Политика конфиденциальности — I am Agent
Дата вступления в силу: TBD (устанавливается при публикации) Последнее обновление: 2026-05-25
Настоящая Политика конфиденциальности объясняет, как собираются, используются, передаются и защищаются персональные данные при использовании I am Agent — CRM-сервиса для специалистов по аренде недвижимости, доступного в виде приложения для iOS, приложения для Android и веб-приложения по адресу https://crm.iamagent.app (вместе — «Сервис»).
Мы постарались написать этот документ простым языком. Там, где юридический термин имеет конкретное значение, мы объясняем его при первом упоминании. Если что-то осталось неясным — напишите нам на support@iamagent.app, и мы перефразируем.
1. Кто отвечает за ваши данные («Контролёр данных»)
Контролёр данных — лицо, которое определяет цели и способы обработки ваших данных — это:
Korshunov Igor Vladimirovich, физическое лицо, действующее в качестве независимого поставщика услуг. Email по всем вопросам конфиденциальности, включая запросы субъектов данных: support@iamagent.app
Поскольку Контролёр данных является физическим лицом, а не юридическим, мы не обязаны назначать Сотрудника по защите данных (DPO). Все запросы в области конфиденциальности рассматриваются непосредственно Контролёром данных по указанному выше адресу.
Для пользователей из Таиланда: тайский представитель в соответствии с разделом 37/1 PDPA в настоящее время рассматривается и будет назначен при необходимости согласно разъяснениям регулятора.
Для пользователей из Европейской экономической зоны, Великобритании или Швейцарии: вы также можете обратиться к нам по тому же адресу электронной почты. В настоящее время у нас нет представителя в ЕС согласно статье 27 GDPR, поскольку Сервис не ориентирован на жителей ЕЭЗ в качестве основного рынка. Мы назначим его, если объём обработки данных изменится.
2. Область применения и два типа данных
I am Agent — это B2B-инструмент. Внутри Сервиса существует два вида данных, и юридические роли для них различаются:
- Данные аккаунта — данные о вас как о пользователе Сервиса. Здесь мы (Контролёр данных, указанный выше) определяем цели и способы обработки. К этим данным напрямую применяются правила настоящей Политики.
- Клиентские данные — данные о собственниках, арендаторах и объектах, которые вы загружаете в своё рабочее пространство для управления арендным бизнесом. Здесь вы (или компания, на которую вы работаете) являетесь Контролёром данных, а мы действуем только как обработчик данных по вашим инструкциям, в соответствии с отдельным Соглашением об обработке данных (DPA), доступным по запросу.
Настоящая Политика описывает оба вида данных, однако основная часть обсуждения правовых оснований ниже относится к данным аккаунта.
3. Данные, которые мы собираем
3.1 Данные, которые вы предоставляете при регистрации и использовании аккаунта
- Адрес электронной почты и пароль (пароль хранится только в виде bcrypt-хэша — необратимого преобразования, исходный текст мы никогда не видим).
- Ваше полное имя и, если вы его настроили, название и логотип вашей риэлторской компании.
- Номер телефона (необязательно).
- Языковые настройки (английский, русский или тайский) и предпочтительная валюта (THB, USD, EUR или RUB).
- Членство в рабочем пространстве компании, ваша роль (Admin / Agent) и флаги разрешений.
3.2 Клиентские данные, загружаемые в рабочее пространство
- Записи об объектах — адреса, географические координаты, описания, цены, удобства и до 30 фотографий на объект.
- Собственники объектов (ваши деловые контакты) — имя, телефон, электронная почта, сканы удостоверяющих документов (например, паспорта или удостоверения личности) и любые другие прикрепляемые документы.
- Арендаторы / клиенты — имя, номер паспорта, телефон, электронная почта, страна происхождения, сканы удостоверяющих документов.
- Бронирования — даты заезда и выезда, арендная плата, депозиты, суммы комиссий, помесячные разбивки и прикреплённые фотографии.
- События календаря — личные заметки.
Вы несёте ответственность за наличие правового основания для сбора этих данных у ваших собственников и арендаторов, за их информирование и соблюдение их прав. Мы обрабатываем эти данные исключительно по вашим инструкциям.
3.3 Данные, собираемые автоматически
- Журналы аутентификации, формируемые Supabase Auth: IP-адрес, User-Agent (идентификатор браузера или приложения), временные метки входа в систему, идентификаторы сессий. Мы используем их для обеспечения безопасности и предотвращения злоупотреблений.
- Push-токены устройств — когда вы включаете уведомления, push-токен вашего устройства (выдаётся Apple Push Notification Service на iOS, Firebase Cloud Messaging на Android или Expo Push в качестве посредника) сохраняется для отправки вам уведомлений о бронированиях и активности команды.
- Базовая диагностическая информация — отчёты об ошибках и журналы сбоев в объёме, необходимом для работы Сервиса. Мы не используем сторонние SDK аналитики (ни Google Analytics, ни Mixpanel, ни Facebook SDK) на дату вступления настоящей Политики в силу.
3.4 Что мы не собираем
- Мы не отслеживаем вас в рекламных целях. Приложение не обращается к фреймворку Apple App Tracking Transparency, поскольку мы не занимаемся межприложечным отслеживанием.
- Мы не собираем геолокацию в фоновом режиме. Координаты объектов вводятся или выбираются вручную.
- Мы не используем сторонние cookies или рекламные пиксели.
- Мы не собираем специальные категории данных в соответствии с GDPR Art. 9 (расовое происхождение, состояние здоровья, биометрия, сексуальная ориентация, вероисповедание, политические взгляды) — применительно к вам как пользователю.
- Мы не продаём персональные данные.
4. Зачем мы обрабатываем ваши данные и наши правовые основания
В соответствии с GDPR (и параллельными понятиями тайского PDPA) для каждого действия по обработке данных нам требуется правовое основание. Ниже приведена таблица по каждой цели:
| Цель | Категории данных | Правовое основание (GDPR) | Основание по PDPA |
|---|---|---|---|
| Создание и ведение аккаунта | Email, хэш пароля, имя, сведения о компании | Исполнение договора — Art. 6(1)(b) | Договорная необходимость |
| Предоставление функций CRM (хранение объектов, бронирований, контактов) | Клиентские данные, загружаемые вами | Исполнение договора — Art. 6(1)(b) | Договорная необходимость |
| Безопасность Сервиса, выявление злоупотреблений, предотвращение мошенничества | Журналы аутентификации (IP, User-Agent, временные метки) | Законные интересы — Art. 6(1)(f); интерес состоит в защите аккаунтов | Законные интересы |
| Отправка транзакционных писем (подтверждение регистрации, сброс пароля, приглашения в команду) | Email, имя | Исполнение договора — Art. 6(1)(b) | Договорная необходимость |
| Отправка внутриприложенческих и push-уведомлений о бронированиях и активности команды | Push-токен устройства, идентификатор аккаунта | Согласие (предоставляется через системный запрос разрешения) — Art. 6(1)(a) | Согласие |
| Выставление счетов за платные тарифы (когда будут подключены Stripe / Apple In-App Purchase / Google Play Billing) | Платёжные идентификаторы, выданные платёжным процессором; номера карт целиком мы не храним | Исполнение договора — Art. 6(1)(b); юридическое обязательство для налоговой отчётности — Art. 6(1)(c) | Договорная необходимость + юридическое обязательство |
| Исполнение законных запросов (судебных решений, налоговых органов) | То, что обоснованно требует запрос | Юридическое обязательство — Art. 6(1)(c) | Юридическое обязательство |
Для клиентских данных, загружаемых вами в отношении собственников и арендаторов, правовое основание выбираете вы. Мы обрабатываем эти данные исключительно по вашим инструкциям в соответствии с Art. 28 GDPR.
5. Кому мы передаём ваши данные (субпроцессоры)
Мы работаем с небольшим числом субпроцессоров — третьих сторон, которые обрабатывают данные по нашему поручению. С каждым из них заключён договор, обязывающий обеспечивать уровень защиты не ниже того, что гарантирует настоящая Политика.
| Субпроцессор | Функция | Место обработки |
|---|---|---|
| Supabase, Inc. (США) | База данных (PostgreSQL), аутентификация, обмен сообщениями в реальном времени, хранилище файлов. Supabase размещён на инфраструктуре Amazon Web Services (AWS). | Северо-Восточная Азия (Токио, AWS ap-northeast-1) |
| Amazon Web Services, Inc. | Базовая облачная инфраструктура для Supabase | Тот же регион |
| Apple Inc. — Apple Push Notification Service (APNs) | Доставка push-уведомлений на iOS | Глобальная инфраструктура Apple |
| Google LLC — Firebase Cloud Messaging (FCM) | Доставка push-уведомлений на Android | Глобальная инфраструктура Google |
| Expo (650 Industries, Inc.) | Опциональный посредник для доставки push-уведомлений через APNs/FCM | США |
| Resend (Resend, Inc.) | Доставка транзакционных писем через SMTP-ретранслятор Supabase (подтверждения регистрации, сброс пароля, приглашения в команду) | США |
| Stripe / Apple / Google (при запуске платных тарифов) | Обработка платежей | Согласно собственным политикам конфиденциальности |
| Vercel Inc. | Хостинг веб-приложения crm.iamagent.app и маркетингового сайта | Глобальная edge-сеть |
Мы передаём каждому субпроцессору только минимальный объём данных, необходимый для выполнения его функции.
Этот список может меняться. Мы будем обновлять его в настоящей Политике и, если изменение является существенным, уведомлять вас по электронной почте или через баннер в приложении до вступления изменения в силу.
Мы не передаём ваши данные сторонним рекламным сетям, брокерам данных или поставщикам решений искусственного интеллекта.
Мы можем раскрывать данные правоохранительным органам или государственным структурам, если обязаны это сделать по закону (судебное решение, официальная повестка или аналогичный процессуальный документ по тайскому или иному применимому праву). Мы будем оспаривать чрезмерно широкие запросы и, где это законно, уведомлять вас.
6. Международная передача данных
Ваши данные хранятся на инфраструктуре AWS в регионе Токио, Япония (ap-northeast-1). Если вы используете Сервис из другой страны — например, из Таиланда или ЕС — ваши данные пересекают государственные границы.
Мы опираемся на следующие механизмы передачи:
- Стандартные договорные положения ЕС (Имплементационное решение Комиссии (EU) 2021/914) для передач из ЕЭЗ, Великобритании и Швейцарии в Японию.
- Ваше согласие для передач, прямо необходимых для предоставления запрошенной вами функции (например, push-уведомлений, проходящих через инфраструктуру Apple/Google).
- Необходимость для исполнения договора в соответствии с PDPA s.28 для тайских пользователей, когда передача требуется для оказания подписанного вами Сервиса.
Если регион нашего проекта Supabase изменится, мы обновим настоящую Политику и при необходимости уведомим вас.
7. Как долго мы храним ваши данные (сроки хранения)
| Данные | Срок хранения |
|---|---|
| Данные аккаунта (email, профиль, сведения о компании) | Хранятся в течение всего времени, пока аккаунт активен. |
| Клиентские данные, загружаемые вами | Хранятся в течение всего времени, пока аккаунт активен. |
| Журналы аутентификации (IP, User-Agent, метаданные сессий) | До 90 дней для целей безопасности и выявления злоупотреблений, затем удаляются или обезличиваются. |
| Журналы доставки писем в Resend | Согласно политике Resend (как правило, до 30 дней для содержимого, дольше для метаданных). |
| Журналы доставки push-уведомлений в APNs / FCM / Expo | Краткосрочно; согласно политике соответствующего провайдера. |
| Резервные копии | Зашифрованные резервные копии хранятся до 7 дней для аварийного восстановления, после чего перезаписываются. |
| Данные о платежах (при запуске платных тарифов) | До 7 лет — срок, как правило, требуемый налоговым законодательством юрисдикции Контролёра данных, после чего удаляются. |
При удалении аккаунта: по вашему запросу мы немедленно начинаем каскадное удаление данных аккаунта и всех клиентских данных, связанных с вашим рабочим пространством. Резервные копии, содержащие эти данные, будут уничтожены в течение указанного выше срока хранения. После этого мы сохраняем только то, что обязаны хранить по закону (например, записи о счетах). Если удаление по техническим причинам займёт больше времени, мы сообщим вам об этом по запросу.
Если вы являетесь владельцем компании (Admin) и у вас есть приглашённые агенты: удаление вашего аккаунта также удаляет аккаунты всех агентов вашего рабочего пространства — их профили и учётные данные для входа удаляются полностью, вместе с рабочим пространством. Данные, созданные агентами, к этому моменту уже принадлежат компании и удаляются вместе с ней.
8. Ваши права
Независимо от места вашего проживания, мы соблюдаем следующие права по запросу:
- Право на доступ — получить копию персональных данных, которые мы о вас храним.
- Право на исправление — скорректировать неточные или неполные данные. Большую часть этого можно сделать самостоятельно в настройках аккаунта в приложении.
- Право на удаление («право быть забытым») — удалить аккаунт и данные. Вы можете инициировать это в настройках аккаунта в приложении; также можно запросить удаление по электронной почте.
- Право на ограничение обработки — временно приостановить использование ваших данных нами.
- Право на переносимость данных — получить ваши данные в структурированном машиночитаемом формате (мы экспортируем в форматах JSON / CSV).
- Право на возражение — возразить против обработки, основанной на наших законных интересах.
- Право на отзыв согласия — там, где правовым основанием является согласие (например, push-уведомления), отключить его в настройках операционной системы или приложения в любое время. Отзыв не влияет на законность обработки до его осуществления.
- Право на обращение в надзорный орган:
- В ЕС/ЕЭЗ: ваш национальный орган по защите данных. Список — по адресу https://edpb.europa.eu/about-edpb/about-edpb/members_en.
- В Великобритании: Управление уполномоченного по информации (ICO) — https://ico.org.uk.
- В Таиланде: Комитет по защите персональных данных (PDPC).
- В других странах: ваш местный орган по защите данных.
Для реализации любого из этих прав напишите на support@iamagent.app. Мы отвечаем в течение 30 дней (срок может быть продлён ещё на 60 дней для сложных запросов в соответствии с GDPR Art. 12(3) и PDPA s.30). Для предотвращения мошенничества мы можем попросить вас подтвердить личность с помощью адреса электронной почты, привязанного к аккаунту.
9. Как удалить аккаунт
Вы можете удалить аккаунт в любое время:
- В приложении: откройте вкладку Аккаунт, прокрутите вниз и нажмите Удалить аккаунт. Подтвердите, введя слово DELETE. Это основной способ.
- На сайте: откройте Аккаунт и используйте Удалить аккаунт в блоке Безопасность.
- По электронной почте: напишите на support@iamagent.app с адреса, привязанного к аккаунту.
- Без установленного приложения (требование Google Play): воспользуйтесь страницей запроса на удаление по адресу https://iamagent.app/account-deletion.
Поведение при удалении описано в разделе 7 выше (немедленное каскадное удаление).
10. Данные детей
Сервис не предназначен для детей и не ориентирован на них. Минимальный возраст для использования Сервиса — 16 лет (или более высокий возраст, установленный законодательством вашей страны). Мы не собираем намеренно персональные данные лиц моложе 16 лет. Если вы являетесь родителем или опекуном и считаете, что ребёнок создал аккаунт, напишите на support@iamagent.app — мы удалим его.
11. Обязательность предоставления данных
Для создания аккаунта вы должны указать адрес электронной почты и пароль — без них мы не сможем вас аутентифицировать. Всё остальное (номер телефона, логотип компании, объекты, контакты, бронирования) является необязательным в том смысле, что вы можете пользоваться Сервисом и без этого; однако большая часть ценности CRM возникает именно из наполнения его деловыми данными.
Мы не осуществляем автоматизированного принятия решений, влекущего юридические последствия или существенно затрагивающего интересы субъекта, в соответствии с GDPR Art. 22. Мы не профилируем вас в рекламных целях или в целях оценки.
12. Безопасность
Мы защищаем ваши данные с использованием отраслевых стандартов:
- Весь трафик между вашим устройством и нашими серверами передаётся по протоколу TLS 1.2 или выше.
- Пароли хранятся только в виде bcrypt-хэшей; мы никогда не видим ваш пароль в открытом виде.
- База данных защищена построчным контролем доступа (RLS): каждая строка содержит идентификатор компании-владельца, и база данных отклоняет запросы, выходящие за рамки вашей компании.
- Файлы (фотографии, сканы документов) хранятся в Supabase Storage под защитой политик RLS, зеркалирующих правила базы данных.
- Сессии в режиме реального времени отзываются, когда администратор удаляет члена команды.
- Мы ведём журналы аудита административных действий.
Ни одна система не является абсолютно защищённой, и мы не можем гарантировать стопроцентную безопасность. Если нам станет известно об утечке данных, затрагивающей ваши персональные данные, мы уведомим компетентный надзорный орган в течение 72 часов с момента, когда нам стало об этом известно (GDPR Art. 33), и без необоснованной задержки уведомим пострадавших пользователей, если утечка с высокой вероятностью влечёт значительный риск для их прав и свобод (Art. 34; PDPA s.37(4)).
13. Cookies и аналогичные технологии
В веб-приложении мы используем один сессионный cookie, необходимый для поддержания вашей авторизации. Он является строго необходимым и не требует согласия в соответствии с Директивой ePrivacy. Мы не используем рекламные или аналитические cookies. Если в будущем мы добавим аналитику, мы обновим настоящую Политику и там, где это требуется, запросим ваше согласие.
Мобильные приложения не используют cookies, однако применяют аналогичные механизмы локального хранения (Expo SecureStore / AsyncStorage) для токенов сессий и данных в офлайн-режиме.
14. Калифорния, другие штаты США и Бразилия
Мы не ориентируемся на Калифорнию, другие штаты США или Бразилию как на основные рынки, однако если вы являетесь их резидентом, права из раздела 8 выше уже предоставляют вам защиту, по существу эквивалентную CCPA/CPRA и LGPD. Мы не «продаём» и не «распространяем» персональную информацию в значении терминов CCPA/CPRA. Вы можете реализовать свои права, написав на тот же адрес: support@iamagent.app.
15. Изменения в настоящей Политике
Мы можем обновлять настоящую Политику при изменении законодательства, добавлении функций или смене субпроцессоров. Дата «Последнего обновления» в верхней части документа покажет вам, когда это произошло. О существенных изменениях мы уведомим вас по электронной почте и через баннер в приложении не менее чем за 14 дней до их вступления в силу. Продолжение использования Сервиса после даты вступления изменений в силу означает их принятие.
Предыдущие версии можно запросить на support@iamagent.app.
16. Контакты
По любому вопросу конфиденциальности, включая запросы на доступ, исправление, удаление или перенос данных, пишите:
Korshunov Igor Vladimirovich — Контролёр данных I am Agent Email: support@iamagent.app
Мы стремимся ответить в течение 7 рабочих дней и полностью разрешить запросы в течение 30 дней.
Конец Политики конфиденциальности.