На главную

Политика обработки персональных данных

Редакция от 09 мая 2026 г.

1. Общие положения

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), приказом Роскомнадзора № 996, постановлением Правительства РФ № 1119 и определяет порядок обработки персональных данных и меры по обеспечению их безопасности у Оператора.

Оператор: Индивидуальный предприниматель Кубаев А.Г. (Mainskill IT consulting), ИНН 200405240503, ОГРНИП 323200000030581, адрес: 364059, г. Грозный, ул. Каменщиков, д. 12, кв. 55, e-mail: support@khyro.ru.

Настоящая Политика является общедоступной в соответствии с ч. 2 ст. 18.1 152-ФЗ и применяется в отношении всей информации, которую Оператор может получить о субъекте персональных данных во время использования сайтов khyro.ru, app.khyro.ru и связанных с ними сервисов.

2. Категории субъектов персональных данных

  • Заказчики — индивидуальные предприниматели и юридические лица, заключившие с Оператором договор на оказание услуг (публичную оферту) и зарегистрировавшие аккаунт на платформе Khyro.
  • Сотрудники Заказчиков — физические лица, которым Заказчик предоставил доступ к своему аккаунту в качестве пользователя.
  • Клиенты Заказчиков (заёмщики) — физические лица, информацию о которых Заказчик вносит в сервис в рамках своей предпринимательской деятельности. В отношении этой категории Оператор выступает обработчиком по поручению Заказчика (ст. 6 ч. 3 152-ФЗ).

3. Перечень обрабатываемых персональных данных

О Заказчиках и их сотрудниках:

  • • ФИО или наименование организации;
  • • адрес электронной почты;
  • • номер телефона;
  • • IP-адрес и user-agent на момент акцепта оферты;
  • • данные авторизации (хеш пароля, идентификатор сессии);
  • • данные платёжных операций (без хранения данных банковских карт — обрабатываются ЮКассой).

О Клиентах Заказчиков (по поручению Заказчика):

  • • ФИО, дата рождения;
  • • серия и номер паспорта, кем и когда выдан (хранятся в зашифрованном виде, AES-256-GCM);
  • • номер телефона, адрес, место работы, доход;
  • • данные о заключённых с Заказчиком договорах рассрочки;
  • • факт включения в Общий чёрный список (см. раздел 7).

4. Цели и правовые основания обработки

  • Исполнение договора с Заказчиком (предоставление доступа к сервису, биллинг, поддержка) — основание: п. 5 ч. 1 ст. 6 152-ФЗ.
  • Защита прав и законных интересов Оператора и сообщества Заказчиков (Общий чёрный список — см. раздел 7) — основание: п. 7 ч. 1 ст. 6 152-ФЗ при условии, что не нарушаются права и свободы субъекта.
  • Уведомления о работе сервиса — основание: явное согласие, получаемое при регистрации (ст. 9 152-ФЗ).
  • Обработка по поручению Заказчика в отношении Клиентов Заказчика — основание: ст. 6 ч. 3 152-ФЗ. Получение согласия у Клиентов является обязанностью Заказчика.

5. Принципы обработки

  • • Обработка осуществляется с соблюдением законности и справедливости (ст. 5 ч. 1 152-ФЗ).
  • • Обработка ограничивается достижением конкретных, заранее определённых и законных целей.
  • • Обрабатываются только данные, отвечающие целям обработки — принцип минимизации.
  • • Хранение данных осуществляется в течение срока, необходимого для достижения целей, после чего они подлежат удалению или обезличиванию.

6. Сроки и способы хранения, передача третьим лицам

Данные хранятся на серверах в Российской Федерации (требование ч. 5 ст. 18 152-ФЗ). Срок хранения данных Заказчика — в течение действия подписки + 90 (девяносто) календарных дней после её прекращения. Данные Клиентов Заказчика хранятся в течение срока, установленного Заказчиком как оператором в отношении этих данных, но не более 5 (пяти) лет с даты последней операции по соответствующему договору (соразмерно сроку исковой давности по ст. 196 ГК РФ).

Передача третьим лицам осуществляется в следующих случаях:

  • НКО «ЮМани» (ЮКасса) — для обработки платежей (на основании договора оказания услуг и BCP-стандартов).
  • Google LLC (Gemini API) — для функции AI-ассистента (передаётся только текст запроса, без идентификаторов; см. раздел 10 оферты).
  • Другие зарегистрированные Заказчики платформы — в составе Общего чёрного списка (см. раздел 7).
  • Государственные органы — по мотивированному запросу в порядке, установленном законодательством РФ.

Трансграничная передача персональных данных не осуществляется за исключением передачи в Google LLC (США) при использовании AI-ассистента — Заказчик уведомляется об этом отдельно в момент включения функции.

7. Общий чёрный список (общий реестр недобросовестных Клиентов)

В составе сервиса действует общий межплатформенный реестр недобросовестных Клиентов, формируемый Заказчиками совместно с целью предотвращения мошенничества и снижения рисков невозврата средств. Правовое основание обработки — п. 7 ч. 1 ст. 6 152-ФЗ (защита прав и законных интересов Оператора и третьих лиц при условии, что не нарушаются права и свободы субъекта).

  • Передаваемые сведения: ФИО, серия и номер паспорта (передаются и хранятся в зашифрованном виде, поиск осуществляется через слепой индекс HMAC-SHA256 без раскрытия исходных данных), номер телефона, краткое текстовое описание причины включения, дата включения, идентификатор Заказчика, инициировавшего запись.
  • Что НЕ передаётся: история платежей и просрочек, суммы и графики договоров, скан-копии документов, переписка, фотографии.
  • Кто видит данные: исключительно зарегистрированные Заказчики платформы для предварительной проверки потенциальных Клиентов. Сведения не публикуются в открытом доступе.
  • Срок хранения: до удаления Заказчиком, инициировавшим включение, либо по обоснованному запросу субъекта, но не более 5 лет с даты последнего обновления записи.
  • Право субъекта на возражение и удаление: заёмщик может обратиться напрямую к Оператору по адресу support@khyro.ru с указанием телефона и серии-номера паспорта. Оператор удалит запись в течение 10 (десяти) рабочих дней или направит мотивированный отказ с разъяснением порядка обжалования.

Заказчик, передающий сведения в Общий чёрный список, самостоятельно отвечает за достоверность сведений и за получение согласия Клиента на такую передачу. Оператор предоставляет Заказчикам типовой шаблон такого согласия: посмотреть шаблон.

8. Меры защиты персональных данных

  • • Шифрование чувствительных полей (паспортные данные) на уровне приложения алгоритмом AES-256-GCM перед записью в базу данных.
  • • Парольный доступ к платформе с принудительной сменой временного пароля при первом входе и хешированием паролей bcrypt.
  • • HttpOnly + Secure cookies, защита от CSRF (double-submit token), Cloudflare Turnstile при регистрации.
  • • Аппенд-онли журнал аудита (audit_log) с фиксацией всех критических операций (включение в чёрный список, удаление, изменение прав).
  • • Ограничение по IP для административной панели (ALLOWED_IPS).
  • • Регулярное резервное копирование с ротацией.

9. Права субъекта персональных данных (ст. 14 152-ФЗ)

Субъект персональных данных вправе требовать от Оператора:

  • • подтверждение факта обработки персональных данных;
  • • предоставление сведений о целях, способах, сроках обработки;
  • • уточнение, блокирование или уничтожение неправомерно или излишне обрабатываемых данных;
  • • отзыв ранее данного согласия на обработку (ст. 9 ч. 2 152-ФЗ);
  • • обжалование действий Оператора в Роскомнадзор или в суд.

Запрос направляется на support@khyro.ru с темой «152-ФЗ». Срок ответа — 10 (десять) рабочих дней в соответствии с ч. 1 ст. 20 152-ФЗ. Оператор вправе запросить у заявителя дополнительные сведения для идентификации (ч. 1 ст. 14 152-ФЗ).

10. Изменения политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция размещается по адресу khyro.ru/privacy с указанием даты последней редакции. Существенные изменения сообщаются Заказчикам по электронной почте не менее чем за 10 (десять) календарных дней до их вступления в силу.

11. Контактные данные ответственного лица

Ответственный за организацию обработки ПДн: Кубаев А.Г.

E-mail: support@khyro.ru

Почтовый адрес: 364059, г. Грозный, ул. Каменщиков, д. 12, кв. 55