Политика в отношении обработки персональных данных

Версия 1.0 Утверждена: 21 февраля 2026 г.

        Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и определяет порядок обработки персональных данных Оператором.
    

1. Общие положения

1.1. Оператор персональных данных: ООО «ЛЕКСАРА» (далее — «Оператор»).

1.2. Контактные данные Оператора: privacy@lexara.ru

1.3. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению их безопасности в рамках деятельности Оператора по предоставлению сервиса юридического документирования веб-контента LEXARA.

1.4. Политика разработана в соответствии с:

Конституцией Российской Федерации (ст. 23, 24);
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных».

2. Категории субъектов персональных данных

Категория	Описание
Пользователи Сервиса	Физические и юридические лица, зарегистрированные в Сервисе LEXARA для целей документирования веб-контента
Посетители сайта	Лица, посещающие сайт lexara.ru без регистрации
Заявители	Лица, направившие обращения через форму обратной связи

3. Категории обрабатываемых персональных данных

Категория данных	Состав	Категория субъектов
Идентификационные	Адрес электронной почты, номер телефона (опционально), ФИО (опционально), наименование организации (опционально)	Пользователи
Аутентификационные	Пароль (хеш bcrypt), токены двухфакторной аутентификации	Пользователи
Технические	IP-адрес, тип и версия браузера, ОС, разрешение экрана, часовой пояс, cookies	Пользователи, Посетители
Контактные	Имя, адрес электронной почты, тема и текст сообщения	Заявители
Платёжные (ограниченно)	Идентификатор транзакции, сумма, дата, последние 4 цифры карты. Полные реквизиты карт не обрабатываются Оператором.	Пользователи

4. Цели обработки персональных данных

Цель	Правовое основание	Категория данных
Регистрация и аутентификация	Исполнение договора (п. 5 ч. 1 ст. 6, 152-ФЗ)	Идентификационные, аутентификационные
Предоставление услуг документирования	Исполнение договора	Идентификационные, технические
Формирование протоколов	Исполнение договора	Технические
Обработка платежей	Исполнение договора	Платёжные
Обработка обращений	Согласие субъекта (ст. 9, 152-ФЗ)	Контактные
Обеспечение безопасности	Законный интерес оператора (п. 7 ч. 1 ст. 6, 152-ФЗ)	Технические
Статистика и улучшение Сервиса	Согласие субъекта	Технические (обезличенные)

5. Перечень действий с персональными данными

Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Обработка осуществляется с использованием средств автоматизации (информационные системы Сервиса) и без использования таких средств (бумажные носители — при необходимости).

6. Порядок и условия хранения персональных и прочих данных

Категория данных	Срок хранения	Основание
Данные учётной записи	До удаления аккаунта + 30 дней	Исполнение договора, восстановление
Протоколы документирования	5 лет	Обеспечение юридической значимости
Платёжные данные	5 лет	Требования бухгалтерского учёта (402-ФЗ)
Логи безопасности	1 год	Обеспечение безопасности ИСПДн
Журналы событий входа	90 дней	Внутренняя политика безопасности
Обращения через форму связи	30 дней	Обработка обращения
Записи о согласии	3 года с момента отзыва	Подтверждение правомерности обработки

По истечении срока хранения персональные данные подлежат уничтожению. Оператор проводит регулярную очистку данных с истекшим сроком хранения.

7. Передача персональных данных третьим лицам

7.1. Оператор не осуществляет продажу персональных данных. Передача персональных данных допускается исключительно в следующих случаях:

Платёжные провайдеры: ЮKassa (ООО «ЮКАССА»), Тинькофф Банк (АО «Тинькофф Банк») — для обработки платежей. Провайдеры сертифицированы по стандарту PCI DSS.
Хостинг-провайдеры: серверы размещены на территории Российской Федерации в соответствии с требованиями ч. 5 ст. 18 152-ФЗ.
Государственные органы: по законному запросу суда, прокуратуры, органов внутренних дел, ФСБ — в случаях, предусмотренных федеральным законодательством.

7.2. Трансграничная передача персональных данных не осуществляется.

8. Меры по обеспечению безопасности персональных данных

8.1. Организационные меры

Назначение ответственного за организацию обработки персональных данных;
Разработка и утверждение внутренних нормативных документов;
Ограничение круга лиц, имеющих доступ к персональным данным;
Регулярное обучение персонала;
Регулярный внутренний аудит соответствия обработки требованиям 152-ФЗ.

8.2. Технические меры

Шифрование данных при передаче (TLS 1.3);
Хеширование паролей (bcrypt с уникальной солью);
Защита сессий (HttpOnly, Secure, SameSite cookies; ротация refresh-токенов);
Изоляция баз данных в приватных сетях;
Резервное копирование данных;
Мониторинг и логирование инцидентов безопасности;
Межсетевое экранирование и система обнаружения вторжений;
Двухфакторная аутентификация (TOTP, SMS).

9. Права субъектов персональных данных

В соответствии со ст. 14-17 Федерального закона 152-ФЗ субъект персональных данных имеет право:

получить информацию об обработке своих персональных данных;
требовать уточнения, блокирования или уничтожения персональных данных;
отозвать согласие на обработку;
обжаловать действия Оператора в Роскомнадзор (77.rkn.gov.ru) или в суд;
получить копию персональных данных в машиночитаемом формате;
запросить удаление учётной записи и всех связанных данных.

Для реализации прав субъект направляет запрос на privacy@lexara.ru. Срок рассмотрения запроса — 30 (тридцать) рабочих дней.

10. Порядок обработки запросов субъектов

10.1. Запрос субъекта должен содержать: ФИО (или идентификатор учётной записи), адрес электронной почты, суть запроса.

10.2. Оператор обязан предоставить ответ в течение 30 (тридцати) рабочих дней с момента получения запроса.

10.3. Реализация запросов доступна также через личный кабинет Сервиса: раздел «Мои данные» позволяет экспортировать данные и направить запрос на удаление.

11. Ответственность Оператора

11.1. Оператор несёт ответственность за нарушение требований 152-ФЗ в соответствии с законодательством Российской Федерации.

11.2. В случае утечки персональных данных Оператор обязан уведомить Роскомнадзор в течение 24 часов и субъектов персональных данных — в течение 72 часов.