На главную

Политика обработки персональных данных

Редакция от 19 июня 2026 г. Версия 2.3.

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее «ФЗ-152») и определяет порядок обработки персональных данных и меры по обеспечению их безопасности при использовании сервиса Румикс (roomix.space).

1. Оператор персональных данных

Оператор: Чабак Виктория Олеговна, Индивидуальный предприниматель

ИНН: 166020802332

ОГРНИП: 319169000060604 (дата регистрации: 08.04.2019)

Адрес для корреспонденции: г. Казань, ул. Чуйкова, д. 62, кв. 329

Email для запросов по ПДн: roomixsupp@gmail.com

Регистрационный номер в реестре операторов ПДн: 16-25-037570

Сайт: https://roomix.space

2. Категории субъектов и обрабатываемые данные

Оператор обрабатывает данные следующих категорий субъектов:

  • Дизайнеры (зарегистрированные пользователи): имя, фамилия, email, фотография профиля, идентификатор OAuth-провайдера, название студии, история действий в сервисе
  • Клиенты дизайнеров (приглашённые пользователи): имя, фамилия, email, фотография профиля, идентификатор OAuth-провайдера, принятые решения по согласованиям
  • Посетители сайта: IP-адрес (в логах хостинга), технические данные браузера (User-Agent), язык интерфейса

Оператор не обрабатывает специальные категории персональных данных (расовая принадлежность, политические взгляды, состояние здоровья, биометрия и т.п.) и не работает с данными несовершеннолетних. Сервис предназначен только для лиц старше 18 лет.

3. Цели обработки и правовые основания

Персональные данные обрабатываются строго для перечисленных ниже целей. Правовое основание для каждой цели: согласие субъекта (ст. 6 ч. 1 п. 1 ФЗ-152) и/или исполнение договора-оферты (ст. 6 ч. 1 п. 5 ФЗ-152).

  • Идентификация и аутентификация пользователя в сервисе (через OAuth Яндекс, по паролю или по ссылке для входа на email)
  • Предоставление функциональности сервиса: создание проектов, чат, согласования, хранение файлов
  • Связь с пользователем по техническим и сервисным вопросам (push-уведомления, email)
  • Обеспечение безопасности сервиса, предотвращение мошенничества и злоупотреблений
  • Выполнение требований законодательства РФ (хранение записей о согласованиях как юридически значимых актов)
  • Обработка обращений пользователей по правам субъектов ПДн (ст. 14 ФЗ-152)

4. Передача данных третьим лицам

Оператор не продаёт персональные данные и не передаёт их третьим лицам для рекламных целей. Для технического обеспечения работы сервиса данные передаются следующим обработчикам:

  • Timeweb Cloud (Россия, г. Москва): основная база данных, файловое хранилище, сервис аутентификации и серверный хостинг приложения. Вся обработка и хранение персональных данных осуществляются на территории Российской Федерации.
  • ООО «Яндекс» (Россия): обработка OAuth-авторизации (имя, email, фото профиля).
  • Unisender (Россия): транзакционные email-рассылки (приглашения, уведомления). Маркетинговые рассылки не используются.

Раскрытие данных по запросу государственных органов производится только при наличии законного основания (судебный акт, постановление следователя и т.п.) и в объёме, требуемом таким актом.

5. Cookies, localStorage и аналитика

Сервис использует cookies и localStorage. Аналитические cookies загружаются только после вашего согласия через баннер при первом посещении.

Технические (обязательные, не требуют согласия):

  • sb-roomix-auth-token-* - токены сессии аутентификации (httpOnly, secure). Срок: до выхода из аккаунта.
  • NEXT_LOCALE - выбранный язык интерфейса (ru / en). Срок: 12 месяцев.
  • roomix-cookie-consent (localStorage) - запоминает ваш выбор по баннеру согласия. Срок: до очистки браузера или отзыва согласия.

Функциональные (localStorage, не требуют согласия):

  • roomix-ui - состояние интерфейса (свёрнутый сайдбар, тема). Срок: до очистки браузера.

Аналитические (только после согласия через баннер):

  • _ym_uid - анонимный идентификатор посетителя Яндекс Метрики. Срок: 12 месяцев.
  • _ym_d - дата первого визита. Срок: 12 месяцев.
  • _ym_isad - флаг наличия AdBlocker в браузере. Срок: 2 дня.
  • _ym_visorc_* - идентификатор сеанса для Webvisor (запись действий пользователя). Срок: 30 минут.
  • _ym_metrika_enabled - флаг активности счётчика. Срок: 30 минут.

Цель аналитики: оценка посещаемости, выявление UX-проблем, улучшение сервиса. Данные передаются в ООО "Яндекс" (Российская Федерация) согласно его Политике конфиденциальности.

Вы можете в любой момент отозвать согласие, очистив localStorage в настройках браузера. После этого Яндекс Метрика перестанет загружаться при следующем обновлении страницы. Уже собранные данные обрабатываются на стороне Яндекс согласно их политике.

6. Меры защиты данных

  • Все соединения защищены протоколом TLS 1.3 (HTTPS)
  • База данных защищена политиками Row Level Security (RLS): пользователь физически не может получить доступ к чужим проектам
  • Пароли не хранятся в открытом виде: хранится только криптографический хеш на стороне сервиса аутентификации
  • Файловое хранилище разделено на изолированные buckets с ограничением доступа на уровне SQL-политик
  • Резервное копирование БД ежесуточно с шифрованием at-rest
  • Сервисные ключи хранятся в защищённом окружении сервера и недоступны клиентскому коду
  • Журналы доступа и изменений критичных таблиц ведутся в audit_log (срок хранения: 3 года)

7. Права субъекта персональных данных (ст. 14 ФЗ-152)

Субъект персональных данных имеет право:

  • Получить подтверждение факта обработки и сведения об обработке (категории данных, цели, сроки)
  • Требовать уточнения, блокирования или уничтожения данных, если они неполны, устарели, неточны или избыточны
  • Отозвать согласие на обработку персональных данных в любой момент
  • Требовать прекращения обработки персональных данных в случаях, предусмотренных законом
  • Обжаловать действия Оператора в Роскомнадзоре или в судебном порядке

Запрос направляется на email roomixsupp@gmail.com с указанием ФИО, email-аккаунта в сервисе и сути запроса. Срок ответа: 10 рабочих дней с даты получения запроса (ст. 20-21 ФЗ-152 в редакции ФЗ-266 от 06.07.2024). В сложных случаях срок может быть продлён до 30 календарных дней с уведомлением субъекта. При отзыве согласия аккаунт удаляется в течение 30 дней (см. раздел 8).

8. Сроки хранения и порядок удаления данных

Персональные данные хранятся в течение всего срока действия аккаунта.

При удалении аккаунта пользователь переводится в статус «удаляется» (soft-delete), в течение 30 дней доступно восстановление по ссылке из email. По истечении 30 дней все персональные данные удаляются безвозвратно (hard-delete).

Исключение: записи о юридически значимых согласованиях (кто, когда, какое решение) хранятся бессрочно как юридически значимые акты согласно п. 6 ст. 5 ФЗ-152. Для них обработка после отзыва согласия продолжается на основании пп. 5 п. 1 ст. 6 ФЗ-152 (исполнение договора и защита интересов сторон).

9. Локализация и трансграничная передача данных

На дату публикации настоящей редакции Политики персональные данные пользователей обрабатываются и хранятся на территории Российской Федерации (Timeweb Cloud, г. Москва), в соответствии с требованиями ч. 5 ст. 18 ФЗ-152 о локализации персональных данных граждан РФ. Веб-приложение, файловое хранилище и сервис аутентификации размещены на той же российской инфраструктуре.

Трансграничная передача персональных данных не осуществляется: все данные обрабатываются и хранятся на территории Российской Федерации.

Первичная обработка и хранение персональных данных граждан Российской Федерации осуществляются на инфраструктуре, расположенной на территории Российской Федерации (Timeweb Cloud, г. Москва), в соответствии с требованиями ч. 5 ст. 18 ФЗ-152.

Локализация персональных данных граждан Российской Федерации обеспечена в соответствии с ч. 5 ст. 18 ФЗ-152.

Трансграничная передача персональных данных оператором не осуществляется.

10. Возрастные ограничения

Сервис Румикс предназначен только для совершеннолетних пользователей (от 18 лет). Оператор не обрабатывает данные несовершеннолетних целенаправленно. Если Оператору станет известно, что данные несовершеннолетнего попали в сервис без согласия родителя или законного представителя, такие данные будут удалены незамедлительно после получения соответствующего уведомления.

11. Изменения Политики

Оператор вправе вносить изменения в настоящую Политику. О существенных изменениях пользователи уведомляются через email или уведомление в сервисе не менее чем за 14 календарных дней до вступления изменений в силу. Продолжение использования сервиса после уведомления означает согласие с обновлённой редакцией Политики. Действующая редакция всегда доступна по адресу https://roomix.space/privacy.

12. Контакты Оператора

По всем вопросам обработки персональных данных:

Email: roomixsupp@gmail.com

Адрес для корреспонденции: г. Казань, ул. Чуйкова, д. 62, кв. 329

Контролирующий орган: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

Сайт: https://rkn.gov.ru

Электронная приёмная: https://rkn.gov.ru/treatments/ask-question/