Российской Федерации.

5.5.2. Серверы, на которых размещаются базы данных персональных данных, находятся на территории Российской Федерации.

6. Меры по защите персональных данных

6.1. Общие положения

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

6.2. Правовые меры

Утверждена настоящая Политика в отношении обработки персональных данных;
Утверждена Политика конфиденциальности;
С обработчиками персональных данных заключаются договоры, содержащие обязательства по обеспечению конфиденциальности и безопасности.

6.3. Организационные меры

Назначено лицо, ответственное за организацию обработки персональных данных;
Доступ к персональным данным предоставляется только по принципу минимальной достаточности;
Все сотрудники, имеющие доступ, подписывают соглашения о конфиденциальности;
Проводятся регулярные проверки соблюдения требований;
Осуществляется контроль за действиями с персональными данными.

6.4. Технические меры

6.4.1. Идентификация и аутентификация:

Многофакторная аутентификация для администраторов;
Сложные требования к паролям;
Автоматическая блокировка при подозрительной активности.

6.4.2. Криптографическая защита:

Шифрование данных при хранении (AES-256);
Шифрование каналов передачи данных (HTTPS, TLS 1.3);
End-to-end шифрование видеосессий;
Хеширование паролей с использованием bcrypt.

6.4.3. Сетевая защита:

Межсетевые экраны (firewalls);
Системы обнаружения и предотвращения вторжений;
Защита от DDoS-атак;
Сегментация сети.

6.4.4. Резервное копирование:

Регулярное резервное копирование с шифрованием;
Резервные копии хранятся на отдельных носителях;
Периодическая проверка возможности восстановления.

6.4.5. Обновление ПО:

Актуальные версии операционных систем и прикладного ПО;
Своевременная установка обновлений безопасности.

6.5. Уведомление об инцидентах

В случае инцидента Оператор: немедленно принимает меры по локализации; оценивает масштаб и возможный ущерб; уведомляет Роскомнадзор в течение 24 часов; предоставляет результаты расследования в течение 72 часов; уведомляет затронутых субъектов, если инцидент может причинить вред их правам.

7. Права субъектов персональных данных и порядок их реализации

7.1. Права субъектов

Субъекты персональных данных имеют право на:

Получение информации, касающейся обработки персональных данных;
Доступ к своим персональным данным;
Уточнение, блокирование или удаление своих персональных данных;
Отзыв согласия на обработку персональных данных;
Обжалование действий или бездействия Оператора в Роскомнадзоре или в судебном порядке;
Защиту своих прав, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

7.2. Порядок реализации прав

7.2.1. Для реализации прав субъект или его представитель направляет Оператору запрос в письменной форме: лично; почтовым отправлением; по электронной почте privacy@psyspace.io; через форму обратной связи на Платформе.

7.2.2. Запрос должен содержать: Ф.И.О.; контактную информацию; номер документа, удостоверяющего личность; подпись; перечень запрашиваемых действий.

7.2.3. К запросу прилагается копия документа, удостоверяющего личность.

7.2.4. Оператор предоставляет информацию о персональных данных субъекта в течение 10 (десяти) рабочих дней (ч. 4 ст. 14 Федерального закона № 152-ФЗ). Прекращение обработки и/или уничтожение данных осуществляется в течение 30 (тридцати) дней.

7.2.5. В случае отказа Оператор обязан направить мотивированный отказ с указанием правовых оснований.

7.3. Основания для отказа

Оператор вправе отказать в удовлетворении запроса, если:

Запрос не соответствует требованиям Федерального закона № 152-ФЗ или настоящей Политики;
Не подтверждена личность субъекта или полномочия представителя;
Запрашиваемые данные не обрабатываются Оператором;
Удовлетворение запроса противоречит законодательству РФ;
Обработка осуществляется на основаниях, предусмотренных пунктами 2–11 части 1 статьи 6 Федерального закона № 152-ФЗ.

8. Ответственность за нарушение требований

8.1. Лица, виновные в нарушении требований Федерального закона № 152-ФЗ, несут ответственность в соответствии с законодательством Российской Федерации, в том числе:

Дисциплинарную ответственность (для работников Оператора);
Гражданско-правовую ответственность;
Административную ответственность (ст. 13.11, 13.14 КоАП РФ);
Уголовную ответственность (ст. 137, 140, 272, 273, 274 УК РФ).

8.2. Субъекты персональных данных имеют право на возмещение убытков и компенсацию морального вреда, причиненных нарушением их прав в области персональных данных, в судебном порядке.

9. Контактная информация

По вопросам, связанным с обработкой персональных данных, обращаться:

Оператор персональных данных: ИП Панков Андрей Алексеевич
ОГРНИП: 321237500423527
ИНН: 230903478917
Почтовый адрес: 350901, Российская Федерация, г. Краснодар, а/я 1025
По вопросам персональных данных: privacy@psyspace.io
Общие вопросы: support@psyspace.io

10. Заключительные положения

10.1. Настоящая Политика является общедоступным документом Оператора, обязательным для исполнения всеми лицами, имеющими доступ к персональным данным.

10.2. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.

10.3. Настоящая Политика может быть изменена или дополнена. Новая редакция вступает в силу с момента размещения на Платформе.

10.4. Настоящая Политика размещается в свободном доступе по адресу: psyspace.io/personal-data.

10.5. Срок действия настоящей Политики не ограничен. Политика действует до замены ее новой редакцией.