Политика конфиденциальностисервиса «Elumenta»
Настоящая Политика конфиденциальности (далее — «Политика») описывает порядок обработки персональных данных пользователей сервиса «Elumenta» (далее — «Сервис»), доступного по адресу ai-tools.t2.ru, Индивидуальным предпринимателем Постниковой Анной Андреевной (далее — «Оператор»).
Политика разработана в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — «Закон»), Федеральным законом от 21 июля 2014 года № 242-ФЗ о локализации обработки персональных данных граждан Российской Федерации и иными актами законодательства Российской Федерации.
Раздел I. Общие положения
Статья 1. Назначение Политики и круг лиц
1.1. Политика применяется ко всем персональным данным, которые Оператор получает о Пользователях в связи с использованием ими Сервиса. Под Пользователем понимается дееспособное физическое лицо, достигшее возраста 18 (восемнадцати) лет, использующее Сервис или посещающее сайт ai-tools.t2.ru.
1.2. Политика регулирует обработку персональных данных, получаемых через:
- регистрацию Пользователя в Сервисе (по адресу электронной почты, через аккаунт Google или через Telegram);
- использование функциональных возможностей Сервиса, включая отправку запросов к моделям искусственного интеллекта;
- оплату подписок и пакетов токенов через систему мобильной коммерции;
- посещение сайта Сервиса (с использованием файлов cookie и подобных технологий);
- обращения в службу поддержки и иные коммуникации с Оператором.
1.3. Политика не распространяется на сайты и сервисы третьих лиц, ссылки на которые могут присутствовать в Сервисе. Оператор не несет ответственности за политики обработки персональных данных таких третьих лиц.
Статья 2. Термины и определения
«Персональные данные» — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.
«Обработка персональных данных» — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
«Субъект персональных данных» — физическое лицо, к которому относятся персональные данные. В контексте настоящей Политики — Пользователь Сервиса.
«Оператор» — Индивидуальный предприниматель Постникова Анна Андреевна, осуществляющая обработку персональных данных Пользователей. Реквизиты приведены в конце Политики.
«Согласие» — свободное, конкретное, информированное и сознательное выражение воли Пользователя на обработку его персональных данных.
«Файлы cookie» — небольшие текстовые файлы, размещаемые на устройстве Пользователя сайтом или сервисом, используемые для идентификации сессии, сохранения настроек и аналитических целей.
«Сервис» — программа для ЭВМ «Elumenta» — агрегатор моделей искусственного интеллекта, доступный по адресу ai-tools.t2.ru.
«Оферта» — публичная оферта Оператора, устанавливающая условия использования Сервиса.
Статья 3. Принципы обработки персональных данных
3.1. Оператор соблюдает следующие принципы обработки персональных данных:
- законность и справедливость — обработка осуществляется только на правовых основаниях, предусмотренных законодательством;
- ограничение целей — данные обрабатываются только для целей, прямо указанных в настоящей Политике;
- минимизация данных — Оператор собирает только те данные, которые необходимы для достижения заявленных целей;
- точность данных — Оператор принимает разумные меры для обеспечения актуальности данных;
- ограничение хранения — данные хранятся не дольше, чем требуется для целей обработки или законодательством;
- целостность и конфиденциальность — Оператор обеспечивает защиту данных от несанкционированного доступа и утраты с применением технических и организационных мер;
- подотчетность — Оператор готов продемонстрировать соблюдение указанных принципов по обоснованному запросу.
Статья 4. Правовые основания обработки
4.1. Оператор обрабатывает персональные данные на следующих правовых основаниях, предусмотренных статьей 6 Закона:
- согласие Пользователя, выраженное путем акцепта Оферты, регистрации в Сервисе и использования его функциональных возможностей;
- исполнение Договора, заключенного с Пользователем на условиях Оферты;
- исполнение обязанностей, возложенных на Оператора законодательством Российской Федерации (налоговое, бухгалтерское, антимонопольное и иное);
- осуществление прав и законных интересов Оператора, если такая обработка не нарушает права и свободы Пользователя.
Раздел II. Обрабатываемые данные и цели
Статья 5. Категории обрабатываемых персональных данных
5.1. Оператор обрабатывает следующие категории персональных данных Пользователя:
Регистрационные данные
- адрес электронной почты;
- номер мобильного телефона;
- фамилия, имя, отчество (при наличии и при предоставлении Пользователем);
- уникальные идентификаторы аккаунтов Google и Telegram при соответствующих способах регистрации;
- дата и время регистрации, активности в Сервисе.
Платежные данные
- номер мобильного телефона, использованный для оплаты с мобильного баланса;
- сведения о произведенных платежах (сумма, дата, статус транзакции, наименование Тарифного плана);
- Оператор не хранит полные платежные реквизиты — они обрабатываются платежной системой MOBI.Деньги.
Данные использования Сервиса
- содержание запросов Пользователя к моделям искусственного интеллекта (тексты промптов, загружаемые файлы);
- результаты Генераций (тексты, изображения, видео, аудио);
- история использования: даты, время, использованные модели, объем затраченных токенов;
- параметры аккаунта: выбранный Тарифный план, баланс токенов, активная подписка.
Технические данные
- IP-адрес Пользователя;
- User-Agent (тип и версия браузера, операционной системы);
- идентификаторы устройства, сессий;
- логи технических действий, ошибок;
- файлы cookie и подобные технологии.
Коммуникационные данные
- обращения Пользователя в службу поддержки и связанная переписка;
- уведомления, отправленные Пользователю Сервисом, и факты их получения.
Статья 6. Цели обработки
6.1. Оператор обрабатывает персональные данные Пользователя в следующих целях:
- регистрация и идентификация Пользователя в Сервисе;
- предоставление Пользователю доступа к функциональным возможностям Сервиса в соответствии с выбранным Тарифным планом;
- обеспечение работы системы расчетов через мобильную коммерцию (передача необходимых данных оператору связи и MOBI.Деньги);
- выполнение запросов Пользователя к моделям искусственного интеллекта (передача содержания запросов соответствующим провайдерам моделей);
- обеспечение технической работоспособности, безопасности и стабильности Сервиса;
- обработка обращений Пользователя в службу поддержки;
- улучшение качества Сервиса на основании обезличенных или агрегированных данных;
- направление Пользователю сервисных уведомлений (изменения в работе Сервиса, технические уведомления, информация о платежах);
- направление информационных и рекламных сообщений (только при наличии отдельного согласия Пользователя, с возможностью отказа в любой момент);
- исполнение обязанностей Оператора, предусмотренных законодательством (налоговый, бухгалтерский учет, ответы на запросы государственных органов);
- защита прав и законных интересов Оператора, в том числе при разрешении споров с Пользователем.
6.2. Оператор не использует персональные данные для целей, не указанных в настоящей Политике, без отдельного информированного согласия Пользователя.
Статья 7. Сроки обработки и хранения
7.1. Оператор хранит персональные данные в течение следующих сроков:
| Категория данных | Срок хранения |
|---|---|
| Регистрационные и учетные данные | Срок действия аккаунта + 3 года после удаления |
| Платежные данные и история транзакций | 5 лет (требование налогового и бухгалтерского законодательства) |
| Содержание запросов и результаты Генераций | Согласно лимитам Тарифного плана; по умолчанию — 365 дней для истории чатов, 90 дней для артефактов, 30 дней для результатов выполнения кода |
| Технические логи | 12 месяцев |
| Аудит-лог доступа к файлам | 5 лет |
| Файлы cookie | В соответствии с настройками браузера, но не более 13 месяцев |
7.2. По истечении сроков хранения персональные данные удаляются или обезличиваются.
7.3. Обезличенные данные (без возможности идентификации конкретного Пользователя) могут храниться без срока в статистических и аналитических целях.
Раздел III. Особенности ИИ-сервиса
Статья 8. Обработка содержания запросов к ИИ-моделям
8.1. Сервис представляет собой агрегатор моделей искусственного интеллекта. При выполнении каждой Генерации содержание запроса Пользователя (текстовый промпт, загружаемые файлы, выбранные параметры) передается провайдеру соответствующей ИИ-модели для обработки.
8.2. Содержание запросов, как правило, не содержит специально запрошенных Сервисом персональных данных. Однако Пользователь может включать в свои запросы любые данные по своему усмотрению, в том числе свои персональные данные или персональные данные третьих лиц. Ответственность за правомерность включения таких данных несет Пользователь.
8.3. Оператор обрабатывает содержание запросов и результаты Генераций исключительно в целях:
- предоставления Пользователю запрошенной услуги;
- отображения истории использования Сервиса в Личном кабинете Пользователя;
- технической поддержки и разрешения инцидентов;
- предотвращения нарушений условий использования Сервиса (модерация запрещенного контента — статья 9 Оферты).
8.4. Оператор НЕ использует содержание запросов и результаты Генераций для обучения собственных моделей искусственного интеллекта без отдельного, явно выраженного согласия Пользователя.
8.5. Содержание запросов сохраняется только в случаях:
- отображения истории в Личном кабинете (срок согласно тарифу);
- ведения системного аудита (срок 12 месяцев);
- документирования факта нарушения условий использования Сервиса (срок до 5 лет в целях защиты Оператора в спорах).
Статья 9. Передача провайдерам ИИ-моделей
9.1. Для выполнения Генераций Оператор передает содержание запросов Пользователя следующим провайдерам ИИ-моделей (перечень неисчерпывающий и может изменяться):
- OpenAI, L.L.C. (США) — модели GPT, DALL-E, Whisper и иные;
- Anthropic, PBC (США) — модели семейства Claude;
- Google LLC (США) — модели Gemini, Imagen, Veo;
- ElevenLabs, Inc. (США) — модели синтеза речи и музыки;
- Midjourney, Inc. (США) — модели генерации изображений;
- Luma AI, Inc. (США) — модели генерации видео;
- иные провайдеры, актуальный перечень которых доступен в Личном кабинете Пользователя.
9.2. Передача персональных данных указанным провайдерам осуществляется на основании пункта 2 части 4 статьи 12 Закона — для исполнения договора, стороной которого является Пользователь.
9.3. Каждый провайдер обрабатывает полученные данные в соответствии со своей политикой конфиденциальности. Оператор использует, где это технически возможно, режимы повышенной конфиденциальности (например, Zero Data Retention для Anthropic), при которых провайдер не сохраняет содержание запросов для последующего использования.
9.4. Пользователь, принимая условия настоящей Политики, выражает информированное согласие на передачу своих персональных данных, содержащихся в запросах, указанным провайдерам в объеме, необходимом для выполнения Генерации.
Раздел IV. Передача данных третьим лицам
Статья 10. Получатели персональных данных
10.1. Помимо провайдеров ИИ-моделей (статья 9), Оператор передает персональные данные следующим категориям третьих лиц:
Платежные провайдеры
- оператор связи Пользователя (для проведения расчетов с мобильного баланса) — номер телефона, сумма транзакции, идентификатор операции;
- Небанковская кредитная организация «МОБИ.Деньги» (процессинг платежей) — номер телефона, сумма транзакции, наименование услуги, идентификатор операции.
Инфраструктурные провайдеры
- ООО «Таймвэб» (хостинг серверов, объектное хранилище) — все данные Сервиса, защищенные техническими мерами;
- провайдеры систем уведомлений (Resend для email-рассылок) — адрес электронной почты, тема и содержание сервисного сообщения.
Государственные органы
- по требованию суда, правоохранительных или иных уполномоченных государственных органов в случаях, прямо предусмотренных законодательством.
Возможные правопреемники
- в случае реорганизации, продажи бизнеса или передачи Сервиса другому лицу — при условии сохранения уровня защиты не ниже предусмотренного настоящей Политикой и применимым законодательством.
10.2. Оператор не продает персональные данные Пользователей третьим лицам и не передает их в маркетинговых целях, не связанных с Сервисом.
10.3. При передаче данных третьим лицам Оператор требует от них соблюдения требований по защите персональных данных не ниже установленных настоящей Политикой и применимым законодательством.
Статья 11. Трансграничная передача
11.1. Часть провайдеров ИИ-моделей (статья 9) и инфраструктурных провайдеров находятся за пределами Российской Федерации, в том числе в Соединенных Штатах Америки, Великобритании и государствах Европейского Союза.
11.2. Трансграничная передача персональных данных осуществляется на основании части 4 статьи 12 Закона — для исполнения договора, стороной которого является Пользователь, в объеме, минимально необходимом для предоставления запрошенной услуги.
11.3. Трансграничная передача осуществляется в государства, не входящие в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных. В случае возникновения у Оператора законодательно установленной обязанности уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о намерении осуществлять такую трансграничную передачу, Оператор подает соответствующее уведомление в порядке, установленном законодательством.
11.4. Резервное копирование данных Сервиса может осуществляться с использованием хранилищ, расположенных в Российской Федерации и за ее пределами (в государствах Европейского Союза), в целях обеспечения сохранности данных и непрерывности предоставления Сервиса.
Раздел V. Безопасность и хранение
Статья 12. Локализация хранения
12.1. В соответствии с требованиями Федерального закона № 242-ФЗ первичные операции по сбору, записи, систематизации, накоплению, хранению, уточнению и извлечению персональных данных граждан Российской Федерации производятся в базах данных, расположенных на территории Российской Федерации (Москва, инфраструктура ООО «Таймвэб»).
12.2. Последующая обработка, включая передачу провайдерам ИИ-моделей, осуществляется на основаниях, предусмотренных законодательством и настоящей Политикой.
Статья 13. Технические и организационные меры защиты
13.1. Оператор применяет следующие технические меры защиты персональных данных:
- шифрование передачи данных — все соединения с Сервисом защищены протоколом TLS 1.2 и выше;
- шифрование хранимых файлов в объектном хранилище методом SSE-AES256 (Server-Side Encryption);
- шифрование чувствительных данных в базе данных методом Fernet (AES-128 в режиме CBC с HMAC-SHA256);
- хранение паролей в виде криптографических хешей с использованием алгоритма с солью;
- использование подписанных временных URL-адресов (presigned URLs) для доступа к файлам с автоматическим истечением срока действия;
- автоматическое удаление устаревших данных согласно политикам жизненного цикла;
- ведение аудит-журнала доступа к файлам (с фиксацией идентификатора пользователя, ключа файла, действия, IP-адреса, User-Agent);
- заголовки безопасности веб-сервера: HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Permissions-Policy.
13.2. Оператор применяет следующие организационные меры:
- ограничение доступа сотрудников к персональным данным принципом минимальных привилегий;
- обязательное подписание соглашений о неразглашении со всеми привлекаемыми лицами;
- регулярное резервное копирование данных;
- регулярную проверку и обновление мер защиты;
- документирование процессов обработки персональных данных.
13.3. Несмотря на принимаемые меры, Оператор не может гарантировать абсолютную безопасность данных в условиях постоянно развивающихся методов несанкционированного доступа. Пользователь самостоятельно обеспечивает безопасность данных авторизации (пароля) и устройств, с которых осуществляется доступ к Сервису.
Статья 14. Уведомление об инцидентах
14.1. В случае выявления инцидента, повлекшего или потенциально могущего повлечь утечку, неправомерный доступ к персональным данным или иные неправомерные действия в отношении них, Оператор:
- в течение 24 часов с момента выявления инцидента уведомляет уполномоченный орган (Роскомнадзор) в порядке, установленном законодательством;
- в течение 72 часов с момента выявления инцидента уведомляет Пользователей, чьи данные были затронуты, по электронной почте или иным доступным способом;
- принимает меры по локализации инцидента, устранению его причин и минимизации негативных последствий для Пользователей;
- проводит расследование и принимает дополнительные меры по предотвращению повторения инцидента.
Раздел VI. Cookies и технические данные
Статья 15. Файлы cookie и подобные технологии
15.1. При посещении сайта ai-tools.t2.ru Оператор использует файлы cookie и подобные технологии (локальное хранилище, метки браузера) в следующих категориях:
| Тип cookie | Назначение | Срок |
|---|---|---|
| Необходимые | Обеспечение базовой работы Сервиса: аутентификация, корзина оплаты, защита от CSRF-атак. Не требуют согласия Пользователя. | Сессия / до 30 дней |
| Функциональные | Сохранение пользовательских настроек: язык, тема оформления, выбранный раздел Личного кабинета. | До 12 месяцев |
| Аналитические | Сбор обезличенной статистики использования Сервиса (метрика Яндекс.Метрика). Помогают улучшить функциональность. | До 13 месяцев |
15.2. Пользователь вправе управлять файлами cookie через настройки браузера: блокировать, удалять, ограничивать срок хранения. Отключение необходимых cookie может привести к невозможности использования отдельных функций Сервиса.
15.3. Аналитические cookie использует сервис Яндекс.Метрика на условиях, изложенных в политике Яндекса. Оператор получает только обезличенные агрегированные отчеты без возможности идентификации конкретного Пользователя.
Раздел VII. Права пользователей
Статья 16. Права субъектов персональных данных
16.1. Пользователь имеет следующие права в отношении своих персональных данных, обрабатываемых Оператором:
- право на получение информации об обработке его персональных данных, включая источники и категории получателей;
- право на доступ к своим персональным данным и получение их копии;
- право на уточнение, исправление, обновление неполных или неточных данных;
- право на удаление данных (право на забвение) — в случаях, когда данные более не необходимы для целей обработки или когда Пользователь отзывает свое согласие, а иное правовое основание отсутствует;
- право на ограничение обработки — в случаях, предусмотренных законодательством;
- право на отзыв согласия — в любой момент, без указания причин;
- право на перенос данных (data portability) — получение своих данных в структурированном машиночитаемом формате;
- право на возражение против обработки, основанной на законных интересах Оператора;
- право на обжалование действий Оператора в уполномоченный государственный орган (Роскомнадзор) и в суд.
Статья 17. Порядок реализации прав
17.1. Для реализации своих прав Пользователь обращается к Оператору одним из следующих способов:
- через функции Личного кабинета (просмотр данных, удаление аккаунта, экспорт данных);
- по адресу электронной почты support@elumenta.ru с указанием идентификатора аккаунта (адреса электронной почты, использованного при регистрации) и сути запроса;
- по адресу для юридических обращений: legal@elumenta.ru;
- почтовым отправлением по адресу регистрации Оператора, указанному в реквизитах настоящей Политики.
17.2. Оператор рассматривает обращение Пользователя в течение 30 (тридцати) календарных дней с момента его получения. В случае, если обращение требует дополнительной проверки или согласований, срок может быть продлен, о чем Пользователь уведомляется.
17.3. Оператор вправе запросить у Пользователя дополнительные сведения, необходимые для подтверждения его личности и предотвращения неправомерного доступа к данным третьих лиц.
17.4. Реализация Пользователем права на удаление данных приводит к прекращению Договора и удалению аккаунта в Сервисе. Часть данных (платежная история, бухгалтерская отчетность) может сохраняться в течение сроков, установленных законодательством, после удаления аккаунта.
Раздел VIII. Возрастные ограничения
Статья 18. Обработка данных несовершеннолетних
18.1. Сервис предназначен для использования лицами, достигшими возраста 18 (восемнадцати) лет. Использование Сервиса лицами младше 18 лет не допускается.
18.2. Оператор не осуществляет целенаправленный сбор и обработку персональных данных лиц младше 18 лет.
18.3. В случае выявления факта регистрации в Сервисе лица младше 18 лет либо при получении соответствующего обращения от законных представителей такого лица Оператор удаляет аккаунт и связанные с ним персональные данные в течение разумного срока.
18.4. Законные представители несовершеннолетних лиц, обнаружившие, что их подопечный использует Сервис без надлежащего согласия, могут обратиться к Оператору по адресу support@elumenta.ru для незамедлительного удаления аккаунта и данных.
Раздел IX. Заключительные положения
Статья 19. Изменение Политики
19.1. Оператор вправе в одностороннем порядке вносить изменения в настоящую Политику. Актуальная редакция Политики публикуется по адресу ai-tools.t2.ru/privacy с указанием даты вступления в силу.
19.2. Изменения, существенно затрагивающие права и обязанности Пользователя (например, расширение перечня обрабатываемых данных или категорий получателей), вступают в силу не ранее чем через 10 (десять) календарных дней с момента публикации новой редакции.
19.3. О существенных изменениях Политики Оператор уведомляет Пользователя по адресу электронной почты, указанному при регистрации, либо посредством уведомления в Личном кабинете.
19.4. Продолжение использования Сервиса после вступления изменений в силу означает согласие Пользователя с новой редакцией Политики. В случае несогласия Пользователь вправе прекратить использование Сервиса и реализовать свое право на удаление данных.
Статья 20. Применимое право и подсудность
20.1. К отношениям, регулируемым настоящей Политикой, применяется право Российской Федерации.
20.2. Споры, возникающие в связи с обработкой персональных данных, разрешаются путем переговоров. При недостижении согласия Пользователь вправе обратиться:
- в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — официальный сайт rkn.gov.ru;
- в суд в соответствии с подсудностью, установленной законодательством Российской Федерации.
Статья 21. Контакты Оператора по вопросам обработки данных
Все вопросы, обращения, запросы и заявления, связанные с обработкой персональных данных, направляются по следующим контактам:
Электронная почта для обращений субъектов персональных данных: support@elumenta.ru
Электронная почта для юридических обращений: legal@elumenta.ru
Почтовый адрес для письменных обращений: 121165, г. Москва, ул. Киевская, д. 24, кв. 62
Сайт Сервиса: ai-tools.t2.ru
Реквизиты оператора
Индивидуальный предприниматель Постникова Анна Андреевна
ИНН: 773008399805
ОГРНИП: 320774600119591
Адрес регистрации: 121165, г. Москва, внутригородская территория муниципальный округ Дорогомилово, ул. Киевская, д. 24, кв. 62
Расчетный счет: 40802810238000182435
Банк: ПАО Сбербанк
Корреспондентский счет: 30101810400000000225
БИК: 044525225