BrewOSAnalytics
« Вернуться на главную

Политика конфиденциальности

Политика оператора в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей (далее — «Субъект») Индивидуальным предпринимателем Поповым Игорем Александровичем (ОГРНИП: 319554300013252, ИНН: 550405444955, далее — «Оператор»).

1.2. Оператор является владельцем и администратором следующих сервисов (далее — «Сервисы»):

  • BrewOS Analytics — SaaS-платформа аналитики для кофейных сетей (analytics.brewos.ru, dashboard)
  • AI Invoice Bot — Telegram-бот и веб-интерфейс для распознавания документов (aibot.brewos.ru, @AI_dreamteam_bot)

1.3. Политика разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — «Закон»).

1.4. Используя Сервисы Оператора, Субъект выражает согласие с настоящей Политикой. Если Субъект не согласен с условиями Политики, он обязан прекратить использование Сервисов.

2. Основные понятия

В настоящей Политике используются следующие понятия:

  • Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
  • Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
  • Автоматизированная обработка — обработка персональных данных с помощью средств вычислительной техники.
  • Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются Оператором.
  • Оператор — ИП Попов Игорь Александрович.

3. Состав обрабатываемых персональных данных

Оператор может обрабатывать следующие персональные данные Субъектов:

3.1. Данные пользователей SaaS-платформы BrewOS Analytics

  • Фамилия, имя, отчество;
  • Адрес электронной почты;
  • Пароль (в хэшированном виде);
  • Роль и должность в организации;
  • Идентификатор Telegram (для уведомлений).

3.2. Данные сотрудников кофеен (вносятся работодателем)

  • Фамилия, имя, отчество;
  • Номер телефона;
  • Должность, дата приёма и увольнения;
  • Ставка оплаты труда.

3.3. Данные контрагентов и поставщиков

  • Наименование организации / ФИО (для ИП);
  • ИНН;
  • Банковские реквизиты (расчётный счёт, БИК);
  • Контактная информация.

3.4. Данные пользователей Telegram-ботов

  • Идентификатор пользователя Telegram (Telegram ID);
  • Имя пользователя (username);
  • Имя, указанное в профиле Telegram;
  • Адрес электронной почты (при регистрации в веб-версии).

3.5. Технические данные

  • IP-адрес;
  • Тип браузера и операционной системы (User-Agent);
  • Файлы cookie (токен аутентификации);
  • Push-токены мобильных устройств (для уведомлений).

3.6. Данные из загруженных документов

  • Текст, извлечённый посредством OCR-распознавания из фотографий накладных, счетов и иных документов;
  • Реквизиты поставщиков и покупателей, содержащиеся в документах.

4. Цели обработки персональных данных

Оператор обрабатывает персональные данные в следующих целях:

  • Предоставление доступа к SaaS-платформе, аутентификация и авторизация пользователей;
  • Исполнение договорных обязательств по предоставлению Сервисов;
  • Управление персоналом кофеен (по поручению работодателя — организации-клиента);
  • Интеграция с банковскими сервисами для финансовой аналитики (по отдельному согласию пользователя через OAuth);
  • AI-распознавание и обработка финансовых документов;
  • Направление уведомлений (Telegram, push, email) информационного и сервисного характера;
  • Обеспечение технической поддержки и обратной связи;
  • Обеспечение безопасности Сервисов, предотвращение мошенничества;
  • Выполнение требований законодательства Российской Федерации.

5. Правовые основания обработки

Обработка персональных данных осуществляется на следующих основаниях:

  • Согласие субъекта (ст. 6 п. 1 пп. 1 Закона) — при регистрации в Сервисах и использовании отдельных функций;
  • Исполнение договора (ст. 6 п. 1 пп. 5 Закона) — для предоставления SaaS-услуг;
  • Законный интерес Оператора (ст. 6 п. 1 пп. 7 Закона) — обеспечение безопасности, улучшение качества Сервисов;
  • Требования законодательства (ст. 6 п. 1 пп. 2 Закона) — бухгалтерский учёт, налоговая отчётность.

6. Порядок обработки и защита персональных данных

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации.

6.2. Оператор принимает следующие меры по защите персональных данных:

  • Хэширование паролей (bcrypt) перед сохранением в базе данных;
  • Шифрование банковских токенов (AES-256-GCM);
  • Передача данных по защищённому протоколу HTTPS/TLS;
  • Ролевая модель доступа (RBAC) с разграничением прав;
  • Многопользовательская изоляция данных (multi-tenant) — данные одной организации недоступны другим;
  • Автоматическое удаление технических логов старше 30 дней;
  • JWT-токены аутентификации с ограниченным сроком действия (7 дней).

7. Трансграничная передача персональных данных

7.1. Для обеспечения работоспособности Сервисов Оператор осуществляет трансграничную передачу персональных данных в страны, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108), а также в иные страны, обеспечивающие адекватную защиту прав субъектов персональных данных (ст. 12 Закона).

7.2. Трансграничная передача осуществляется с согласия Субъекта и исключительно в целях, указанных в разделе 4 настоящей Политики.

7.3. Оператор планирует перенос первичного хранилища данных на серверы, расположенные на территории Российской Федерации, в соответствии с требованиями ст. 18 ч. 5 Закона.

8. Передача данных третьим лицам

Оператор может передавать персональные данные следующим третьим лицам исключительно в объёме, необходимом для достижения целей обработки:

  • Railway Inc. (Канада) — хостинг-провайдер, хранение баз данных;
  • АО «Точка» (Россия) — банковский API для финансовой аналитики (по отдельному OAuth-согласию пользователя);
  • iiko (Россия) — интеграция с POS-системой (данные продаж, сотрудников, склада);
  • Google LLC (США) — экспорт данных в Google Drive/Sheets (по отдельному OAuth-согласию пользователя);
  • Telegram Messenger Inc. — доставка уведомлений через Telegram Bot API;
  • Провайдеры AI-моделей (OpenRouter, OpenAI) — обработка текста документов для распознавания (без передачи идентифицирующих данных пользователя).

Оператор не продаёт, не обменивает и не передаёт персональные данные третьим лицам в маркетинговых целях.

9. Права субъекта персональных данных

Субъект имеет право:

  • Получить информацию об обработке своих персональных данных;
  • Требовать уточнения, обновления или исправления персональных данных;
  • Требовать удаления и уничтожения персональных данных;
  • Требовать блокирования персональных данных;
  • Отозвать согласие на обработку персональных данных;
  • Обжаловать действия Оператора в уполномоченный орган — Роскомнадзор.

Для реализации указанных прав Субъект может направить запрос на адрес электронной почты: pop20.msk@gmail.com.

10. Файлы cookie и аналогичные технологии

10.1. Сервисы Оператора используют файлы cookie исключительно для целей аутентификации (хранение JWT-токена авторизации).

10.2. Оператор не использует метрические программы (Яндекс.Метрика, Google Analytics и т.п.) и не размещает рекламные или аналитические cookies третьих лиц.

10.3. Пользователь может управлять cookie-файлами через настройки браузера, однако отключение cookie может привести к невозможности использования Сервисов.

10.4. Подробная информация изложена в Политике использования cookies.

11. Сроки хранения персональных данных

  • Данные аккаунта — на весь срок использования Сервисов и в течение 30 дней после удаления аккаунта;
  • Данные сотрудников и клиентов кофеен — на срок действия договора с организацией-клиентом;
  • Финансовые документы — не менее 5 лет (требования бухгалтерского законодательства);
  • Технические логи — не более 30 дней (автоматическое удаление);
  • Cookie (JWT-токен) — 7 дней.

12. Изменения в Политике

12.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на Сайте.

12.2. Продолжение использования Сервисов после внесения изменений означает согласие Субъекта с новой редакцией Политики.

13. Контактная информация

Оператор: Индивидуальный предприниматель Попов Игорь Александрович
ОГРНИП: 319554300013252
ИНН: 550405444955
Электронная почта: pop20.msk@gmail.com

Дата публикации: 22 февраля 2026 г.