Политика в отношении обработки персональных данных

Настоящая Политика в отношении обработки персональных данных (далее — «Политика») является действующей публичной редакцией документа и применяется к сервису оборот.io (далее — «Сервис»), размещённому в сети «Интернет» по адресу https://oborot.io, включая поддомены portal.oborot.io (Личный кабинет) и api.oborot.io (API и документация). Дата последней редакции — 29 мая 2026 года. Действующая редакция Политики постоянно доступна по адресу https://oborot.io/privacy.

1. Общие положения и термины

1.1. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые Оператором.

1.2. Политика определяет позицию и намерения Оператора в области обработки и защиты персональных данных, направленные на соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Политика действует в отношении всей информации, которую Оператор может получить о субъектах персональных данных в процессе использования ими Сервиса, Личного кабинета и API.

1.4. Настоящая Политика является общедоступным документом в соответствии с частью 2 статьи 18.1 152-ФЗ и подлежит опубликованию (обеспечению неограниченного доступа к ней) на сайте Сервиса.

1.5. В настоящей Политике используются следующие основные термины:

«ПДн» (персональные данные) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
«Оператор» (он же «Исполнитель») — Индивидуальный предприниматель Дулин Даниил Игоревич, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку ПДн, а также определяющий цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
«Сервис» — программный сервис оборот.io, предоставляющий единый программный интерфейс (API) для интеграции продавцов с маркетплейсами (Wildberries, Ozon, Яндекс Маркет, Мегамаркет, Lamoda): управление карточками товаров, остатками, ценами и заказами, а также доставка событий через webhooks.
«Пользователь» (он же «Заказчик») — физическое лицо (в том числе действующее от имени организации или индивидуального предпринимателя), использующее Сервис.
«Личный кабинет» — закрытый раздел Сервиса по адресу portal.oborot.io, доступ к которому осуществляется после авторизации.
«Подписка» / «Тариф» / «Расчётный период» — условия оказания услуг Сервиса, при этом Расчётный период равен одному календарному месяцу.
«Обработка ПДн» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
«Распространение ПДн» — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
«Уничтожение ПДн» — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.6. Иные термины, не определённые в настоящей Политике, используются в значениях, установленных 152-ФЗ.

2. Оператор и его контакты

2.1. Оператором персональных данных является:

Индивидуальный предприниматель: Дулин Даниил Игоревич;
ИНН: 343523406156;
ОГРНИП: 319344300029560;
Адрес регистрации: 404101, Волгоградская обл., г. Волжский, ул. Пушкина, д. 208, кв. 47.

2.2. Контакты для обращений по вопросам обработки персональных данных:

Адрес электронной почты по вопросам обработки ПДн: privacy@oborot.io (по умолчанию privacy@oborot.io);
Адрес электронной почты службы поддержки: support@oborot.io (по умолчанию support@oborot.io);
Адрес электронной почты по вопросам информационной безопасности: security@oborot.io.

2.3. Все обращения, запросы и уведомления, связанные с обработкой персональных данных, направляются Оператору по адресу privacy@oborot.io или по адресу регистрации 404101, Волгоградская обл., г. Волжский, ул. Пушкина, д. 208, кв. 47.

2.4. Лицом, ответственным за организацию обработки персональных данных у Оператора в соответствии со статьёй 18.1 152-ФЗ, является Дулин Даниил Игоревич (в качестве индивидуального предпринимателя). Обращения по вопросам организации обработки ПДн направляются по адресу privacy@oborot.io.

3. Правовые основания обработки

3.1. Оператор обрабатывает персональные данные при наличии хотя бы одного из правовых оснований, предусмотренных статьёй 6 152-ФЗ, в том числе:

согласие субъекта ПДн на обработку его персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ), предоставляемое при регистрации в Сервисе;
исполнение договора (настоящей оферты), стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн (п. 5 ч. 1 ст. 6 152-ФЗ);
требования законодательства Российской Федерации, в том числе обязанности, возложенные на Оператора 152-ФЗ, Федеральным законом от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники…» (далее — «54-ФЗ»), Налоговым кодексом Российской Федерации (далее — «НК РФ») и иными нормативными правовыми актами (п. 2 ч. 1 ст. 6 152-ФЗ);
достижение целей, предусмотренных законом, осуществление и выполнение возложенных законодательством на Оператора функций, полномочий и обязанностей.

3.2. Правовыми основаниями обработки также являются учредительные и регистрационные документы Оператора, настоящая Политика и согласия субъектов ПДн.

3.3. Обработка API-ключей (учётных данных) Пользователя от его кабинетов на маркетплейсах осуществляется на основании договора (оферты) и согласия Пользователя исключительно в целях оказания услуг Сервиса (взаимодействие с маркетплейсами от имени и по поручению Пользователя). Указанные учётные данные обрабатываются как конфиденциальная информация Пользователя и не используются для целей, не связанных с оказанием услуг Сервиса.

4. Категории субъектов и перечень обрабатываемых персональных данных

4.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

Пользователи Сервиса — физические лица, зарегистрировавшие учётную запись и использующие Сервис, в том числе действующие от имени организации или индивидуального предпринимателя.

4.2. Перечень обрабатываемых персональных данных (по факту состава, собираемого Сервисом):

адрес электронной почты;
наименование организации или индивидуального предпринимателя Пользователя;
API-ключи (учётные данные) Пользователя от его кабинетов на маркетплейсах — хранятся в зашифрованном виде с использованием алгоритма AES-256-GCM;
данные об использовании API (счётчики потребления);
счета и история платежей;
история доставки webhook-событий;
IP-адрес (обрабатывается в целях защиты от злоупотреблений и ограничения частоты запросов);
журналы аудита действий Пользователя;
токен сессии Личного кабинета (хранится в localStorage браузера Пользователя на стороне устройства Пользователя).

4.3. Оператор не обрабатывает специальные категории персональных данных (о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни), а также биометрические персональные данные.

4.4. Оператор не осуществляет обработку персональных данных несовершеннолетних. Сервис предназначен для использования в предпринимательских целях.

4.5. Оператор не осуществляет распространение персональных данных, разрешённых субъектом ПДн для распространения (в порядке статьи 10.1 152-ФЗ), и не обрабатывает персональные данные в указанных целях.

5. Цели обработки персональных данных

5.1. Оператор обрабатывает персональные данные в следующих целях:

оказание услуг Сервиса, в том числе предоставление доступа к API и Личному кабинету;
регистрация, идентификация и аутентификация Пользователя;
биллинг, выставление счетов и обработка платежей, а также формирование и направление кассовых чеков в соответствии с 54-ФЗ;
направление сервисных (транзакционных) уведомлений, в том числе подтверждение адреса электронной почты;
обеспечение безопасности Сервиса, предотвращение злоупотреблений и ограничение частоты запросов;
исполнение требований законодательства Российской Федерации.

5.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка ПДн, несовместимая с указанными целями.

5.3. Объём и характер обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к ним.

6. Порядок и условия обработки персональных данных

6.1. Обработка персональных данных осуществляется с согласия субъекта ПДн, на основании договора (оферты) или в соответствии с требованиями законодательства, как указано в разделе 3 настоящей Политики.

6.2. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.

6.3. Поручение обработки персональных данных третьим лицам. Оператор вправе поручать обработку персональных данных третьим лицам с согласия субъекта ПДн на основании заключаемого с этими лицами договора, в котором предусмотрены обязанности соблюдения конфиденциальности и обеспечения безопасности ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии со статьёй 19 152-ФЗ. При этом ответственность перед субъектом ПДн за действия указанных лиц несёт Оператор; лицо, осуществляющее обработку по поручению, несёт ответственность перед Оператором. Перечень лиц, которым может поручаться обработка персональных данных:

Лицо	Назначение обработки	Территория
ООО «Селектел» (Selectel)	Хостинг, управляемые СУБД, кэш и очереди сообщений, инфраструктура размещения данных	Российская Федерация
АО «ТБанк» (T-Pay)	Приём платежей (интернет-эквайринг), обработка платёжных операций	Российская Федерация
Оператор фискальных данных (ОФД)	Формирование и направление кассовых чеков (54-ФЗ)	Российская Федерация
Сервис рассылки транзакционных писем Selectel (smtp.mail.selcloud.ru)	Направление сервисных (транзакционных) уведомлений на электронную почту	Российская Федерация

6.4. Использование cookies и localStorage. При использовании Личного кабинета в браузере Пользователя сохраняется токен сессии в локальном хранилище браузера (localStorage). Данный токен используется исключительно для поддержания авторизованной сессии Пользователя и обеспечения работы Личного кабинета. Сервис может использовать технически необходимые cookies-файлы для обеспечения функционирования и безопасности Сервиса. Пользователь вправе самостоятельно управлять локальным хранилищем и cookies-файлами средствами своего браузера, однако их удаление или блокировка может привести к невозможности использования Личного кабинета.

6.5. Оператор не принимает решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

6.6. Оператор не осуществляет передачу персональных данных третьим лицам, кроме случаев, предусмотренных настоящей Политикой (поручение обработки в соответствии с пунктом 6.3), а также случаев, когда такая передача предусмотрена законодательством Российской Федерации (в том числе предоставление сведений по запросам уполномоченных государственных органов).

7. Сроки обработки и хранения, прекращение обработки и удаление

7.1. Персональные данные обрабатываются в течение срока действия учётной записи Пользователя.

7.2. Удаление аккаунта и «мягкое удаление». При удалении учётной записи Пользователем применяется «мягкое удаление» с окном восстановления 30 (тридцать) дней, в течение которого учётная запись и связанные данные могут быть восстановлены. По истечении указанного срока персональные данные подлежат безвозвратному удалению (уничтожению), за исключением данных, хранение которых предусмотрено законодательством.

7.3. Хранение бухгалтерских и налоговых документов. Счета и иные документы бухгалтерского и налогового учёта хранятся в течение срока не менее 5 (пяти) лет в соответствии со статьёй 23 НК РФ. После прекращения отношений с Пользователем такие документы хранятся в обезличенном виде.

7.4. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также по истечении установленных сроков хранения, персональные данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законодательством. Уничтожение персональных данных осуществляется способом, исключающим возможность их восстановления; факт уничтожения подтверждается в порядке, установленном нормативными правовыми актами уполномоченного органа по защите прав субъектов ПДн.

7.5. В случае отзыва субъектом ПДн согласия на обработку персональных данных Оператор прекращает их обработку и уничтожает персональные данные в срок, не превышающий 30 (тридцати) дней с даты поступления отзыва, если иное не предусмотрено договором или законодательством. В случае, если уничтожение персональных данных невозможно в указанный срок, Оператор осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в срок не более 6 (шести) месяцев, если иной срок не установлен законодательством.

8. Локализация баз данных на территории Российской Федерации

8.1. В соответствии с частью 5 статьи 18 152-ФЗ при сборе персональных данных, в том числе посредством сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

8.2. Серверы, базы данных и резервные копии размещаются на территории Российской Федерации на инфраструктуре ООО «Селектел» (дата-центры в Российской Федерации).

8.3. Трансграничная передача персональных данных не осуществляется.

9. Меры по обеспечению безопасности персональных данных

9.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн (статья 19 152-ФЗ), в том числе:

шифрование учётных данных (API-ключей Пользователя от кабинетов на маркетплейсах) с использованием алгоритма AES-256-GCM;
разграничение прав доступа к персональным данным, предоставление доступа только уполномоченным лицам в объёме, необходимом для выполнения их обязанностей;
журналирование (аудит) действий и ведение журналов событий безопасности;
применение средств защиты при передаче данных по сети с использованием защищённого протокола (HTTPS/TLS);
ограничение частоты запросов и контроль IP-адресов в целях предотвращения злоупотреблений;
размещение инфраструктуры у поставщика услуг, обеспечивающего соответствующий уровень защищённости (ООО «Селектел»);
резервное копирование данных и контроль за их сохранностью;
обеспечение конфиденциальности персональных данных лицами, получившими к ним доступ.

9.2. Оператор определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных и применяет меры защиты, соответствующие выявленным угрозам и требуемому уровню защищённости. Оператор оценивает вред, который может быть причинён субъектам ПДн в случае нарушения 152-ФЗ.

9.3. Реагирование на инциденты безопасности. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов ПДн, Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о произошедшем инциденте в сроки, установленные частями 3.1 статьи 21 152-ФЗ (в течение 24 часов — о факте инцидента и предполагаемых причинах, и в течение 72 часов — о результатах внутреннего расследования и о лицах, действия которых стали причиной инцидента, при их установлении).

10. Права субъекта персональных данных и порядок их реализации

10.1. Субъект персональных данных имеет право:

получать информацию, касающуюся обработки его персональных данных, в том числе содержащую сведения, предусмотренные частью 7 статьи 14 152-ФЗ (подтверждение факта обработки, правовые основания и цели обработки, способы обработки, сведения о лицах, имеющих доступ к ПДн, перечень обрабатываемых ПДн, источник их получения, сроки обработки и хранения, сведения об осуществлённой или о предполагаемой трансграничной передаче данных и иные сведения);
требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
отозвать согласие на обработку персональных данных;
требовать удаления своих персональных данных;
обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке;
принимать предусмотренные законом меры по защите своих прав, в том числе на возмещение убытков и (или) компенсацию морального вреда.

10.2. Самостоятельная реализация права на удаление. Право на удаление персональных данных может быть реализовано Пользователем самостоятельно через Личный кабинет (portal.oborot.io) путём удаления учётной записи. После инициирования удаления применяется порядок, предусмотренный пунктами 7.2–7.3 настоящей Политики (мягкое удаление с окном восстановления 30 дней).

10.3. Отзыв согласия на обработку персональных данных. Согласие на обработку персональных данных может быть отозвано субъектом ПДн в любое время путём направления соответствующего письменного обращения Оператору по адресу электронной почты privacy@oborot.io либо по почтовому адресу 404101, Волгоградская обл., г. Волжский, ул. Пушкина, д. 208, кв. 47. В случае отзыва согласия Оператор прекращает обработку персональных данных в порядке и сроки, предусмотренные пунктом 7.5 настоящей Политики, за исключением случаев, когда обработка может быть продолжена на ином правовом основании, предусмотренном частью 2 статьи 9 и частью 2 статьи 11 152-ФЗ (в том числе для исполнения договора, исполнения обязанностей, возложенных законодательством, и защиты прав и законных интересов Оператора). Отзыв согласия может повлечь невозможность дальнейшего оказания услуг Сервиса.

10.4. Для реализации иных прав субъект ПДн направляет соответствующий запрос Оператору по адресу privacy@oborot.io. Запрос должен содержать сведения, позволяющие идентифицировать субъекта ПДн (в частности, адрес электронной почты учётной записи), и существо запроса в соответствии с частью 3 статьи 14 152-ФЗ.

11. Порядок обращений и ответов

11.1. Обращения, запросы и уведомления, связанные с обработкой персональных данных, направляются Оператору по адресу электронной почты privacy@oborot.io или по почтовому адресу 404101, Волгоградская обл., г. Волжский, ул. Пушкина, д. 208, кв. 47.

11.2. Оператор рассматривает обращения субъектов ПДн и предоставляет ответ в сроки, установленные 152-ФЗ:

сведения, касающиеся обработки ПДн, предоставляются в течение 10 (десяти) рабочих дней с момента обращения или получения запроса; указанный срок может быть продлён, но не более чем на 5 (пять) рабочих дней, с уведомлением субъекта ПДн о причинах продления;
в случае выявления неправомерной обработки или неточности ПДн Оператор осуществляет блокирование, уточнение или уничтожение ПДн в сроки, установленные 152-ФЗ.

11.3. Оператор вправе отказать в выполнении запроса в случаях, предусмотренных законодательством Российской Федерации, с мотивированным обоснованием отказа.

12. Право на обжалование в Роскомнадзор

12.1. В случае несогласия с действиями (бездействием) Оператора при обработке персональных данных субъект ПДн вправе обжаловать такие действия (бездействие) в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), а также в судебном порядке.

12.2. Реализация субъектом ПДн права на обжалование не лишает его права на иные способы защиты, предусмотренные законодательством Российской Федерации.

13. Изменение Политики

13.1. Оператор вправе вносить изменения в настоящую Политику. Действующая редакция Политики публикуется на сайте Сервиса по адресу https://oborot.io/privacy и вступает в силу с даты её публикации, если иное не указано в новой редакции.

13.2. Дата последней редакции настоящей Политики указана в её начале — 29 мая 2026 года. Пользователю рекомендуется периодически проверять актуальную редакцию Политики.

13.3. Продолжение использования Сервиса после вступления в силу изменений Политики означает согласие Пользователя с такими изменениями.