Политика конфиденциальности
Версия от
0. Оператор персональных данных
Оператор персональных данных в соответствии со ст. 3 152-ФЗ «О персональных данных»:
- Наименование: (указывается после регистрации ИП/ООО)
- ОГРНИП/ОГРН: (указывается после регистрации)
- ИНН: (указывается после регистрации)
- Юридический адрес: (указывается после регистрации)
- Ответственное за обработку ПДн лицо: hello@dokli.ru
- Регистрация в реестре операторов ПДн Роскомнадзора: (уведомление подаётся перед запуском в prod)
Запросы по обработке персональных данных (доступ, исправление, удаление, отзыв согласия) направляйте на hello@dokli.ru — ответ в срок не более 10 рабочих дней (ст. 14 152-ФЗ).
1. Собираемые данные
Dokli собирает и обрабатывает следующие данные пользователя:
- Email — для аутентификации и уведомлений
- Реквизиты ваших компаний (ИНН, ОГРН, БИК, банковский счёт и др.) — только вы видите
- Тексты описаний, которые вы вводите для генерации документов
- Сгенерированные документы
- Технические данные (IP, user-agent) — для безопасности и аналитики
2. Цели обработки
- Предоставление сервиса (генерация документов)
- Безопасность и предотвращение злоупотреблений
- Улучшение качества (агрегированная аналитика без привязки к личности)
- Соблюдение законодательства РФ
- Ответы на обращения и заявки субъектов ПДн
2.1. Перечень действий с ПДн
По смыслу п. 3 ст. 3 152-ФЗ обработка включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Передача третьим лицам — только в случаях, описанных в разделе 4.
3. Хранение и безопасность
Данные хранятся в Supabase (PostgreSQL, шифрование at-rest AES-256). Передача — только по HTTPS. Файлы PDF — в Supabase Storage с приватным доступом (signed URLs).
3.1. Сроки хранения по категориям ПДн
| Категория данных | Срок хранения | Основание |
|---|---|---|
| Email, имя пользователя, согласие на обработку | До отзыва согласия | ч. 4 ст. 9 152-ФЗ |
| Платёжные документы и реквизиты сделок | 4 года | пп. 8 п. 1 ст. 23 НК РФ |
| Тексты документов (договоры, акты) | До удаления аккаунта | Пользовательский контент |
| Логи безопасности и аудита | 6 месяцев | Приказ ФСТЭК № 21 (УЗ-3) |
| Технические данные (IP, User-Agent, сессии) | 30 дней | Безопасность |
| Отозванные согласия (журнал) | 3 года после отзыва | Рекомендация Роскомнадзора |
4. Передача третьим лицам и трансграничная передача
Субпроцессоры:
- Anthropic, PBC (США) — приём текстов описаний и выдача сгенерированных документов через Claude API. Согласно политике Anthropic (anthropic.com/legal/privacy), клиентские данные не используются для обучения моделей.
- Supabase, Inc. (США/ЕС) — хостинг базы данных и файлового хранилища. Данные зашифрованы at-rest (AES-256).
- Vercel, Inc. (США) — хостинг приложения и CDN.
- Sentry (США), PostHog (США/ЕС) — мониторинг ошибок и продуктовая аналитика без содержимого документов.
Трансграничная передача (ст. 12 152-ФЗ): США не входят в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (утверждён приказом Роскомнадзора № 274 от 27.12.2022). Передача в Anthropic, Supabase, Vercel, Sentry, PostHog осуществляется с письменного согласия субъекта — вы даёте его при регистрации, нажимая «Согласен с условиями обработки данных».
Полный список субпроцессоров обновляется по запросу: hello@dokli.ru.
5. Ваши права (152-ФЗ)
- Получить копию своих данных
- Исправить неточности
- Удалить аккаунт и все связанные данные — кнопка в Настройках
- Отозвать согласие на обработку
6. Cookies и аналитика
Dokli использует cookies трёх категорий — описание ниже. Управление: «Изменить настройки cookies» в подвале сайта (полный re-consent flow GDPR + ФЗ-152).
| Имя / провайдер | Назначение | Срок | Категория |
|---|---|---|---|
sb-* · Supabase | Авторизация (httpOnly session) | 7 дней / refresh | Strictly necessary |
dokli_consent_v1 | Хранение granular consent (analytics / marketing) | 12 месяцев | Strictly necessary |
ref_code | Реферальный токен (атрибуция при регистрации) — httpOnly, без аналитики | 30 дней | Strictly necessary |
ph_* · PostHog | Продуктовая аналитика (события, воронка, session-replay для UX) | 12 месяцев | Analytics (требует consent) |
_ym_* · Яндекс.Метрика | Web-аналитика, тепловые карты, IP анонимизирован per ya policy | 12 месяцев | Analytics (требует consent) |
_ga* · Google Analytics | Web-аналитика (rendering только при наличии GA_ID env) | 2 года | Analytics (требует consent) |
_dokli_utm_* | UTM-метки источника трафика (атрибуция) | 90 дней | Marketing (требует consent) |
Sentry для обработки ошибок (без cookie — server-side error events). Содержимое ваших документов в аналитику не передаётся.
7. Согласие на обработку и отзыв
Регистрируясь в Dokli, вы даёте согласие на обработку персональных данных в целях, указанных в разделе 2, а также на трансграничную передачу в адрес субпроцессоров (раздел 4). Согласие действует до его отзыва.
Отзыв согласия — письменным запросом на hello@dokli.ru или через функцию «Удалить аккаунт» в Настройках. После отзыва/удаления данные уничтожаются в срок не более 30 дней (ст. 21 152-ФЗ), за исключением сведений, подлежащих обязательному хранению (например, платёжные документы — согласно налоговому и бухгалтерскому законодательству).
7.1. Пользователи из Калифорнии (США)
Резидентам Калифорнии предоставляются дополнительные права под California Consumer Privacy Act (CCPA, с поправками CPRA): Right to Know / Delete / Correct / Portability / Non-discrimination. Мы не продаём и не «делимся» persona information для cross-context behavioral advertising. Полный CCPA disclosure и порядок подачи DSAR — California Privacy Notice.
8. Пользователи из СНГ (KZ/BY/UZ/UA)
Для пользователей из Казахстана, Беларуси, Узбекистана и Украины обработка данных регулируется местным законодательством:
- Казахстан: Закон РК № 94-V «О персональных данных и их защите» от 21.05.2013 (с изменениями 2023 г. — требование локализации первичной записи ПДн на территории РК).
- Беларусь: Закон Республики Беларусь № 99-З «О защите персональных данных» от 07.05.2021.
- Узбекистан: Закон РУ № ЗРУ-547 «О персональных данных» от 02.07.2019 (с обновлениями).
- Украина: Закон «Про захист персональних даних» № 2297-VI от 01.06.2010 (с обновлениями 2024 г.).
База данных размещена на серверах Supabase (США/ЕС). Используя Dokli, вы подтверждаете, что согласны на трансграничную передачу данных за пределы страны вашего резидентства в соответствии с применимым законом.
Важно: Если в вашей юрисдикции действует требование локализации первичной записи ПДн на территории страны (например, Казахстан с 2024 года), и вы являетесь публичным оператором ПДн — обратитесь к нам перед использованием сервиса для обсуждения вариантов compliance.
9. Связь
Запросы и обращения: hello@dokli.ru. Ответ в течение 10 рабочих дней.
В случае нарушения ваших прав вы вправе обратиться в уполномоченный орган: Роскомнадзор (rkn.gov.ru), в суд или иной компетентный орган страны вашего резидентства.