Назад

Политика конфиденциальности (Privacy Policy)

Последнее обновление: 29 мая 2026 года

Настоящая Политика конфиденциальности разработана в соответствии с требованиями Регламента (ЕС) 2016/679 (General Data Protection Regulation, GDPR) и Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (ФЗ-152).

1. Оператор персональных данных (Data Controller)

Оператором персональных данных, ответственным за сбор, обработку и защиту Ваших персональных данных при использовании сервиса ContractGen, является:

Наименование: ContractGen Inc.

Юридический адрес: 251 Little Falls Drive, Wilmington, Delaware 19808, USA

Регистрационный номер: [Registration Number]

Email: privacy@contractgen.io

Веб-сайт: contractgen.io

1.1. Ответственный за защиту данных (Data Protection Officer / DPO).В соответствии с требованиями GDPR, мы назначили Ответственного за защиту данных, к которому Вы можете обратиться по всем вопросам, связанным с обработкой Ваших персональных данных и реализацией Ваших прав.

Контакт DPO:

Email: dpo@contractgen.io

Тема письма: Data Protection Inquiry

1.2. Представитель в ЕС. Для субъектов данных, находящихся на территории Европейского Союза, мы назначили представителя в соответствии со статьёй 27 GDPR. Контактные данные представителя: eu-representative@contractgen.io.

1.3. Представитель в России. Для субъектов персональных данных, находящихся на территории Российской Федерации, вопросы обработки персональных данных могут быть адресованы на: russia@contractgen.io.

2. Какие данные мы собираем (Data We Collect)

Мы собираем и обрабатываем следующие категории персональных данных:

2.1. Данные, предоставляемые Вами напрямую (Data You Provide)

a) Регистрационные данные:

  • Адрес электронной почты (email address)
  • Имя и фамилия (full name)
  • Название организации (company name) — при наличии
  • Пароль (в зашифрованном виде)
  • Фотография профиля — при загрузке

b) Контент договоров (Contract Content):

  • Имена сторон договора (инфлюенсеры, бренды, агентства)
  • Контактные данные сторон (email, телефон, адрес)
  • Финансовые условия (суммы вознаграждения, графики оплаты)
  • Условия сотрудничества (сроки, обязательства, ограничения)
  • Параметры контента (платформы, форматы, требования)
  • Иные данные, вводимые в формы генерации договоров

c) Платёжные данные (Payment Data):

  • Данные банковской карты (обрабатываются исключительно через Stripe)
  • Платёжный адрес (billing address)
  • История транзакций
  • Налоговый идентификационный номер (при необходимости выставления счетов)

d) Коммуникационные данные:

  • Содержание обращений в службу поддержки
  • Переписка по электронной почте
  • Отзывы и комментарии

2.2. Данные, собираемые автоматически (Automatically Collected Data)

a) Технические данные:

  • IP-адрес (IP address)
  • Тип и версия браузера (browser type and version)
  • Операционная система (operating system)
  • Тип устройства (desktop, mobile, tablet)
  • Разрешение экрана
  • Языковые настройки
  • Часовой пояс

b) Данные об использовании (Usage Data):

  • Дата и время посещения
  • Просмотренные страницы и время на странице
  • Последовательность действий (clickstream data)
  • Источник перехода (referrer URL)
  • Количество сгенерированных договоров
  • Используемые функции и шаблоны
  • Ошибки и сбои при использовании

c) Данные cookies и схожих технологий:

  • Идентификаторы сессии
  • Предпочтения пользователя
  • Аутентификационные токены
  • Аналитические идентификаторы

2.3. Данные из сторонних источников (Third-Party Data)

При авторизации через сторонние сервисы (OAuth) мы можем получать:

  • Google: email, имя, фото профиля, идентификатор Google
  • GitHub: email, имя, фото профиля, идентификатор GitHub

3. Правовые основания обработки (Legal Basis for Processing)

В соответствии с GDPR (статья 6) и ФЗ-152 (статья 6), мы обрабатываем персональные данные на следующих правовых основаниях:

3.1. Исполнение договора (Contract Performance) — Статья 6(1)(b) GDPR.Обработка необходима для исполнения договора, стороной которого Вы являетесь (Пользовательское соглашение), или для принятия мер по Вашему запросу до заключения договора.

  • Создание и управление Учётной записью
  • Предоставление услуг генерации договоров
  • Обработка платежей
  • Обеспечение технической поддержки

3.2. Согласие (Consent) — Статья 6(1)(a) GDPR.Вы дали согласие на обработку персональных данных для одной или нескольких конкретных целей.

  • Маркетинговые рассылки и новостные письма
  • Использование необязательных cookies (аналитических, маркетинговых)
  • Персонализированная реклама
  • Участие в исследованиях и опросах

3.3. Законные интересы (Legitimate Interests) — Статья 6(1)(f) GDPR.Обработка необходима для реализации законных интересов Оператора или третьей стороны, за исключением случаев, когда такие интересы перевешиваются интересами или правами субъекта данных.

  • Улучшение и развитие Сервиса
  • Анализ использования для оптимизации
  • Обеспечение безопасности и предотвращение мошенничества
  • Защита прав и законных интересов Оператора
  • Коммуникация по сервисным вопросам

3.4. Юридические обязательства (Legal Obligation) — Статья 6(1)(c) GDPR.Обработка необходима для выполнения юридических обязательств Оператора.

  • Ведение бухгалтерского и налогового учёта
  • Предоставление информации по запросам государственных органов
  • Соблюдение требований о противодействии отмыванию денег (AML)

4. Цели обработки данных (How We Use Your Data)

Мы используем собранные персональные данные для следующих целей:

4.1. Предоставление основных услуг:

  • Регистрация и аутентификация пользователей
  • Генерация договоров на основе введённых данных
  • Хранение и управление сгенерированными документами
  • Обеспечение доступа к функционалу согласно тарифному плану

4.2. Обработка платежей:

  • Проведение платежных транзакций
  • Управление подписками и выставление счетов
  • Возврат средств при необходимости
  • Предотвращение мошеннических транзакций

4.3. Коммуникация:

  • Отправка сервисных уведомлений (подтверждение регистрации, изменение пароля)
  • Информирование об изменениях в условиях обслуживания
  • Ответы на обращения в службу поддержки
  • Маркетинговые коммуникации (при наличии согласия)

4.4. Улучшение сервиса:

  • Анализ использования для выявления проблем
  • Разработка новых функций на основе обратной связи
  • Оптимизация производительности
  • Персонализация пользовательского опыта

4.5. Обеспечение безопасности:

  • Обнаружение и предотвращение несанкционированного доступа
  • Мониторинг подозрительной активности
  • Защита от DDoS-атак и других угроз
  • Аудит и ведение журналов безопасности

4.6. Соблюдение правовых требований:

  • Выполнение требований законодательства
  • Ответы на запросы государственных органов
  • Защита прав в судебных разбирательствах

5. Передача данных третьим лицам (Data Sharing)

Мы можем передавать Ваши персональные данные следующим категориям получателей:

5.1. Поставщики услуг (Service Providers)

ПоставщикЦельДанныеЮрисдикция
SupabaseХостинг базы данных, аутентификацияВсе данные аккаунта, контент договоровСША
PaddleMerchant of Record, обработка платежей, выставление счетов, налоговое соответствиеEmail, имя, платёжный адрес, данные платёжного метода (обрабатываются напрямую Paddle), история транзакцийВеликобритания / США
OpenAIAI-генерация договоровДанные из форм генерации (анонимизированные)США
AnthropicAI-генерация договоров (альтернативный провайдер)Данные из форм генерации (анонимизированные)США
ResendОтправка email-уведомленийEmail, имяСША
VercelХостинг веб-приложенияIP-адрес, технические данныеСША

5.2. Обработка платежей (Paddle)

Мы используем Paddle.com Market Limited в качестве нашего Merchant of Record для обработки платежей. Когда Вы совершаете покупку, Paddle собирает и обрабатывает Вашу платёжную информацию. Практики Paddle в отношении конфиденциальности регулируются их Политикой конфиденциальности: https://paddle.com/legal/privacy

Данные, передаваемые Paddle:

  • Адрес электронной почты
  • Платёжный адрес (billing address)
  • Данные платёжного метода (обрабатываются напрямую Paddle, не хранятся нами)
  • История транзакций

Paddle выступает в роли контроллера данных для платёжной информации и несёт ответственность за её безопасное хранение и обработку в соответствии с PCI DSS и GDPR.

5.3. Аналитические сервисы

  • Google Analytics: анализ трафика и поведения пользователей (при наличии согласия)
  • Mixpanel: продуктовая аналитика (при наличии согласия)
  • Sentry: мониторинг ошибок и производительности

5.4. Иные случаи передачи

a) Юридические требования: Мы можем раскрыть данные, если это требуется законом, судебным решением или запросом государственного органа.

b) Защита прав: Для защиты наших прав, собственности или безопасности, а также прав, собственности или безопасности наших пользователей или третьих лиц.

c) Реорганизация бизнеса: В случае слияния, поглощения, продажи активов или банкротства персональные данные могут быть переданы правопреемнику.

5.5. Гарантии при передаче

Все поставщики услуг связаны договорными обязательствами по защите данных (Data Processing Agreements), соответствующими требованиям GDPR и ФЗ-152. Мы проводим проверку (due diligence) поставщиков на соответствие стандартам безопасности.

6. Международная передача данных (International Data Transfers)

6.1. Передача в США и третьи страны. Наши серверы и большинство поставщиков услуг расположены в Соединённых Штатах Америки. При передаче данных из ЕС или России в США и другие страны, не обеспечивающие адекватный уровень защиты данных, мы применяем следующие механизмы защиты:

6.2. Стандартные договорные положения (Standard Contractual Clauses, SCC).Мы заключаем с поставщиками услуг Стандартные договорные положения, утверждённые Европейской комиссией (Решение 2021/914), обеспечивающие адекватный уровень защиты данных при трансграничной передаче.

6.3. Data Privacy Framework. Где применимо, мы работаем с компаниями, сертифицированными в рамках EU-U.S. Data Privacy Framework, Swiss-U.S. Data Privacy Framework и UK Extension.

6.4. Дополнительные меры защиты. Помимо договорных механизмов, мы применяем технические и организационные меры защиты, включая шифрование данных при передаче (TLS 1.3) и хранении, псевдонимизацию и минимизацию данных.

6.5. Особенности для России. В соответствии с требованиями ФЗ-152 (пункт 5 статьи 18), при сборе персональных данных граждан Российской Федерации через сеть Интернет обеспечивается запись, систематизация, накопление, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством.

7. Сроки хранения данных (Data Retention)

Мы храним персональные данные в течение периода, необходимого для достижения целей обработки или в соответствии с требованиями законодательства:

Категория данныхСрок храненияОснование
Данные Учётной записиДо удаления аккаунта + 30 днейИсполнение договора
Сгенерированные договорыДо удаления аккаунта + 30 днейИсполнение договора
Платёжные данные7 лет с момента транзакцииНалоговое законодательство
Счета и инвойсы7 летБухгалтерский учёт
Журналы безопасности1 годЗаконные интересы
Данные об использовании2 годаЗаконные интересы
Cookies (аналитические)13 месяцевСогласие
Обращения в поддержку3 года с момента закрытия тикетаЗаконные интересы
Маркетинговые согласияДо отзыва + 3 годаЮридические обязательства

7.1. Удаление данных. По истечении срока хранения данные удаляются или анонимизируются. Резервные копии могут сохраняться до 90 дней после удаления из основной базы данных.

7.2. Данные в спящих аккаунтах. Если Учётная запись неактивна в течение 24 месяцев, мы можем направить уведомление о предстоящем удалении. При отсутствии ответа в течение 30 дней аккаунт и связанные данные будут удалены.

8. Ваши права по GDPR (Your Rights Under GDPR)

Если Вы находитесь на территории Европейского Союза или Европейской экономической зоны, Вы имеете следующие права в отношении Ваших персональных данных:

8.1. Право на доступ (Right of Access) — Статья 15 GDPR.Вы имеете право получить подтверждение того, обрабатываем ли мы Ваши персональные данные, и получить доступ к этим данным, а также к информации о целях обработки, категориях данных, получателях и сроках хранения.

8.2. Право на исправление (Right to Rectification) — Статья 16 GDPR.Вы имеете право потребовать исправления неточных персональных данных или дополнения неполных данных.

8.3. Право на удаление (Right to Erasure / Right to be Forgotten) — Статья 17 GDPR.Вы имеете право потребовать удаления Ваших персональных данных в следующих случаях: (a) данные больше не нужны для целей, для которых они были собраны; (b) Вы отзываете согласие и иные правовые основания отсутствуют; (c) Вы возражаете против обработки; (d) данные обрабатываются незаконно.

8.4. Право на переносимость данных (Right to Data Portability) — Статья 20 GDPR.Вы имеете право получить Ваши персональные данные в структурированном, машиночитаемом формате (JSON, CSV) и передать их другому оператору.

8.5. Право на ограничение обработки (Right to Restriction of Processing) — Статья 18 GDPR.Вы имеете право потребовать ограничения обработки Ваших данных, например, пока проверяется их точность или законность обработки.

8.6. Право на возражение (Right to Object) — Статья 21 GDPR.Вы имеете право возразить против обработки Ваших данных на основании законных интересов или для целей прямого маркетинга.

8.7. Право на отзыв согласия (Right to Withdraw Consent) — Статья 7(3) GDPR.Если обработка основана на согласии, Вы имеете право отозвать согласие в любое время. Отзыв согласия не влияет на законность обработки, осуществлённой до отзыва.

8.8. Право на подачу жалобы (Right to Lodge a Complaint).Вы имеете право подать жалобу в надзорный орган по защите данных в Вашей стране. Для Германии это Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), для Франции — Commission Nationale de l'Informatique et des Libertés (CNIL) и т.д.

8.9. Автоматизированное принятие решений.Мы не принимаем решений, основанных исключительно на автоматизированной обработке, включая профилирование, которые имели бы юридические последствия для Вас.

Для реализации Ваших прав:

Email: privacy@contractgen.io

Тема письма: GDPR Rights Request

Срок ответа: 30 дней (может быть продлён на 2 месяца при сложности запроса)

9. Ваши права по ФЗ-152 (Your Rights Under Russian Law)

Если Вы являетесь субъектом персональных данных на территории Российской Федерации, Вы имеете следующие права в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:

9.1. Право на получение информации (Статья 14 ФЗ-152).Вы имеете право на получение информации, касающейся обработки Ваших персональных данных, включая: (а) подтверждение факта обработки; (б) правовые основания и цели обработки; (в) цели и применяемые способы обработки; (г) наименование и место нахождения оператора; (д) лица, имеющие доступ к данным; (е) перечень обрабатываемых данных; (ж) сроки обработки и хранения; (з) порядок осуществления прав.

9.2. Право на уточнение (Статья 14 ФЗ-152).Вы имеете право требовать от оператора уточнения Ваших персональных данных, их блокирования или уничтожения в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

9.3. Право на отзыв согласия (Статья 9 ФЗ-152).Вы имеете право отозвать согласие на обработку персональных данных путём направления соответствующего уведомления оператору. Отзыв согласия должен быть в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.

9.4. Право на прекращение обработки для целей продвижения (Статья 15 ФЗ-152).Вы имеете право требовать прекращения обработки персональных данных в целях продвижения товаров, работ, услуг путём осуществления прямых контактов с Вами.

9.5. Право на обжалование (Статья 17 ФЗ-152).Если Вы считаете, что оператор осуществляет обработку Ваших персональных данных с нарушением требований ФЗ-152 или иным образом нарушает Ваши права и свободы, Вы вправе обжаловать действия или бездействие оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке.

Контакты для запросов по ФЗ-152:

Email: privacy@contractgen.io

Тема письма: Запрос субъекта ПДн

Срок ответа: 30 дней с момента получения запроса

10. Политика в отношении cookies (Cookie Policy)

Мы используем файлы cookies и аналогичные технологии для обеспечения функционирования Сервиса и улучшения пользовательского опыта.

10.1. Типы используемых cookies

a) Строго необходимые cookies (Strictly Necessary):

  • Аутентификационные cookies (идентификация сессии пользователя)
  • Cookies безопасности (CSRF-токены, защита от атак)
  • Cookies балансировки нагрузки
  • Cookies согласия на использование cookies

Правовое основание: необходимы для предоставления услуги. Согласие не требуется.

b) Функциональные cookies (Functional):

  • Языковые предпочтения
  • Настройки отображения (тема, размер шрифта)
  • Запоминание выбора пользователя

Правовое основание: законные интересы / согласие.

c) Аналитические cookies (Analytics):

  • Google Analytics (_ga, _gid, _gat)
  • Mixpanel (mp_*)
  • Hotjar (для анализа поведения)

Правовое основание: согласие. Устанавливаются только после получения согласия.

d) Маркетинговые cookies (Marketing):

  • Google Ads (для ремаркетинга)
  • Facebook Pixel (для отслеживания конверсий)
  • LinkedIn Insight Tag

Правовое основание: согласие. Устанавливаются только после получения согласия.

10.2. Управление cookies

Вы можете управлять настройками cookies следующими способами:

  • Баннер согласия: при первом посещении сайта Вы можете выбрать, какие категории cookies разрешить.
  • Настройки браузера: Вы можете отключить или удалить cookies через настройки Вашего браузера.
  • Отказ от отслеживания: Вы можете использовать инструменты opt-out от Google Analytics (tools.google.com/dlpage/gaoptout) и других сервисов.

Обратите внимание: отключение строго необходимых cookies может нарушить работу Сервиса.

11. Конфиденциальность детей (Children's Privacy)

11.1. Возрастное ограничение. Сервис ContractGen предназначен исключительно для лиц, достигших возраста 18 (восемнадцати) лет. Мы не осуществляем сознательного сбора персональных данных лиц младше 18 лет.

11.2. Обнаружение данных несовершеннолетних. Если нам станет известно, что мы собрали персональные данные лица младше 18 лет без надлежащего согласия родителя или законного представителя, мы примем меры для незамедлительного удаления таких данных.

11.3. Уведомление о несовершеннолетних. Если Вы являетесь родителем или законным представителем и считаете, что Ваш ребёнок предоставил нам персональные данные, пожалуйста, свяжитесь с нами по адресу privacy@contractgen.io для удаления таких данных.

11.4. Соответствие COPPA. Мы соблюдаем требования Children's Online Privacy Protection Act (COPPA) США, запрещающего сбор данных детей младше 13 лет.

12. Меры безопасности (Security Measures)

Мы применяем комплекс технических и организационных мер для защиты Ваших персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения:

12.1. Технические меры

  • Шифрование при передаче: все данные передаются по защищённому протоколу TLS 1.3 (HTTPS).
  • Шифрование при хранении: персональные данные и сгенерированные договоры шифруются с использованием алгоритма AES-256.
  • Хеширование паролей: пароли хранятся в виде хешей с использованием bcrypt с солью.
  • Двухфакторная аутентификация (2FA): доступна для дополнительной защиты аккаунтов.
  • Брандмауэр веб-приложений (WAF): защита от распространённых атак (SQL-инъекции, XSS, CSRF).
  • Мониторинг и оповещения: системы обнаружения вторжений (IDS) и мониторинг аномалий.
  • Регулярные обновления: своевременное применение патчей безопасности.

12.2. Организационные меры

  • Принцип минимальных привилегий: доступ к данным предоставляется только тем сотрудникам, которым он необходим для выполнения служебных обязанностей.
  • Обучение персонала: регулярное обучение сотрудников по вопросам защиты данных и информационной безопасности.
  • Политики и процедуры: внутренние политики обработки данных, реагирования на инциденты, резервного копирования.
  • Аудиты безопасности: периодические внутренние и внешние аудиты безопасности.
  • Проверка поставщиков: due diligence поставщиков услуг на соответствие стандартам безопасности.

12.3. Уведомление об инцидентах

В случае нарушения безопасности персональных данных (data breach) мы уведомим надзорный орган в течение 72 часов (в соответствии со статьёй 33 GDPR) и затронутых субъектов данных без неоправданной задержки (если нарушение создаёт высокий риск для их прав и свобод).

13. Изменения политики (Changes to Policy)

13.1. Право на изменение. Мы оставляем за собой право изменять настоящую Политику конфиденциальности в любое время. Изменения вступают в силу с момента публикации обновлённой версии на Сервисе.

13.2. Уведомление об изменениях. О существенных изменениях в Политике конфиденциальности мы уведомим Вас путём:

  • Размещения уведомления на главной странице Сервиса
  • Отправки электронного письма на адрес, связанный с Вашей Учётной записью
  • Отображения баннера при входе в Сервис

13.3. Повторное согласие. Если изменения затрагивают обработку данных, основанную на Вашем согласии, мы запросим повторное согласие до применения таких изменений.

13.4. Версионирование. Дата последнего обновления указывается в начале Политики. Мы храним архив предыдущих версий Политики, доступный по запросу.

13.5. Ваши действия. Продолжение использования Сервиса после вступления в силу изменений означает Ваше согласие с обновлённой Политикой. Если Вы не согласны с изменениями, Вы должны прекратить использование Сервиса и удалить свою Учётную запись.

14. Контактная информация (Contact Us)

По вопросам, связанным с обработкой персональных данных и настоящей Политикой конфиденциальности, Вы можете связаться с нами:

Общие вопросы по конфиденциальности:

Email: privacy@contractgen.io

Ответственный за защиту данных (DPO):

Email: dpo@contractgen.io

Тема письма: DPO Inquiry

Запросы на реализацию прав субъектов данных:

Email: privacy@contractgen.io

Тема письма: Data Subject Request / Запрос субъекта ПДн

Уведомление об инцидентах безопасности:

Email: security@contractgen.io

Почтовый адрес:

ContractGen Inc.

251 Little Falls Drive

Wilmington, Delaware 19808, USA

Время ответа: Мы стремимся отвечать на все запросы в течение 30 дней. В случае сложных запросов срок может быть продлён до 60 дней с уведомлением.

15. Применимое законодательство (Governing Law)

15.1. Общее правило. Настоящая Политика конфиденциальности регулируется и толкуется в соответствии с законодательством штата Делавэр, США, без учёта коллизионных норм.

15.2. Для субъектов данных из ЕС. Для субъектов данных, находящихся на территории Европейского Союза или Европейской экономической зоны, применяются положения Регламента (ЕС) 2016/679 (GDPR) и применимое национальное законодательство о защите данных.

15.3. Для субъектов персональных данных из России. Для субъектов персональных данных, находящихся на территории Российской Федерации, применяются положения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иные применимые нормативные правовые акты Российской Федерации.

15.4. Приоритет. В случае противоречия между настоящей Политикой и императивными нормами GDPR или ФЗ-152, применяются соответствующие императивные нормы.

Настоящая Политика конфиденциальности является неотъемлемой частью Пользовательского соглашения (Terms of Service) ContractGen.

ContractGen. Все права защищены. Защита Ваших персональных данных — наш приоритет.