Политика конфиденциальности

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей сервиса Nutrika (далее — «Сервис»), расположенного по адресу nutrika.expert.

1.2. Оператором персональных данных является:

• ИП Грачев Максим Павлович
• ИНН: 440124578778
• Электронная почта: support@nutrika.expert

1.3. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также иными нормативными правовыми актами Российской Федерации.

1.4. Регистрируясь в Сервисе и/или используя его функциональность, Пользователь выражает согласие с настоящей Политикой. При несогласии с условиями Политики Пользователь должен прекратить использование Сервиса.

1.5. Настоящая Политика применяется только к Сервису Nutrika. Оператор не контролирует и не несёт ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам из Сервиса.

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без таковых, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

2.3. Оператор — ИП Грачев Максим Павлович, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных.

2.4. Пользователь — физическое лицо, зарегистрировавшееся в Сервисе и/или использующее его функциональность.

2.5. Специальные категории персональных данных — данные, касающиеся состояния здоровья, которые обрабатываются Сервисом в рамках оказания услуг нутрициологического сопровождения.

Оператор обрабатывает персональные данные в следующих целях:

• Регистрация и идентификация: создание учётной записи, аутентификация, управление сессиями.
• Оказание услуг: обеспечение функциональности Сервиса, включая ведение карточек клиентов, составление протоколов питания, проведение консультаций.
• Обработка данных о здоровье: хранение и систематизация результатов анализов, рационов, показателей здоровья клиентов нутрициологов — исключительно по поручению Пользователя (нутрициолога).
• Расчёты и платежи: обработка подписок, выставление счетов, приём оплаты через платёжный сервис ЮKassa.
• Улучшение Сервиса: анализ использования, выявление ошибок, оптимизация интерфейса и функциональности.
• Коммуникация: отправка уведомлений о работе Сервиса, изменениях в тарифах, технических работах, а также ответы на обращения Пользователей.
• Обеспечение безопасности: предотвращение мошенничества, несанкционированного доступа, аудит действий.
• Исполнение требований законодательства: выполнение обязанностей, предусмотренных законодательством РФ.

• Согласие субъекта (п. 1 ч. 1 ст. 6 152-ФЗ) — предоставляется при регистрации путём проставления отметки о согласии.
• Исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ) — обработка необходима для исполнения Пользовательского соглашения (оферты).
• Законные интересы Оператора (п. 7 ч. 1 ст. 6 152-ФЗ) — обеспечение безопасности Сервиса, предотвращение мошенничества, аналитика использования.
• Обработка по поручению (ч. 3 ст. 6 152-ФЗ) — данные клиентов нутрициолога обрабатываются по поручению Пользователя.
• Обработка специальных категорий (п. 4 ч. 2 ст. 10 152-ФЗ) — данные о здоровье обрабатываются в медицинских и профилактических целях, при наличии письменного согласия.

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации в информационных системах.

6.2. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий:

• Шифрование данных при передаче: TLS 1.3
• Шифрование данных при хранении: AES-256
• Шифрование чувствительных полей в базе данных: pgcrypto
• Двухфакторная аутентификация (для B2B-тарифов)
• Хранение сессий в защищённой базе данных PostgreSQL
• Rate limiting: не более 5 попыток входа за 15 минут
• Append-only журнал аудита с хранением 3 года
• Заголовки безопасности: CSP, HSTS, X-Frame-Options
• Ежедневное резервное копирование с тестированием восстановления

6.3. Серверы расположены на территории Российской Федерации (Timeweb Cloud, Москва), что обеспечивает соответствие требованиям ч. 5 ст. 18 152-ФЗ о локализации баз данных.

6.4. Доступ к персональным данным имеют только уполномоченные лица Оператора, принявшие обязательства о неразглашении.

7.1. Оператор может передавать персональные данные третьим лицам исключительно в следующих случаях:

• Платёжная система ЮKassa (ООО «ЮКасса», Россия) — для обработки платежей. Передаются минимально необходимые данные в соответствии с договором.
• Timeweb Cloud (ООО «Таймвэб», Россия) — хостинг и хранение данных. Дата-центр в Москве, сертификация по 152-ФЗ.
• Anthropic (США) — для работы AI-ассистента. Передаются только обезличенные данные (без ПДн клиентов).
• По требованию закона — на основании запросов уполномоченных государственных органов РФ.

7.2. Оператор не осуществляет трансграничную передачу персональных данных, относящихся к специальным категориям (данные о здоровье), за пределы Российской Федерации.

7.3. Оператор не продаёт, не сдаёт в аренду и не передаёт персональные данные третьим лицам для маркетинговых целей.

8.1. Персональные данные обрабатываются до достижения цели обработки или до момента отзыва согласия Пользователем.

8.2. Сроки хранения:

• Данные учётной записи — на протяжении действия аккаунта + 30 дней после удаления
• Данные клиентов нутрициолога — на протяжении действия аккаунта нутрициолога
• Журналы аудита — 3 года
• Платёжные документы — 5 лет (требования НК РФ)
• Журналы безопасности (IP, User-Agent) — 6 месяцев

8.3. По истечении сроков хранения или при достижении цели обработки персональные данные уничтожаются в течение 30 дней.

Пользователь имеет право:

• Получить информацию об обработке своих персональных данных (ст. 14 152-ФЗ).
• Требовать уточнения, блокирования или уничтожения своих персональных данных (ст. 14 152-ФЗ).
• Отозвать согласие на обработку персональных данных, направив заявление на support@nutrika.expert.
• Обратиться в Роскомнадзор с жалобой на действия Оператора (ст. 23 152-ФЗ).
• Требовать удаления учётной записи и всех связанных данных в разделе «Настройки» или по запросу на support@nutrika.expert.

Оператор обязан рассмотреть обращение в течение 10 рабочих дней с момента получения (если иной срок не установлен законом) и уведомить Пользователя о результатах.

10.1. Сервис использует файлы cookie для обеспечения работоспособности и улучшения качества обслуживания. Подробная информация содержится в Политике использования cookie.

11.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения по адресу nutrika.expert/privacy, если иное не предусмотрено новой редакцией.

11.2. При внесении существенных изменений Оператор уведомляет Пользователей по электронной почте и/или посредством уведомления в Сервисе не менее чем за 10 дней до вступления изменений в силу.

11.3. Продолжение использования Сервиса после вступления изменений в силу означает согласие Пользователя с новой редакцией Политики.