Политика конфиденциальности
Полная информация о том, как Lootly собирает, обрабатывает, хранит и защищает ваши персональные данные в соответствии с законодательством РФ и GDPR
Последнее обновление: 28 декабря 2025 года
1. Введение
1.1 Общие положения
Настоящая Политика конфиденциальности (далее — «Политика») описывает, как ООО «Лутли» (далее — «Lootly», «мы», «нас», «наш») собирает, обрабатывает, хранит и защищает персональные данные пользователей при использовании платформы для торговли цифровыми товарами.
Наши принципы обработки данных:
- Законность — обработка данных только на законных основаниях
- Прозрачность — понятное информирование о целях обработки
- Минимизация — сбор только необходимых данных
- Точность — поддержание актуальности данных
- Безопасность — защита данных от несанкционированного доступа
- Ограничение хранения — удаление данных по истечении необходимости
1.2 Применимое законодательство
Обработка персональных данных осуществляется в соответствии с:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации»
- Общий регламент защиты данных (GDPR) — для пользователей из ЕС
- Иные применимые нормативные акты Российской Федерации
1.3 Согласие на обработку данных
Используя платформу Lootly, вы подтверждаете, что:
- Ознакомились с настоящей Политикой конфиденциальности
- Даёте согласие на обработку персональных данных указанными способами
- Понимаете свои права в отношении персональных данных
- Достигли возраста 18 лет
2. Оператор персональных данных
2.1 Информация об операторе
| Параметр | Значение |
|---|---|
| Наименование | ООО «Лутли» |
| ОГРН | 1234567890123 |
| ИНН | 7712345678 |
| Юридический адрес | 119021, г. Москва, ул. Льва Толстого, д. 16 |
| Фактический адрес | 119021, г. Москва, ул. Льва Толстого, д. 16 |
| privacy@lootly.com | |
| Телефон | +7 (800) 123-45-67 |
2.2 Ответственный за обработку персональных данных
Офицер по защите данных (DPO):
- Email: dpo@lootly.com
- Телефон: +7 (495) 123-45-68
- Часы работы: Пн-Пт, 10:00-19:00 (МСК)
3. Категории собираемых данных
3.1 Данные, предоставляемые пользователем
Регистрационные данные:
- Имя пользователя (никнейм)
- Адрес электронной почты
- Номер телефона
- Пароль (в зашифрованном виде)
Данные профиля:
- Имя и фамилия
- Дата рождения
- Город проживания
- Аватар (фотография)
- Описание профиля
- Ссылки на социальные сети
Данные верификации:
- Паспортные данные (серия, номер, кем выдан, дата выдачи)
- Фотография документа
- Селфи с документом
- Адрес регистрации
Финансовые данные:
- Номер банковской карты (только последние 4 цифры)
- Реквизиты для вывода средств
- История транзакций
- Данные электронных кошельков
Коммуникационные данные:
- Сообщения в чате платформы
- Обращения в службу поддержки
- Отзывы и комментарии
3.2 Данные, собираемые автоматически
| Тип данных | Описание | Цель сбора |
|---|---|---|
| IP-адрес | Адрес устройства в сети | Безопасность, геолокация |
| User-Agent | Информация о браузере и ОС | Оптимизация отображения |
| Cookies | Идентификаторы сессии | Авторизация, персонализация |
| Геолокация | Страна и город (по IP) | Соответствие региональным правилам |
| Действия на сайте | Просмотры, клики, время | Аналитика и улучшение сервиса |
| Данные устройства | Тип устройства, разрешение экрана | Адаптивное отображение |
| Referrer | Источник перехода | Маркетинговая аналитика |
3.3 Данные из внешних источников
- Telegram: ID пользователя, имя (при авторизации через Telegram)
- Социальные сети: публичный профиль (при привязке)
- Платёжные системы: статус транзакций
- Сервисы верификации: результаты проверки документов
4. Цели обработки персональных данных
4.1 Основные цели
| Цель обработки | Правовое основание | Категории данных |
|---|---|---|
| Регистрация и авторизация | Исполнение договора | Регистрационные, контактные |
| Проведение сделок | Исполнение договора | Финансовые, контактные |
| Верификация личности | Законный интерес | Документы, биометрия |
| Предотвращение мошенничества | Законный интерес | Все категории |
| Техническая поддержка | Исполнение договора | Контактные, коммуникационные |
| Разрешение споров | Законный интерес | Все категории |
| Выполнение требований законодательства | Юридическая обязанность | По запросу органов |
4.2 Дополнительные цели
Маркетинговые коммуникации (только с согласия):
- Рассылка новостей и обновлений
- Персональные предложения и акции
- Опросы удовлетворённости
- Информация о новых функциях
Улучшение сервиса:
- Анализ поведения пользователей
- A/B тестирование функций
- Выявление и исправление ошибок
- Оптимизация производительности
Исследования и аналитика:
- Статистический анализ (обезличенные данные)
- Изучение тенденций рынка
- Развитие новых продуктов
4.3 Что мы НЕ делаем с вашими данными
Наши обязательства:
- Не продаём персональные данные третьим лицам
- Не передаём данные рекламодателям без вашего согласия
- Не используем данные для профилирования в дискриминационных целях
- Не храним данные дольше, чем это необходимо
- Не принимаем автоматических решений, существенно влияющих на права
5. Передача данных третьим лицам
5.1 Категории получателей
Платёжные системы и банки:
- ЮKassa, Stripe, PayPal — для обработки платежей
- Банки-эквайеры — для зачисления средств
- Системы быстрых платежей — для вывода средств
Сервисы верификации:
- SumSub, Onfido — для проверки документов
- Сервисы проверки телефона — для SMS-верификации
Технические провайдеры:
- Хостинг-провайдеры — для хранения данных
- CDN-сервисы — для доставки контента
- Сервисы электронной почты — для отправки уведомлений
Аналитические сервисы:
- Yandex.Metrica — веб-аналитика
- Google Analytics — анализ поведения (с анонимизацией IP)
- Sentry — мониторинг ошибок
Государственные органы:
- ФНС России — по запросу в рамках налогового контроля
- Правоохранительные органы — по официальным запросам
- Суды — в рамках судебных разбирательств
- Роскомнадзор — по запросам регулятора
5.2 Гарантии при передаче данных
При передаче данных третьим лицам мы обеспечиваем:
- Наличие договора об обработке данных с каждым получателем
- Соответствие получателя требованиям безопасности
- Передачу только минимально необходимого объёма данных
- Контроль за соблюдением условий обработки
5.3 Трансграничная передача данных
Ваши данные могут передаваться за пределы Российской Федерации в страны, обеспечивающие адекватную защиту персональных данных, или при наличии:
- Вашего явного согласия
- Необходимости исполнения договора
- Важных причин общественного интереса
- Стандартных договорных условий (SCC)
6. Сроки хранения данных
6.1 Общие сроки хранения
| Категория данных | Срок хранения | Основание |
|---|---|---|
| Регистрационные данные | Весь период использования + 3 года | Исполнение договора |
| Данные верификации | 5 лет с момента верификации | ФЗ-115 (ПОД/ФТ) |
| Финансовые транзакции | 7 лет | Налоговое законодательство |
| Переписка в чате | 3 года после последнего сообщения | Разрешение споров |
| Отзывы | Бессрочно (или до удаления пользователем) | Законный интерес |
| Логи активности | 1 год | Безопасность |
| Cookie-файлы | До 1 года (зависит от типа) | Функционирование сервиса |
| Маркетинговые данные | До отзыва согласия | Согласие |
6.2 Удаление данных
По истечении сроков хранения данные:
- Удаляются из активных систем
- Удаляются из резервных копий в течение 90 дней
- Анонимизируются для статистических целей (при необходимости)
6.3 Исключения
Данные могут храниться дольше установленных сроков при:
- Наличии открытых споров или судебных разбирательств
- Требовании государственных органов
- Необходимости защиты прав Lootly
7. Защита персональных данных
7.1 Технические меры защиты
Безопасность данных:
- Шифрование — AES-256 для данных в покое, TLS 1.3 для передачи
- Хеширование паролей — bcrypt с солью
- Сегментация сети — изоляция критических систем
- Firewall и WAF — защита от внешних атак
- DDoS-защита — фильтрация вредоносного трафика
- Мониторинг 24/7 — обнаружение аномалий
7.2 Организационные меры
- Политики информационной безопасности
- Обучение сотрудников работе с персональными данными
- Разграничение прав доступа (принцип минимальных привилегий)
- Регулярные аудиты безопасности
- Процедуры реагирования на инциденты
- Журналирование всех операций с данными
7.3 Физическая безопасность
- Дата-центры уровня Tier III и выше
- Контроль физического доступа
- Видеонаблюдение и охрана
- Резервное электропитание
- Противопожарные системы
7.4 Сертификации и соответствие
| Стандарт | Описание | Статус |
|---|---|---|
| PCI DSS | Безопасность платёжных данных | Соответствует |
| ISO 27001 | Система управления ИБ | В процессе сертификации |
| SOC 2 Type II | Контроль безопасности | Планируется |
| GDPR | Защита данных ЕС | Соответствует |
8. Файлы cookie и аналогичные технологии
8.1 Типы используемых cookie
| Тип cookie | Назначение | Срок жизни | Обязательность |
|---|---|---|---|
| Строго необходимые | Авторизация, безопасность, корзина | Сессия / 30 дней | Да |
| Функциональные | Настройки языка, темы, региона | 1 год | Нет |
| Аналитические | Статистика посещений, поведение | 2 года | Нет |
| Маркетинговые | Персонализированная реклама | 1 год | Нет |
8.2 Конкретные cookie
Собственные cookie Lootly:
session_id— идентификатор сессииauth_token— токен авторизацииtheme— выбранная тема интерфейсаlocale— язык интерфейсаcookie_consent— согласие на cookie
Сторонние cookie:
_ym_uid— Яндекс.Метрика (аналитика)_ga— Google Analytics (аналитика)intercom-id— Intercom (поддержка)
8.3 Управление cookie
Вы можете управлять cookie следующими способами:
- Баннер cookie — при первом посещении сайта
- Настройки браузера — блокировка всех или отдельных cookie
- Настройки аккаунта — управление предпочтениями на платформе
- Opt-out ссылки — отключение аналитических cookie
Важно: Отключение строго необходимых cookie может привести к невозможности использования отдельных функций платформы.
9. Права субъектов персональных данных
9.1 Ваши права
В соответствии с законодательством о персональных данных вы имеете право:
Право на доступ:
- Получить подтверждение обработки ваших данных
- Получить копию персональных данных
- Узнать цели и способы обработки
Право на исправление:
- Исправить неточные персональные данные
- Дополнить неполные данные
Право на удаление («право быть забытым»):
- Потребовать удаления персональных данных
- Действует при отзыве согласия или отсутствии законных оснований
Право на ограничение обработки:
- Приостановить обработку данных на время проверки
Право на переносимость:
- Получить данные в машиночитаемом формате (JSON, CSV)
- Передать данные другому оператору
Право на возражение:
- Возразить против обработки на основании законного интереса
- Возразить против обработки в маркетинговых целях
Право отозвать согласие:
- В любой момент отозвать ранее данное согласие
- Отзыв не влияет на законность обработки до отзыва
9.2 Как реализовать права
| Способ | Контакт | Срок ответа |
|---|---|---|
| privacy@lootly.com | 30 дней | |
| Личный кабинет | Раздел «Настройки → Приватность» | Мгновенно (для части функций) |
| Почта | 119021, г. Москва, ул. Льва Толстого, д. 16 | 30 дней |
| Форма на сайте | lootly.com/privacy-request | 30 дней |
9.3 Идентификация при обращении
Для защиты ваших данных от несанкционированного доступа при обращении мы можем запросить:
- Подтверждение владения аккаунтом
- Копию документа, удостоверяющего личность
- Дополнительные сведения для идентификации
9.4 Ограничения прав
Права могут быть ограничены, если:
- Это необходимо для защиты прав других лиц
- Данные необходимы для исполнения юридических обязательств
- Имеются законные основания для продолжения обработки
- Данные необходимы для судебных разбирательств
10. Обработка данных несовершеннолетних
10.1 Возрастные ограничения
Платформа Lootly предназначена исключительно для лиц, достигших 18 лет. Мы не собираем сознательно персональные данные лиц младше 18 лет.
10.2 Действия при обнаружении
Если нам станет известно, что мы получили персональные данные от несовершеннолетнего:
- Данные будут удалены в кратчайшие сроки
- Аккаунт будет заблокирован
- Родители/опекуны будут уведомлены (при возможности)
10.3 Сообщение о несовершеннолетних
Если вы считаете, что несовершеннолетний предоставил нам свои данные, пожалуйста, сообщите по адресу: privacy@lootly.com
11. Автоматизированное принятие решений
11.1 Использование автоматизации
Мы используем автоматизированные системы для:
| Процесс | Описание | Последствия |
|---|---|---|
| Антифрод | Анализ транзакций на подозрительность | Временная блокировка операций |
| Верификация | Проверка документов | Одобрение/отклонение верификации |
| Модерация | Фильтрация контента | Скрытие/удаление контента |
| Ценообразование | Динамические комиссии | Индивидуальные условия |
11.2 Права в отношении автоматизированных решений
Вы имеете право:
- Получить информацию о логике принятия решения
- Оспорить автоматизированное решение
- Потребовать участия человека в принятии решения
- Выразить свою точку зрения
11.3 Как оспорить решение
Для оспаривания автоматизированного решения:
- Обратитесь в поддержку с указанием решения
- Опишите причины несогласия
- Предоставьте дополнительные доказательства
- Ожидайте пересмотра с участием специалиста (до 5 рабочих дней)
12. Уведомление об инцидентах
12.1 Наши обязательства
В случае утечки персональных данных мы обязуемся:
- Уведомить Роскомнадзор в течение 24 часов
- Уведомить затронутых пользователей в течение 72 часов
- Принять меры по минимизации ущерба
- Провести расследование и устранить уязвимость
12.2 Содержание уведомления
Уведомление будет содержать:
- Описание характера инцидента
- Категории и приблизительное количество затронутых данных
- Возможные последствия
- Принятые меры по устранению
- Рекомендации для пользователей
- Контактные данные для вопросов
12.3 Каналы уведомления
- Email на адрес, указанный в профиле
- Push-уведомление в приложении
- Объявление на сайте (при массовом инциденте)
- SMS (для критических инцидентов)
13. Специальные категории данных
13.1 Биометрические данные
При прохождении верификации могут обрабатываться биометрические данные:
- Фотография лица — для сравнения с документом
- Liveness check — проверка «живости» при селфи
Гарантии обработки биометрии:
- Обработка только с явного согласия
- Использование только для верификации
- Хранение в зашифрованном виде
- Удаление после завершения верификации (хранится только результат)
- Передача только сертифицированным провайдерам
13.2 Данные о правонарушениях
Информация о банах и нарушениях на платформе обрабатывается для:
- Обеспечения безопасности платформы
- Предотвращения повторных нарушений
- Рассмотрения апелляций
14. Изменения Политики конфиденциальности
14.1 Порядок внесения изменений
Мы можем обновлять настоящую Политику для отражения:
- Изменений в законодательстве
- Новых функций платформы
- Изменений в практиках обработки данных
- Рекомендаций регуляторов
14.2 Уведомление об изменениях
| Тип изменения | Способ уведомления | Срок до вступления в силу |
|---|---|---|
| Несущественное | Обновление на сайте | Немедленно |
| Существенное | Email + уведомление на сайте | 14 дней |
| Критическое | Email + SMS + баннер | 30 дней |
14.3 Ваши действия при несогласии
Если вы не согласны с изменениями:
- Вы можете прекратить использование платформы
- Запросить удаление аккаунта и данных
- Продолжение использования означает согласие с новой редакцией
14.4 История изменений
| Версия | Дата | Основные изменения |
|---|---|---|
| 1.0 | 01.06.2025 | Первоначальная версия |
| 1.1 | 15.09.2025 | Добавлен раздел о биометрии |
| 2.0 | 28.12.2025 | Полная переработка документа |
15. Контактная информация
15.1 Вопросы по конфиденциальности
| Тема | Контакт |
|---|---|
| Общие вопросы | privacy@lootly.com |
| Реализация прав субъекта | rights@lootly.com |
| Офицер по защите данных | dpo@lootly.com |
| Жалобы на обработку | complaints@lootly.com |
15.2 Надзорный орган
Если вы считаете, что ваши права нарушены, вы можете обратиться в надзорный орган:
Роскомнадзор:
- Сайт: rkn.gov.ru
- Адрес: 109992, г. Москва, Китайгородский пр., д. 7, стр. 2
- Телефон: +7 (495) 983-33-93
Для резидентов ЕС:
- Надзорный орган страны вашего проживания
16. Глоссарий
| Термин | Определение |
|---|---|
| Персональные данные | Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу |
| Обработка | Любое действие с персональными данными (сбор, запись, хранение, изменение, удаление и др.) |
| Оператор | Лицо, определяющее цели и средства обработки персональных данных |
| Субъект данных | Физическое лицо, чьи персональные данные обрабатываются |
| Согласие | Добровольное, конкретное, информированное волеизъявление субъекта |
| Cookie | Небольшие текстовые файлы, сохраняемые на устройстве пользователя |
| Биометрические данные | Данные о физиологических и биологических особенностях человека |
| Трансграничная передача | Передача данных на территорию иностранного государства |
Дата вступления в силу: 28 декабря 2025 года
Предыдущая редакция: [Версия 1.1 от 15.09.2025]
Благодарим вас за доверие к платформе Lootly. Мы делаем всё возможное для защиты ваших персональных данных.
Защита персональных данных
По вопросам обработки персональных данных и реализации ваших прав обращайтесь к нашему офицеру по защите данных
privacy@lootly.comDPO: dpo@lootly.com • Адрес: 119021, г. Москва, ул. Льва Толстого, д. 16