Политика конфиденциальности и обработки персональных данных

Редакция действует с 16 мая 2026 г. Документ разработан в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

1. Общие положения

Настоящая Политика определяет порядок обработки и защиты персональных данных пользователей сервиса Sozdai.art (далее — «Сервис»).

Оператором персональных данных является Индивидуальный предприниматель [ФИО ИП], ИНН [ИНН], ОГРНИП [ОГРНИП] (далее — «Оператор»).

Используя Сервис, Пользователь подтверждает, что ознакомлен с настоящей Политикой и принимает её условия.

2. Основные термины

• Персональные данные (ПД) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу.
• Обработка ПД — любое действие с ПД: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
• Субъект ПД — Пользователь Сервиса, к которому относятся обрабатываемые данные.
• Оператор — лицо, организующее и (или) осуществляющее обработку ПД.
• Трансграничная передача — передача ПД на территорию иностранного государства.

3. Категории субъектов персональных данных

Оператор обрабатывает ПД следующих категорий субъектов:

• Зарегистрированные пользователи Сервиса.
• Посетители сайта sozdai.art и Mini App.
• Пользователи Telegram-ботов Оператора.
• Лица, обратившиеся в службу поддержки.

4. Категории обрабатываемых персональных данных

Оператор обрабатывает следующие категории ПД:

• Идентификаторы Telegram: user_id, имя, фамилия, username, язык интерфейса, фото профиля (если доступно).
• Регистрационные данные: email, имя пользователя, хешированный пароль (bcrypt).
• Данные об использовании Сервиса: история генераций, текст промптов, загруженные изображения, выбранные модели и стили, баланс кредитов, история транзакций.
• Технические данные: IP-адрес, тип устройства, версия браузера/клиента, временные метки действий, идентификаторы сессий.
• Платёжные данные: суммы, даты и статусы платежей. Реквизиты банковских карт Оператором не обрабатываются и не хранятся — они передаются непосредственно в ЮKassa.
• Данные обращений в поддержку: содержание переписки в Telegram/email.

Оператор не осуществляет обработку специальных категорий ПД (расовая принадлежность, политические взгляды, состояние здоровья и т.п.) и биометрических ПД, за исключением случаев, когда такие данные содержатся в изображениях, добровольно загруженных Пользователем для генерации, — такие данные обрабатываются исключительно в рамках обработки запроса и не извлекаются в самостоятельные категории.

5. Цели обработки персональных данных

• Предоставление доступа к функциональности Сервиса и исполнение договора (оферты).
• Идентификация и аутентификация Пользователя.
• Обработка платежей, начисление и списание кредитов, ведение бухгалтерского учёта.
• Направление транзакционных и сервисных уведомлений (статус генерации, изменения тарифов, продление подписки).
• Техническая поддержка и улучшение качества Сервиса.
• Обеспечение информационной безопасности, защита от мошенничества и злоупотреблений.
• Исполнение требований законодательства РФ, в том числе налогового и о бухгалтерском учёте.
• Рассмотрение претензий и обращений.

6. Правовые основания обработки

• Согласие субъекта ПД (п. 1 ч. 1 ст. 6 152-ФЗ) — для отдельных категорий обработки.
• Исполнение договора, стороной которого является субъект ПД (п. 5 ч. 1 ст. 6 152-ФЗ).
• Исполнение обязанностей, возложенных на Оператора законодательством РФ (п. 2 ч. 1 ст. 6 152-ФЗ).
• Законный интерес Оператора, не противоречащий конституционным правам субъекта (п. 7 ч. 1 ст. 6 152-ФЗ) — обеспечение безопасности и улучшение Сервиса.

7. Способы и сроки обработки

Обработка ПД осуществляется как с использованием средств автоматизации, так и без них.

Действия с ПД включают: сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу (предоставление), обезличивание, блокирование, удаление, уничтожение.

Сроки хранения ПД:

• Данные аккаунта — на период использования Сервиса и в течение 3 (трёх) лет после удаления аккаунта или последнего обращения, если законом не установлен иной срок.
• Платёжные документы и фискальные данные — 5 (пять) лет в соответствии с законодательством о бухгалтерском учёте.
• Логи доступа и технические журналы — до 12 (двенадцати) месяцев.
• Сгенерированные изображения и промпты — до 365 (трёхсот шестидесяти пяти) дней с момента генерации, если иное не выбрано Пользователем в настройках.
• Данные согласий на обработку ПД — 5 (пять) лет с момента отзыва или истечения срока действия согласия.

8. Передача персональных данных третьим лицам

Оператор передаёт ПД следующим категориям получателей исключительно в объёме, необходимом для достижения указанных целей:

• ООО НКО «ЮMoney» (ЮKassa) — для обработки платежей и формирования фискальных чеков. Россия.
• Telegram FZ-LLC — данные, передаваемые Telegram при взаимодействии с ботом и Mini App, обрабатываются в соответствии с политикой Telegram. ОАЭ.
• Провайдеры AI-моделей (Google LLC через OpenRouter Inc. и/или прямое подключение, иные провайдеры) — текст промпта и загруженные изображения передаются для выполнения генерации. ПД (имя, email, идентификаторы) при этом не передаются. США/иные юрисдикции.
• Хостинг и инфраструктура — Beget (Россия), Supabase Inc. (ЕС — для отдельных сервисов). Большая часть данных хранится на serverах в РФ.
• Сервисы рассылок — Resend (США) для транзакционных email-уведомлений (адрес email и содержимое уведомления).
• Государственные органы — в случаях и порядке, предусмотренных законодательством РФ.

9. Трансграничная передача персональных данных

Оператор осуществляет трансграничную передачу ПД в страны, обеспечивающие адекватную защиту прав субъектов ПД, а также в страны, не обеспечивающие такой защиты, — на основании согласия субъекта ПД и в объёме, минимально необходимом для достижения целей обработки.

Перед началом трансграничной передачи Оператор уведомляет Роскомнадзор в порядке, предусмотренном ст. 12 152-ФЗ.

10. Меры по обеспечению безопасности персональных данных

Оператор принимает правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий:

• Шифрование трафика по протоколу HTTPS/TLS.
• Хеширование паролей с использованием bcrypt.
• JWT-аутентификация и контроль доступа на уровне приложения и базы данных (RLS PostgreSQL).
• Регулярное резервное копирование и контроль целостности данных.
• Логирование доступа к ПД и регулярный аудит.
• Разграничение прав доступа сотрудников и подрядчиков на основе принципа минимальных привилегий.
• Соглашения о конфиденциальности с подрядчиками, имеющими доступ к ПД.

11. Права субъекта персональных данных

В соответствии со ст. 14–21 152-ФЗ субъект ПД имеет право:

• Получать информацию об обработке своих ПД.
• Требовать уточнения, блокирования или уничтожения ПД, если они неполны, устарели, неточны, незаконно получены или не являются необходимыми для заявленной цели обработки.
• Отозвать согласие на обработку ПД.
• Возражать против обработки и принятия решений на основании исключительно автоматизированной обработки.
• Обжаловать действия Оператора в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзоре) или в судебном порядке.

Для реализации прав направьте запрос на адрес privacy@sozdai.art или через Telegram @aleksey_gusev. Срок рассмотрения — 10 рабочих дней (может быть продлён до 30 дней с уведомлением заявителя).

12. Cookie-файлы и аналогичные технологии

Использование cookie-файлов регулируется отдельной Политикой использования cookie.

13. Автоматизированная обработка и профилирование

Оператор не принимает решений, порождающих юридические последствия для субъекта ПД, на основании исключительно автоматизированной обработки.

В отдельных случаях используются автоматизированные системы для оценки рисков мошенничества и злоупотреблений — результаты такой обработки рассматриваются человеком перед принятием значимых решений (например, блокировка аккаунта).

14. Изменения Политики

Оператор вправе вносить изменения в Политику. Актуальная редакция всегда доступна по адресу /legal/privacy.

Существенные изменения, затрагивающие права субъектов ПД, доводятся до сведения Пользователей через интерфейс Сервиса не менее чем за 7 (семь) дней до вступления в силу.

15. Контакты и реквизиты Оператора

Индивидуальный предприниматель [ФИО ИП]
ИНН: [ИНН]
ОГРНИП: [ОГРНИП]
Адрес для корреспонденции: [адрес]
Email по вопросам персональных данных: privacy@sozdai.art
Email общей поддержки: support@sozdai.art
Telegram: @aleksey_gusev
Сайт: sozdai.art

Надзорный орган: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), rkn.gov.ru.