Политика обработки персональных данных
1. Оператор персональных данных
Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных пользователей сервиса Blackroute API.
Оператор персональных данных: Индивидуальный предприниматель Рыжов Андрей Владимирович (далее — «Оператор»).
ИНН: 504309149462
Почтовый адрес: 142200, Московская обл., г. Серпухов, ул. Подольская, д. 100
E-mail: support@blackroute.space
2. Принципы обработки персональных данных
Оператор обрабатывает персональные данные на основе следующих принципов (ст. 5 ФЗ-152):
- Законность и справедливость — обработка осуществляется на законных основаниях и добросовестно.
- Ограничение целей — данные собираются для конкретных, заранее определённых и законных целей.
- Минимизация — обрабатываются только данные, необходимые для достижения указанных целей.
- Точность — Оператор принимает меры для поддержания актуальности данных.
- Ограничение хранения — данные хранятся не дольше, чем требуется для целей обработки.
- Конфиденциальность и безопасность — применяются технические и организационные меры защиты.
3. Какие данные мы обрабатываем
3.1. Данные, предоставляемые пользователем при регистрации
- Адрес электронной почты (e-mail) — обязательно;
- Пароль в зашифрованном виде (хеш bcrypt) — обязательно;
- Имя или никнейм — если указано добровольно.
3.2. Платёжные и транзакционные данные
- Идентификатор платежа в системе ЮKassa;
- Сумма, дата и статус транзакции;
- Замаскированные реквизиты карты (последние 4 цифры, тип карты) — в объёме, передаваемом платёжным сервисом.
Полные реквизиты банковских карт Оператор не получает и не хранит. Их обработку осуществляет платёжный сервис ЮKassa.
3.3. Технические данные, собираемые автоматически
- IP-адрес при авторизации и при обращении к API;
- Браузер и операционная система (User-Agent);
- Дата, время и параметры API-запросов (модель, количество токенов, код ответа);
- Файлы cookie (см. Политику использования cookie).
3.4. Данные, содержащиеся в API-запросах (промпты)
Текст запросов (промптов), направляемых Пользователем через API, передаётся в систему Google Cloud Vertex AI для генерации ответа. Оператор технически обеспечивает транзит запросов, однако не хранит содержимое промптов и не анализирует их в целях рекламы или профилирования. Условия обработки данных Google LLC регулируются соглашением об обработке данных Google Cloud.
Рекомендация: не включайте в промпты персональные данные третьих лиц без соответствующего правового основания.
4. Цели и правовые основания обработки
| Цель обработки | Категории данных | Правовое основание |
|---|---|---|
| Регистрация и аутентификация пользователя | Email, пароль-хеш | Исполнение договора (ст. 6.1.5 ФЗ-152) |
| Предоставление доступа к API-сервису | Email, API-ключ, IP-адрес, логи запросов | Исполнение договора (ст. 6.1.5 ФЗ-152) |
| Расчёты и billing | Email, транзакционные данные, платёжные идентификаторы | Исполнение договора, законный интерес (ст. 6.1.5; 6.1.6 ФЗ-152) |
| Техническая поддержка | Email, переписка, данные об ошибках | Исполнение договора (ст. 6.1.5 ФЗ-152) |
| Обеспечение безопасности и предотвращение мошенничества | IP-адрес, User-Agent, логи запросов | Законный интерес (ст. 6.1.6 ФЗ-152) |
| Соблюдение требований законодательства | Email, транзакционные данные | Исполнение законодательного обязательства (ст. 6.1.2 ФЗ-152) |
| Направление технических уведомлений и уведомлений об изменениях сервиса | Законный интерес (ст. 6.1.6 ФЗ-152) |
5. Сроки хранения персональных данных
- Данные учётной записи (email, хеш пароля) — в течение срока действия аккаунта и 3 лет после его удаления или последней активности (для соответствия требованиям налогового и бухгалтерского законодательства).
- Транзакционные данные — 5 лет с момента проведения транзакции (требования ФЗ «О бухгалтерском учёте», Налогового кодекса РФ).
- Логи API-запросов (метаданные: модель, токены, время, код ответа) — 90 дней.
- Логи авторизации и безопасности (IP-адреса, события входа) — 90 дней.
- Переписка с поддержкой — 3 года с момента закрытия обращения.
По истечении указанных сроков данные обезличиваются или уничтожаются.
6. Передача персональных данных третьим лицам
Оператор не продаёт и не передаёт персональные данные Пользователей третьим лицам в коммерческих целях.
Передача данных третьим лицам осуществляется исключительно в следующих случаях:
6.1. Платёжный сервис ЮKassa (ООО «ЮМани»)
Для обработки платежей Оператор передаёт в ЮKassa: email Пользователя, идентификатор заказа, сумму платежа. ЮKassa является самостоятельным оператором персональных данных, её политика конфиденциальности доступна на yookassa.ru.
6.2. Google Cloud Vertex AI (Google LLC)
Текст API-запросов (промптов) передаётся в Google Cloud Vertex AI для генерации ответа нейросетевой модели. Google является самостоятельным контролёром данных для целей обучения и улучшения своих моделей в соответствии с условиями Google Cloud. Оператор не хранит содержимое промптов.
6.3. По требованию законодательства
Данные могут быть переданы уполномоченным органам государственной власти Российской Федерации при наличии законного основания (судебное решение, предписание органов следствия и дознания и т.д.).
7. Трансграничная передача персональных данных
7.1. Сервис использует инфраструктуру Google Cloud Vertex AI, серверы которой могут располагаться за пределами территории Российской Федерации, в том числе в США и странах ЕС.
7.2. Трансграничная передача персональных данных осуществляется в объёме, минимально необходимом для исполнения договора с Пользователем, в соответствии со статьёй 12 ФЗ-152.
7.3. Используя Сервис, Пользователь выражает своё согласие на передачу данных в рамках, описанных настоящей Политикой.
7.4. Оператор использует инструменты защиты данных Google Cloud, включая шифрование при передаче (TLS) и в состоянии покоя.
8. Права субъекта персональных данных
В соответствии с ФЗ-152 Пользователь имеет право:
- На доступ — получить информацию об обрабатываемых данных и условиях их обработки;
- На исправление — потребовать исправления неточных данных;
- На удаление — потребовать удаления данных при отсутствии законных оснований для их дальнейшей обработки;
- На ограничение обработки — потребовать ограничения обработки в случаях, предусмотренных законодательством;
- На возражение — возразить против обработки, основанной на законном интересе;
- На отзыв согласия — отозвать ранее данное согласие (если обработка основана на согласии).
Если вы считаете, что ваши права нарушены, вы вправе обратиться с жалобой в уполномоченный орган — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), rkn.gov.ru.
9. Файлы cookie
Сервис использует файлы cookie для обеспечения работы авторизации и сессий. Подробное описание используемых cookie, их назначения и способов управления ими содержится в Политике использования файлов cookie.
10. Меры безопасности
Оператор применяет следующие технические и организационные меры для защиты персональных данных:
- шифрование всех соединений по протоколу HTTPS/TLS;
- хранение паролей исключительно в виде хешей (bcrypt);
- разграничение прав доступа к данным;
- регулярное резервное копирование;
- мониторинг подозрительной активности.
Несмотря на принимаемые меры, Оператор не может гарантировать абсолютную защиту от несанкционированного доступа к данным. Пользователю рекомендуется использовать надёжный уникальный пароль и не сообщать свои учётные данные третьим лицам.
11. Изменения политики
Оператор вправе вносить изменения в настоящую Политику. Актуальная версия всегда доступна по адресу https://open.blackroute.space/privacy. О существенных изменениях Оператор уведомит Пользователей по электронной почте или через уведомление на сайте не менее чем за 7 дней до вступления изменений в силу.
12. Контакты оператора
По вопросам обработки персональных данных обращайтесь:
- Email: support@blackroute.space
- Почтовый адрес: 142200, Московская обл., г. Серпухов, ул. Подольская, д. 100, ИП Рыжов А.В.
Срок рассмотрения обращений — 30 календарных дней с момента получения.