Политика конфиденциальности

1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, хранения, обработки, использования и защиты персональных данных Пользователей сервиса OximoAi (далее — «Сервис»), доступного одновременно через:

веб-приложение по адресу app.oximo.art;
Telegram-бот @oximoai_bot;
основной сайт oximo.art (включая блог и документы).

Оператором персональных данных является: ИП Федотова Л.В., ИНН: 631107461481, адрес осуществления деятельности: 443023, г. Самара, ул. Революционная, д. 70 лит. 3, оф. 414, электронная почта: hello@oximo.art (далее — «Оператор»).

Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации в области защиты персональных данных.

Начиная использовать Сервис (отправка первой команды боту, регистрация или оплата тарифа), Пользователь выражает безоговорочное согласие с условиями настоящей Политики. Если Пользователь не согласен с условиями Политики, он обязан прекратить использование Сервиса.

Согласие на обработку персональных данных действует бессрочно с момента его предоставления и может быть отозвано Пользователем в порядке, описанном в разделе 8 настоящей Политики.

2. Основные понятия

В настоящей Политике используются следующие термины:

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.
Оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав данных и совершаемые с ними действия.
Пользователь — физическое лицо, использующее Сервис.
Сервис — совокупность программных средств OximoAi, доступных через веб-приложение app.oximo.art, Telegram-бота @oximoai_bot и сайт oximo.art, предоставляющих услуги генерации контента с использованием искусственного интеллекта.
Coin (монета) — внутренняя условная единица Сервиса, используемая для расчёта стоимости услуг и учёта потребления ресурсов в рамках выбранного тарифного плана.
Тариф — набор условий предоставления услуг Сервиса, определяющий объём доступных Coins и функциональные возможности.

3. Сбор персональных данных

3.1. Данные учётной записи (Telegram)

При первом запуске Сервиса (через бот или авторизации в веб-приложении через Telegram Login) автоматически передаются через Telegram API:

Уникальный идентификатор Telegram (Telegram ID);
Имя и фамилия, указанные в профиле Telegram;
Имя пользователя (username) в Telegram;
Фотография профиля Telegram (если установлена и не скрыта настройками приватности);
Языковые настройки клиента Telegram.

3.2. Технические данные при использовании веб-приложения и сайта

При посещении веб-приложения app.oximo.art и сайта oximo.art автоматически собираются:

IP-адрес и приблизительное географическое расположение, определяемое по нему;
Тип, версия и языковые настройки браузера и операционной системы (User-Agent);
Тип устройства (компьютер, смартфон, планшет) и разрешение экрана;
URL источника перехода (Referrer) и UTM-метки рекламных кампаний;
Файлы cookie и аналогичные технологии (см. п. 3.4);
Журналы запросов к серверу (access logs): дата, время, путь, статус-код.

3.3. Данные, формируемые в процессе использования Сервиса

В ходе взаимодействия с Сервисом (через бот или веб-приложение) автоматически формируются и сохраняются:

История запросов (промптов), загруженных файлов и сгенерированного контента;
Текущий баланс Coins и история их начисления/списания;
Информация о текущем и ранее использованных тарифных планах, история платежей;
Дата и время регистрации и последней активности;
Статистика использования функций Сервиса.

3.4. Файлы cookie и аналогичные технологии

Веб-приложение и сайт используют файлы cookie и схожие технологии (localStorage, sessionStorage) для следующих целей:

Технически необходимые — сохранение состояния сессии после авторизации, безопасность (CSRF-токены), запоминание выбранного языка интерфейса. Без них Сервис не сможет корректно работать;
Аналитические — обезличенный сбор статистики посещений через Яндекс.Метрику для улучшения качества Сервиса;
Маркетинговые — сохранение источника перехода и UTM-меток для атрибуции рекламных кампаний.

Пользователь может отключить cookie в настройках браузера или отозвать согласие на их использование, очистив cookie домена oximo.art. При этом часть функций Сервиса (в частности, авторизация в веб-приложении) может стать недоступной.

3.5. Данные, которые не обрабатываются

Оператор не получает и не хранит данные банковских карт Пользователей. Все платёжные операции осуществляются на стороне оператора платёжной системы (ЮKassa), который самостоятельно обеспечивает безопасность платёжных данных.

Оператор не осуществляет обработку биометрических персональных данных, сведений о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни Пользователя.

4. Цели обработки персональных данных

Персональные данные обрабатываются исключительно в следующих целях:

Идентификация и авторизация — определение Пользователя в Сервисе на основании Telegram ID;
Оказание услуг — генерация контента, обработка запросов и предоставление результатов;
Учёт внутренней валюты — начисление, списание и отображение баланса Coins в соответствии с выбранным тарифом;
Обработка платежей — выполнение транзакций при покупке тарифов и пополнении баланса Coins;
Улучшение Сервиса — анализ обезличенной статистики использования для повышения качества и функциональности;
Техническая поддержка — обработка обращений и решение технических проблем;
Информирование — отправка уведомлений о состоянии баланса, изменениях тарифов и обновлениях Сервиса;
Исполнение законодательства — соблюдение требований нормативных правовых актов Российской Федерации.

5. Правовые основания обработки

Обработка персональных данных осуществляется на следующих правовых основаниях в соответствии с Федеральным законом № 152-ФЗ:

Согласие субъекта персональных данных (ст. 6, ч. 1, п. 1) — Пользователь выражает согласие на обработку путём начала использования Сервиса;
Исполнение договора (ст. 6, ч. 1, п. 5) — обработка необходима для выполнения обязательств по предоставлению услуг Сервиса;
Законные интересы Оператора (ст. 6, ч. 1, п. 7) — обеспечение безопасности Сервиса, предотвращение злоупотреблений и мошенничества;
Исполнение требований законодательства (ст. 6, ч. 1, п. 2) — соблюдение обязательных требований нормативных правовых актов Российской Федерации.

6. Хранение и защита данных

6.1. Место и сроки хранения

Персональные данные хранятся на защищённых серверах с применением надлежащих организационных и технических мер безопасности. Оператор принимает все необходимые меры для соблюдения требований законодательства Российской Федерации о локализации персональных данных.

Сроки хранения данных:

Данные учётной записи — до момента удаления аккаунта Пользователем + 30 календарных дней;
История запросов и контента — до момента удаления аккаунта;
Платёжные документы — 5 лет с момента совершения операции (в соответствии с требованиями налогового законодательства);
Обращения в поддержку — 3 года с момента обращения;
Технические журналы — 1 год;
Резервные копии — не более 90 дней после удаления основных данных.

По истечении указанных сроков персональные данные уничтожаются или обезличиваются.

6.2. Меры безопасности

Оператор применяет следующие технические и организационные меры защиты:

Шифрование данных при передаче по протоколу TLS/HTTPS;
Шифрование данных при хранении;
Хранение аутентификационных данных в хэшированном виде;
Разграничение доступа по принципу минимальных привилегий;
Регулярное резервное копирование;
Мониторинг безопасности и ведение журналов событий.

При выявлении инцидента нарушения безопасности персональных данных Оператор уведомляет Пользователей в порядке и сроки, предусмотренные законодательством Российской Федерации.

7. Передача данных третьим лицам

Оператор не продаёт, не обменивает и не передаёт персональные данные Пользователей третьим лицам в коммерческих целях.

7.1. Получатели данных на территории Российской Федерации

Платёжная система ЮKassa (ООО НКО «ЮMoney», Российская Федерация) — для обработки транзакций при покупке тарифов и пополнении баланса Coins (в объёме, необходимом для проведения платежа);
Поставщики инфраструктуры — российские хостинг-провайдеры и облачные сервисы, задействованные в работе Сервиса (в рамках договоров об обработке данных);
Яндекс.Метрика (ООО «Яндекс», Российская Федерация) — обезличенная статистика посещений сайта и веб-приложения;
Государственные органы — по законным и обоснованным запросам уполномоченных органов в порядке, предусмотренном законодательством Российской Федерации.

7.2. Передача данных технологическим подрядчикам

Для оказания услуг по генерации контента Оператор вправе передавать направляемые Пользователем запросы (промпты), загружаемые материалы и связанные с ними технические идентификаторы сторонним технологическим подрядчикам, включая поставщиков моделей искусственного интеллекта, поставщиков услуг синтеза речи и обработки аудио, поставщиков услуг генерации изображений и видео.

Передача осуществляется в минимально необходимом объёме исключительно в целях исполнения запроса Пользователя. Оператор не передаёт подрядчикам идентифицирующие данные Пользователя (имя, фамилию, контакты, Telegram ID); сами тексты запросов и загружаемые файлы могут содержать персональные данные, ответственность за содержание которых несёт Пользователь.

Все технологические подрядчики, получающие доступ к данным, обрабатывают их исключительно в рамках поручений Оператора и в целях, для которых они были переданы. Соблюдение подрядчиками режима конфиденциальности обеспечивается заключаемыми с ними соглашениями.

8. Права Пользователя

В соответствии с Федеральным законом № 152-ФЗ Пользователь имеет право:

Право на доступ — получить информацию об обрабатываемых персональных данных, целях и основаниях обработки;
Право на исправление — потребовать уточнения неточных или неполных персональных данных;
Право на удаление — потребовать удаления персональных данных при отзыве согласия на обработку. Удаление персональных данных влечёт полное удаление учётной записи, включая баланс Coins и историю использования;
Право на ограничение обработки — потребовать приостановления обработки персональных данных;
Право на отзыв согласия — отозвать согласие на обработку в любой момент. Отзыв согласия не влияет на законность обработки, осуществлённой до момента отзыва;
Право на обжалование — обратиться с жалобой в уполномоченный орган по защите прав субъектов персональных данных — Роскомнадзор (rkn.gov.ru).

Для реализации указанных прав Пользователь направляет письменный запрос на адрес privacy@oximo.art. В запросе необходимо указать: фамилию, имя, отчество (при наличии), Telegram ID (если известен) или иные идентификаторы учётной записи, существо требования. Срок рассмотрения обращения — до 30 календарных дней с момента получения запроса в соответствии со статьями 14 и 20 Федерального закона № 152-ФЗ.

9. Возрастные ограничения

Сервис предназначен для лиц, достигших 18 лет. Лица в возрасте от 14 до 18 лет могут использовать Сервис только с согласия законного представителя (родителя, усыновителя, попечителя).

Оператор не осуществляет сознательный сбор персональных данных лиц, не достигших 14 лет. При обнаружении таких данных они будут незамедлительно удалены.

10. Изменения Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция размещается по адресу: oximo.art/docs/privacy/.

При внесении существенных изменений Пользователи уведомляются через Telegram-бота. Продолжение использования Сервиса после вступления изменений в силу означает согласие Пользователя с новой редакцией Политики.

11. Контактная информация

Сервис: OximoAi — ИИ-платформа для генерации контента

Оператор: ИП Федотова Л.В., ИНН 631107461481

Адрес осуществления деятельности: 443023, г. Самара, ул. Революционная, д. 70 лит. 3, оф. 414

Сайт: oximo.art

Веб-приложение: app.oximo.art

Telegram-бот: @oximoai_bot

Email для запросов по персональным данным: privacy@oximo.art

Общий email: hello@oximo.art

Поддержка: @oximo_support_bot

Срок рассмотрения обращений субъектов персональных данных — до 30 календарных дней (ст. 14, 20 Федерального закона № 152-ФЗ).