Политика в отношении обработки персональных данных

Настоящая Политика определяет порядок и условия обработки персональных данных оператором персональных данных (далее — Оператор) при использовании сервиса по адресам домена obratno.ru и поддоменов (далее — Сервис).

Оператор руководствуется Конституцией РФ, Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных» и иными нормативными актами.

Совместно с настоящей Политикой применимы условия оферты и правил сервиса.

Можем получать и обрабатывать, в том числе:

• Данные учётной записи: адрес электронной почты, имя (если указали при регистрации или в настройках), хеш пароля (сырой пароль не храним).
• Идентификаторы технические: обезличенные или псевдонимные сведения о сессии (например, идентификатор браузера, cookie-сессии, служебные логины в cookie для «запомнить вход», если включаете такую возможность позднее — уточнить у юриста).
• Ссылки и действия по кешбэку: URL страницы проверки, сформированные переходные ссылки, технические параметры переходов (идентификатор клика, subid, время, суммирование редиректов).
• Сетевые метаданные в обезличенном виде для целей безопасности:возможна обработка агрегированных признаков (например, хеш IP и User‑Agent без хранения открытого IP без необходимости — фактический состав зависит от реализации; приведите здесь фактический логируемый минимум).
• Данные для выплат: реквизиты и комментарий в заявке (телефон СБП, карта и т.д.), которые вы добровольно указываете.
• Данные из партнёрских сетей: идентификатор заказов, суммы комиссии, статус операции в объёме, необходимом для расчётов и поддержки пользователя.

• идентификация пользователя в Сервисе и обеспечение доступа к кабинету;
• выдача партнёрских ссылок и учёт кликов и начислений;
• коммуникация по вопросам учёта, выплат, безопасности;
• отправка технических сообщений (восстановление пароля при подключении почтового провайдера);
• предотвращение злоупотреблений, расследование инцидентов безопасности;
• выполнение требований законодательства (предоставление информации государственным органам при наличии оснований).

Основания: согласие субъекта (регистрация, отправка форм с ПД); исполнение договора оферты; законный интерес Оператора (безопасность, качество сервиса — уточнить баланс с правами пользователя совместно с юристом).

Сервис может использовать файлы cookie и аналоги для сохранения сессии авторизации (например, безопасный httpOnly JWT), предпочтений интерфейса и технической диагностики. Отключение cookie в браузере может сделать невозможным вход или проверку ссылок без повторной авторизации.

Передаём данные ограниченно и только там, где это необходимо для работы Сервиса:

• партнёрским программам и платформам — для формирования переходов и учёта конверсий;
• хостингу приложения и баз данных (если они находятся у облачных провайдеров на территории РФ или иной выбранной вами конфигурации — уточнить в приложении №1 или договоре с оператором);
• почтовому провайдеру (например, Resend) — для отправки писем сброса пароля и служебных уведомлений;
• платёжным и банковским посредникам — при эксплуатации платёжного контура выплат по мере его внедрения и по вашей фактической схеме.

Мы не занимаемся продажей персональных данных рекламодателям только как товарному активу без целей абзаца выше; применение платформы аналитики (Яндекс.Метрика, Google Analytics и т.д.) возможно только после включения этих инструментов и обновления настоящей Политики с указанием провайдеров и целей — сегодня они не упомянуты как активно включённые без вашего решения.

Если ваши операторы БД или почты размещают данные вне ЕАЭС, потребуются меры соответствия 152‑ФЗ (локализация, согласия, решения Комиссии — по факту конфигурации). Уточните текст у юриста.

• учётная запись — до её удаления субъектом или Оператором после прекращения договорных отношений;
• логи и данные синхронизации с партнёрами — в сроках, нужных для бухгалтерского и налогового учёта и разрешения споров с партнёрами и пользователями (например, не менее 3–5 лет по согласованию с главбухом);
• маркеры сброса пароля и одноразовые токены — до истечения срока действия или до использования, после чего уничтожаются или обезличиваются.

Оператор применяет организационные и технические меры: разграничение доступов, транспорт и хранение по HTTPS там, где применимо, хеширование паролей, ограничение лимитов на чувствительные API и иные средства разумной отраслевой практики. Абсолютная безопасность в интернете не гарантируется.

Субъект вправе:

• получать сведения об обработке и знакомиться со своими ПД или получать копию (в пределах разумности и закона);
• уточнять неточные данные через интерфейс или по запросу;
• ограничивать обработку или требовать прекращения в случаях, предусмотренных законом;
• отзывать согласие, если обработка на нём базируется;
• обжаловать действия Оператору надзорному органу (Роскомнадзор).

Обращение по правам отправляют на каналы, указанные на странице Контакты, с возможностью подтверждения принадлежности аккаунта. Срок ответа — как правило до 30 дней, может быть продлён законными основаниями.

Право отзыва согласия и удаления учётной записи реализуется по процедуре, которую Оператор сообщит по запросу (на текущей версии Сервиса самообслуживаемое удаление может отсутствовать — уточните дорожную карту продукта). Перенос набора машиночитаемых данных о начислениях может быть предоставлен в разумном объёме при технической возможности экспорта.

Оператор вправе вносить изменения. Новая редакция публикуется на Сайте с указанием даты версии. Существенные изменения в цели или состав обработки — с дополнительным уведомлением там, где это требует закон.

По вопросам обработки ПД см. блок реквизитов Оператора в оферте раздел про реквизиты и контактную страницу.