Политика обработки персональных данных

Наименование

Общество с ограниченной ответственностью «НЕЙРОХУДОЖНИК»

ИНН / ОГРН

1655503582 / 1241600033069

Адрес

420074, Республика Татарстан, г. Казань, ул. Петербургская, д. 52

Email ответственного за обработку ПДн

serge@neuroartist.ru

Полные реквизиты

/legal/requisites

• заключение и исполнение договора оказания услуг (публичной оферты);
• идентификация Пользователя в Сервисе и доступ к личному кабинету;
• приём онлайн-платежей через ООО НКО «ЮMoney» (YooKassa) — оплата подписки, пополнение баланса, рекуррентные платежи и возвраты;
• информирование Пользователя о состоянии баланса, статусе генерации, изменениях тарифов и условий обслуживания;
• выявление и предотвращение мошенничества, соблюдение требований Федерального закона от 07.08.2001 № 115-ФЗ;
• исполнение налогового, бухгалтерского и иного законодательства РФ.

• согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ);
• обработка в целях исполнения договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 152-ФЗ);
• обработка в целях исполнения обязанностей, возложенных на Оператора законом (п. 2 ч. 1 ст. 6 152-ФЗ).

Субъекты — пользователи Сервиса (зарегистрированные физические лица и представители юридических лиц, индивидуальные предприниматели).

Обрабатываемые персональные данные:

• Регистрационные: адрес электронной почты, имя (если указано), хэш пароля (Argon2id), идентификаторы OAuth-провайдеров (Google ID, Яндекс ID, Figma ID);
• Технические: IP-адрес, идентификатор сессии, user-agent, cookies, журналы обращений к API;
• Платёжные: история транзакций, суммы, даты, идентификаторы платежей YooKassa, токен сохранённого способа оплаты, маска карты (последние 4 цифры) и срок её действия — если Пользователь явно сохранил карту для рекуррентных списаний;
• Эксплуатационные: содержимое запросов на генерацию (промпты, настройки), сгенерированные изображения и видео, журналы обращений в службу поддержки.

Специальные категории и биометрические персональные данные не обрабатываются. Полный номер банковской карты, CVV/CVC и PIN-код Оператором не запрашиваются, не обрабатываются и не хранятся — эти данные обрабатываются исключительно YooKassa в соответствии со стандартом PCI DSS.

Обработка персональных данных осуществляется смешанным способом (автоматизированным и без использования средств автоматизации) и включает следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Оператор передаёт персональные данные следующим обработчикам на основании заключённых с ними договоров и в объёме, необходимом для достижения целей обработки:

• ООО НКО «ЮMoney» (ИНН 7750005725, РФ) — в части данных, необходимых для приёма платежей, проведения рекуррентных списаний и возвратов;
• fal — Features & Labels Inc. (fal.ai, США) — в части содержимого промптов и параметров генерации при вызовах моделей Banana Pro (fal-ai/nano-banana-pro) и Kling 2.6 Pro (fal-ai/kling-video/v2.6/pro/text-to-video). Регистрационные и платёжные данные не передаются;
• ООО «Облачные технологии» (Cloud.ru, РФ) — хранение сгенерированных изображений и видео в S3-совместимом хранилище на территории РФ;
• RuSender (АО «Русендер», РФ) — отправка транзакционных email-уведомлений (подтверждение регистрации, сброс пароля, подтверждение оплаты, уведомления о рекуррентных списаниях).
• ООО «ЯНДЕКС» (ИНН 7736207543, РФ) — обработка обезличенных данных о посещениях Сервиса в системе Яндекс Метрика (cookie-идентификатор посетителя, IP-адрес, страницы, события, user-agent), а также записей действий пользователя в браузере с помощью технологии «Вебвизор» (записи кликов, прокрутки и движений курсора; ввод в поля форм маскируется по умолчанию) для целей веб-аналитики и улучшения Сервиса. Используется по модели подразумеваемого согласия (продолжение использования Сервиса); Пользователь может в любой момент отказаться через раздел «Настройки cookies» в подвале сайта.
• Google LLC(1600 Amphitheatre Parkway, Mountain View, CA 94043, США) — обработка обезличенных данных о посещениях Сервиса в системе Google Analytics 4 (cookie-идентификатор посетителя, IP-адрес с IP-анонимизацией, страницы, события, user-agent) для целей веб-аналитики. Используется по модели подразумеваемого согласия; Пользователь может отказаться через раздел «Настройки cookies».

Передача персональных данных государственным органам осуществляется только в случаях и порядке, предусмотренных законодательством Российской Федерации.

Трансграничная передача.Оператор осуществляет трансграничную передачу обезличенных данных о посещениях Сервиса в Google LLC (США) для целей веб-аналитики. США относятся к государствам, не обеспечивающим адекватной защиты прав субъектов персональных данных в смысле приказа Роскомнадзора от 05.08.2022 № 128. Передача осуществляется на основании подразумеваемого согласия Пользователя, выражаемого продолжением использования Сервиса после ознакомления с информационным баннером, размещённым на сайте. Пользователь вправе в любой момент отозвать согласие на трансграничную передачу через раздел «Настройки cookies» в подвале сайта; после отзыва согласия скрипты Google Analytics не загружаются и передача прекращается.

Передача в fal — Features & Labels Inc. (США) осуществляется в обезличенном относительно регистрационных данных объёме (только промпт и параметры генерации) исключительно с целью исполнения договора с Пользователем (п. 5 ч. 1 ст. 6 152-ФЗ).

• регистрационные и платёжные данные — в течение срока существования Аккаунта и 3 (трёх) лет после его удаления (сроки хранения бухгалтерской документации и документов о расчётах);
• содержимое промптов и сгенерированных артефактов — 90 (девяносто) календарных дней с момента создания, после чего автоматически удаляется, если Пользователь не сохранил их в проектах;
• журналы запросов и сессий — 30 (тридцать) календарных дней для целей безопасности и расследования инцидентов.

• весь внешний трафик шифруется по HTTPS/TLS 1.3; доступ к серверам ограничен по закрытым портам с белым списком IP-адресов;
• пароли хранятся в виде хэшей Argon2id; токены сохранённых способов оплаты хранятся в YooKassa, а не у Оператора;
• назначен ответственный за организацию обработки персональных данных; издан приказ «О назначении ответственного за обработку ПДн»;
• проведена оценка вреда, который может быть причинён субъектам в случае нарушения, и разработана модель угроз;
• хостинг приложения и базы данных размещены на территории Российской Федерации (требование ч. 5 ст. 18 152-ФЗ);
• ведутся журналы доступа и журналы обработки персональных данных, подлежащие проверке Роскомнадзора при необходимости.

Пользователь имеет право:

• получать сведения об обработке его персональных данных, в том числе о целях, сроках, обработчиках;
• требовать уточнения, блокирования или уничтожения неполных, устаревших, неточных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки данных;
• отзывать согласие на обработку персональных данных, направив соответствующее заявление на адрес электронной почты, указанный в пункте 1 настоящей Политики;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и в судебном порядке.

Запросы субъекта персональных данных рассматриваются в срок, не превышающий 10 (десять) рабочих дней с момента получения.

Сервис использует две группы файлов cookies:

• Технические (строго необходимые) — session-token Better Auth, UI-настройки. Без них Сервис не может работать. Согласие на их использование не запрашивается.
• Аналитические — Яндекс Метрика (включая Вебвизор) и Google Analytics 4. Включают cookie-идентификаторы посетителя (_ym_uid, _ym_d, _ga, _ga_* и др.), используются для измерения посещаемости, анализа поведения пользователей и улучшения Сервиса. Применяется модель подразумеваемого согласия: продолжение использования Сервиса после ознакомления с информационным cookie-баннером считается согласием.

Пользователь может в любой момент отказаться от аналитических cookies через ссылку «Настройки cookies» в подвале сайта — после отказа скрипты Яндекс Метрики и Google Analytics перестают загружаться. Также можно удалить cookies из браузера. Подробный перечень используемых cookies, их назначение и сроки хранения — в Политике cookies.

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда доступна по адресу https://neuroartist.ru/legal/privacy. О существенных изменениях Пользователь уведомляется по электронной почте, указанной в Аккаунте, не позднее чем за 14 (четырнадцать) календарных дней до вступления изменений в силу.