Политика обработки персональных данных

Документ описывает, какие персональные данные обрабатывает сервис Braint, на каком основании, каким третьим лицам они передаются, как пользователь может управлять своими правами и каким образом он даёт согласие на обработку.

Редакция от 15 мая 2026 г.privacy@braint.ru

1. Общие положения

Оператор

Индивидуальный предприниматель Воробьёва Елизавета Георгиевна.

Реквизиты

ИНН 781442547352 · ОГРНИП 323784700276918.

Сервис

Сайт Braint — braint.ru и связанные с ним сервисы (личный кабинет, Telegram-бот, публичный профиль).

Контакты по ПД

Запросы и отзыв согласия — privacy@braint.ru.

1.1. Применимое законодательство

  • Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее — «152-ФЗ»).
  • Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».
  • Федеральный закон от 13.03.2006 №38-ФЗ «О рекламе» — в части требований к рекламе БАД и медицинской информации.
  • Федеральный закон от 22.05.2003 №54-ФЗ «О применении контрольно-кассовой техники» — формирование чеков при оплате подписки.
  • Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах».
  • Приказ Роскомнадзора от 24.02.2021 №18 — требования к содержанию согласия на обработку ПД.

Используя Сервис, пользователь подтверждает, что ознакомлен с настоящей Политикой и (при заполнении форм с обязательным чек-боксом) даёт согласие на обработку персональных данных на условиях раздела 8 настоящего документа.

2. Состав собираемых персональных данных

2.1. Данные аккаунта

  • Адрес электронной почты (обязательно при регистрации через email).
  • Имя пользователя и отображаемое имя (по желанию).
  • Пароль — хранится исключительно в виде необратимого криптографического хеша (bcrypt). Оператор не имеет доступа к паролю в открытом виде.
  • Идентификатор тарифного плана (Basic / Pro / Ultra), даты активации и истечения подписки.
  • Публичный токен профиля (10 символов) — используется для генерации публичной ссылки вида /profile/<token> при включении соответствующей функции пользователем.

2.2. Данные при использовании Telegram-функций

  • Telegram chat ID (числовой идентификатор), Telegram username (если установлен), имя из Telegram-профиля.
  • Привязка аккаунта осуществляется через одноразовый защищённый токен, переданный пользователем боту по собственной инициативе.
  • Пользователи, зарегистрированные исключительно через Telegram-бот, могут не иметь email; в этом случае транзакционные уведомления направляются через Telegram.

2.3. Данные дневника и трекинга

  • Записи метрик (сон, энергия, фокус, иные пользовательские метрики, оценка по шкале 1–10).
  • Список добавок пользователя, дозировки, единицы измерения, время приёма, отметки выполнения.
  • Протоколы, напоминания, заметки, личные настройки шаринга профиля.
  • Достижения (achievements) — обезличенные метаданные о ведении дневника.

Особая категория. Данные дневника могут содержать сведения о состоянии здоровья. Они обрабатываются только локально для пользователя и не передаются третьим лицам, за исключением случаев, когда пользователь сам включил публичный шаринг профиля и явно настроил перечень видимых элементов.

2.4. Пользовательский контент (UGC)

  • Текст и обложки пользовательских статей, черновиков, комментариев, оценок брендов.
  • Метаданные публикации: даты, статус модерации (draft / pending / approved / rejected / revision).

2.5. Платёжные данные

  • Реквизиты банковских карт Оператором не собираются и не хранятся. Платёжные данные передаются непосредственно платёжному агрегатору ЮKassa в соответствии со стандартом PCI DSS.
  • Email пользователя передаётся ЮKassa для направления электронного фискального чека (54-ФЗ).
  • Метаданные транзакций (идентификатор платежа ЮKassa, тариф, статус, сумма, дата) сохраняются для исполнения договора и налогового учёта.

2.6. Технические и аналитические данные

  • IP-адрес соединения, User-Agent браузера, операционная система, тип и размеры устройства.
  • Сессионные cookie (для авторизации), функциональные cookie (тема, настройки), сессия CAPTCHA при защите форм.
  • Сведения Яндекс.Метрики о посещениях, источниках переходов, поведенческих сигналах.
  • Аудит-журнал действий в Сервисе (вход, изменение настроек, оплата) — для безопасности и расследования инцидентов.

3. Цели обработки

Регистрация, идентификация и доступ к личному кабинету.
Предоставление функций трекинга, аналитики, протоколов, напоминаний, синхронизации.
Публикация и модерация пользовательских статей и оценок брендов.
Биллинг: оплата подписок, формирование чеков (54-ФЗ), возвраты.
Транзакционные уведомления: оплата, безопасность, окончание подписки, напоминания.
Маркетинговые рассылки — только при наличии явного и отдельно зафиксированного согласия.
Техническая поддержка, восстановление доступа, обработка обращений.
Безопасность Сервиса, противодействие злоупотреблениям, защита от автоматизированных атак.
Обезличенная аналитика посещаемости, улучшение интерфейса, диагностика ошибок.
Исполнение требований законодательства РФ.

4. Правовые основания обработки

  • Согласие субъекта персональных данных (152-ФЗ ст. 6, ч. 1, п. 1) — для маркетинговых рассылок и публикации пользовательского контента.
  • Исполнение договора, заключаемого через акцепт публичной оферты (152-ФЗ ст. 6, ч. 1, п. 5) — для предоставления Сервиса в соответствии с тарифом.
  • Исполнение обязанностей, возложенных на Оператора законом (152-ФЗ ст. 6, ч. 1, п. 2) — для 54-ФЗ, 402-ФЗ и иных требований налогового и бухгалтерского учёта.
  • Законный интерес Оператора (152-ФЗ ст. 6, ч. 1, п. 7) — обеспечение безопасности Сервиса, расследование инцидентов, обезличенная аналитика, защита форм от ботов.

5. Категории субъектов персональных данных

  • Посетители публичных страниц сайта.
  • Зарегистрированные пользователи Сервиса (включая пользователей бесплатного тарифа Basic).
  • Пользователи, оплатившие платную подписку (Pro, Ultra).
  • Пользователи, обращающиеся в техническую поддержку или восстанавливающие доступ к аккаунту.
  • Пользователи Telegram-бота Сервиса.
  • Авторы пользовательских статей, оценок брендов и иного UGC.

6. Порядок и условия обработки

1

Сбор

Данные собираются при регистрации, входе, использовании личного кабинета, отправке форм, оплате, обращении в поддержку, а также автоматически при посещении сайта (см. раздел 7 о cookies).

2

Использование

Оператор совершает сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление и уничтожение данных как с использованием средств автоматизации, так и без них.

3

Хранение

Данные хранятся не дольше, чем требуется для целей обработки, исполнения договора, выполнения закона или до удаления аккаунта/отзыва согласия. Сроки хранения по типам данных приведены в разделе 9.

4

Защита

Применяются HTTPS/TLS, хеширование паролей (bcryptjs), ограничение и аудит доступа, валидация ввода, rate-limit на критичных эндпоинтах, защита форм от автоматизированных запросов. Подробнее — в разделе 13.

7. Cookies, локальное хранилище и аналитика

7.1. Обязательные (сессионные) cookies

Используются для авторизации (cookie user-session), безопасности сессии и базовой работы личного кабинета. Отключение приводит к невозможности входа в аккаунт. Срок: до выхода из аккаунта или до 14 дней с момента последнего входа.

7.2. Функциональные cookies

Сохраняют пользовательские настройки интерфейса (тёмная/светлая тема, состояние уведомлений, выбранный период отображения). Срок — до 1 года.

7.3. Аналитические cookies — Яндекс.Метрика

На сайте используется Яндекс.Метрика (АО «Яндекс», РФ) для обезличенной статистики посещаемости, источников переходов, действий на страницах, выявления технических проблем. Метрика использует cookies и аналогичные технологии. Политика провайдера: yandex.ru/legal/confidential.

7.4. Локальное хранилище браузера и IndexedDB

В демо-режиме /try данные пользователя сохраняются исключительно в локальном хранилище браузера (IndexedDB) и не передаются Оператору. При регистрации эти данные могут быть импортированы в аккаунт по явному действию пользователя.

7.5. Управление cookies

Пользователь может ограничить или удалить cookies в настройках браузера. При отключении обязательных cookies авторизация и часть функций будут недоступны.

8. Согласие на обработку персональных данных

8.1. Способ предоставления согласия

Согласие предоставляется пользователем добровольно, своей волей и в своём интересе путём проставления отдельного чек-бокса под формой регистрации (включая регистрацию через Telegram-бот), формами восстановления и сброса пароля, а также формой оплаты подписки. До проставления чек-бокса отправка формы технически невозможна.

Согласие не требуется для просмотра публичных страниц сайта (главная, энциклопедия, демо-режим, юридические документы), но необходимо для регистрации, восстановления доступа, оплаты, работы личного кабинета и иных функций, где пользователь передаёт данные Оператору.

8.2. Объём действий, на которые даётся согласие

Пользователь соглашается на сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных, перечисленных в разделе 2 настоящего документа, в целях, указанных в разделе 3, на правовых основаниях, указанных в разделе 4.

8.3. Срок действия согласия

Согласие действует с момента его предоставления и до достижения целей обработки, удаления аккаунта, истечения сроков хранения, установленных законодательством, или отзыва согласия пользователем — в зависимости от того, что наступит ранее.

Отзыв согласия не влияет на законность обработки, осуществлённой до его отзыва, и не прекращает обработку, если Оператор обязан продолжить её по закону или для исполнения договора.

8.4. Отзыв согласия

Пользователь может отозвать согласие в любой момент, направив письменный запрос на privacy@braint.ru с указанием email аккаунта и требования об отзыве. После получения отзыва Оператор прекращает обработку персональных данных в срок не более 30 (тридцати) календарных дней либо обеспечивает её прекращение, если обработка осуществляется обработчиком от имени Оператора.

9. Сроки хранения персональных данных

Данные аккаунта (email, профиль, настройки)
До удаления + 3 года
Данные дневника, трекинга, UGC
До удаления аккаунта
Сессии авторизации (cookie user-session)
До 14 дней
Платёжные документы и фискальные чеки
5 лет (54-ФЗ, 402-ФЗ)
IP-адреса входа, аудит-логи безопасности
90 дней
Резервные копии БД (зашифрованные)
До 30 дней
Обращения в поддержку
До 1 года после закрытия

При достижении целей обработки, отзыве согласия или получении законного требования данные удаляются, уничтожаются или обезличиваются, если их дальнейшее хранение не требуется по закону.

10. Третьи лица — обработчики данных

Для обеспечения работы Сервиса Оператор привлекает следующих обработчиков, с которыми заключены поручения на обработку в соответствии с ч. 3 ст. 6 152-ФЗ. Объём передаваемых данных ограничен целями работы соответствующего сервиса. Все обработчики — резиденты Российской Федерации; серверная инфраструктура и хранение данных размещены на территории РФ.

ЮKassa (ООО НКО «ЮМани», РФ)

Обработка платежей по подписке. Передаются: email для фискального чека, сумма, идентификатор тарифа, метаданные транзакции. Реквизиты карт обрабатываются ЮKassa, Оператору не передаются. Сервер: РФ.

При оплате

Telegram Messenger

Telegram-бот для регистрации, привязки аккаунта, напоминаний и сервисных уведомлений. Используется только при явном подключении пользователем. Оператор не передаёт ПД в Telegram проактивно — данные передаются по инициативе самого пользователя при взаимодействии с ботом.

Опционально

Email-сервис хостинга Beget (ООО «Бегет», РФ)

Доставка транзакционных email-уведомлений (подтверждение оплаты, восстановление пароля, уведомления безопасности, напоминания об окончании подписки). Передаются: email-адрес получателя и текст уведомления. Сервер: РФ.

Email

Yandex SmartCaptcha (АО «Яндекс», РФ)

Защита форм регистрации, входа и восстановления пароля от автоматизированных атак. Передаются: IP-адрес, User-Agent, поведенческие сигналы, идентификатор сессии CAPTCHA. Сервер: РФ. Политика: yandex.ru/legal/smartcaptcha_termsofuse.

Безопасность

Яндекс.Метрика (АО «Яндекс», РФ)

Обезличенная веб-аналитика посещаемости. Передаются: поведенческие данные, cookies, источники переходов. Сервер: РФ. Политика: yandex.ru/legal/confidential.

Аналитика

Хостинг-провайдер Beget (ООО «Бегет», РФ)

Размещение серверной инфраструктуры Сервиса (виртуальный сервер, БД, файловое хранилище, email-сервис). Передаются: все данные Сервиса (TLS при передаче, разграничение доступа и шифрование чувствительных полей на сервере). Сервер: РФ. Сайт провайдера: beget.com.

Хостинг

Государственные органы РФ

Передача возможна исключительно в случаях и порядке, предусмотренных законодательством Российской Федерации (по мотивированному запросу).

По закону

Трансграничная передача персональных данных не осуществляется. Все привлекаемые обработчики являются резидентами Российской Федерации, серверная инфраструктура расположена в РФ. При появлении в будущем обработчиков, расположенных за пределами РФ, в настоящую Политику будут внесены изменения и направлено соответствующее уведомление в Роскомнадзор в порядке ч. 3 ст. 12 152-ФЗ.

11. Права субъекта персональных данных

В соответствии со статьями 14 и 21 152-ФЗ пользователь вправе:

i

Получить сведения

Запросить информацию об обработке своих персональных данных и копию обрабатываемых данных.

Уточнить

Потребовать уточнения, актуализации или исправления неточных данных.

×

Удалить

Потребовать удаления данных при наличии законных оснований.

!

Отозвать согласие

Отозвать согласие письмом на privacy@braint.ru.

||

Ограничить

Потребовать блокирования данных на период проверки спорной информации.

?

Обжаловать

Подать жалобу в Роскомнадзор: rkn.gov.ru или в судебном порядке.

Запросы направляются на privacy@braint.ru. В обращении необходимо указать email аккаунта, суть обращения и приложить (при необходимости) документы, подтверждающие личность. Срок ответа — не более 30 (тридцати) календарных дней.

12. Возрастное ограничение и несовершеннолетние

Сервис предназначен для пользователей старше 18 лет. Регистрация и использование функций личного кабинета лицами младше 18 лет не допускается. Если законный представитель узнал, что несовершеннолетний передал персональные данные без надлежащего основания, необходимо направить запрос на privacy@braint.ru — соответствующий аккаунт и связанные данные будут удалены.

13. Меры защиты информации

HTTPS / TLS

Передача данных между устройством пользователя и Сервисом защищена средствами криптографической защиты транспортного уровня (TLS 1.2+).

Хеширование паролей

Пароли хранятся в виде необратимого криптографического хеша (bcryptjs).

Защита форм

CAPTCHA (Yandex SmartCaptcha) на регистрации, входе и восстановлении пароля. Rate-limit на эндпоинтах входа, регистрации, восстановления.

Аудит-логирование

События безопасности и изменения настроек регистрируются и хранятся 90 дней для расследования инцидентов.

Разграничение доступа

Административный доступ ограничен минимально необходимым кругом лиц с двухфакторной аутентификацией.

Размещение в РФ

Серверная инфраструктура размещена на территории Российской Федерации в соответствии с ч. 5 ст. 18 152-ФЗ.

14. Реагирование на инциденты и уведомление РКН

14.1. Уведомление об инцидентах (ст. 21 152-ФЗ)

  • В случае инцидента, повлекшего неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, Оператор уведомляет Роскомнадзор в течение 24 часов с момента выявления инцидента через портал pd.rkn.gov.ru/incidents.
  • В течение 72 часов направляются результаты внутреннего расследования: причины, оценка вреда субъектам, описание принятых мер.
  • Оператор принимает меры по локализации последствий инцидента и предотвращению его повторения.
  • Пострадавшие пользователи уведомляются по email или через личный кабинет в сроки, установленные 152-ФЗ.

14.2. Уведомление в реестр операторов ПД

Уведомление об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) находится в процессе подачи.

После включения Оператора в реестр в настоящий раздел будут добавлены регистрационный номер записи и дата её внесения. Проверить актуальный статус всегда можно в открытом реестре операторов ПД на сайте Роскомнадзора: pd.rkn.gov.ru/operators-registry по реквизитам ИП (ИНН 781442547352).

15. Изменения настоящей Политики

Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её опубликования по адресу braint.ru/privacy.

При существенных изменениях (расширение состава обрабатываемых ПД, изменение целей обработки, появление новых обработчиков) пользователи уведомляются по email или через личный кабинет не позднее чем за 10 (десять) календарных дней до вступления изменений в силу. Продолжение использования Сервиса после вступления изменений в силу означает согласие пользователя с новой редакцией.

16. Контакты

По вопросам обработки персональных данных, реализации прав субъекта и отзыву согласия:

privacy@braint.ru

Срок ответа — до 30 календарных дней.

Настоящая Политика вступает в силу с момента публикации на сайте.

Редакция от 15 мая 2026 г.

Договор публичной оферты