Политика определяет порядок обработки персональных данных пользователей Open Route VPN.
Оператор обрабатывает персональные данные пользователей сайта Open Route VPN, Telegram-бота Open Route VPN и каналов поддержки в соответствии с применимым законодательством Российской Федерации о персональных данных.
Оператором персональных данных является Исполнитель — физическое лицо, применяющее специальный налоговый режим «Налог на профессиональный доход».
Использование сайта, регистрация аккаунта, запрос одноразового кода, оплата подписки, привязка Telegram, использование Telegram-бота или обращение в поддержку означает предоставление данных, необходимых для соответствующего действия.
Категории субъектов персональных данных: посетители сайта, пользователи web-аккаунтов, пользователи Telegram-бота, плательщики подписки, лица, обращающиеся в поддержку, а также пользователи, добровольно связавшие Telegram с аккаунтом на сайте.
Политика применяется только к данным, которые обрабатываются Оператором в рамках сервиса Open Route VPN. Платежные страницы YooKassa, Telegram, почтовые сервисы и иные внешние сервисы могут применять собственные документы и правила.
Оператор может обрабатывать email пользователя, сведения об аккаунте, технические идентификаторы сессии, IP-адрес, user-agent, сведения о запросах одноразовых кодов, статусах платежей, сроке подписки, VPN-ключе, а также Telegram ID при добровольной привязке Telegram или использовании Telegram-бота.
К данным аккаунта относятся идентификатор аккаунта, основной email, время создания и обновления, статус аккаунта, сведения о сессиях, cookie сессии, CSRF-cookie, временные cookie для email при входе и регистрации, токены привязки Telegram в хэшированном виде и технические сведения о запросах.
К платежным данным относятся внутренний идентификатор платежа, идентификатор платежа YooKassa, выбранный период, сумма, валюта, статус платежа, внешний статус YooKassa, способ оплаты в виде типа метода, дата создания, дата оплаты, дата обработки, URL подтверждения оплаты и технические ошибки обработки при их наличии.
Для формирования, направления или корректировки чека НПД могут использоваться сведения о платеже, email аккаунта, сумма, дата оплаты, предмет расчета и иные данные, необходимые для налогового учета Исполнителя как плательщика НПД.
К данным подписки и VPN-доступа относятся VPN UUID, технический идентификатор VPN email, срок действия подписки, sid, время обновления ключа, идентификатор последнего платежа и сведения о применении доступа в панели управления.
Оператор не запрашивает паспортные данные, адрес регистрации, платежные реквизиты банковской карты и специальные категории персональных данных через формы регистрации и входа. Банковские реквизиты карты вводятся на стороне YooKassa или выбранного платежного метода и самостоятельно сервисом не обрабатываются.
Данные обрабатываются для регистрации и авторизации, отправки одноразовых кодов, предоставления и продления подписки, отображения VPN-ключа, обработки платежных статусов, связи с поддержкой, защиты от злоупотреблений, ведения истории платежей и исполнения требований законодательства.
Дополнительные цели обработки: создание и поддержание сессии пользователя, защита форм от CSRF, ограничение частоты запросов кодов и проверок, проверка успешности платежей в YooKassa, активация доступа в VPN-панели, синхронизация сайта и Telegram после добровольной привязки, обработка удаления аккаунта и восстановление платежей при технических сбоях.
Также данные могут использоваться для формирования и направления чеков НПД, корректировки сведений о расчете при полном или частичном возврате, налогового учета Исполнителя и подтверждения факта оплаты.
Контактные данные из обращений в поддержку используются для ответа на запрос, проверки аккаунта или платежа, решения технической проблемы, рассмотрения возврата и фиксации результата обращения.
Правовыми основаниями обработки являются согласие пользователя, исполнение договора с пользователем, выполнение обязанностей Оператора, предусмотренных законом, а также законный интерес в обеспечении безопасности сервиса и предотвращении злоупотреблений.
Обработка email, сведений аккаунта, платежей, подписки и VPN-идентификаторов необходима для заключения и исполнения договора оказания услуг. Обработка session-cookie, CSRF-cookie, IP-адреса, user-agent и rate-limit записей необходима для работы сайта, защиты аккаунтов, предотвращения злоупотреблений и обеспечения безопасности.
Обработка Telegram ID и данных Telegram-бота осуществляется при использовании пользователем Telegram-бота или при добровольной привязке Telegram к web-аккаунту. Пользователь может не привязывать Telegram и пользоваться web-аккаунтом, если функциональность сайта достаточна для его целей.
Оператор может осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу в случаях, необходимых для работы сервиса, блокирование, удаление и уничтожение персональных данных.
Обработка выполняется с использованием баз данных, серверной логики сайта, Telegram-бота, платежной интеграции YooKassa, SMTP/email-инфраструктуры, VPN-панели и технических средств защиты. Часть данных может обрабатываться автоматически, например при проверке платежа, создании сессии, выдаче VPN-ключа, продлении подписки или ограничении частоты запросов.
Одноразовые коды и токены привязки Telegram хранятся в виде хэшей. Сервис не хранит исходные значения одноразовых кодов после их создания, за исключением временного вывода в режиме разработки, если он явно включен в конфигурации.
Данные могут передаваться платежному сервису YooKassa для создания и проверки платежей, почтовому или SMTP-провайдеру для отправки одноразовых кодов, Telegram при использовании Telegram-бота или добровольной привязке аккаунта, поставщикам хостинга, базы данных, VPN-панели и технической инфраструктуры, а также государственным органам в случаях, предусмотренных законом.
В YooKassa передаются данные, необходимые для оплаты: сумма, валюта, описание подписки, выбранный период, идентификаторы аккаунта и платежа, адрес возврата после оплаты и техническая metadata. YooKassa самостоятельно обрабатывает платежные реквизиты и платежные инструменты в соответствии со своими правилами.
В Telegram могут передаваться сообщения, команды, идентификатор пользователя Telegram, уведомления о подписке и технические сведения, необходимые для работы Telegram-бота и поддержки. При открытии ссылки поддержки пользователь взаимодействует с Telegram как с внешним сервисом.
Оператор может поручать обработку данных техническим подрядчикам только в объеме, необходимом для работы сервиса, поддержки, защиты инфраструктуры, отправки сообщений, хранения данных, обработки платежей и исполнения договора.
Сведения о расчете могут передаваться налоговым или платежным сервисам, используемым Исполнителем для формирования, направления и корректировки чеков НПД, только в объеме, необходимом для исполнения обязанностей плательщика НПД.
Оператор не продает персональные данные пользователей.
Персональные данные хранятся не дольше, чем требуется для целей обработки, срока действия аккаунта, подписки, исполнения договора, урегулирования обращений, обеспечения безопасности и выполнения обязательных требований законодательства.
Сессии хранятся до истечения срока действия или выхода пользователя. Одноразовые коды и токены привязки Telegram имеют ограниченный срок действия. Rate-limit и технические записи хранятся в объеме, необходимом для защиты от злоупотреблений и расследования сбоев.
История платежей, платежные статусы, сведения о подписке и технические идентификаторы могут храниться после окончания подписки, если это необходимо для учета, возвратов, разрешения споров, бухгалтерских и налоговых требований, защиты прав сторон или восстановления доступа.
Пользователь может запросить удаление аккаунта через предусмотренный интерфейс. Если аккаунт привязан к Telegram, удаляется web-аккаунт, а доступ в Telegram может сохраняться. Если активной подписки нет, аккаунт удаляется сразу; при активной подписке удаление может быть отложено до окончания оплаченного периода. Отдельные сведения могут сохраняться после удаления, если это необходимо для исполнения требований закона, учета платежей или защиты прав сторон.
Оператор принимает организационные и технические меры для защиты персональных данных от неправомерного доступа, изменения, раскрытия, уничтожения или утраты.
В сервисе используются защищенные cookie с флагами HttpOnly, Secure и SameSite, CSRF-защита POST-запросов, хэширование одноразовых кодов и токенов привязки, ограничение частоты запросов, проверка источников webhook YooKassa по разрешенным сетям, проверка платежей через API YooKassa и ограничение доступа к административным функциям.
Доступ к персональным данным предоставляется только в объеме, необходимом для эксплуатации сервиса, технической поддержки, обработки платежей, обеспечения безопасности и исполнения законодательства.
Пользователь вправе запросить сведения об обработке своих персональных данных, уточнение, блокирование или удаление данных, отозвать согласие на обработку, а также направить обращение по контактам Оператора.
Пользователь также вправе получить информацию о целях обработки, составе данных, источнике получения данных, сроках обработки и лицах, которым данные могут передаваться, если такая информация не ограничена законом и может быть предоставлена после идентификации пользователя.
Отзыв согласия может повлиять на возможность использовать аккаунт и сервис, если обработка соответствующих данных необходима для предоставления подписки, ведения истории платежей, поддержки, безопасности или исполнения договора.
Для реализации прав пользователя Оператор может запросить сведения, достаточные для подтверждения принадлежности аккаунта или платежа заявителю: email аккаунта, дату и сумму платежа, внутренний идентификатор платежа, Telegram ID при обращении через Telegram или иную информацию, позволяющую исключить выдачу данных третьему лицу.
Обращения по вопросам персональных данных направляются по контактам, указанным в настоящей Политике. В обращении рекомендуется указать email аккаунта и суть запроса.
Запрос на отзыв согласия, уточнение, блокирование или удаление данных можно направить на email поддержки либо в Telegram поддержки. Если запрос связан с Telegram-ботом, рекомендуется дополнительно указать Telegram ID или отправить обращение из соответствующего Telegram-аккаунта.
Ответ направляется по каналу, с которого поступило обращение, либо на подтвержденный email аккаунта, если это необходимо для безопасности. Если для исполнения запроса требуется сохранить отдельные сведения по закону, для учета платежей, возврата, безопасности или защиты прав сторон, Оператор сообщает об этом пользователю в ответе.