1.1. Настоящая Политика определяет порядок обработки и защиты персональных данных ИП «Симанович Павел Викторович» (далее — Оператор), ИНН 420518725384, юридический адрес: 650056, Кемеровская обл., г. Кемерово, ул. Ворошилова, 5, в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», а также иными актами РФ.

1.2. Оператор обрабатывает ПД пользователей сайта https://santasy.ru (далее — Сайт) исключительно в целях, указанных в разделе 4.

1.3. Настоящая редакция Политики действует с 19.04.2026. Предыдущие версии хранятся у Оператора и предоставляются по запросу.

«Персональные данные», «Обработка», «Автоматизированная обработка», «Предоставление», «Блокирование» — в значениях Федерального закона № 152-ФЗ.

«Пользователь» (или «Жертвователь») — физическое лицо, посетитель Сайта, совершающий пожертвование или иным образом взаимодействующий с Сайтом.

«Cookie» — небольшой фрагмент данных, отправленный веб-сервером и сохраняемый на компьютере или мобильном устройстве Пользователя, признаваемый персональными данными, если содержит уникальный идентификатор.

Обработка персональных данных Пользователей осуществляется на основе следующих принципов:

• законность, добросовестность и прозрачность;
• минимизация: обработке подлежат только те данные, которые отвечают заявленным целям;
• ограничение сроков хранения: данные хранятся не дольше, чем этого требуют цели обработки;
• точность, достаточность и актуальность;
• целостность и конфиденциальность (защита от несанкционированного доступа).

4.1. Имя, e-mail и номер телефона. Обрабатываются для идентификации плательщика, направления инструкций по активации Лицензии (доступа к Приложению), а также информирования о статусе разработки и релизе. Правовое основание: договор (Оферта) с Пользователем.
4.2. Платежные реквизиты (частичные данные банковских карт). Обрабатываются для выставления счетов, подтверждения транзакций и осуществления возвратов (в случаях, предусмотренных Офертой). Правовое основание: ст. 54-ФЗ и 152-ФЗ.
4.3. Cookie-файлы (аналитические и рекламные). Собираются для веб-аналитики, улучшения работы Сайта и показа релевантного контента. Правовое основание: информированное согласие Пользователя (opt-in).
4.4. Технические данные устройства и IP-адрес. Обрабатываются для обеспечения информационной безопасности Сайта, предотвращения мошенничества и защиты от DDoS-атак. Правовое основание: законный интерес Оператора.

В зависимости от действий Жертвователя на Сайте, Оператор может обрабатывать:

• Основные идентификаторы: имя, e-mail, номер телефона.
• Данные транзакций: сумма пожертвования, количество оплаченных Лицензий (вечных доступов).
• Платежные данные: частично маскируемые реквизиты (BIN/IIN, последние 4 цифры карты) в зависимости от выбранного способа оплаты.
• Cookie-идентификаторы и веб-лог: IP-адрес, тип устройства, user-agent, данные о взаимодействии с интерфейсом Сайта.

6.1. Договор (публичная Оферта), акцептуемый Пользователем в момент внесения пожертвования на развитие проекта Santasy.
6.2. Информированное согласие Пользователя (выражаемое через баннер cookie или чек-боксы на Сайте).
6.3. Законные обязанности Оператора (требования 54-ФЗ по фискализации, 402-ФЗ по бухгалтерскому учету и иные применимые нормы).

Обработка персональных данных осуществляется смешанным способом (с использованием средств автоматизации и без таковых) и включает в себя:

• сбор, запись, систематизацию и надежное хранение на серверах, расположенных на территории РФ;
• уточнение (обновление, изменение), извлечение и использование данных для заявленных целей;
• передачу третьим лицам строго в рамках законодательства (см. раздел 8);
• блокирование и защищенное уничтожение по достижении целей или истечении сроков.

Оператор вправе передавать персональные данные следующим третьим лицам исключительно в рамках заявленных целей обработки:
8.1. Google Workspace (Google Ireland Ltd.). Цель: облачное хранилище и работа с внутренними документами (Google Sheets и др.). Гарантии: SCC (стандартные договорные условия), сертификация ISO 27001, двухфакторная аутентификация (2FA), зеркалирование локальной копии данных на серверах в РФ.
8.2. ООО «Банк Точка» (и/или иные банки-эквайеры). Цель: прием пожертвований и проведение платежных операций. Гарантии: соответствие международным стандартам безопасности платежей PCI-DSS, соглашение о неразглашении (NDA).
8.3. Персональные данные могут быть переданы уполномоченным государственным органам РФ исключительно по их официальному запросу и в пределах, установленных действующим законодательством.

9.1. Оператор не осуществляет передачу персональных данных в страны, не обеспечивающие адекватную защиту прав субъектов ПД, за исключением случаев, когда:

• Жертвователь (Пользователь) дал на это явное письменное согласие;
• такая передача необходима для исполнения договора Оферты.

9.2. Первичная база данных хранится на локальном сервере на территории РФ. Копия в Google Workspace (дата-центр ЕС) используется исключительно для совместной работы команды Оператора. Передача в Google Workspace осуществляется на основании Стандартных договорных условий (SCC) и согласия Пользователя, полученного в момент акцепта Оферты.

Оператор хранит персональные данные ровно столько, сколько это необходимо для заявленных целей:

• Основные идентификаторы (имя, e-mail, телефон) — в течение всего срока предоставления Лицензии (доступа к Приложению), либо до момента отзыва согласия Пользователем.
• Платежные документы и данные о транзакциях — 5 лет в соответствии с требованиями Федерального закона № 402-ФЗ «О бухгалтерском учете».
• Сессионные Cookie-файлы — до закрытия браузера.
• Аналитические Cookie-файлы — до 24 месяцев или до момента их удаления Пользователем / отзыва согласия.

Жертвователь (субъект ПД) имеет право:

• получать информацию, касающуюся обработки его персональных данных;
• требовать от Оператора уточнения, блокирования или уничтожения своих персональных данных в случае, если они являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки;
• отозвать согласие на обработку персональных данных (в том числе отписаться от информационной рассылки о релизе);
• обжаловать действия Оператора в Роскомнадзоре или в судебном порядке.

Для реализации своих прав Жертвователь направляет обращение на электронную почту legal@santasy.app либо почтовым письмом на юридический адрес Оператора.

12.1. При первом визите на Сайт Жертвователю выводится информационный баннер. Технические (строго необходимые) cookie загружаются по умолчанию для обеспечения работоспособности Сайта. Аналитические и рекламные cookie загружаются только после явного согласия пользователя (нажатие кнопки «Принять» или аналогичной).
12.2. Пользователь может изменить свой выбор в настройках браузера в любой момент.

Для защиты персональных данных Жертвователей Оператор применяет следующие меры:

• использование сетевых экранов, WAF и шифрования трафика (TLS 1.3);
• ролевая модель доступа для членов команды с обязательной двухфакторной аутентификацией (2FA);
• регулярное резервное копирование данных;
• локализация и хранение первичной базы данных на территории РФ в соответствии с требованиями 152-ФЗ.

Оператор не применяет процессы автоматизированной обработки персональных данных, которые порождают юридические последствия в отношении Жертвователя (Пользователя) или иным образом затрагивают его права и законные интересы, без участия человека.

По любым вопросам, связанным с обработкой персональных данных, Жертвователь может обратиться к ответственному лицу Оператора:
Ответственный за организацию обработки ПД: ИП Симанович Павел Викторович
E-mail: ceo@santasy.app

16.1. Оператор вправе в любой момент обновлять настоящую Политику. Актуальная версия документа всегда доступна на Сайте по адресу /privacy.
16.2. Существенные изменения (например, расширение целей обработки или состава собираемых ПД) доводятся до сведения Пользователей путем рассылки уведомлений на указанный e-mail не позднее, чем за 7 дней до вступления изменений в силу.