Политика обработки персональных данных «OverlayVault»

Редакция от 2026-04-10, версия 1.0

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных и меры по обеспечению их безопасности, осуществляемые Кожин Виктор Викторович, ИНН 780541202798, применяющим специальный налоговый режим «Налог на профессиональный доход» (далее — «Оператор»), в отношении посетителей и пользователей сайта https://overlayvault.ru (далее — «Сайт») и сервиса OverlayVault.

1.2. Оператор ставит соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, важнейшим условием осуществления своей деятельности.

1.3. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

2. Какие данные мы обрабатываем

2.1. Оператор обрабатывает следующие категории персональных данных:

• При регистрации учётной записи на Сайте: адрес электронной почты, хеш пароля (BCrypt), дата создания учётной записи, IP-адрес, user-agent браузера, идентификатор сессии (cookie), языковые настройки.
• При привязке Telegram-аккаунта: числовой идентификатор Telegram (Telegram User ID), публичное имя пользователя Telegram (username), дата привязки.
• При оформлении и оплате Заказа: тарифный план, сумма платежа, валюта, метод оплаты, идентификатор транзакции платёжной системы, дата и время оплаты, статус заказа.
• При активации лицензии: «отпечаток оборудования» (machine fingerprint, обезличенный 16-символьный хеш аппаратной конфигурации, не позволяющий идентифицировать физическое лицо без сопоставления с другими данными).
• При двухфакторной аутентификации: метод 2FA (TOTP или Telegram), зашифрованный TOTP-секрет (при использовании TOTP), хеши резервных кодов, хеши доверенных устройств, IP-адрес последнего входа.
• При обращении в поддержку: содержание сообщения, дата и время обращения.

2.2. Оператор не обрабатывает специальные категории персональных данных, биометрические персональные данные, не осуществляет трансграничную передачу персональных данных.

3. Цели обработки

3.1. Обработка персональных данных осуществляется в следующих целях:

• регистрация и аутентификация Пользователя на Сайте;
• предоставление приобретённой Лицензии и формирование Лицензионных ключей;
• исполнение Договора, заключённого на условиях Публичной оферты;
• формирование чеков НПД в соответствии с Федеральным законом 422-ФЗ;
• обеспечение безопасности учётной записи (двухфакторная аутентификация, защита от несанкционированного доступа);
• предоставление пользовательской поддержки;
• анализ нагрузки и устранение технических неисправностей;
• исполнение требований законодательства Российской Федерации.

4. Правовые основания обработки

4.1. Обработка персональных данных осуществляется на следующих правовых основаниях:

• согласие субъекта персональных данных, выраженное путём акцепта Публичной оферты при регистрации;
• исполнение Договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 152-ФЗ);
• исполнение требований законодательства Российской Федерации, в том числе налогового (п. 2 ч. 1 ст. 6 152-ФЗ).

5. Кому передаются данные

5.1. Оператор передаёт минимально необходимый набор персональных данных следующим третьим лицам:

• Robokassa (ООО «Робокасса», ИНН 5407284879) — оператор приёма платежей. Передаются: сумма платежа, идентификатор заказа, обезличенный идентификатор покупателя. Подробности — в политике конфиденциальности Robokassa: https://docs.robokassa.com/legal/.
• Telegram FZ-LLC — при использовании оплаты через Telegram Stars и при привязке Telegram-аккаунта. Передаются: данные о выставленном инвойсе, статус оплаты.
• Хостинг-провайдер (VPS-провайдер, на серверах которого размещён Сайт) — обрабатывает все технические данные, проходящие через инфраструктуру Сайта.
• Yandex Cloud Postbox (ООО «Яндекс.Облако», ИНН 7704414297) — оператор SMTP-рассылки транзакционных писем (восстановление пароля). Передаются: адрес электронной почты получателя, тема и содержание письма. Подробности — в политике Yandex Cloud: https://yandex.cloud/ru/legal/confidential.

5.2. Оператор не продаёт, не сдаёт в аренду и не обменивается персональными данными Пользователей с третьими лицами в рекламных или маркетинговых целях.

6. Срок и порядок хранения

6.1. Персональные данные хранятся на серверах, расположенных на территории Российской Федерации (требование ч. 5 ст. 18 152-ФЗ при обработке данных граждан РФ).

6.2. Срок хранения персональных данных:

• данные учётной записи — до удаления учётной записи Пользователем или её удаления Оператором за неактивность (срок неактивности — 3 года);
• данные о платежах и Лицензиях — в течение 5 (пяти) лет с момента совершения платежа (требование налогового законодательства);
• логи доступа — 90 (девяносто) дней.

7. Меры защиты

7.1. Оператор применяет следующие меры защиты персональных данных:

• хранение паролей в виде хеша по алгоритму BCrypt с уникальной солью;
• шифрование TOTP-секретов с помощью DataProtection API;
• передача данных по защищённому каналу TLS 1.2/1.3;
• ограничение доступа к серверам по SSH-ключам;
• регулярное резервное копирование базы данных;
• двухфакторная аутентификация для административных учётных записей.

8. Права субъекта персональных данных

8.1. Пользователь имеет право:

• получать информацию об обработке его персональных данных;
• требовать уточнения, блокирования или уничтожения своих персональных данных, если они являются неполными, неточными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать согласие на обработку персональных данных в любое время путём направления уведомления Оператору;
• обжаловать действия или бездействие Оператора в Роскомнадзоре или в суде.

8.2. Запросы по реализации прав направляются на адрес электронной почты support.overlayvault@gmail.com. Срок ответа — 30 (тридцать) календарных дней с момента получения запроса.

9. Использование cookie

9.1. Сайт использует cookie-файлы для:

• сохранения сессии аутентифицированного Пользователя (HttpOnly, Secure, SameSite=Lax);
• запоминания выбранного языка интерфейса;
• идентификации доверенных устройств в рамках двухфакторной аутентификации (срок действия — 30 дней).

9.2. Сайт не использует cookie третьих лиц для целей рекламного таргетинга или аналитики.

10. Изменения политики

10.1. Оператор вправе вносить изменения в настоящую Политику. Действующая редакция всегда доступна по адресу https://overlayvault.ru/privacy. Существенные изменения публикуются с уведомлением Пользователей по электронной почте или через бот OverlayVault.

11. Контактная информация

Оператор: Кожин Виктор Викторович
Статус: Самозанятый, ИНН 780541202798
Адрес электронной почты для запросов по персональным данным: support.overlayvault@gmail.com
Сайт: https://overlayvault.ru