Политика в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые Оператором.
1.2. Политика действует в отношении всех персональных данных, которые Оператор может получить от субъектов через интернет-сайт krab.market, Telegram-бот @krab_filament_bot, бот в мессенджере MAX, а также по иным каналам связи.
1.3. Действующая редакция Политики постоянно доступна по адресу https://krab.market/legal/privacy-policy.
2. Сведения об операторе
| Параметр | Значение |
|---|---|
| Полное наименование | Общество с ограниченной ответственностью «3Д СИСТЕМА» |
| Сокращённое наименование | ООО «3Д СИСТЕМА» |
| ИНН | 7203582780 |
| ОГРН | 1247200018559 |
| Почтовый адрес | 625017, Тюменская область, г. Тюмень, ул. Аккумуляторная, дом 1, стр. 1, помещение 2 |
| Электронная почта для обращений субъектов персональных данных | privacy@krab.market |
| Сайт | https://krab.market |
| Лицо, ответственное за организацию обработки персональных данных | Мирошников М. Ю., Генеральный директор |
3. Используемые понятия
Понятия «персональные данные», «обработка», «оператор», «субъект персональных данных», «трансграничная передача», «уничтожение», «обезличивание» применяются в значениях, установленных статьёй 3 152-ФЗ.
4. Категории субъектов персональных данных
Оператор обрабатывает персональные данные следующих категорий субъектов:
- Покупатели и потенциальные покупатели — физические лица, оформляющие или просматривающие заказы на сайте
krab.marketили в ботах Оператора. - Пользователи Telegram-бота
@krab_filament_bot. - Пользователи бота Оператора в мессенджере MAX.
- Лица, направляющие Оператору обращения по электронной почте или через формы обратной связи.
5. Перечень обрабатываемых персональных данных
Состав обрабатываемых персональных данных различается в зависимости от канала взаимодействия.
5.1. Веб-сайт krab.market
- Имя (или ФИО);
- Номер мобильного телефона (используется как идентификатор учётной записи);
- Адрес электронной почты (опционально, для входа по magic-link);
- Адрес доставки (адрес ПВЗ выбранной службы доставки);
- История заказов: состав, количество, суммы, способ оплаты, статусы;
- Загруженные пользователем изображения чеков об оплате;
- IP-адрес и User-Agent (фиксируются в журналах для целей безопасности и расследования инцидентов);
- Файлы cookie (см. отдельную Политику использования cookie).
5.2. Telegram-бот @krab_filament_bot
- Идентификатор пользователя в Telegram (
telegram_id); - Имя пользователя и
username(если предоставлены мессенджером); - Номер телефона (передаётся пользователем явно через системную кнопку «Поделиться контактом»);
- Адрес ПВЗ;
- История заказов и связанные с ней данные;
- Изображения чеков об оплате.
5.3. Бот в мессенджере MAX (https://max.ru/id7203582780_bot)
- Идентификатор пользователя в MAX (
max_id); - Имя пользователя;
- Номер телефона (передаётся явно через механизм MAX
request_contact); - Адрес ПВЗ;
- История заказов и связанные с ней данные;
- Изображения чеков об оплате.
5.4. Оператор не обрабатывает специальные категории персональных данных (раса, национальность, политические взгляды, состояние здоровья и т.п.) и биометрические персональные данные.
5.5. Оператор не обрабатывает персональные данные несовершеннолетних младше возраста, с которого допускается самостоятельное заключение договора розничной купли-продажи.
6. Цели обработки персональных данных
| № | Цель | Состав персональных данных |
|---|---|---|
| 1 | Регистрация и аутентификация пользователя | Телефон, email, идентификаторы в мессенджерах |
| 2 | Заключение и исполнение договора розничной купли-продажи | ФИО, телефон, адрес ПВЗ, состав заказа, чеки |
| 3 | Передача отправлений в службы доставки и информирование о статусе доставки | ФИО, телефон, адрес ПВЗ |
| 4 | Информирование о статусах заказов через выбранный канал связи | Email, telegram_id, max_id |
| 5 | Подтверждение факта оплаты | Изображение чека, сумма, дата |
| 6 | Обеспечение информационной безопасности, расследование инцидентов | IP, User-Agent, журналы действий |
| 7 | Исполнение обязанностей, предусмотренных законодательством РФ (бухгалтерский, налоговый учёт, ответы на запросы уполномоченных органов) | Сведения о заказах и оплатах |
| 8 | Рассмотрение обращений субъектов персональных данных | ФИО, контактные данные, текст обращения |
7. Правовые основания обработки
Оператор обрабатывает персональные данные на следующих правовых основаниях (статья 6 152-ФЗ):
- Пункт 5 части 1 статьи 6 — обработка необходима для исполнения договора, стороной которого является субъект персональных данных (оформление и доставка заказа).
- Пункт 2 части 1 статьи 6 — обработка предусмотрена федеральными законами (бухгалтерский, налоговый учёт, Закон РФ «О защите прав потребителей»).
- Пункт 1 части 1 статьи 6 — согласие субъекта персональных данных (для целей, выходящих за рамки исполнения договора, в том числе для передачи данных в мессенджеры Telegram и MAX, инфраструктура которых частично расположена за пределами РФ).
- Пункт 7 части 1 статьи 6 — обработка необходима для осуществления законных интересов Оператора (защита от мошенничества, обеспечение работоспособности сервиса), при условии, что не нарушаются права и свободы субъекта.
Согласие на обработку персональных данных оформляется в виде отдельного документа в соответствии с требованиями статьи 9 152-ФЗ в редакции Федерального закона от 24.07.2023, с учётом изменений, вступивших в силу с 01.09.2025.
8. Способы и объём обработки
8.1. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования.
8.2. Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
9. Сроки обработки и хранения
| Категория данных | Срок хранения | Основание |
|---|---|---|
| Учётная запись пользователя (телефон, email, идентификаторы мессенджеров) | До отзыва согласия / удаления учётной записи | Договор |
| Данные заказа, чеки | 5 лет с момента совершения операции | ст. 29 ФЗ «О бухгалтерском учёте», ст. 23 НК РФ |
| Журналы доступа (IP, User-Agent) | Не более 12 месяцев | Законный интерес безопасности |
| Обращения субъектов персональных данных | 5 лет с даты регистрации | Учёт исполнения требований 152-ФЗ |
| Cookie | См. Политику cookie | — |
По истечении срока обработки персональные данные уничтожаются или обезличиваются. Уничтожение подтверждается актом в порядке, установленном Приказом Роскомнадзора от 28.10.2022 № 179.
10. Передача персональных данных третьим лицам
10.1. Оператор передаёт персональные данные третьим лицам исключительно в объёме и для целей, указанных ниже:
| Получатель | Передаваемые данные | Цель | Основание |
|---|---|---|---|
| АО «СДЭК» (служба курьерской доставки) | ФИО, телефон, адрес ПВЗ, габариты отправления | Доставка заказа | Поручение по ст. 6 ч. 3 152-ФЗ |
| ООО «Яндекс.Такси» / сервис «Яндекс Доставка» | ФИО, телефон, адрес ПВЗ | Доставка заказа | Поручение по ст. 6 ч. 3 152-ФЗ |
| Telegram (Telegram FZ-LLC, ОАЭ) | Все персональные данные, передаваемые в рамках сообщений бота @krab_filament_bot | Транспорт сообщений | Согласие субъекта |
| MAX (ООО «ВК», РФ) | Все персональные данные, передаваемые в рамках сообщений бота | Транспорт сообщений | Поручение / согласие |
| Собственный почтовый сервер Mailu | Email-адрес, текст уведомлений | Доставка email-уведомлений и magic-link | Договор |
10.2. С каждым лицом, осуществляющим обработку персональных данных по поручению Оператора, заключается договор, содержащий перечень действий с персональными данными, цели обработки, обязанность соблюдать конфиденциальность и обеспечивать безопасность персональных данных в соответствии со статьёй 19 152-ФЗ.
10.3. Оператор не продаёт персональные данные и не передаёт их в рекламных целях третьим лицам без отдельного согласия субъекта.
11. Трансграничная передача
11.1. Оператор уведомляет субъектов о том, что мессенджер Telegram эксплуатируется компанией, инфраструктура которой расположена за пределами Российской Федерации. При направлении сообщений через Telegram-бот персональных данных фактически передаются на серверы оператора мессенджера, в том числе в иностранные государства.
11.2. До начала такой передачи Оператор:
- информирует субъекта о трансграничной передаче и связанных с ней рисках;
- получает отдельное согласие субъекта на трансграничную передачу в порядке статьи 12 152-ФЗ;
- направляет уведомление о намерении осуществлять трансграничную передачу в Роскомнадзор в соответствии с частью 3 статьи 12 152-ФЗ.
11.3. Использование Telegram-бота возможно только при предоставлении субъектом отдельного согласия на трансграничную передачу. Альтернативные каналы взаимодействия (сайт, бот MAX) доступны без такого согласия.
11.4. Передача персональных данных в государства, не обеспечивающие адекватной защиты персональных данных, осуществляется только с письменного согласия субъекта (п. 1 ч. 4 ст. 12 152-ФЗ).
12. Локализация баз данных
В соответствии с частью 5 статьи 18 152-ФЗ запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, расположенных на территории Российской Федерации.
13. Меры по обеспечению безопасности персональных данных
13.1. Правовые меры: утверждение настоящей Политики и внутренних локальных нормативных актов; назначение ответственного за организацию обработки персональных данных; ознакомление работников с требованиями 152-ФЗ.
13.2. Организационные меры: определение перечня лиц, имеющих доступ к персональным данным; разграничение прав доступа; регулярный аудит обработки.
13.3. Технические меры (в соответствии со ст. 19 152-ФЗ и Постановлением Правительства РФ от 01.11.2012 № 1119):
- хранение персональных данных в защищённой инфраструктуре, расположенной на территории РФ;
- шифрование каналов связи (TLS) при передаче персональных данных;
- хранение паролей в виде криптографических хешей;
- аутентификация и авторизация пользователей и администраторов;
- ведение журналов доступа и действий;
- регулярное резервное копирование с ротацией;
- применение средств защиты от вредоносного кода и несанкционированного доступа;
- определение уровня защищённости персональных данных в соответствии с ПП РФ № 1119.
14. Права субъекта персональных данных
В соответствии со статьями 14, 20, 21 152-ФЗ субъект персональных данных имеет право:
- Получать сведения, касающиеся обработки его персональных данных (ст. 14).
- Требовать уточнения, блокирования или уничтожения персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
- Отозвать согласие на обработку персональных данных.
- Обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.
- На защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
15. Порядок реализации прав субъекта
15.1. Запрос в адрес Оператора направляется в письменной форме на email privacy@krab.market или по почтовому адресу Оператора.
15.2. Запрос должен содержать:
- сведения, позволяющие идентифицировать субъекта (ФИО, телефон или иной идентификатор учётной записи);
- сведения, подтверждающие факт обработки персональных данных Оператором (например, дата заказа);
- подпись субъекта или его представителя (для письменных запросов).
15.3. Ответ направляется в срок, не превышающий 10 рабочих дней с даты получения запроса (ч. 1 ст. 20 152-ФЗ). Срок может быть продлён, но не более чем на 5 рабочих дней, с уведомлением субъекта.
15.4. Отзыв согласия осуществляется путём направления уведомления на privacy@krab.market либо через удаление учётной записи в личном кабинете / боте. С момента получения отзыва Оператор прекращает обработку персональных данных и уничтожает их в срок, не превышающий 30 дней, за исключением случаев, когда обработка должна быть продолжена в силу закона.
16. Уведомление об инцидентах
В случае выявления неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор в порядке части 3.1 статьи 21 152-ФЗ:
- в течение 24 часов уведомляет Роскомнадзор о произошедшем инциденте, его предполагаемых причинах, предполагаемом вреде и принятых мерах;
- в течение 72 часов направляет результаты внутреннего расследования и сведения о лицах, действия которых стали причиной инцидента.
17. Изменения Политики
17.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения по адресу https://krab.market/legal/privacy-policy, если иное не предусмотрено новой редакцией.
17.2. Дата вступления настоящей редакции в силу: 2026-04-07.
18. Реквизиты
ООО «3Д СИСТЕМА» ИНН 7203582780, ОГРН 1247200018559 Почтовый адрес: 625017, Тюменская область, г. Тюмень, ул. Аккумуляторная, дом 1, стр. 1, помещение 2 Email: privacy@krab.market Сайт: https://krab.market
<!-- DRAFT: требуется ревью юриста перед публикацией -->