Правовые документы

Политика конфиденциальности

Версия: privacy-v2 · Дата вступления в силу: 30 мая 2026 г.
Оператор персональных данных: ИП Браер Сергей Львович, ИНН 591807793287, ОГРНИП 324595800091000, адрес для корреспонденции: г. Москва, e-mail: privacy@mxmt.org

1. Оператор персональных данных

ИП Браер Сергей Львович (далее — «MXMT», «мы», «Оператор») является оператором персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Настоящая Политика конфиденциальности описывает, какие данные мы собираем, для каких целей, как храним и защищаем их, а также какими правами обладают субъекты данных.

По вопросам обработки персональных данных: privacy@mxmt.org

2. Кого касается настоящая Политика

Настоящая Политика распространяется на следующие категории субъектов:

Пользователи платформы — лица, зарегистрированные в личном кабинете MXMT (cabinet) и использующие услуги Исполнителя.
Посетители сайтов через виджет — физические лица, заполняющие формы обратной связи, размещённые на сторонних сайтах с помощью виджета MXMT.
Посетители сайта mxmt.org — лица, просматривающие публичные страницы платформы.

3. Какие данные мы собираем

3.1. Пользователи платформы

Данные	Когда собираются	Обязательность
Адрес электронной почты	При регистрации / входе в систему	Обязательно
Пароль (хэш bcrypt)	При установке пароля	По выбору
IP-адрес	При каждом запросе	Автоматически
User-Agent браузера	При входе / создании сессии	Автоматически
Дата и время действий	Аутентификация, API-запросы	Автоматически
Список подключённых сайтов	При настройке виджета	По выбору
Настройки тарифного плана	При оплате	При оплате

3.2. Посетители сайтов через виджет MXMT

Если на сайте, которым пользуетесь вы, установлен виджет MXMT, при заполнении формы обратной связи мы можем получать следующие данные:

Данные	Назначение
Имя (по желанию посетителя)	Идентификация заявки
Номер телефона	Обратная связь с посетителем
Текст сообщения	Содержание заявки
IP-адрес посетителя	Защита от спама и злоупотреблений
User-Agent браузера	Технический журнал
URL страницы, с которой отправлена заявка	Аналитика источника трафика
Дата и время отправки заявки	Журнал заявок

Важно. Данные посетителей, собранные через виджет, передаются владельцу сайта (пользователю платформы MXMT), который является самостоятельным оператором персональных данных в отношении своих посетителей. MXMT выступает обработчиком этих данных на основании договора с владельцем сайта. Подробнее — в разделе 9.

3.3. Telegram-интеграция

Если пользователь платформы привязывает Telegram-аккаунт к своей учётной записи, мы сохраняем:

chat_id — числовой идентификатор чата в Telegram (необходим для отправки уведомлений);
username (@логин) — по желанию, для отображения в интерфейсе;
first_name — имя, переданное Telegram при нажатии кнопки /start.

Telegram-данные используются исключительно для доставки уведомлений о заявках через Bot API. При отвязке Telegram-аккаунта идентификатор chat_id удаляется в течение 30 дней.

3.4. Облачные сервисы, Офисный пакет и Резервное копирование

При использовании дополнительных услуг (Облачное хранилище на базе Nextcloud, Офисный пакет на базе OnlyOffice, Резервное копирование) мы обрабатываем:

Данные	Сервис	Назначение
Файлы и папки (содержимое, имена, структура)	Облако (Nextcloud)	Хранение и синхронизация данных пользователя
Метаданные файлов (размер, дата создания/изменения, владелец, ссылки совместного доступа)	Облако (Nextcloud)	Индексация, навигация, управление правами
Содержимое документов, история версий, участники совместного редактирования	Офисный пакет (OnlyOffice)	Открытие, редактирование и совместная работа с документами
Зашифрованные резервные копии данных	Резервное копирование	Восстановление данных после сбоя или случайного удаления

Важно. Данные облачных сервисов принадлежат пользователю. MXMT не анализирует содержимое файлов и документов, не передаёт их третьим лицам и использует исключительно для обеспечения работы соответствующего сервиса. При закрытии аккаунта данные удаляются в течение 30 дней (резервные копии — в течение 90 дней от последнего сохранения).

4. Правовые основания и цели обработки

Цель	Правовое основание (152-ФЗ)
Предоставление услуг платформы, исполнение договора	п. 5 ч. 1 ст. 6 — необходимость исполнения договора
Аутентификация и управление сессиями	п. 5 ч. 1 ст. 6 — необходимость исполнения договора
Обработка заявок через виджет на сайтах клиентов	п. 1 ч. 1 ст. 6 — согласие субъекта данных (через форму на сайте клиента)
Отправка уведомлений через Telegram	п. 5 ч. 1 ст. 6 — необходимость исполнения договора; п. 1 ч. 1 ст. 6 — согласие
Защита от злоупотреблений (rate limiting, блокировка)	п. 5 ч. 1 ст. 6 — законный интерес оператора по обеспечению безопасности
Выставление счётов, учёт платежей	п. 5 ч. 1 ст. 6 — необходимость исполнения договора; требования законодательства РФ
Хранение файлов и документов (Облако, Офисный пакет), резервное копирование	п. 5 ч. 1 ст. 6 — необходимость исполнения договора (предоставление оплаченной услуги)

5. Сроки хранения данных

Категория данных	Срок хранения
Учётная запись пользователя (email, хэш пароля)	До удаления аккаунта + 1 год для целей учёта
Сессионные токены	30 дней (скользящий срок активности)
Коды OTP (одноразовые пароли)	10 минут с момента выпуска
Заявки через виджет (лиды)	До удаления владельцем сайта или закрытия аккаунта
Telegram chat_id	До отвязки аккаунта + 30 дней на удаление
Журналы доступа (IP, User-Agent)	90 дней
Данные платёжных операций	5 лет (требование налогового законодательства РФ)
Файлы и документы в Облаке / OnlyOffice	До закрытия аккаунта + 30 дней на удаление
Резервные копии	90 дней от даты последнего сохранения (или до закрытия аккаунта)

6. Telegram-интеграция — подробнее

Для доставки уведомлений используется Telegram Bot API. Данные передаются серверам Telegram, Inc. в соответствии с Политикой конфиденциальности Telegram. MXMT не хранит историю сообщений — только факт доставки и технический статус.

Пользователь вправе в любой момент отвязать Telegram-аккаунт через личный кабинет. После отвязки уведомления в Telegram прекращаются немедленно, chat_id удаляется в течение 30 дней.

7. Платёжные данные

Оплата услуг осуществляется через платёжный агрегатор ООО «Робокасса» (Robokassa). MXMT не принимает и не хранит данные банковских карт. Все платёжные операции обрабатываются Robokassa в соответствии с требованиями PCI DSS.

Что получает MXMT от Robokassa: статус платежа (успешно / отклонено), сумма, дата, идентификатор транзакции. Данные карты (номер, CVV, срок действия) MXMT не получает и не обрабатывает.

Политика конфиденциальности Robokassa: robokassa.com

8. Облачные сервисы, Офисный пакет и Резервное копирование

При подключении услуг Облачное хранилище (Nextcloud), Офисный пакет (OnlyOffice) и Резервное копирование все данные хранятся на серверах, расположенных на территории Российской Федерации.

Nextcloud (облачное хранилище). Мы обрабатываем содержимое файлов и папок, их метаданные (имена, размеры, даты, структура) и ссылки совместного доступа исключительно для предоставления услуги хранения и синхронизации. Содержимое файлов не анализируется и не передаётся третьим лицам.
OnlyOffice (офисный пакет). Мы обрабатываем содержимое документов, историю версий и информацию об участниках совместного редактирования (если вы предоставили доступ другим пользователям). Данные используются только для открытия и редактирования документов.
Резервное копирование. Резервные копии хранятся в зашифрованном виде. Доступ к содержимому без ключа шифрования технически невозможен. Срок хранения резервных копий — 90 дней от даты последнего сохранения.

Данные принадлежат вам. При закрытии аккаунта все файлы, документы и резервные копии удаляются в течение 30–90 дней. MXMT не использует данные облачных сервисов для рекламных, аналитических или иных целей, не связанных с оказанием соответствующей услуги.

9. Виджет: разграничение ответственности операторов

Пользователь платформы (владелец сайта, установивший виджет MXMT), является самостоятельным оператором персональных данных в отношении посетителей своего сайта по смыслу ст. 3 Федерального закона № 152-ФЗ.

Владелец сайта обязан самостоятельно:

Разместить на сайте политику конфиденциальности, охватывающую сбор данных через форму виджета;
Обеспечить получение согласия посетителя на обработку данных (чекбокс в форме);
Соблюдать требования 152-ФЗ в части уведомления Роскомнадзора об операторской деятельности;
Обрабатывать запросы посетителей о доступе, изменении и удалении их данных.

MXMT хранит данные заявок исключительно для обеспечения работы сервиса и не использует их в иных целях. По письменному запросу владельца сайта MXMT удаляет все заявки, связанные с конкретным сайтом, в течение 30 дней.

10. Передача данных третьим лицам

Мы не продаём и не передаём персональные данные третьим лицам в маркетинговых целях. Данные могут быть переданы только в следующих случаях:

SMTP-провайдер — для доставки одноразовых кодов подтверждения (только адрес электронной почты и код);
Telegram, Inc. — для доставки уведомлений через Bot API (chat_id, текст уведомления);
ООО «Робокасса» — для обработки платёжных транзакций (email, сумма);
Государственные органы — по обоснованному требованию в соответствии с законодательством РФ.

Все серверы MXMT, на которых хранятся персональные данные граждан РФ, расположены на территории Российской Федерации в соответствии с требованиями ч. 5 ст. 18 Федерального закона № 152-ФЗ.

11. Файлы cookie и локальное хранилище

Платформа использует следующие технические механизмы хранения данных в браузере:

Механизм	Назначение	Срок
HTTP-cookie сессии	Аутентификация пользователя в личном кабинете (HttpOnly, Secure)	30 дней
localStorage (mxmt_setup_v2)	Флаг завершения onboarding-мастера	До очистки браузера
localStorage (mxmt_lang)	Выбранный язык интерфейса	До очистки браузера

Мы не используем маркетинговые cookie, трекинг-пиксели или счётчики сторонних аналитических платформ (Google Analytics, Яндекс.Метрика и аналогичные).

12. Безопасность данных

Пароли хранятся в виде хэша bcrypt (работа с открытым паролем исключена);
Коды OTP хранятся в виде HMAC-SHA256 хэша и действуют 10 минут;
Сессионные токены — криптографически случайные, передаются только по HTTPS;
Соединения защищены TLS 1.2+ (Let's Encrypt / ACME);
Доступ к базе данных ограничен внутренней сетью, прямое подключение извне исключено;
Журналы аудита хранятся отдельно и доступны только администраторам системы.

13. Ваши права (152-ФЗ)

Каждый субъект персональных данных вправе:

Получить информацию о составе обрабатываемых данных, целях и правовых основаниях обработки;
Запросить доступ к своим персональным данным (копию);
Потребовать исправления неточных или устаревших данных;
Отозвать согласие на обработку данных, основанную на согласии;
Потребовать удаления данных при отсутствии законных оснований для их хранения;
Возражать против обработки в целях, не связанных с исполнением договора;
Обратиться с жалобой в Роскомнадзор (rkn.gov.ru), если считаете, что ваши права нарушены.

Для реализации прав направьте запрос на privacy@mxmt.org с указанием вашего email-адреса (для идентификации) и сути запроса. Срок рассмотрения — не более 30 дней с даты получения.

14. Изменения настоящей Политики

Мы вправе обновлять Политику конфиденциальности. Актуальная версия всегда доступна на странице /legal/privacy.

При существенных изменениях (новые категории данных, новые цели, передача новым третьим лицам) мы уведомляем зарегистрированных пользователей по электронной почте не позднее чем за 14 дней до вступления изменений в силу.

Продолжение использования платформы после вступления изменений в силу означает согласие с обновлённой Политикой.

15. Контактные данные

Оператор персональных данных:
ИП Браер Сергей Львович
ИНН: 591807793287, ОГРНИП: 324595800091000
Адрес для корреспонденции: г. Москва
Email: privacy@mxmt.org

Смежные документы: Публичная оферта · Политика конфиденциальности