Политика конфиденциальности и обработки персональных данных Balm

Версия 3.0 · Дата вступления в силу: 26 мая 2026 г.
Что изменилось в этой редакции

Версия 3.0 расширяет Политику и приводит её в соответствие с международной практикой: добавлены разделы о трансграничной передаче данных, перечень категорий данных и сроки их хранения, права субъектов по GDPR / PDPA Таиланда / 152-ФЗ / CCPA, порядок уведомления об инцидентах безопасности, отдельные положения для несовершеннолетних, рекламные и аналитические cookies, контактные данные ответственного за защиту данных (DPO).

1. Введение и сфера применения

1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») описывает, какие персональные данные собирает, использует, хранит и передаёт сервис Balm в связи с предоставлением вам сайта balm.rentals и мобильных приложений Balm для iOS и Android, а также сопутствующих сервисов (далее совместно — «Сервис»).

1.2. Политика применяется ко всем пользователям Сервиса независимо от страны их пребывания, но в зависимости от применимого к вам законодательства вы можете обладать дополнительными правами, описанными в разделе 14 (применимое право и юрисдикционные особенности).

1.3. Используя Сервис, вы подтверждаете, что прочитали Политику и осознанно соглашаетесь с обработкой своих персональных данных на её условиях. Если вы не согласны — пожалуйста, прекратите использование Сервиса. Согласие на отдельные виды обработки (маркетинговые рассылки, передача рекламным партнёрам и т.п.) запрашивается дополнительно; вы можете отозвать его в любой момент (раздел 11).

1.4. Политика является неотъемлемой частью Лицензионного соглашения и Пользовательского соглашения Balm. В случае конфликта приоритет имеет русскоязычная редакция, если иное не предписано императивной нормой применимого к вам права.

2. Кто является оператором персональных данных

2.1. Оператором (контролёром) ваших данных является ИП Вихляев Сергей Николаевич, ИНН 682004283576, ОГРНИП 323680000023219, зарегистрированный в Российской Федерации (далее — «Оператор» или «мы»).

2.2. Контактные данные для всех вопросов об обработке персональных данных, реализации ваших прав и подачи жалоб: BalmForUsers@gmail.com (основной канал) или BalmForUsers@yandex.ru (резервный).

2.3. Лицо, ответственное за защиту персональных данных (Data Protection Contact / DPO function), может быть назначено Оператором; его актуальные контакты публикуются по адресу balm.rentals/privacy и предоставляются по запросу.

2.4. Для пользователей, находящихся в Европейской экономической зоне или Великобритании, представитель Оператора по смыслу ст. 27 GDPR будет назначен и его контактные данные опубликованы по адресу balm.rentals/privacy при достижении соответствующих критериев применимости GDPR.

3. Определения

«Персональные данные» — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

«Обработка» — любое действие или набор действий с персональными данными, выполняемое автоматизированно или вручную: сбор, запись, хранение, изменение, использование, передача, обезличивание, удаление и т.п.

«Партнёр» — собственник или представитель транспортного средства, размещающий Объявление, либо иная организация, предложение которой отображается в разделе «Партнёры».

«Объявление» — публикация о доступном для аренды транспортном средстве, размещаемая Пользователем в Сервисе.

«Учётная запись» — раздел Сервиса, доступ к которому Пользователь получает после авторизации.

4. Какие категории персональных данных мы собираем

4.1. Идентификационные и контактные данные: имя или псевдоним, номер мобильного телефона, адрес электронной почты, идентификатор Apple ID / Google Account при входе через Apple Sign In или Google Sign In, фотография профиля (при наличии).

4.2. Данные Объявления: фотографии транспортного средства, описание, технические характеристики, адрес расположения, стоимость аренды, контактный номер телефона для арендаторов.

4.3. Данные взаимодействия с другими пользователями: тексты сообщений в чате, аудио-, видео- и графические файлы, передаваемые через чат, отзывы, оценки в рейтинге, список избранных Объявлений (лайки).

4.4. Технические данные: IP-адрес, идентификатор устройства, тип и версия операционной системы, тип браузера, язык интерфейса, временная зона, разрешение экрана, push-токен для отправки уведомлений, версия установленного приложения Balm, отчёты о сбоях (crash reports) и логи производительности.

4.5. Данные использования: история поисковых запросов и фильтров, просмотренные Объявления, нажатия на телефонные номера и переходы по партнёрским ссылкам, количество просмотров ваших Объявлений, статус VIP и метрики продвижения, история отзывов и оценок.

4.6. Данные геолокации: если вы предоставили разрешение в настройках устройства, мы получаем приблизительные или точные координаты для отображения релевантных Объявлений и расчёта расстояний на карте. Точная геолокация собирается только когда приложение активно используется, и обработка прекращается при отзыве разрешения.

4.7. Файлы cookie и подобные технологии (на сайте balm.rentals): см. раздел 13.

4.8. Платёжные данные: если вы оплачиваете услуги Сервиса (например, статус VIP для Объявления), мы получаем от платёжного провайдера статус и идентификатор транзакции, тип платёжного инструмента и последние 4 цифры карты для целей сверки. Полный номер карты и CVV-код Оператор не получает и не хранит.

4.9. Данные, получаемые от третьих лиц: данные авторизации от Apple и Google в объёме, согласованном вами при подключении OAuth (как правило: идентификатор, имя, адрес e-mail, фотография профиля); данные от провайдеров аналитики (см. раздел 8) и push-уведомлений.

4.10. Специальные категории персональных данных (раса, политические взгляды, состояние здоровья, биометрия, сведения о судимости) Оператор целенаправленно не собирает. Если вы добровольно укажете такие сведения в открытом тексте Объявления, чата или отзыва, обработка осуществляется на основании вашего явно выраженного согласия, выраженного через факт самостоятельной публикации этих данных; мы оставляем за собой право удалить такие сведения по своему усмотрению или по требованию модератора.

4.11. Данные несовершеннолетних: Сервис предназначен для лиц, достигших 18 лет (см. раздел 12). Мы не собираем заведомо данные лиц младше 16 лет, а в Таиланде — младше 20 лет без согласия их законного представителя.

5. Цели обработки и правовые основания

5.1. Мы обрабатываем данные только для конкретных, заранее определённых целей и только на одном или нескольких из следующих правовых оснований:

  • (a) Исполнение договора, заключённого с вами (ст. 6(1)(b) GDPR; п. 5 ч. 1 ст. 6 152-ФЗ; ст. 24(3) PDPA Таиланда) — для создания и поддержания Учётной записи, размещения и модерации Объявлений, доставки push-уведомлений о статусе Объявления, обеспечения работы чата, начисления и подтверждения оплаты статуса VIP.
  • (b) Соблюдение требований применимого законодательства (ст. 6(1)(c) GDPR; ст. 24(1)(6) PDPA) — например, реагирование на запросы уполномоченных государственных органов в соответствии с их полномочиями.
  • (c) Законные интересы Оператора, не превышающие ваших прав и свобод (ст. 6(1)(f) GDPR) — обеспечение безопасности Сервиса, противодействие мошенничеству, фрод-аналитика, базовая аналитика поведения, защита наших прав в споре, организационное развитие Сервиса. По обоснованному запросу мы предоставим вам Legitimate Interest Assessment.
  • (d) Ваше согласие (ст. 6(1)(a) GDPR; ст. 9 152-ФЗ; ст. 19 PDPA) — для отправки маркетинговых сообщений (push, e-mail, SMS), для использования аналитических и рекламных cookie, для трансграничной передачи в страны, не обеспечивающие, по мнению регулятора, адекватный уровень защиты, для обработки специальных категорий данных, добровольно раскрытых вами.
  • (e) Защита жизненно важных интересов (ст. 6(1)(d) GDPR) — крайне редкий сценарий, например, передача координат пользователя экстренным службам при наличии явной угрозы жизни.

6. Сроки хранения

6.1. Мы храним персональные данные не дольше, чем это необходимо для целей, описанных в разделе 5, либо чем требует применимое законодательство. Конкретные сроки:

  • Данные Учётной записи (имя, телефон, OAuth-идентификаторы): пока существует Учётная запись + 90 дней после удаления для разрешения возможных споров;
  • Объявления и сопутствующие фотографии: пока опубликовано Объявление + 12 месяцев после его архивации; после этого — обезличивание;
  • Сообщения чата и переданные через чат файлы: до 365 дней с момента отправки; после — автоматическое удаление, за исключением случаев, когда сохранение требуется для расследования жалобы (тогда — до завершения расследования + 30 дней);
  • Отзывы и оценки: бессрочно, пока существует связанное с ними Объявление; могут быть обезличены по запросу автора;
  • Серверные логи (IP, user-agent, метки времени): 12 месяцев;
  • Crash-репорты и диагностические логи: 90 дней;
  • Данные геолокации, полученные в фоновом режиме: не сохраняются после завершения сессии; на сервере хранятся только агрегированные/обезличенные показатели;
  • Данные платёжных транзакций: 5 лет с даты транзакции (срок исковой давности);
  • Записи согласий на обработку и их отзыва: 5 лет с момента отзыва согласия (для подтверждения соблюдения требований);
  • Cookies: см. раздел 13.

7. Удаление аккаунта и забвение

7.1. Вы вправе удалить Учётную запись непосредственно из приложения Balm (профиль → удалить аккаунт) либо направив запрос на BalmForUsers@gmail.com (с темой «Удаление аккаунта»). В обоих случаях запрос обрабатывается в срок не более 30 календарных дней с момента подтверждения вашей личности.

7.2. После подтверждения запроса мы удаляем или обезличиваем ваши идентификационные данные, ваши Объявления переводятся в архив без указания автора, ваши сообщения чата маркируются как удалённые (для сохранения целостности переписки у второго участника на 30 дней — затем удаляются полностью), отзывы и рейтинги становятся анонимными.

7.3. Часть данных может быть сохранена в обезличенной или агрегированной форме либо в форме, исключающей идентификацию (например, для аналитики). Это не считается обработкой персональных данных.

7.4. Мы вправе сохранить минимально необходимый набор данных, если этого требует закон (например, для бухгалтерского учёта), для исполнения уже заключённого договора (например, продлевающийся VIP) либо для защиты в суде по уже возникшему спору; такие данные хранятся отдельно и не используются для иных целей.

8. Поставщики услуг и третьи лица, имеющие доступ к данным

8.1. Для обеспечения работы Сервиса мы привлекаем поставщиков услуг (data processors), действующих по нашему поручению и на условиях договора об обработке данных (Data Processing Agreement). Категории поставщиков:

  • Хостинг-провайдеры и провайдеры облачной инфраструктуры, на серверах которых развёрнут бэкенд и БД Balm (включая VPS-провайдеров на территории РФ);
  • Провайдеры аутентификации: Apple Inc. (Sign in with Apple) и Google LLC (Google Sign In) — мы получаем от них только тот объём данных, который вы разрешили при подключении OAuth;
  • Провайдеры push-уведомлений: Apple Push Notification service (APNs) и Firebase Cloud Messaging (FCM) — для доставки уведомлений на ваше устройство;
  • Провайдеры аналитики и диагностики сбоев (Firebase Crashlytics и аналоги) — для получения обезличенных метрик качества и стабильности приложения;
  • Провайдеры картографических сервисов: Google Maps Platform и/или OpenStreetMap / Leaflet tile-провайдеры — для отображения карт;
  • Провайдеры SMS-сервисов для отправки одноразовых кодов подтверждения;
  • Платёжные процессоры для приёма платежей за услуги Сервиса;
  • Email-провайдеры для транзакционных сообщений;
  • Провайдеры модерации контента и автоматического распознавания, если такие используются для проверки чата и Объявлений;
  • Юридические, налоговые и аудиторские консультанты — на основе профессиональной обязанности конфиденциальности.

8.2. Партнёры. Если в разделе «Партнёры» вы переходите на сайт партнёра либо явно даёте согласие на передачу ваших контактных данных Партнёру для дальнейшей коммуникации, мы передаём указанные данные на основании вашего согласия. Партнёры являются самостоятельными операторами и обрабатывают ваши данные в соответствии со своими собственными политиками; Оператор не контролирует их обработку после передачи.

8.3. Деловые трансферы. В случае реорганизации Оператора, продажи бизнеса или его части ваши персональные данные могут быть переданы правопреемнику; мы уведомим вас об этом и обеспечим сохранение применимого уровня защиты.

8.4. Государственные органы. Мы раскрываем данные регулирующим и правоохранительным органам исключительно в объёме и порядке, установленных применимым законодательством, и только при наличии надлежаще оформленного запроса. По возможности мы информируем вас о таком раскрытии, если это не запрещено законом.

8.5. Защита прав. Мы можем раскрыть данные третьим лицам, если это необходимо для предотвращения мошенничества, обеспечения безопасности Сервиса или защиты прав Оператора либо третьих лиц.

8.6. Продажа данных. Мы не продаём ваши персональные данные в смысле California Consumer Privacy Act и не передаём их рекламным брокерам.

9. Трансграничная передача данных

9.1. Серверы Оператора расположены преимущественно в Российской Федерации; отдельные сервисы (push-уведомления, картография, аналитика) хостятся на инфраструктуре глобальных провайдеров и предполагают передачу данных в США, страны Европы и иные юрисдикции.

9.2. Для пользователей из Российской Федерации Оператор обеспечивает первичную запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, расположенных на территории Российской Федерации в соответствии с ч. 5 ст. 18 152-ФЗ. Последующая трансграничная передача в иные страны осуществляется в случаях, предусмотренных ст. 12 152-ФЗ.

9.3. Для пользователей из ЕС / ЕЭП / Великобритании передача в страны, не обеспечивающие, по мнению Европейской комиссии, адекватного уровня защиты, осуществляется на основании Стандартных договорных условий ЕС (Standard Contractual Clauses, SCC) либо иного применимого правового механизма; копию SCC мы предоставляем по запросу.

9.4. Для пользователей из Королевства Таиланд трансграничная передача персональных данных осуществляется в соответствии со ст. 28 PDPA, в том числе на основании надлежащих гарантий защиты, исполнения договора с субъектом данных или явного согласия субъекта данных.

9.5. Используя Сервис, вы подтверждаете, что осведомлены о трансграничном характере обработки и, в применимых юрисдикциях, выражаете на это явное согласие.

10. Безопасность

10.1. Мы применяем разумные технические и организационные меры для защиты ваших данных, включая: шифрование трафика по протоколу HTTPS/TLS, шифрование чувствительных данных при хранении, разграничение прав доступа, журналирование действий персонала, регулярное обновление компонентов, резервное копирование, обязательства о конфиденциальности для сотрудников и подрядчиков.

10.2. Несмотря на принимаемые меры, ни один сервис не может гарантировать абсолютной защиты от утечек. Вы обязаны соблюдать базовые правила безопасности: использовать сильный пароль и/или биометрию для доступа к устройству, не передавать доступ к Учётной записи третьим лицам, незамедлительно сообщать нам о подозрительной активности.

10.3. Уведомление об инцидентах. В случае утечки данных, способной создать значимый риск для ваших прав и свобод, мы уведомим компетентного регулятора в срок не позднее 72 часов с момента, когда инцидент стал нам известен (для GDPR) либо без необоснованной задержки (для иных юрисдикций), а вас — без необоснованной задержки в случаях, требуемых законом.

11. Ваши права

11.1. В отношении ваших персональных данных вы вправе:

  • получить подтверждение факта обработки и копию обрабатываемых данных (право на доступ);
  • требовать исправления неточных или устаревших данных;
  • требовать удаления данных (право на забвение) — за исключением случаев, когда обработка необходима в силу закона или для исполнения договора;
  • требовать ограничения обработки на период проверки правомерности обработки или вашего возражения;
  • возражать против обработки на основании законных интересов и против обработки в целях прямого маркетинга в любой момент без обоснования;
  • получить ваши данные в структурированном, общеупотребительном машиночитаемом формате и/или потребовать их передачи другому оператору (право на переносимость), когда обработка основана на договоре или согласии и осуществляется автоматизированно;
  • отозвать ранее данное согласие в любой момент, что не повлияет на правомерность обработки, осуществлённой до отзыва;
  • не быть объектом исключительно автоматизированного принятия решений, влекущих юридические или иные значимые последствия (см. п. 11.4);
  • подать жалобу в уполномоченный орган по защите персональных данных по месту вашего нахождения.

11.2. Для реализации прав направьте запрос на BalmForUsers@gmail.com (с пометкой «Персональные данные») или используйте функционал приложения (профиль → конфиденциальность). Мы обрабатываем запросы в срок до 30 календарных дней; срок может быть продлён ещё на 60 дней по сложным запросам с предварительным уведомлением.

11.3. Мы вправе запросить дополнительные сведения для подтверждения вашей личности до исполнения запроса, чтобы предотвратить раскрытие данных лицу, выдающему себя за вас.

11.4. Автоматизированное принятие решений. Сервис не применяет в отношении вас исключительно автоматизированных решений, имеющих юридические или иные значимые для вас последствия. Алгоритмическая модерация чата и Объявлений, а также фильтрация спама, является вспомогательной — окончательное решение о блокировке принимает сотрудник Оператора, и вы вправе оспорить его по адресу BalmForUsers@gmail.com.

12. Несовершеннолетние пользователи

12.1. Сервис предназначен исключительно для лиц, достигших возраста, при котором они вправе самостоятельно заключать гражданско-правовые договоры в своей стране, и в любом случае не менее 18 лет.

12.2. Мы не направляем Сервис на детей и не запрашиваем данные лиц младше 16 лет; если нам станет известно, что мы обработали данные несовершеннолетнего без надлежащего согласия его законного представителя, мы удалим такие данные.

12.3. Для пользователей в Таиланде согласно ст. 20 PDPA согласие несовершеннолетнего младше 20 лет на обработку требует подтверждения его законного представителя, за исключением случаев, когда несовершеннолетний достиг гражданско-правовой дееспособности.

13. Файлы cookie и подобные технологии

13.1. На сайте balm.rentals мы используем cookie и аналогичные технологии (localStorage, sessionStorage, web-маяки) для следующих целей: технические — обеспечение работы сайта (нельзя отключить); функциональные — сохранение языка, локали, согласий; аналитические — обезличенный сбор статистики посещаемости; маркетинговые — показ релевантной рекламы (только при вашем явном согласии через cookie-баннер).

13.2. При первом посещении сайта мы показываем cookie-баннер и запрашиваем ваше согласие на нестрого необходимые cookies. Свой выбор вы можете изменить в любой момент по ссылке «Настройки cookies» в подвале сайта или удалив cookies в настройках браузера. Подробнее — в Политике использования файлов cookie на balm.rentals/cookies.

13.3. В мобильных приложениях Balm cookies не применяются; вместо них используются локальные идентификаторы устройства и push-токены, поведение которых описано в разделах 4 и 8.

14. Юрисдикционные особенности

14.1. Российская Федерация (152-ФЗ). Оператор обрабатывает персональные данные граждан РФ с соблюдением требований Федерального закона от 27.07.2006 № 152-ФЗ. Первичная обработка осуществляется в РФ. Уполномоченный орган — Роскомнадзор (rkn.gov.ru).

14.2. Королевство Таиланд (PDPA B.E. 2562). Если вы находитесь в Таиланде, вы вправе обратиться с жалобой в Personal Data Protection Committee (PDPC). Оператор обязуется выполнять требования PDPA в части прав субъектов, оснований обработки и трансграничной передачи.

14.3. Европейская экономическая зона и Великобритания (GDPR / UK GDPR). Если вы находитесь в ЕС / ЕЭП / Великобритании, вы вправе подать жалобу в национальный надзорный орган по защите данных по месту вашего жительства или нахождения; перечень доступен на edpb.europa.eu.

14.4. Калифорния, США (CCPA / CPRA). Резиденты Калифорнии имеют право: знать, какие категории персональных данных собраны и как они используются; требовать удаления; отказаться от «продажи» персональных данных (Оператор такой продажи не осуществляет); не подвергаться дискриминации в связи с осуществлением своих прав. Для реализации — BalmForUsers@gmail.com.

14.5. Иные юрисдикции. Если законодательство страны вашего пребывания предоставляет вам дополнительные права, мы обязуемся их соблюдать в применимых пределах.

15. Изменения настоящей Политики

15.1. Мы периодически обновляем Политику. Каждая редакция сохраняется в архиве и доступна по адресу balm.rentals/<язык>/privacy/versions с указанием даты вступления в силу.

15.2. О существенных изменениях, затрагивающих ваши права, мы уведомим вас заблаговременно — не позднее чем за 14 календарных дней до вступления в силу — через приложение, по электронной почте или иным разумным каналом, и при необходимости запросим повторное согласие.

15.3. Продолжение использования Сервиса после вступления новой редакции в силу означает ваше согласие с обновлённой Политикой; если вы не согласны, вы вправе прекратить использование и потребовать удаления Учётной записи.

16. Применимое право и порядок разрешения споров

16.1. К отношениям между вами и Оператором в части обработки персональных данных применяется законодательство Российской Федерации, без ущерба для императивных норм права страны вашего пребывания, предоставляющих вам более высокий уровень защиты.

16.2. Споры разрешаются путём добросовестных переговоров; при недостижении согласия — в порядке, предусмотренном применимым законодательством, в том числе с возможностью обращения в уполномоченный орган по защите персональных данных.

17. Контакты

ИП Вихляев Сергей Николаевич, ИНН 682004283576, ОГРНИП 323680000023219.

Электронная почта для всех вопросов о персональных данных: BalmForUsers@gmail.com (основной) или BalmForUsers@yandex.ru (резервный).

Дата вступления в силу настоящей редакции: 26.05.2026. Версия Политики: 3.0.

Посмотреть все версии документа →