Политика конфиденциальности
Политика обработки персональных данных
Веб-приложение «photy.art» (photy.art). Действует в актуальной редакции с момента публикации.
Раздел 1. Общие положения
1.1. Цель Политики: Политика определяет порядок обработки персональных данных (ПДн) и меры по обеспечению их безопасности Оператором. Цель Политики — обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст. 2 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — «ФЗ № 152-ФЗ»).
1.2. Оператор: Шехунов Максим Александрович, плательщик налога на профессиональный доход в Российской Федерации (специальный налоговый режим «Налог на профессиональный доход» по Федеральному закону от 27.11.2018 № 422-ФЗ; далее — «Самозанятый»), ИНН 525627400878 — самостоятельно организует и осуществляет обработку ПДн, определяет цели и состав обрабатываемых данных.
1.3. Сфера действия: Политика применяется ко всей информации, которую Оператор получает о Пользователях веб-приложения «photy.art» на сайте photy.art.
1.4. Правовая основа: Политика разработана в соответствии с Конституцией Российской Федерации, ФЗ № 152-ФЗ, иными федеральными законами и нормативными актами Российской Федерации в области защиты персональных данных.
1.5. Согласие с Политикой: Использование Сервиса (регистрация учётной записи, запуск демо-генерации, использование функционала сервиса) после ознакомления с настоящей Политикой и проставления соответствующего согласия означает безоговорочное согласие Пользователя с условиями настоящей Политики.
1.6. Используя веб-приложение «photy.art», Пользователь подтверждает, что ознакомился с настоящей Политикой и предоставляет своё согласие на обработку персональных данных в объёме и на условиях, изложенных в настоящей Политике.
Раздел 2. Состав обрабатываемых персональных данных
Оператор обрабатывает ПДн в объёме, необходимом для достижения заявленных целей обработки (ст. 5 ФЗ № 152-ФЗ).
2.1. Идентификационные и контактные данные:
- Идентификатор пользователя (visitor_id): автоматически генерируется и сохраняется в файле cookie при первом посещении Сервиса. Используется для разделения сессий и подсчёта лимитов.
- Адрес электронной почты (e-mail): предоставляется Пользователем при регистрации учётной записи; используется в качестве логина.
2.2. Аутентификационные данные:
- Пароль хранится исключительно в виде криптографического хеша (алгоритм PBKDF2-SHA256 с уникальной солью на пользователя). Сырой (открытый) пароль на серверах Оператора не сохраняется, в логах не фиксируется и третьим лицам не передаётся.
2.3. Контентные данные (включая биометрические персональные данные):
- Исходный контент: фотографии, загружаемые Пользователем для обработки. Если на фотографии изображено лицо Пользователя или иного лица, такие данные относятся к биометрическим персональным данным в значении ст. 11 ФЗ № 152-ФЗ.
- Сгенерированный контент: изображения, созданные нейросетью по запросу Пользователя.
- Текстовое описание (custom-промпт): текст, который Пользователь добровольно вводит для формата «Своя фотография».
2.3.1. Биометрические ПДн: Оператор обрабатывает биометрические персональные данные (изображение лица Пользователя на загружаемых фотографиях) исключительно в целях оказания услуги по генерации изображений на основании письменного согласия Пользователя, оформляемого в форме конклюдентных действий: проставления галочки «Согласен(на) на обработку персональных данных» перед загрузкой фотографии и/или регистрацией учётной записи.
2.4. Технические данные:
- IP-адрес Пользователя.
- Технические метаданные запросов, дата и время доступа, статус-коды ответов.
- Сведения о действиях Пользователя в Сервисе (выбор пресета, количество запросов, баланс генераций).
Раздел 3. Цели и правовые основания обработки ПДн
3.1. Цели обработки ПДн:
- Основная цель (исполнение договора): предоставление Пользователю технического доступа к Сервису для генерации изображений по его запросам с использованием внешних API-провайдеров нейросетей.
- Аутентификация Пользователя: идентификация владельца учётной записи по адресу электронной почты и паролю.
- Безопасность Сервиса: автоматическая модерация загружаемого контента и текстовых запросов с целью предотвращения нарушения законодательства Российской Федерации и условий обслуживания внешних API-провайдеров.
- Защита от автоматизированных злоупотреблений: учёт лимитов запросов на IP-адрес и идентификатор пользователя.
- Поддержка работоспособности Сервиса: диагностика инцидентов, ведение технических логов.
3.2. Правовые основания обработки ПДн:
- Согласие субъекта ПДн (п. 1 ч. 1 ст. 6 ФЗ № 152-ФЗ) — основание обработки контентных данных и адреса электронной почты, выраженное проставлением соответствующей галочки в форме регистрации и/или перед запуском демо-генерации.
- Исполнение договора (Оферты) (п. 5 ч. 1 ст. 6 ФЗ № 152-ФЗ) — основание обработки идентификатора пользователя, аутентификационных данных и истории операций.
- Законные интересы Оператора (п. 7 ч. 1 ст. 6 ФЗ № 152-ФЗ) — основание для обработки технических метаданных в целях обеспечения безопасности Сервиса.
Раздел 4. Особенности получения согласия
4.1. Получение согласия: Согласие на обработку ПДн выражается посредством проставления соответствующей галочки «Согласен(на) на обработку персональных данных» на странице регистрации учётной записи или непосредственно перед запуском демо-генерации без регистрации. Без явного проставления согласия Сервис не приступает к обработке загруженных фотографий и не создаёт учётную запись.
4.2. Объём согласия: Согласие предоставляется на действия по сбору, записи, систематизации, накоплению, хранению, уточнению, использованию, обезличиванию, блокированию, удалению и уничтожению ПДн, перечисленных в Разделе 2, в целях, перечисленных в Разделе 3.
4.3. Срок действия согласия: Согласие действует до момента его отзыва Пользователем в порядке, предусмотренном Разделом 7 настоящей Политики.
Раздел 5. Порядок, условия обработки и хранения
5.1. Способы обработки: Обработка ПДн осуществляется автоматизированно, с передачей информации по информационно-телекоммуникационным сетям с использованием криптографического протокола HTTPS/TLS.
5.2. Сроки хранения данных:
| Место хранения | Тип данных | Срок хранения |
|---|---|---|
| Собственные серверы Оператора | Исходный контент (загруженные фотографии) и сгенерированный контент | Не более 24 часов с момента загрузки. Файлы удаляются автоматически. |
| Серверы внешнего API-провайдера (OpenAI, L.L.C.) | Передаваемые на обработку фотографии и custom-промпты | В соответствии с политикой провайдера (до 30 дней для целей выявления злоупотреблений). |
| Базы данных Оператора | Адрес электронной почты, криптографический хеш пароля, идентификатор пользователя | До удаления учётной записи Пользователем или Оператором. |
| Технические логи Оператора | IP-адрес, метаданные запросов | Не более 30 дней. |
5.3. Уничтожение данных: По достижении целей обработки или в случае отзыва согласия Пользователем данные подлежат уничтожению в срок, не превышающий 30 календарных дней.
Раздел 6. Передача данных третьим лицам
6.1. Передача третьим лицам: Оператор вправе передавать ПДн Пользователя следующим категориям третьих лиц:
- Внешние API-провайдеры нейросетей (OpenAI, L.L.C.): загруженные фотографии и текстовые описания передаются для выполнения запросов по генерации изображений и автоматической модерации контента. Передача осуществляется по защищённому каналу (HTTPS).
6.2. Оператор не публикует загруженные и сгенерированные фотографии, не использует их в маркетинговых целях и не передаёт другим Пользователям или третьим лицам, кроме случаев, прямо предусмотренных законодательством Российской Федерации.
6.3. Трансграничная передача: Передача ПДн в OpenAI, L.L.C. (Соединённые Штаты Америки) осуществляется на основании согласия Пользователя в соответствии со ст. 12 ФЗ № 152-ФЗ.
Раздел 7. Права субъекта ПДн и порядок отзыва согласия
7.1. Права Пользователя (ст. 14 ФЗ № 152-ФЗ):
- получение информации об обработке своих ПДн;
- требование уточнения, блокирования или уничтожения своих ПДн в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыв согласия на обработку ПДн в любое время;
- обжалование действий или бездействия Оператора в уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
7.2. Порядок отзыва согласия: Пользователь вправе отозвать своё согласие на обработку ПДн, направив уведомление Оператору на адрес электронной почты shexunov@mail.ru с темой «Отзыв согласия на обработку персональных данных» и указанием адреса электронной почты учётной записи.
Раздел 8. Меры по защите ПДн
Оператор принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования и распространения (ч. 1 ст. 19 ФЗ № 152-ФЗ), в том числе:
- передача данных между браузером Пользователя и серверами Оператора осуществляется по протоколу HTTPS/TLS;
- пароли хранятся исключительно в виде криптографического хеша (PBKDF2-SHA256 с уникальной солью на пользователя), что исключает их восстановление в открытом виде;
- доступ к серверам Оператора ограничен и осуществляется только по ключу SSH;
- загружаемые фотографии и текстовые запросы проходят автоматическую модерацию для предотвращения обработки противоправного контента;
- загруженные и сгенерированные файлы автоматически удаляются с серверов Оператора по истечении 24 часов.
Раздел 9. Заключительные положения
9.1. Оператор имеет право вносить изменения в настоящую Политику в одностороннем порядке. Новая редакция Политики вступает в силу с момента её размещения на сайте photy.art, если иное не предусмотрено новой редакцией.
9.2. Действующая редакция Политики постоянно доступна по адресу photy.art/privacy.
Контактная информация Оператора:
Шехунов Максим Александрович
Самозанятый, плательщик налога на профессиональный доход
ИНН: 525627400878
Электронная почта: shexunov@mail.ru