Политика обработки персональных данных

Настоящая Политика обработки персональных данных и конфиденциальности (далее - Политика) применяется к сайту и сервису AI Контент Завод, доступным по адресу aicontentzavod.tech, а также к связанным личным кабинетам, API, платежным и интеграционным функциям (далее - Сервис).

Политика подготовлена в целях исполнения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", законодательства об информации и иных применимых актов Российской Федерации. Документ раскрывает, какие данные обрабатываются, для каких целей, на каких основаниях, кому могут передаваться и как субъект персональных данных может реализовать свои права.

Оператор персональных данных: ИП Марцинюк Михаил Сергеевич, ИНН 229100804842, место ведения деятельности: Российская Федерация, г. Ростов-на-Дону, e-mail для обращений по вопросам персональных данных: martsinyuk.pl@gmail.com.

Используя Сервис, регистрируя учетную запись, подключая интеграции, загружая материалы или оплачивая услуги, пользователь подтверждает, что ознакомился с настоящей Политикой. Если для отдельной операции требуется отдельное согласие, такая операция выполняется после получения соответствующего согласия или при наличии иного законного основания.

Термины "персональные данные", "оператор", "субъект персональных данных", "обработка персональных данных", "распространение", "предоставление", "блокирование", "уничтожение" и иные термины используются в значениях, установленных Федеральным законом N 152-ФЗ.

Под пользовательским контентом в Политике понимаются тексты, промпты, изображения, видео, аудио, сценарии, метаданные публикаций, настройки проектов и иные материалы, которые пользователь загружает, создает, генерирует, редактирует или публикует через Сервис.

Оператор придерживается следующих принципов обработки данных:

• обработка осуществляется на законной и справедливой основе;
• состав данных ограничивается целями работы Сервиса;
• данные не используются для целей, несовместимых с заявленными;
• по возможности применяются минимизация, разделение и ограничение доступа;
• срок хранения определяется целями обработки, законом, договором и необходимостью защиты прав;
• данные подлежат уточнению, блокированию или уничтожению при наличии законных оснований.

В зависимости от способа использования Сервиса Оператор может обрабатывать:

• регистрационные данные: имя или отображаемое имя, адрес электронной почты, пароль в виде технического хеша, идентификаторы учетной записи, дату регистрации, статус учетной записи;
• данные авторизации и безопасности: сессионные и refresh-токены, сведения о входах, технические признаки подозрительных действий, данные, необходимые для восстановления доступа;
• данные проектов: названия проектов, темы, промпты, сценарии, настройки генерации, расписание публикаций, статусы задач, результаты генерации, обложки, аудио, видео и иные файлы;
• данные интеграций: сведения о подключенных профилях и каналах, токены и иные технические ключи доступа, идентификаторы страниц, каналов, аккаунтов, досок, статусы публикаций и данные аналитики, полученные через API или сервисные интеграции;
• платежные данные: суммы пополнений и списаний, валюта, история операций внутреннего баланса, идентификаторы платежей, статусы платежей, технические ответы платежного провайдера, данные для автопополнения, если пользователь включает такую функцию;
• коммуникационные данные: обращения в поддержку, служебные уведомления, электронная переписка и сведения, необходимые для ответа пользователю;
• технические данные: IP-адрес при обращении к серверу, user-agent, язык браузера, тип устройства, дата и время запроса, путь запроса, HTTP-статус, сведения об ошибках, runtime-журналы и журналы безопасности;
• данные cookie и аналогичных технологий: технические записи браузера, необходимые для сессии, интерфейса, запоминания выбора по аналитике, а также аналитические идентификаторы после получения согласия.

Оператор не запрашивает специальные категории персональных данных и биометрические персональные данные как обязательное условие использования Сервиса. При этом пользовательский контент может содержать изображение, голос, имя, никнейм, логотипы, товарные знаки или иную информацию о третьих лицах. Пользователь самостоятельно обеспечивает наличие правовых оснований для загрузки, генерации, обработки и публикации таких материалов.

Данные обрабатываются для следующих целей:

• создание, ведение и защита учетной записи пользователя;
• предоставление функций Сервиса, включая AI-генерацию, монтаж, хранение и публикацию контента;
• подключение аккаунтов внешних платформ и выполнение действий от имени пользователя в пределах выданных разрешений;
• ведение внутреннего баланса, прием платежей, списание стоимости операций и формирование истории расчетов;
• обработка обращений, направление сервисных уведомлений и восстановление доступа;
• обеспечение безопасности, предотвращение злоупотреблений, расследование технических сбоев;
• сбор обезличенной или агрегированной статистики посещаемости и улучшение интерфейса;
• исполнение требований закона, ответы на законные запросы уполномоченных органов, защита прав Оператора и пользователей.

Обработка осуществляется на следующих основаниях:

• заключение и исполнение пользовательского соглашения с пользователем;
• согласие субъекта персональных данных, в том числе на подключение интеграций, аналитические cookie и отдельные необязательные функции;
• исполнение обязанностей, предусмотренных законодательством Российской Федерации;
• осуществление прав и законных интересов Оператора, включая безопасность, учет оказанных услуг, предотвращение злоупотреблений и защиту от претензий, при условии, что это не нарушает права и свободы субъекта персональных данных;
• обработка данных, сделанных общедоступными самим субъектом персональных данных или переданных пользователем для публикации через подключенные платформы.

Оператор может осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передачу, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение персональных данных, а также иные действия, необходимые для целей, указанных в настоящей Политике.

Обработка может выполняться с использованием средств автоматизации, без использования таких средств либо смешанным способом.

Сервис использует строго необходимые технические записи браузера для авторизации, безопасности, сохранения сессии, отдельных настроек интерфейса и запоминания выбора пользователя по аналитике. Такие записи необходимы для работы сайта или для исполнения выбора пользователя.

До выбора пользователя по аналитике Сервис ведет собственную минимальную агрегированную статистику посещений без установки аналитических cookie и без записи аналитических идентификаторов в браузер. В эту статистику попадают дата, путь страницы без query string, домен источника перехода без полного URL, UTM-метки, тип устройства, язык браузера и состояние согласия. На уровне этой статистики Сервис не сохраняет IP-адрес, cookie-ID или идентификатор учетной записи.

Яндекс Метрика и аналитические cookie включаются только после выбора "Принять" в уведомлении. После включения Метрика может использовать cookie, localStorage и иные браузерные идентификаторы для веб-аналитики, оценки эффективности страниц, подсчета переходов и улучшения Сервиса. В текущей конфигурации Вебвизор не используется.

Пользователь может выбрать вариант "Только необходимые". В этом случае аналитическая Метрика не загружается, но собственная агрегированная статистика посещаемости без cookie продолжает вестись в объеме, описанном выше. Пользователь также может очистить localStorage/cookie в браузере, после чего уведомление может быть показано повторно.

Основная база данных и S3-совместимое объектное хранилище для файлов размещаются у REG.RU / Рег.облако на территории Российской Федерации. В этой инфраструктуре хранятся основные записи учетных записей, проектов, платежных операций, публикаций и пользовательских файлов, насколько это применимо к выбранной конфигурации Сервиса.

Код фронтенда и бэкенда выполняется на VPS LightNode в Германии. При обращении к Сервису HTTP-запросы, технические заголовки, runtime-логи и связанные технические данные могут обрабатываться на этой серверной инфраструктуре. Такая обработка необходима для фактической работы приложения, маршрутизации запросов, диагностики и безопасности.

На дату публикации Политики Сервис не использует Cloudflare, CDN или внешний прокси перед сайтом; домен и DNS используются напрямую через REG.RU. При изменении инфраструктуры Политика подлежит обновлению.

Оператор не продает персональные данные. Данные передаются третьим лицам только в объеме, необходимом для работы Сервиса, исполнения договора, выполнения требований закона, оплаты услуг, поддержки, безопасности или защиты прав.

В работе Сервиса могут участвовать следующие категории получателей и подрядчиков:

• REG.RU / Рег.облако - база данных, объектное хранилище, домен и DNS;
• LightNode - VPS-хостинг приложения и API в Германии;
• Яндекс Метрика - веб-аналитика после согласия пользователя;
• OpenAI и xAI - генерация текста, изображений, видео, сценариев, метаданных и иных AI-материалов;
• ElevenLabs и Speechify - синтез речи и работа с голосовыми функциями;
• Pexels - подбор и получение стоковых материалов;
• Upload-Post - публикация контента, подключение профилей и получение статусов/аналитики публикаций;
• T-Bank - прием, проверка и сопровождение платежей;
• государственные органы и иные лица - в случаях, предусмотренных законом или обязательным к исполнению запросом.

* Meta Platforms Inc. признана экстремистской организацией, ее деятельность запрещена на территории РФ; Instagram и Facebook принадлежат Meta Platforms Inc.

Передача данных каждому получателю ограничивается теми сведениями, которые необходимы для конкретной функции: например, для платежа передаются платежные параметры, для публикации - контент и токены доступа, для AI-генерации - промпты, исходные материалы и контекст задания.

Так как часть инфраструктуры и внешних сервисов находится за пределами Российской Федерации, отдельные данные могут передаваться или технически обрабатываться за границей. Это касается VPS LightNode в Германии, а также иностранных сервисов генерации, публикации, аналитики, стоковых материалов и социальных платформ.

Трансграничная передача осуществляется для исполнения пользовательского соглашения, публикации контента, генерации материалов, синтеза речи, получения аналитики, приема платежей, диагностики и обеспечения безопасности. Передача ограничивается необходимым объемом данных.

При наличии предусмотренной законом обязанности Оператор осуществляет трансграничную передачу с соблюдением процедур статьи 12 Федерального закона N 152-ФЗ, включая направление уведомлений в уполномоченный орган по защите прав субъектов персональных данных, когда такое уведомление требуется.

Персональные данные хранятся не дольше, чем этого требуют цели обработки, условия пользовательского соглашения, требования закона, бухгалтерский и налоговый учет, безопасность, разрешение споров и защита прав.

• данные учетной записи хранятся в течение срока использования Сервиса и после прекращения использования в пределах срока, необходимого для претензий, учета и исполнения закона;
• данные платежей, баланса и операций хранятся в сроки, необходимые для расчетов, отчетности, возвратов, антифрод-проверок и бухгалтерского учета;
• пользовательский контент и файлы хранятся до удаления пользователем, удаления учетной записи, окончания срока необходимости хранения или наступления иных оснований для удаления;
• токены и интеграционные данные хранятся до отключения интеграции, удаления учетной записи, истечения токена или наступления иных оснований для прекращения обработки;
• технические журналы хранятся в пределах сроков, необходимых для диагностики, безопасности и расследования инцидентов;
• агрегированная first-party статистика посещений, не содержащая IP, cookie-ID и пользовательский ID, может храниться дольше для анализа посещаемости.

Если пользователь запрашивает удаление данных, Оператор удаляет или обезличивает данные в пределах, допустимых законом. Данные, которые должны храниться для исполнения закона, учета, разрешения споров или подтверждения оказанных услуг, могут быть сохранены до прекращения соответствующих оснований хранения.

Оператор применяет разумные организационные и технические меры защиты: разграничение доступа, использование учетных записей и токенов, передачу данных по защищенным каналам при наличии такой возможности, ограничение доступа к секретам, журналирование технических событий, резервирование и иные меры, соответствующие характеру обрабатываемых данных и рискам.

Абсолютная безопасность передачи и хранения данных в сети Интернет не может быть гарантирована. Пользователь обязан самостоятельно обеспечивать безопасность своего устройства, почтового ящика, пароля, токенов и подключенных аккаунтов внешних платформ.

Субъект персональных данных вправе:

• получать сведения об обработке своих персональных данных;
• требовать уточнения, блокирования или уничтожения данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не нужны для заявленной цели;
• отозвать согласие на обработку, если обработка основана на согласии;
• отключить интеграции и отозвать разрешения во внешних платформах;
• обжаловать действия или бездействие Оператора в уполномоченный орган или суд;
• осуществлять иные права, предусмотренные законодательством Российской Федерации.

Запросы направляются на martsinyuk.pl@gmail.com. Для защиты данных Оператор вправе запросить информацию, необходимую для подтверждения личности заявителя и связи запроса с конкретной учетной записью. Ответ предоставляется в сроки, установленные применимым законодательством.

Сервис предназначен для лиц старше 18 лет. Оператор не ориентирует Сервис на детей и не осуществляет намеренный сбор данных несовершеннолетних. Если Оператору станет известно о регистрации лица, не достигшего 18 лет, учетная запись может быть ограничена или удалена.

Сервис использует автоматизированные алгоритмы и внешние AI-сервисы для подготовки контента, сценариев, метаданных, изображений, видео и аудио. Такие результаты могут содержать ошибки, неточности или материалы, требующие проверки. Оператор не использует автоматизированную обработку для принятия решений, порождающих для пользователя юридические последствия без участия пользователя.

Пользователь самостоятельно проверяет законность, точность, права на использование и допустимость публикации итогового контента до его размещения на внешних платформах.

Оператор вправе изменять Политику при изменении законодательства, инфраструктуры, состава функций, подрядчиков или фактических процессов обработки. Новая редакция вступает в силу с момента публикации на этой странице, если в ней не указан иной срок.

Пользователю рекомендуется периодически проверять актуальную редакцию Политики. Продолжение использования Сервиса после публикации новой редакции означает ознакомление пользователя с обновленным документом.