Независимая экспертиза составов — без рекламы и партнёрских программ

152-ФЗ

Политика конфиденциальности

Обновлено: 19 мая 2026

Настоящая Политика описывает, какие персональные данные сервис selfvita собирает, для каких целей обрабатывает, сколько хранит и как их можно удалить. Документ составлен в соответствии с Федеральным законом № 152-ФЗ «О персональных данных».

1. Общие положения и термины

Настоящая Политика — публичный документ, обязательный для исполнения оператором сайта selfvita.com (далее — «сервис», «мы»). Используя сервис, пользователь подтверждает, что ознакомлен с Политикой и даёт согласие на обработку персональных данных на её условиях.

В Политике используются следующие термины:

  • Персональные данные — любая информация, прямо или косвенно относящаяся к определённому или определяемому физическому лицу (субъекту).
  • Обработка — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
  • Оператор — лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и состав данных.
  • Субъект — физическое лицо, чьи персональные данные обрабатываются.

2. Оператор обработки данных

Оператором персональных данных в рамках сервиса selfvita является:

  • Наименование: Индивидуальный предприниматель Бормоткин Иван Васильевич;
  • ИНН: 673203821665;
  • ОГРНИП: 324670000039018;
  • Юридический и почтовый адрес: 214018, Россия, Смоленская обл., г. Смоленск, пр-кт Гагарина, д. 72;
  • Email:info@selfvita.com;
  • Телефон:+7 (951) 666-85-72 (Пн-Пт 10:00–19:00 МСК).

Полная контактная информация и порядок обращения — на странице «Контакты».

3. Какие данные мы собираем

Мы стараемся собирать минимально необходимый объём данных. Конкретно:

3.1. При регистрации и аутентификации

  • адрес электронной почты;
  • пароль (хранится только в виде криптографического хеша, не в открытом виде);
  • метаданные подтверждения email (токен, время, статус).

3.2. При использовании сервиса

  • содержимое профиля, которое вы добровольно вносите (тип кожи, аллергии, отметка о беременности, хронические состояния — нужны для персонализации рейтинга);
  • загруженные составы и фото упаковок косметических средств (для разбора и истории сканов);
  • результаты разбора и связанные с ними оценки.

3.3. Технические данные

  • IP-адрес, заголовки User-Agent, отпечатки браузера (для защиты от ботов и мошенничества);
  • идентификаторы сессии и CSRF-токены;
  • журналы безопасности (audit log) — события входа, ошибок, попыток восстановления пароля.

3.4. Данные веб-аналитики

После явного согласия пользователя через cookie-баннер сервис собирает обезличенные данные о поведении на сайте средствами «Яндекс Метрики» (ООО «ЯНДЕКС», 119021, Москва, ул. Льва Толстого, д. 16):

  • посещённые страницы, источник перехода, параметры устройства и браузера, продолжительность и глубина сеанса;
  • действия на странице: клики, прокрутка, движения курсора, заполнение полей форм (без передачи значений, отмеченных как чувствительные);
  • записи пользовательских сеансов (технология «Вебвизор») — используются исключительно для диагностики UX и ошибок интерфейса, доступ ограничен оператором, передача третьим лицам не осуществляется.

Сервис веб-аналитики не загружается до явного согласия пользователя, не используется на административных страницах, не применяется для принятия юридически значимых решений в отношении пользователя и не связывается с медицинскими сведениями профиля для целей маркетингового профилирования. Пользователь может отозвать согласие в любое время, очистив cookies в настройках браузера или сменив выбор в cookie-баннере.

3.5. Платёжные данные (при разовой покупке расшифровок)

  • идентификатор транзакции на стороне платёжного провайдера, дата и сумма платежа, валюта, статус (успех / отмена / возврат), купленный набор расшифровок и срок их действия;
  • номер банковской карты, CVV-код, срок действия и иные платёжные реквизиты — обрабатываются исключительно на стороне платёжного провайдера (АО «Тинькофф Банк»). selfvita такие данные не получает и не сохраняет; соответствие стандарту PCI DSS обеспечивает провайдер. Реквизиты карт пользователя у нас не сохраняются — автоматические повторные списания и автопродление не применяются.

4. Цели обработки

Каждая категория данных обрабатывается строго в перечисленных ниже целях:

  • Аутентификация и доступ к сервису — email, пароль, сессионные данные.
  • Персонализация результатов проверки состава косметики — поля профиля (тип кожи, аллергии, беременность, хронические состояния).
  • Автоматизированный анализ составов средствами ИИ — обработка введённых составов и параметров профиля искусственным интеллектом для распознавания ингредиентов, формирования персонализированного рейтинга и подбора предупреждений. Результат носит информационный характер, не порождает для пользователя юридических последствий и не является медицинской рекомендацией.
  • История сканов и отчётов — загруженные составы и результаты разборов.
  • Безопасность — защита от подбора паролей, ботов, утечек: IP-адрес, User-Agent, журнал событий.
  • Сервисные коммуникации — подтверждение email, сброс пароля, уведомления о критических изменениях аккаунта.
  • Обеспечение разовых покупок расшифровок — обработка идентификатора платёжной транзакции, статуса оплаты, состава и срока действия купленного набора расшифровок; уведомления об успешных и неуспешных платежах; формирование фискальных чеков в соответствии с применимым законодательством. Автоматические повторные списания и автопродление не применяются.
  • Веб-аналитика и улучшение пользовательского опыта — обезличенные данные о поведении на сайте обрабатываются средствами «Яндекс Метрики» исключительно для диагностики ошибок, оптимизации интерфейса и общей статистики посещаемости. Данные веб-аналитики не используются для принятия в отношении пользователя юридически значимых решений и не объединяются с медицинскими сведениями профиля для маркетингового профилирования.
  • Соблюдение законодательства — реакция на законные запросы государственных органов в установленных законом случаях.

Маркетинговая рассылка не ведётся. Сервис не передаёт email и контактные данные рекламодателям и партнёрам.

5. Правовые основания

  • согласие пользователя на обработку персональных данных (ст. 6 ч. 1 п. 1 152-ФЗ);
  • исполнение договора, стороной которого является субъект — публичной оферты (ст. 6 ч. 1 п. 5 152-ФЗ);
  • исполнение обязанностей оператора, возложенных законодательством (ст. 6 ч. 1 п. 2 152-ФЗ);
  • законный интерес оператора в обеспечении безопасности сервиса (ст. 6 ч. 1 п. 7 152-ФЗ).

6. Срок и место хранения

Базы данных размещены на серверах в Российской Федерации. Резервные копии хранятся на территории РФ в зашифрованном виде. Трансграничная передача персональных данных не осуществляется.

Сроки хранения зависят от категории:

  • сессии — до 30 дней неактивности или до явного выхода;
  • токены подтверждения email и сброса пароля — 24 часа с момента создания;
  • журнал безопасности — 180 дней;
  • профильные данные и история сканов — пока действует учётная запись;
  • платёжные документы и связанные сведения о покупках — 5 лет (ст. 23 п. 1.8 Налогового кодекса РФ);
  • данные веб-аналитики «Яндекс Метрики» (включая записи сеансов) — на серверах ООО «ЯНДЕКС» на территории РФ в соответствии с политикой провайдера; типовой срок хранения сеансовых записей — до 15 месяцев, агрегированной статистики — до 25 месяцев;
  • после удаления аккаунта — необратимое удаление в течение 30 суток.

7. Передача третьим лицам

Мы не продаём и не сдаём ваши данные в аренду. Передача возможна только в следующих случаях:

  • Технические подрядчики — провайдер email-доставки, хостинг-провайдер. Доступ — минимально необходимый, по договору с требованиями к конфиденциальности.
  • Сервис веб-аналитики. При явном согласии пользователя обезличенные данные о поведении на сайте передаются ООО «ЯНДЕКС» (Россия, 119021, Москва, ул. Льва Толстого, д. 16) для работы сервиса «Яндекс Метрика» — см. Условия Яндекса. Данные обрабатываются на территории Российской Федерации.
  • Платёжный провайдер. При разовой покупке набора расшифровок данные передаются АО «Тинькофф Банк» (сервис «Тинькофф Эквайринг») в объёме, необходимом для проведения транзакции: email пользователя, идентификатор заказа, сумма и валюта, выбранный набор расшифровок. Платёжные реквизиты (полный номер карты, CVV) пользователь вводит непосредственно на  стороне провайдера в соответствующем PCI DSS-окружении; selfvita эти данные не получает и не хранит. Токены сохранённых карт для повторных списаний у нас не хранятся — автоматические повторные списания и автопродление не применяются. Платёжный провайдер также направляет пользователю фискальный чек 54-ФЗ на адрес электронной почты, привязанный к аккаунту. Платёжные документы хранятся у оператора в течение 5 лет (НК РФ ст. 23 п. 1.8).
  • Государственные органы — по обоснованному запросу в соответствии с законодательством РФ.
  • Реорганизация оператора — при слиянии или приобретении сервиса с уведомлением субъектов и сохранением условий настоящей Политики.

8. Cookies и аналогичные технологии

Подробное описание cookies и их назначения — в отдельном документе «Политика использования cookies». Кратко:

  • Технические cookies (сессия, CSRF-токен) — устанавливаются без согласия, без них сервис не работает.
  • Аналитические cookies «Яндекс Метрики» (включая технологию «Вебвизор») — устанавливаются только после явного согласия пользователя через cookie-баннер. Отзыв согласия возможен в любой момент.
  • Маркетинговые cookies — не используются. Сервис не размещает рекламу и не интегрируется с рекламными сетями.

9. Права субъекта персональных данных

В соответствии со ст. 14 152-ФЗ субъект имеет право:

  • получать сведения о факте обработки своих персональных данных;
  • требовать уточнения, блокировки или удаления данных, если они неполны, устарели или незаконно получены;
  • отозвать согласие на обработку (с пониманием, что это влечёт прекращение работы сервиса);
  • обжаловать действия или бездействие оператора в Роскомнадзоре или суде.
  • выразить несогласие с автоматизированной оценкой, сформированной средствами ИИ (см. п. «Автоматизированный анализ составов» в разделе 4): пользователь может направить обращение оператору с описанием спорной оценки. Оператор рассмотрит обращение, проверит данные и при необходимости скорректирует оценку или поясняющие материалы. Поскольку результат анализа носит информационный характер и не порождает для пользователя юридических последствий, требования ст. 16 152-ФЗ к автоматизированному принятию решений к сервису неприменимы в полной мере.

Запрос на реализацию любого из прав направляется в свободной форме на email оператора, указанный в разделе «Связь с оператором». Срок ответа — 30 дней с даты получения запроса.

Для защиты от неправомерного раскрытия данных третьим лицам оператор вправе запросить у заявителя сведения, позволяющие идентифицировать его как субъекта персональных данных (ст. 14 ч. 3 152-ФЗ). Запрос, направленный с email-адреса, отличного от адреса учётной записи, либо без достаточных идентифицирующих сведений, может быть отклонён или исполнен после дополнительной проверки. Срок ответа в этом случае исчисляется с момента получения необходимых для идентификации данных.

10. Меры защиты

Организационные и технические меры включают:

  • хранение паролей в виде криптографических хешей с уникальной солью (Argon2id);
  • шифрование канала передачи данных между браузером пользователя и сервером по протоколу HTTPS (TLS 1.2 и выше) — конфиденциальные сведения (пароль, токены, профильные данные) не передаются в открытом виде;
  • реквизиты банковской карты никогда не передаются и не сохраняются на стороне сервиса: ввод и обработка происходят на хостинговой форме платёжного провайдера АО «ТБанк» (сервис Tinkoff Эквайринг), сертифицированного по стандарту PCI DSS;
  • ограничение доступа сотрудников к персональным данным по принципу минимально необходимых полномочий;
  • журналирование действий с целью обнаружения инцидентов;
  • защиту от подбора паролей и автоматизированных атак: ограничение частоты запросов и пассивный анализ поведенческих сигналов — без CAPTCHA и без отслеживающих cookies третьих сторон;
  • защиту от XSS, CSRF, инъекций входных данных (валидация на стороне сервера);
  • регулярное резервное копирование с шифрованием.

11. Несовершеннолетние

Сервис не предназначен для пользователей младше 14 лет. Регистрируясь и используя сервис, пользователь подтверждает, что ему исполнилось 14 лет. При выявлении аккаунта, принадлежащего лицу младше 14 лет, такой аккаунт удаляется в кратчайший срок без сохранения данных и без возмещения каких-либо платежей.

Лица в возрасте от 14 до 18 лет используют сервис с уведомления и согласия законных представителей; ответственность за использование сервиса несовершеннолетним и за достоверность данных профиля несут законные представители.

12. Изменения Политики

Мы можем обновлять настоящую Политику. Каждая редакция получает дату обновления — указана в начале документа. Существенные изменения (новые цели обработки, новые категории передаваемых данных, новые подрядчики) сопровождаются email-уведомлением действующих пользователей не менее чем за 14 дней до вступления в силу.

13. Связь с оператором

По любым вопросам обработки персональных данных, реализации прав субъекта и иным вопросам Политики — пишите на info@selfvita.com. Дополнительная контактная информация — на странице /contacts.