Вход
← На главную

Политика конфиденциальности

Версия privacy-v1.2-4bb1faf0 · Обновлено 8 июня 2026 г.

Политика конфиденциальности Spectra.AI

Дата вступления в силу: 2026-06-08 Версия: 1.2 Применимое право: Российская Федерация Применимые акты: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с учётом ст. 9 в редакции ФЗ-519 от 28.12.2024, действующей с 01.09.2025, и ст. 18 ч. 5 в редакции ФЗ-23 от 28.02.2025, действующей с 01.07.2025); Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральный закон от 27.11.2018 № 422-ФЗ «О проведении эксперимента по установлению специального налогового режима „Налог на профессиональный доход"»; Постановление Правительства РФ от 01.11.2012 № 1119; Постановление Правительства РФ от 16.01.2023 (об уведомлении о трансграничной передаче); Приказ Роскомнадзора от 05.08.2022 № 128; Приказ Роскомнадзора от 24.02.2023 № 178.

1. Идентификация Оператора

Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей AI-сервиса Spectra.AI (далее — «Сервис»), доступного по адресу https://ai-spectra.ru, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»).

Оператор персональных данных:

ПараметрЗначение
НаименованиеХалимов Антон Айратович
Налоговый статусФизическое лицо, применяющее специальный налоговый режим «Налог на профессиональный доход» (самозанятый) в соответствии с Федеральным законом от 27.11.2018 № 422-ФЗ
ИНН500603569023
Адрес для корреспонденцииг. Москва, Российская Федерация (полный адрес — по запросу на info@ai-spectra.ru)
Адрес сайта Сервисаhttps://ai-spectra.ru
Email для общих вопросовinfo@ai-spectra.ru
Email для обращений по вопросам обработки ПДнinfo@ai-spectra.ru

Оператор является физическим лицом, применяющим специальный налоговый режим НПД, и в силу этого не имеет ОГРНИП и не является плательщиком налога на добавленную стоимость (п. 9 ст. 2 ФЗ-422). Учётный документ, подтверждающий оплату услуг Сервиса, формируется в виде чека приложения «Мой налог» (ст. 14 ФЗ-422) и направляется Пользователю на адрес электронной почты, указанный при оплате.

Лицо, ответственное за организацию обработки персональных данных (ст. 22.1 152-ФЗ): функции ответственного за организацию обработки персональных данных осуществляет лично Оператор как физическое лицо, самостоятельно ведущее деятельность без привлечения работников. Обращения по вопросам обработки персональных данных направляются по электронной почте info@ai-spectra.ru.

2. Термины

  • Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн) (ст. 3 п. 1 152-ФЗ).
  • Субъект ПДн / Пользователь — физическое лицо, использующее Сервис.
  • Обработка ПДн — любое действие или совокупность действий, совершаемых с ПДн (ст. 3 п. 3 152-ФЗ).
  • Оператор — лицо, организующее и (или) осуществляющее обработку ПДн (ст. 3 п. 2 152-ФЗ).
  • Сервис — программно-аппаратный комплекс Spectra.AI, предоставляющий функции AI-генерации текста, изображений, видео и аудио.
  • AI-инфраструктура — сторонняя сертифицированная инфраструктура искусственного интеллекта, размещённая на территории Российской Федерации и привлекаемая Оператором для обработки запросов Пользователя к моделям искусственного интеллекта на основании договора поручения обработки (ст. 6 ч. 3 152-ФЗ). Перечень привлекаемых сервисов предоставляется субъекту персональных данных по письменному запросу на адрес info@ai-spectra.ru в порядке ст. 14 ч. 7 152-ФЗ.

3. Цели обработки и правовые основания

Оператор обрабатывает персональные данные в следующих целях:

Цель обработкиПравовое основание (152-ФЗ)
1Регистрация и аутентификация Пользователяст. 6 ч. 1 п. 5 (исполнение договора-оферты, стороной которого является субъект ПДн)
2Аутентификация через Google OAuthст. 6 ч. 1 п. 5 + ст. 12 ч. 4 152-ФЗ (трансграничная передача — США; оформляется отдельным электронным согласием — см. § 8.3)
3Аутентификация через Yandex OAuthст. 6 ч. 1 п. 5. ООО «Яндекс» зарегистрировано в Российской Федерации, действует как самостоятельный оператор; Оператор получает профиль Пользователя от ООО «Яндекс»; трансграничная передача отсутствует
4Оказание услуги AI-генерации (обработка промптов, файлов, формирование результатов)ст. 6 ч. 1 п. 5
5Биллинг, проведение платежей, налоговый учёт в рамках НПД (формирование чеков в приложении «Мой налог»)ст. 6 ч. 1 п. 5 + п. 2 (ст. 14 ФЗ-422 «О налоге на профессиональный доход»)
6Публикация Пользователем контента в ленте /feedст. 6 ч. 1 п. 1 (отдельное информированное согласие — модальная форма при первой публикации, см. § 11)
7Уведомления (системные, транзакционные)ст. 6 ч. 1 п. 5
8Email-сообщения с кодами подтвержденияст. 6 ч. 1 п. 5
9Мониторинг ошибок и обеспечение работоспособности Сервисаст. 6 ч. 1 п. 7 (законный интерес Оператора)
10Защита от несанкционированного доступа (rate-limit, журнал попыток входа)ст. 6 ч. 1 п. 7 + п. 5
11Аудит действий администраторовст. 19 ч. 2 152-ФЗ
12Поддержка пользователей по их обращениямст. 6 ч. 1 п. 5
13Предоставление Developer APIст. 6 ч. 1 п. 5 (отдельные Условия для разработчиков)
14Отправка маркетинговых сообщений на emailОтдельное согласие Пользователя (ст. 15 152-ФЗ + ст. 18 ФЗ-38 «О рекламе»). По умолчанию выключено. Включается Пользователем в /settings/profile. Каждое маркетинговое письмо содержит ссылку «Отписаться»

4. Категории субъектов и обрабатываемых ПДн

4.1. Категории субъектов ПДн

  • Физические лица — посетители сайта Сервиса.
  • Физические лица — зарегистрированные Пользователи Сервиса.
  • Физические лица — представители разработчиков (Developer API).
  • Лица, чьи данные могут быть указаны Пользователем в промптах или загружаемых материалах. Ответственность за законность обработки таких данных несёт Пользователь (см. § 4.4).

4.2. Категории обрабатываемых ПДн

Идентификационные и контактные данные:

  • адрес электронной почты;
  • никнейм, имя пользователя, биография (до 300 символов);
  • URL аватара или загруженное изображение аватара;
  • идентификатор Google и связанные с ним email/имя/аватар (для входящих через Google OAuth);
  • идентификатор Yandex и связанные с ним email/имя/аватар (для входящих через Yandex OAuth).

Аутентификационные данные:

  • хеш пароля (необратимое хеширование, bcrypt);
  • одноразовые коды подтверждения (6 цифр, краткий срок жизни);
  • зашифрованные access/refresh-токены OAuth (Google, Yandex);
  • идентификаторы сессий и refresh-токены;
  • метаданные устройства (User-Agent, fingerprint), IP-адрес.

Технические данные:

  • IP-адрес;
  • User-Agent, тип браузера, язык интерфейса;
  • журналы попыток входа (email + IP);
  • журналы запросов к API;
  • журналы ошибок (с обезличиванием на стороне клиента);
  • журналы действий администраторов (ст. 19 ч. 2 152-ФЗ).

Финансовые данные:

  • баланс кредитов, история списаний и пополнений;
  • идентификатор платежа, сумма платежа, метаданные платежа;
  • стоимость генерации, использованные токены, идентификатор модели.

Платёжные карточные данные Оператор не получает и не обрабатывает. Приём платежей осуществляется через сертифицированного оператора платёжных услуг, имеющего лицензию Банка России; конкретный платёжный провайдер указан на странице оплаты Сервиса. Платёжный провайдер выступает самостоятельным оператором в части платёжных реквизитов Пользователя.

Поведенческие данные:

  • настройки интерфейса (тема, язык, последний активный чат);
  • лайки, комментарии, закладки, уведомления, жалобы;
  • обратная связь по сообщениям (like/dislike);
  • история чатов и сообщений.

Пользовательский контент:

  • промпты;
  • сгенерированный AI-контент (текст, изображения, видео, аудио);
  • загружаемые файлы (attachments, аудио для STT);
  • метаданные генерации.

4.3. Специальные категории и биометрия

Сервис не предназначен для обработки специальных категорий персональных данных (расовая/национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь). Пользователю запрещено вводить такие данные в промпты, медиа-файлы или иное пользовательское содержимое (см. Пользовательское соглашение § 7.12). В случае случайного попадания таких сведений Оператор обязуется их обезличить или удалить в порядке ст. 21 ч. 4 152-ФЗ при обращении субъекта.

Изображения лиц, голосовые сэмплы и иной материал, потенциально пригодный для биометрической идентификации, загружаемый Пользователем в Сервис в качестве материала для AI-генерации, не используются Оператором для установления личности и по смыслу ст. 11 ч. 1 152-ФЗ не относятся к биометрическим персональным данным, требующим письменного согласия. Оператор не применяет алгоритмы распознавания лица и голоса для целей идентификации; материал не сопоставляется с базами идентификации и не индексируется по биометрическим признакам. Пользователь обязуется не загружать биометрические данные третьих лиц без их согласия (Пользовательское соглашение § 7.7).

4.4. Ответственность Пользователя за загружаемые ПДн третьих лиц

Пользователь самостоятельно несёт ответственность за законность загрузки в Сервис ПДн третьих лиц (включая их изображения, голос, ФИО, контактные и иные сведения). Загружая такие данные, Пользователь подтверждает, что располагает законным основанием их обработки.

5. Правовые основания по каждой цели — детально

ЦельПДнОснование
Регистрация / login (email + password)email, password_hashст. 6 ч. 1 п. 5 152-ФЗ
OAuth Googleprovider_user_id, email, name, avatarст. 6 ч. 1 п. 5 + ст. 12 ч. 4 152-ФЗ
OAuth Yandexprovider_user_id, email, name, avatarст. 6 ч. 1 п. 5 152-ФЗ. Получение профиля от ООО «Яндекс» как самостоятельного оператора
AI-генерацияпромпт, attachments, артефактыст. 6 ч. 1 п. 5
Биллинг (через сертифицированного оператора платёжных услуг)идентификатор платежа, сумма, метаданныест. 6 ч. 1 п. 5 + п. 2 (ст. 14 ФЗ-422)
Публикация в /feedпубликация, промпт, никнейм, аватарст. 6 ч. 1 п. 1 (явное согласие — нажатие «Опубликовать»)
Уведомленияметаданные уведомления, emailст. 6 ч. 1 п. 5
Email-коды подтвержденияemailст. 6 ч. 1 п. 5
Мониторинг ошибок (Sentry)IP, UA, URL, stack trace (с обезличиванием на стороне клиента)ст. 6 ч. 1 п. 7. Передача в Sentry осуществляется с применением технических мер обезличивания: IP-адреса не сохраняются (sendDefaultPii: false), email и иные идентификаторы очищаются на стороне клиента через beforeSend. Пользователь вправе отказаться от мониторинга через /settings/privacy
Brute-force protectionemail, IPст. 6 ч. 1 п. 7 + п. 5
Аудит админ-действийadmin_id, targetст. 19 ч. 2 152-ФЗ
Поддержкаemail, текст обращенияст. 6 ч. 1 п. 5
Developer APIapi_keys, usage logsст. 6 ч. 1 п. 5 (Условия для разработчиков)
Маркетинговые сообщенияemailОтдельное opt-in согласие Пользователя (ст. 15 152-ФЗ + ст. 18 ФЗ-38)

6. Сроки обработки и хранения

Категория данныхСрок хранения
Учётная записьДо удаления Пользователем (через DELETE /api/v1/users/me/account) — soft-delete: PII обнуляется
OAuth-учётки, refresh-токены, email-кодыУдаляются каскадно при удалении учётной записи
Cookie сессии30 дней (см. Политику использования cookie)
Refresh-токен в БД7 дней
Журналы попыток входаДо удаления учётной записи; очищаются при удалении
Чаты, сообщения, история генерацииДо удаления Пользователем
Артефакты генерации30 дней soft-delete → hard-delete; в любой момент — по запросу Пользователя
Медиа в S3-хранилищеДо удаления Пользователем / 30 дней soft-delete
Публикации, лайки, комментарии, закладки, уведомления, жалобыДо удаления Пользователем (CASCADE)
Платежи, чеки НПД, движения по балансуСрок хранения определяется применимым налоговым законодательством для самозанятых; чеки «Мой налог» хранятся в системе ФНС, локальная копия — до 4 лет (общий срок исковой давности по ст. 196 ГК РФ)
Удержания по балансу (credit_holds)До завершения транзакции / истечения hold
Журналы API, журналы ошибокДо удаления учётной записи
Журнал действий администраторовБессрочно (ст. 19 ч. 2 152-ФЗ)
API-ключи разработчика, usage-логиДо удаления учётной записи разработчиком
Кеш (rate-limit, JTI, дедуп)От 60 секунд до 7 дней
Журналы веб-сервера (IP, UA, URL)14 дней (ротация)
События Sentry30–90 дней (политика Sentry)
Метрики Prometheus30 дней
Резервные копии БД7 ежедневных + 4 еженедельных
Журнал согласий3 года с момента отзыва согласия (для целей проверки Роскомнадзором)

По истечении сроков ПДн уничтожаются или обезличиваются в соответствии со ст. 5 ч. 7 и ст. 21 ч. 4 152-ФЗ в срок не более 30 дней с момента достижения цели обработки либо с момента отзыва согласия / поступления требования об уничтожении.

7. Передача персональных данных третьим лицам

Оператор передаёт ПДн следующим лицам, действующим в качестве обработчиков (ст. 6 ч. 3 152-ФЗ) на основании договоров поручения обработки, либо получает ПДн от самостоятельных операторов:

Третье лицоЦель передачи / полученияКатегории ПДнЛокализацияПравовое основание
Polza AI (AI-сервис-агрегатор с серверами на территории Российской Федерации; реквизиты юридического лица — на сайте polza.ai)Обработка запросов Пользователя к моделям искусственного интеллекта; при выборе моделей от разработчиков с инфраструктурой за рубежом — маршрутизация на инфраструктуру соответствующего разработчикапромпт, параметры запроса, прикреплённые файлы, история сообщений (в объёме, необходимом для контекста запроса), служебный идентификатор учётной записиРоссийская Федерация (серверы Polza AI); см. ниже трансграничная передача при выборе моделей от зарубежных разработчиковст. 6 ч. 1 п. 5 + ст. 6 ч. 3 152-ФЗ — Polza AI как самостоятельный оператор. Актуальный перечень моделей с указанием разработчика и страны размещения публикуется в каталоге /models. См. § 8.4 о трансграничной передаче
Разработчики AI-моделей с инфраструктурой за пределами Российской Федерации (маршрутизация через Polza AI; актуальный перечень — в каталоге /models)Выполнение AI-запроса Пользователя при выборе модели от соответствующего разработчикапромпт, параметры запроса, прикреплённые файлыСоединённые Штаты Америки и иные иностранные юрисдикции согласно локализации разработчика модели в каталоге /modelsст. 12 ч. 4 152-ФЗ — отдельное письменное согласие Пользователя в электронной форме (см. § 8.4). США и иные неадекватные юрисдикции не включены в перечень стран адекватной защиты (Приказ РКН № 128)
Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, США)Аутентификация Пользователя через Google OAuthemail, имя, аватар, идентификатор GoogleСШАст. 12 ч. 4 152-ФЗ — отдельное письменное согласие в электронной форме (см. § 8.3). США не включены в перечень стран адекватной защиты (Приказ РКН № 128 от 05.08.2022)
ООО «Яндекс» (ИНН 7736207543, ОГРН 1027700229193, юридический адрес: 119021, г. Москва, ул. Льва Толстого, д. 16)Аутентификация Пользователя через Yandex OAuth — получение профиляemail, имя, аватар, идентификатор YandexРоссийская Федерацияст. 6 ч. 1 п. 5 152-ФЗ. ООО «Яндекс» действует как самостоятельный оператор; Оператор является получателем профиля Пользователя
Сертифицированный оператор платёжных услуг, имеющий лицензию Банка России (наименование конкретного провайдера указывается на странице оплаты Сервиса)Приём платежей за услуги Сервисаидентификатор платежа, сумма платежа, идентификатор учётной записи; карточные данные Оператор не получаетРоссийская Федерацияст. 6 ч. 1 п. 5 152-ФЗ; платёжный провайдер — самостоятельный оператор в части платёжных реквизитов
Поставщик услуг доставки email (российский SMTP-провайдер)Доставка email-сообщений (коды подтверждения, уведомления, маркетинговые письма при opt-in)адрес электронной почты получателя, текст письмаРоссийская Федерацияст. 6 ч. 1 п. 5 152-ФЗ; договор поручения обработки
Functional Software, Inc. (Sentry, эндпоинт de.sentry.io)Мониторинг ошибок и стабильности СервисаIP, User-Agent (с обезличиванием на стороне клиента), URL, stack traceФедеративная Республика Германияст. 6 ч. 1 п. 7 + ст. 12 152-ФЗ. Германия включена в перечень стран адекватной защиты (Приказ РКН № 128 от 05.08.2022). Уведомление Роскомнадзора о трансграничной передаче подаётся в порядке ст. 12 ч. 3 152-ФЗ
Российский провайдер инфраструктуры/хостингаРазмещение серверов баз данных, кеша, объектного хранилища, backend и frontend Сервисавсе категории ПДнРоссийская Федерацияст. 18 ч. 5 152-ФЗ (локализация) + договор поручения обработки

8. Локализация хранения и трансграничная передача

8.1. Локализация (ст. 18 ч. 5 152-ФЗ)

Базы данных, содержащие персональные данные граждан Российской Федерации, размещены на серверах в Российской Федерации:

  • реляционная база данных (учётные записи, чаты, платежи, аудит) — российский провайдер хостинга, Российская Федерация;
  • кеш и очереди задач — российский провайдер хостинга, Российская Федерация;
  • объектное хранилище медиа — российский провайдер хостинга, Российская Федерация;
  • сторонние AI-инфраструктуры — размещены на территории Российской Федерации; обязательство по локализации зафиксировано в договорах поручения обработки.

Сбор, запись, систематизация, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, расположенных на территории Российской Федерации.

Yandex OAuth: первичный обмен авторизационным кодом и получение профиля выполняются через эндпоинты oauth.yandex.ru / login.yandex.ru. ООО «Яндекс» размещает инфраструктуру на территории Российской Федерации; трансграничная передача при использовании Yandex OAuth отсутствует.

8.2. Трансграничная передача (ст. 12 152-ФЗ)

Оператор осуществляет трансграничную передачу персональных данных в следующие государства:

ПолучательГосударствоКатегории ПДнАдекватность защитыПравовое основание
Google LLC (Google OAuth)Соединённые Штаты Америкиemail, имя, аватар, идентификатор GoogleНе включены в перечень адекватной защиты (Приказ РКН № 128 от 05.08.2022)ст. 12 ч. 4 152-ФЗ — отдельное письменное согласие в электронной форме (см. § 8.3). До начала передачи подано уведомление в Роскомнадзор по форме Приказа РКН № 178 от 24.02.2023
Functional Software, Inc. (Sentry)Федеративная Республика ГерманияIP, User-Agent (с обезличиванием), URL, stack traceВключена в перечень адекватной защитыст. 12 ч. 3 152-ФЗ — уведомительный порядок; уведомление о трансграничной передаче подано в Роскомнадзор
Разработчики AI-моделей с инфраструктурой за пределами Российской Федерации (маршрутизация через Polza AI при выборе Пользователем модели соответствующего разработчика в каталоге /models; актуальный перечень получателей и стран — в каталоге /models)Соединённые Штаты Америки и иные иностранные юрисдикции согласно локализации разработчика моделипромпт, параметры запроса, прикреплённые файлыНе включены в перечень адекватной защиты (для США и других неадекватных юрисдикций)ст. 12 ч. 4 152-ФЗ — отдельное письменное согласие Пользователя в электронной форме, оформляемое модальной формой при регистрации (см. § 8.4). До начала передачи Оператор подаёт уведомление в Роскомнадзор по форме Приказа РКН № 178 от 24.02.2023 с приложением перечня конкретных получателей и стран; при добавлении нового получателя или новой иностранной юрисдикции уведомление актуализируется в порядке ст. 12 ч. 4 152-ФЗ

Передача персональных данных Polza AI как российскому AI-сервису-агрегатору с серверами в РФ не относится к трансграничной передаче в смысле ст. 12 152-ФЗ. Однако при выборе Пользователем модели от зарубежного разработчика Polza AI маршрутизирует запрос на инфраструктуру соответствующего разработчика, что является трансграничной передачей и требует отдельного согласия Пользователя по ст. 12 ч. 4 152-ФЗ (см. § 8.4).

8.3. Google OAuth — режим использования и согласие на трансграничную передачу

Google OAuth является необязательным способом входа в Сервис. Доступные альтернативы: email + пароль; Yandex OAuth.

Если Пользователь выбирает вход через Google, до начала передачи его персональных данных в Google LLC, США, Пользователь обязан выразить письменное согласие в электронной форме на трансграничную передачу. Согласие оформляется отдельно от иных документов (требование ст. 9 ч. 4 152-ФЗ в редакции, действующей с 01.09.2025) — модальной формой, отображаемой непосредственно перед запуском процедуры аутентификации Google.

Модальная форма содержит:

  • наименование и адрес иностранного получателя — Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, Соединённые Штаты Америки;
  • перечень передаваемых персональных данных — email, имя, аватар, идентификатор Google;
  • указание на то, что Соединённые Штаты Америки не включены в перечень стран адекватной защиты по Приказу Роскомнадзора от 05.08.2022 № 128;
  • цель передачи — аутентификация в Сервисе;
  • нормативное основание — ст. 12 ч. 4 152-ФЗ;
  • указание на право отказаться от такой передачи без потери функциональности Сервиса (доступны альтернативные способы входа);
  • порядок отзыва согласия — /settings/privacy или удаление учётной записи.

Факт согласия фиксируется в журнале согласий с указанием даты и времени, IP-адреса, User-Agent, версии Политики и типа согласия (google_transborder_consent_v1).

До начала передачи персональных данных в США Оператор подаёт уведомление в Роскомнадзор по форме Приказа Роскомнадзора от 24.02.2023 № 178 в порядке ст. 12 ч. 4 152-ФЗ.

8.4. Polza AI и трансграничная маршрутизация к зарубежным разработчикам AI-моделей — режим использования и согласие

Polza AI — российский AI-сервис-агрегатор с серверами на территории Российской Федерации, через который Оператор обращается к моделям искусственного интеллекта различных разработчиков. Каталог моделей публикуется на странице /models с указанием в карточке каждой модели её разработчика и страны размещения серверов.

При выборе Пользователем модели, разработчик которой размещает свою инфраструктуру за пределами Российской Федерации, Polza AI маршрутизирует промпт Пользователя, параметры запроса и прикреплённые файлы на инфраструктуру соответствующего разработчика. Это является трансграничной передачей в смысле ст. 12 152-ФЗ.

Согласие на такую передачу оформляется Пользователем при регистрации отдельной модальной формой (требование ст. 9 ч. 4 152-ФЗ в редакции, действующей с 01.09.2025).

Модальная форма содержит:

  • наименование настоящей Политики, версия и ссылка на текст;
  • категории передаваемых ПДн (промпт Пользователя, параметры запроса, прикреплённые файлы);
  • цели передачи (выполнение AI-запроса при выборе модели от зарубежного разработчика);
  • категорию получателей: разработчики AI-моделей с инфраструктурой за пределами Российской Федерации; конкретные наименования получателей и страны размещения публикуются в каталоге /models Сервиса в карточке каждой модели и обновляются в режиме реального времени по мере добавления, изменения или удаления моделей;
  • перечень иностранных юрисдикций, в которые может осуществляться передача (актуальный список юрисдикций — в каталоге /models; основная юрисдикция на момент оформления настоящей Политики — Соединённые Штаты Америки);
  • срок действия согласия (бессрочно — до отзыва);
  • порядок отзыва согласия — /settings/privacy или удаление учётной записи;
  • указание на право отказаться от такой передачи без потери функциональности Сервиса (Пользователь вправе выбирать в каталоге /models только модели от российских разработчиков; функциональность для российских моделей сохраняется полностью).

Факт согласия фиксируется в журнале согласий с указанием даты и времени, IP-адреса, User-Agent, версии Политики и типа согласия (polza_transborder_consent_v1).

До начала передачи персональных данных в США и иные неадекватные юрисдикции через Polza AI Оператор подаёт уведомление в Роскомнадзор по форме Приказа Роскомнадзора от 24.02.2023 № 178 в порядке ст. 12 ч. 4 152-ФЗ с перечислением всех зарубежных разработчиков и стран размещения их инфраструктуры в качестве получателей.

9. Маркетинговые коммуникации

Оператор может осуществлять рассылку маркетинговых и рекламных сообщений (новости Сервиса, акции, информация о новых функциях) на адрес электронной почты Пользователя исключительно при наличии его отдельного opt-in-согласия. Опция включается Пользователем в разделе /settings/profile отдельным переключателем. По умолчанию выключена.

Правовое основание — ст. 15 152-ФЗ и ст. 18 ФЗ-38 «О рекламе». Согласие фиксируется в журнале согласий как marketing_email_v1.

Право отзыва:

  • переключатель в /settings/profile (мгновенно прекращает рассылку);
  • ссылка «Отписаться» в каждом маркетинговом письме (один клик).

Отзыв согласия на маркетинговые сообщения не влияет на иные согласия и не затрагивает транзакционные / системные уведомления Сервиса.

10. Канал коммуникации в Telegram

Оператор использует публичный Telegram-канал/группу @ai_spectra исключительно как площадку для общения с сообществом, публикации новостей Сервиса и приёма общих обращений. Персональные данные Пользователей с веб-сервиса в Telegram не передаются Оператором. Telegram не используется как канал авторизации, биллинга или обмена данными учётной записи.

Если Пользователь по собственной инициативе обращается в Telegram-канал, его сообщения, имя профиля Telegram и иные сведения, добровольно раскрытые Пользователем в Telegram, становятся доступны компании Telegram Messenger Inc. (зарегистрирована в Объединённых Арабских Эмиратах) в соответствии с собственной политикой конфиденциальности этой платформы. Оператор не контролирует и не несёт ответственности за обработку персональных данных компанией Telegram Messenger Inc.

Для приватных обращений по любым вопросам, связанным с обработкой персональных данных (в том числе для подачи запросов на доступ, уточнение, удаление данных, отзыв согласия, удаление учётной записи), Оператор рекомендует использовать электронную почту info@ai-spectra.ru. Обмен данными по этой почте осуществляется через российских поставщиков услуг электронной почты без трансграничной передачи.

11. Меры по защите ПДн

Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (ст. 19 152-ФЗ; Постановление Правительства РФ № 1119 от 01.11.2012).

Организационные меры:

  • выполнение Оператором лично функций ответственного за организацию обработки ПДн (ст. 22.1 152-ФЗ; деятельность ведётся без привлечения работников);
  • утверждение Оператором настоящей Политики и иных локальных актов по обработке ПДн;
  • ведение журнала действий администраторов;
  • ведение журнала согласий субъектов ПДн (см. § 12);
  • предварительная оценка уровня защищённости информационной системы — УЗ-3 (Постановление Правительства РФ № 1119).

Технические меры:

  • необратимое хеширование паролей;
  • шифрование OAuth-токенов в базе данных;
  • TLS/HTTPS для всего пользовательского трафика;
  • HttpOnly + Secure + SameSite-флаги для cookie сессии;
  • двухконтурная защита от brute-force (rate-limit + журнал попыток);
  • аудит действий администраторов;
  • защита от XSS / CSRF / SQL-инъекций;
  • регулярные резервные копии;
  • разделение прав доступа (RBAC), двухфакторная аутентификация для административного доступа;
  • мониторинг безопасности.

12. Права субъекта персональных данных

В соответствии со статьями 14–21 152-ФЗ Пользователь имеет следующие права:

ПравоНормаРеализация в Сервисе
1Получение информации об обработке своих ПДнст. 14 ч. 7Запрос на info@ai-spectra.ru; настоящая Политика
2Получение копии своих ПДнст. 14 ч. 7GET /api/v1/users/me/export (ZIP-архив, rate-limit 5/час)
3Уточнение, блокирование, уничтожение ПДн при их неполноте, неточности, неактуальности, незаконности обработкист. 14 ч. 1, ст. 21 ч. 1PUT /api/v1/users/me/profile, смена пароля; запрос на info@ai-spectra.ru
4Отзыв согласия на обработкуст. 9 ч. 2Кнопка «Удалить аккаунт» в /settings/account; запрос на info@ai-spectra.ru; для отдельных целей — переключатели в /settings/profile
5Удаление ПДн / прекращение обработкист. 14 ч. 1, ст. 21DELETE /api/v1/users/me/account (с подтверждением email, rate-limit 3/час)
6Возражение против обработки на основании законного интересаст. 14 ч. 1Запрос на info@ai-spectra.ru
7Обжалование действий Оператора в Роскомнадзоре или в судебном порядкест. 17См. § 15
8Запрет принятия юридически значимых решений на основании только автоматизированной обработкист. 16Оператор не принимает таких решений

13. Журнал согласий

Оператор ведёт электронный журнал учёта согласий субъектов ПДн (таблица user_consents) со следующими полями: тип согласия, идентификатор Пользователя, дата и время получения, версия Политики и иных документов на момент дачи согласия, IP-адрес, User-Agent. Журнал служит доказательной базой получения согласия (ст. 9 ч. 1 152-ФЗ — бремя доказывания факта получения согласия лежит на Операторе).

Типы согласий, учитываемые в журнале:

  • registration_consent_v1 — общее согласие при регистрации;
  • feed_publication_v1 — согласие на публичное распространение Контента в ленте /feed;
  • google_transborder_consent_v1 — согласие на трансграничную передачу в США при использовании Google OAuth;
  • sentry_optin_v1 — согласие на участие в системе мониторинга ошибок Sentry;
  • marketing_email_v1 — согласие на маркетинговые рассылки.

Срок хранения записей журнала: 3 года с момента отзыва согласия.

13.1. Согласие на публикацию в /feed

Перед первой публикацией Пользователю отображается модальная форма с явным текстом информированного согласия:

«Я понимаю, что мой контент будет публично виден всем посетителям Сервиса, включая неавторизованных, и согласен на эту обработку».

Согласие фиксируется в журнале (тип feed_publication_v1). Отзыв — через удаление публикации в интерфейсе Сервиса в любое время.

14. Порядок реализации прав субъекта

Запросы Пользователя о реализации прав направляются на электронную почту:

info@ai-spectra.ru

Запрос должен содержать:

  • сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (email учётной записи);
  • предмет запроса (право, которое Пользователь хочет реализовать).

Оператор обязан рассмотреть запрос и направить мотивированный ответ в течение 10 рабочих дней со дня получения (ст. 20 ч. 1 152-ФЗ). При наличии оснований срок может быть продлён, но не более чем на 5 рабочих дней, с уведомлением заявителя.

Часть запросов может быть удовлетворена непосредственно через интерфейс Сервиса без отдельного обращения по электронной почте (см. § 12 — права субъекта).

Запрос о раскрытии актуального перечня привлекаемых сторонних AI-инфраструктур и иных обработчиков направляется в том же порядке; срок ответа — общий 10-рабочих-дневный срок ст. 20 152-ФЗ.

15. Контакты

КаналАдрес
ОператорХалимов Антон Айратович, ИНН 500603569023 (физическое лицо, применяющее НПД), г. Москва, Российская Федерация (полный адрес — по запросу на info@ai-spectra.ru)
Email для всех обращений (включая вопросы обработки ПДн)info@ai-spectra.ru
Публичный Telegram-канал для общения с сообществом и новостей@ai_spectra (не используется для обмена ПДн — см. § 10)
Контролирующий органФедеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2, https://rkn.gov.ru

Связанные документы:

  • Пользовательское соглашение — /terms
  • Согласие на обработку персональных данных — /consent
  • Политика использования файлов cookie — /cookie-policy

16. Изменение Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция размещается по адресу https://ai-spectra.ru/privacy. Дата вступления в силу указана в начале документа. Существенные изменения, затрагивающие права Пользователей, доводятся до них по электронной почте и (или) уведомлением в Сервисе не менее чем за 14 календарных дней до вступления в силу.

Если изменение Политики увеличивает обязанности Пользователя или сокращает объём его прав, Пользователь вправе отозвать согласие на обработку персональных данных в течение этих 14 календарных дней, что эквивалентно требованию об удалении учётной записи; в этом случае удаление производится без потери средств — неиспользованный остаток кредитов возвращается в порядке п. 4 Пользовательского соглашения.

17. Заключительные положения

Настоящая Политика составлена в соответствии с законодательством Российской Федерации и применяется в части, не противоречащей императивным нормам 152-ФЗ.

Если отдельные положения Политики признаны недействительными, это не влечёт недействительности остальных положений.

Связаться: info@ai-spectra.ru · версия privacy-v1.2-4bb1faf0 · 8 июня 2026 г.