Политика обработки персональных данных сервиса «tender-radar»

Редакция от 26 апреля 2026 г. (версия 1.0)

Настоящая Политика обработки персональных данных (далее — «Политика») разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, применяемые Индивидуальным предпринимателем Якуповым Азаматом Якуповичем (далее — «Оператор») при обработке персональных данных пользователей сервиса «tender-radar» (далее — «Сервис»).

Политика распространяется на все персональные данные, получаемые Оператором при взаимодействии с Пользователем через сайт tender-radar.ru, Telegram-бот, платёжные сервисы, e-mail-канал, а также иные каналы взаимодействия.

1. Оператор персональных данных

Индивидуальный предприниматель Якупов Азамат Якупович

ФИО: Якупов Азамат Якупович
ИНН: 560706685630
ОГРНИП: 325565800121457 (от 08.12.2025)
Адрес: 460000, Оренбургская обл., г. Оренбург, шоссе Загородное, д. 57/2, кв./оф. 5
E-mail для запросов субъектов ПДн: info@гарантий.рф
Сайт Сервиса: tender-radar.ru

Оператор обязан зарегистрироваться в Реестре операторов, осуществляющих обработку персональных данных (Роскомнадзор) до начала обработки и подать отдельное уведомление о трансграничной передаче ПДн до начала такой передачи — см. [[Чеклист-юрист]].

2. Основные понятия

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн).
Субъект ПДн — Пользователь Сервиса (физическое лицо, индивидуальный предприниматель, уполномоченный представитель юридического лица).
Обработка ПДн — любое действие (операция) или совокупность действий с ПДн (сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
Оператор — ИП Якупов А.Я. (см. раздел 1).
Трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
Локализация ПДн — требование ч. 5 ст. 18 152-ФЗ: при сборе ПДн граждан РФ запись, систематизация, накопление, хранение, уточнение и извлечение должны осуществляться с использованием баз данных, находящихся на территории РФ.

3. Правовые основания обработки

Оператор обрабатывает ПДн на следующих правовых основаниях:

Согласие субъекта ПДн (п. 1 ч. 1 ст. 6 152-ФЗ) — оформляется путём проставления чекбокса при регистрации и при акцепте [[Оферта]];
Исполнение договора, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 152-ФЗ) — публичной оферты [[Оферта]];
Исполнение обязанностей, возложенных на Оператора законодательством РФ (налоговое и бухгалтерское законодательство, 54-ФЗ о применении ККТ) — п. 2 ч. 1 ст. 6 152-ФЗ;
Достижение законных интересов Оператора (защита Сервиса от автоматизированных атак, антифрод, обеспечение информационной безопасности) — п. 7 ч. 1 ст. 6 152-ФЗ при условии соблюдения прав и свобод субъекта;
Отдельное согласие на трансграничную передачу — ст. 12 152-ФЗ (см. раздел 7.2 настоящей Политики).

4. Цели обработки персональных данных

Оператор обрабатывает ПДн в следующих целях:

Предоставление доступа к Сервису — создание и ведение аккаунта Пользователя в Личном кабинете и Telegram-боте.
Оказание услуг по договору — построение Профиля поставщика, формирование персональной ленты тендеров, AI-скоринг, отправка уведомлений.
Биллинг и финансовый учёт — выставление счетов, приём платежей через ЮKassa, формирование кассовых чеков (54-ФЗ), бухгалтерский и налоговый учёт.
Коммуникация с Пользователем — уведомления о новых тендерах, продлении подписки, технических работах, ответы на обращения.
Информационная безопасность — защита Сервиса от атак, мульти-аккаунтинга, парсинга, эксплуатации уязвимостей.
Аналитика и улучшение качества — веб-аналитика (Яндекс.Метрика), обезличенная статистика использования.
Рекламно-информационные рассылки — только при наличии отдельного согласия Пользователя (отдельный, не предустановленный чекбокс).

5. Категории обрабатываемых персональных данных

Оператор обрабатывает следующие категории ПДн:

5.1. Данные учётной записи и коммуникации

Имя (first_name), фамилия (опционально) — указывается Пользователем при регистрации;
E-mail — обязательное поле для входа, получения чеков, юридически значимых уведомлений;
Номер телефона — добровольно, для получения чеков ЮKassa и для пуш-уведомлений;
Идентификатор Telegram (user_id) и username — после привязки Telegram-бота для отправки дайджеста тендеров.

5.2. Данные Профиля поставщика

ИНН — указывается Пользователем для построения Профиля. Для физических лиц и индивидуальных предпринимателей ИНН относится к персональным данным; для юридических лиц ИНН не является ПДн, однако обрабатывается в той же системе. Пользователь, указывающий ИНН ИП или ИНН своей организации, подтверждает, что имеет право на использование данного ИНН;
Производные данные, получаемые автоматически из публичных реестров по указанному ИНН: наименование организации, ОГРН/ОГРНИП, ОКВЭД, юридический адрес, регион регистрации, бухгалтерская отчётность (выручка, баланс), история контрактов в ЕИС;
Указанные Пользователем настройки Профиля: ОКПД2, регионы работы, уровень СРО, дополнительные параметры фильтрации.

Важно. ИНН представителя юридического лица или физического лица-руководителя НЕ обрабатывается Оператором отдельно от ИНН организации. Если Пользователь указывает свой личный ИНН (как ИП или самозанятого) — он обрабатывается как ПДн в полном объёме настоящей Политики.

5.3. Платёжные данные

Факт и сумма платежа, дата, идентификатор транзакции ЮKassa;
Маскированный номер карты (последние 4 цифры), указание банка-эмитента — для отображения в истории платежей;
Полные реквизиты банковской карты Оператором НЕ обрабатываются — они передаются напрямую в ЮKassa и обрабатываются ей в соответствии со стандартом PCI DSS.

5.4. Пользовательский контент и метаданные

История взаимодействия с лентой тендеров (просмотры, сохранения, отметки «не интересно»);
История переписки с Telegram-ботом и нажатия на inline-кнопки;
Метаданные: временные метки авторизаций, IP-адрес посещения сайта, User-Agent браузера.

5.5. Техническая информация

Cookies и аналогичные технологии (сессия better-auth, Яндекс.Метрика);
Данные о сессии, устройстве, геолокации по IP на уровне города (для безопасности и аналитики).

Оператор НЕ обрабатывает:

специальные категории ПДн (сведения о расе, политических взглядах, здоровье, судимостях, биометрии);
ПДн несовершеннолетних — Сервис рассчитан исключительно на лиц старше 18 лет.

6. Источники получения данных

Непосредственно от Пользователя — при регистрации, в Личном кабинете, в диалоге с Telegram-ботом;
Из публичных реестров по запросу Пользователя — данные по указанному им ИНН поступают из ЕГРЮЛ/ЕГРИП (через сервис dadata.ru), бухгалтерской отчётности ФНС (через bo.nalog.ru), реестра контрактов ЕИС (через ftp.zakupki.gov.ru). Эти данные касаются преимущественно юридических лиц и являются открытой публичной информацией; в отношении ИП могут содержать ПДн (ФИО, адрес регистрации) — обрабатываются как ПДн;
От платёжного провайдера — ЮKassa передаёт факт оплаты, маскированный номер карты, идентификатор подписки;
Автоматически — cookies, IP, User-Agent при посещении сайта.

Оператор не приобретает базы ПДн у третьих лиц и не собирает ПДн из открытых источников сверх того, что необходимо для оказания услуг Пользователю по его явному запросу (ввод ИНН в форму Профиля).

7. Передача персональных данных третьим лицам

7.1. Перечень лиц, которым передаются ПДн (РФ-юрисдикция)

Оператор передаёт ПДн Пользователя ограниченному кругу обработчиков для достижения целей, указанных в разделе 4. Все нижеперечисленные обработчики размещают данные на территории Российской Федерации:

Получатель	Цель передачи	Объём передаваемых данных	Страна
ООО НКО «ЮMoney» (платёжный сервис ЮKassa)	Приём платежей по платным Тарифам, формирование чеков 54-ФЗ	E-mail, телефон, ФИО (если указаны), сумма, идентификатор подписки	РФ
ООО «Аеза Групп» (хостинг Aeza)	Размещение серверной инфраструктуры Сервиса (БД light-amber, compute fellow-tan, Москва)	Все данные, хранящиеся в БД Сервиса	РФ, г. Москва
ООО «Яндекс» (Яндекс.Метрика)	Веб-аналитика сайта `tender-radar.ru`	Обезличенные данные о посещении, cookies, IP	РФ
АО «Дадата» (dadata.ru)	Получение справочной информации по ИНН организации/ИП по запросу Пользователя	ИНН, указанный Пользователем для построения Профиля	РФ
Налоговая служба РФ (`bo.nalog.ru`, открытый API ФНС)	Получение бухгалтерской отчётности по указанному ИНН	ИНН	РФ (государственный источник)
ЕИС в сфере закупок (`zakupki.gov.ru`, `ftp.zakupki.gov.ru`)	Получение публичных сведений о тендерах и истории контрактов	Не передаются ПДн Пользователя; источник работает в одностороннем режиме (Сервис скачивает, не передаёт)	РФ

7.2. Трансграничная передача персональных данных

Для формирования AI-скора релевантности тендеров Оператор использует внешний сервис искусственного интеллекта DeepSeek, размещённый за пределами Российской Федерации.

Получатель	Страна	Что передаётся	Что НЕ передаётся	Основание
Hangzhou DeepSeek AI Fundamental Technology Research Co., Ltd. (DeepSeek)	Китайская Народная Республика	Описание тендера (наименование, ОКПД2, регион, НМЦК, сроки, требования к СРО — все эти данные являются открытыми и публикуются ЕИС); публичные параметры Профиля поставщика (ИНН организации, ОКВЭД, регионы работы, уровень СРО, агрегированная история контрактов)	E-mail Пользователя, телефон, имя/фамилия, пароли, банковские реквизиты, идентификатор Telegram, IP-адрес, история переписки с ботом	Отдельное согласие субъекта ПДн (ст. 12 152-ФЗ)
OpenRouter, Inc. (опционально, как посредник-агрегатор API)	Соединённые Штаты Америки	Транзитная передача того же объёма данных, что и в DeepSeek (OpenRouter маршрутизирует запросы к DeepSeek и аналогичным провайдерам); содержимое запросов на стороне OpenRouter в обучение моделей не направляется	То же	Отдельное согласие субъекта ПДн (ст. 12 152-ФЗ)

Условия трансграничной передачи:

Передача производится только при наличии явно выраженного согласия Пользователя, оформленного отдельным чекбоксом при регистрации и при акцепте [[Оферта]]. Данный чекбокс не предустановлен и не объединён с общим согласием на обработку ПДн;
В соответствии с ч. 4 ст. 12 152-ФЗ (в редакции от 14.07.2022) Оператор уведомляет Роскомнадзор о намерении осуществлять трансграничную передачу ПДн до её начала. Срок рассмотрения уведомления Роскомнадзором — 10 рабочих дней. До получения подтверждения трансграничная передача не производится. Подробности — [[Чеклист-юрист]];
Состав передаваемых данных: для AI-скоринга в DeepSeek/OpenRouter передаются только:
- публичные сведения о тендере (наименование, ОКПД2, регион работ, НМЦК, сроки, требования к СРО) — все эти данные опубликованы ЕИС в открытом доступе и не содержат ПДн самого Пользователя;
- публичные параметры Профиля (ИНН организации/ИП, ОКВЭД, регионы, уровень СРО, агрегаты по истории контрактов).
ИНН индивидуального предпринимателя или самозанятого, обрабатываемый как ПДн в системе Оператора, передаётся в составе Профиля для целей AI-скоринга. Это обстоятельство является основанием для оформления отдельного согласия на трансграничную передачу (даже если основной объём передаваемых данных — публичный);
НЕ передаются в DeepSeek и OpenRouter: e-mail, имя/фамилия, телефон, пароли, банковские данные, идентификатор Telegram, IP-адрес, история переписки с Сервисом;
Пользователь вправе отозвать согласие на трансграничную передачу в любой момент, направив запрос на info@гарантий.рф. После отзыва AI-скоринг для Пользователя становится недоступен; лента тендеров продолжает работать без AI-скора (отбор по точным фильтрам — ОКПД2, регион, НМЦК).

Политики провайдеров на дату редакции Политики:

DeepSeek API (paid-tier, через OpenRouter) — пользовательские запросы не направляются в обучение моделей; срок хранения логов — до 30 дней для целей abuse-контроля. Условия: platform.deepseek.com/terms;
OpenRouter — выступает агрегатором API; при использовании paid-tier-провайдеров (включая DeepSeek) запросы маршрутизируются без логирования содержимого на стороне OpenRouter. Условия: openrouter.ai/terms.

На стороне Оператора содержимое запросов к AI-провайдерам сохраняется в виде кеша AI-скоров (TenderMatch.score_reason) — обезличенно, без привязки к конкретному физическому лицу-пользователю (привязка только к Профилю поставщика, идентифицируемому ИНН организации).

7.3. Передача через Telegram

Уведомления Пользователю отправляются через Telegram Bot API. Telegram Messenger LLP размещает серверы в международной юрисдикции. Передаются: содержимое сообщения (краткие описания тендеров без ПДн Пользователя), chat_id Пользователя, время отправки. Telegram не используется в качестве канала передачи ПДн Пользователя третьим лицам — только для адресной доставки сообщений самому Пользователю.

7.4. Передача по требованию государственных органов

Оператор раскрывает ПДн государственным органам Российской Федерации при наличии законного запроса (суд, следствие, Роскомнадзор, ФНС и т. п.). О факте раскрытия (если это не запрещено законом) Оператор уведомляет Пользователя.

8. Локализация ПДн (ч. 5 ст. 18 152-ФЗ)

Все базы данных Сервиса, содержащие ПДн граждан РФ, размещаются на территории Российской Федерации:

Основная база данных PostgreSQL — сервер light-amber (хостинг ООО «Аеза Групп», ЦОД Москва);
Резервные копии — Aeza Object Storage / локальное зашифрованное хранилище в том же ЦОД;
Backend-инфраструктура (Next.js, парсер, Telegram-бот) — сервер fellow-tan того же провайдера, г. Москва.

Первичная запись, систематизация, накопление, хранение, уточнение и извлечение ПДн осуществляются исключительно на серверах в РФ. Трансграничная передача (см. раздел 7.2) производится только в режиме «отправка для целей обработки и получения ответа», без перенесения первичной базы за рубеж.

9. Сроки хранения персональных данных

Категория данных	Срок хранения	Основание
Данные учётной записи (e-mail, имя, Telegram ID)	В течение срока действия аккаунта + 5 лет после удаления аккаунта (для целей бухгалтерского учёта по факту последнего платежа)	Налоговое законодательство (ст. 23 НК РФ), 54-ФЗ
Данные Профиля поставщика (ИНН, ОКВЭД, СРО)	В течение срока действия Профиля + 30 дней после удаления (восстановление при возобновлении)	Исполнение договора
Платёжные данные, история транзакций, чеки	5 лет	Налоговое законодательство, 54-ФЗ
История ленты тендеров (просмотры, сохранения)	В течение срока действия Подписки + 90 дней после её окончания	Исполнение договора
История переписки с Telegram-ботом	В течение срока действия аккаунта + 30 дней	Исполнение договора
Cookies, данные Яндекс.Метрики	До 25 месяцев (обезличенно)	Политика Яндекс.Метрики
Кеш AI-скоров (TenderMatch на стороне Оператора)	В течение срока действия Профиля + 30 дней	Исполнение договора
Логи запросов к DeepSeek/OpenRouter на стороне провайдера	До 30 дней (DeepSeek), без логирования содержимого (OpenRouter)	Политики провайдеров

По истечении срока хранения ПДн удаляются или обезличиваются. Данные удаляются досрочно по отзыву согласия Пользователя, за исключением данных, которые Оператор обязан хранить по закону (платёжные документы — 5 лет).

10. Права субъекта персональных данных

Пользователь в соответствии со ст. 14–17 152-ФЗ вправе:

Получать информацию об обработке своих ПДн: перечень данных, цели, сроки, правовые основания, перечень обработчиков (ст. 14 152-ФЗ);
Требовать уточнения своих ПДн, блокирования или удаления — если ПДн неполные, устаревшие, неточные, незаконно полученные или более не нужны для целей обработки;
Отозвать согласие на обработку ПДн — полностью или в части (например, только на трансграничную передачу, или только на рекламные рассылки);
Получить копию своих ПДн в структурированном виде (право на переносимость);
Обжаловать действия или бездействие Оператора в Роскомнадзоре (rkn.gov.ru) или в суде.

Как воспользоваться правами

Через Личный кабинет:

удаление аккаунта — на странице /account (кнопка «Удалить аккаунт»);
отзыв согласия на трансграничную передачу — на странице /account (отдельный переключатель);
отписка от рекламных рассылок — ссылка в каждом письме рассылки или переключатель в настройках.

По e-mail:

Направить запрос на info@гарантий.рф с темой «Запрос субъекта ПДн». В теле письма указать:

ФИО / e-mail аккаунта / ИНН Профиля (если был указан);
суть запроса (получить копию, удалить, исправить, отозвать согласие);
контактный e-mail для ответа.

Срок обработки запроса — не более 10 рабочих дней с даты получения (может быть продлён до 30 дней с уведомлением субъекта о причинах продления).

При отзыве согласия на обработку ПДн, если такая обработка является необходимой для оказания услуг по [[Оферта]], Оператор вправе прекратить исполнение договора с возвратом средств за неиспользованный период (раздел 5 [[Оферта]]).

11. Меры по защите персональных данных

Оператор принимает организационные и технические меры защиты ПДн в соответствии со ст. 18.1 и ст. 19 152-ФЗ:

Организационные:

Назначено лицо, ответственное за обработку ПДн (ИП Якупов А.Я. лично или уполномоченный представитель);
Утверждена настоящая Политика и внутренние инструкции по обработке ПДн;
Ограничен круг лиц, имеющих доступ к ПДн (только владелец ИП и привлечённые подрядчики на условиях NDA);
Проводится периодический аудит журналов доступа.

Технические:

Хостинг в РФ — сервер БД light-amber и серверы приложения fellow-tan размещены в ЦОД Aeza, Москва, на территории Российской Федерации;
Аутентификация по SSH-ключам, парольный вход на серверы отключён;
Шифрование канала передачи — HTTPS / TLS 1.3 на сайте tender-radar.ru, TLS в API ЮKassa, dadata, OpenRouter, Telegram;
Хеширование паролей — алгоритмы bcrypt/argon2 (стандарт better-auth);
IP-whitelist на webhook ЮKassa (диапазоны 185.71.76.0/27, 185.71.77.0/27);
Изоляция данных Пользователей по user_id в рамках Prisma-схемы (multi-tenancy);
Регулярные резервные копии БД в зашифрованном хранилище (ежедневно, ротация 7 дней);
Ротация секретов при подозрении на компрометацию;
Мониторинг и журналирование подозрительной активности (rate-limit, анти-бот-детект, попытки парсинга).

При выявлении инцидента, связанного с неправомерной или случайной передачей (предоставлением, распространением, доступом) ПДн:

в течение 24 часов с момента выявления Оператор уведомляет Роскомнадзор о факте инцидента и предполагаемых причинах (ч. 3.1 ст. 21 152-ФЗ);
в течение 72 часов — направляет в Роскомнадзор сведения о результатах внутреннего расследования и принятых мерах;
в течение 24 часов с момента выявления инцидента Оператор уведомляет затронутых субъектов ПДн на адрес электронной почты, указанный при регистрации, и через уведомление в Личном кабинете. Уведомление содержит: дату и время инцидента, состав затронутых ПДн, предполагаемые последствия для субъекта, принятые и планируемые меры по устранению, контакты Оператора для дополнительных вопросов и инструкции по защите (например, смена пароля, мониторинг карт).

За нарушение указанных сроков и требований Оператор несёт ответственность по ч. 10–11 ст. 13.11 КоАП РФ (в редакции с 30.05.2025) — штраф для индивидуальных предпринимателей до 3 млн ₽, при повторном нарушении — оборотные штрафы 1–3% выручки.

12. Использование cookies и аналогичных технологий

Сайт tender-radar.ru использует cookies для:

технической работы сайта — сессии, авторизация в Личном кабинете (better-auth session cookie);
веб-аналитики — Яндекс.Метрика (обезличенные данные о поведении пользователей);
сохранения пользовательских настроек — выбранные фильтры ленты, тема оформления.

При первом посещении сайта Пользователь видит баннер согласия на cookies с возможностью:

принять все cookies (включая аналитические);
принять только технически необходимые;
закрыть баннер без выбора — в этом случае загружаются только технически необходимые cookies до явного выбора Пользователя.

Пользователь может в любой момент отключить cookies в настройках браузера — часть функций Сервиса (авторизация в Личном кабинете) станет недоступной.

13. Изменения Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда доступна по адресу tender-radar.ru/legal/privacy. Существенные изменения доводятся до Пользователя через уведомление в Личном кабинете и по e-mail не позднее чем за 14 (четырнадцать) календарных дней до вступления в силу.

При несогласии с новой редакцией Пользователь вправе:

отозвать согласие на обработку ПДн (раздел 10);
отказаться от Сервиса с возвратом средств за неиспользованный период (раздел 5 [[Оферта]]).

14. Контакты

Вопросы по обработке ПДн:

E-mail: info@гарантий.рф
Почтовый адрес: 460000, Оренбургская обл., г. Оренбург, шоссе Загородное, д. 57/2, кв./оф. 5
Надзорный орган: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — rkn.gov.ru, телефон Управления РКН по Оренбургской области уточнять на сайте РКН.

Связанные документы

[[Оферта]] — публичная оферта
[[EULA]] — пользовательское соглашение
[[Чеклист-юрист]] — чеклист проверки перед запуском
[[Архитектура]] — техническая архитектура Сервиса (для понимания состава обработки)
[[../../Секреты/Реквизиты-ИП-Якупов]] — реквизиты Оператора (внутренний документ)

Документ подготовлен на основе требований 152-ФЗ в редакции от 28.12.2024 (с учётом изменений по локализации и трансграничной передаче, действующих на 26 апреля 2026 г.). Перед запуском продаж рекомендуется дополнительная проверка практикующим юристом по защите персональных данных (1–2 часа, 3–5 тыс. руб.), особенно в части трансграничной передачи и регистрации в реестре операторов Роскомнадзора.