1. Оператор персональных данных

Оператором персональных данных является [ЗАПОЛНИТЬ: ФИО ИП или наименование юр.лица] (ИНН [ЗАПОЛНИТЬ: ИНН], [ЗАПОЛНИТЬ: ОГРН/ОГРНИП], адрес: [ЗАПОЛНИТЬ: юридический адрес]).

Ответственный за организацию обработки персональных данных: [ЗАПОЛНИТЬ: ФИО ответственного за обработку ПД]. Контактный адрес для запросов субъектов ПД: [ЗАПОЛНИТЬ: privacy@linza-ai.com].

Оператор внесён в реестр операторов, осуществляющих обработку персональных данных, под регистрационным номером [ЗАПОЛНИТЬ после уведомления Роскомнадзора: рег.№ оператора в реестре РКН].

2. Категории субъектов и состав обрабатываемых данных

Субъекты ПД: пользователи сервиса «Линза AI» (бумажный ежедневник + Telegram-бот + веб-приложение).

Обрабатываются следующие категории персональных данных:

• Идентификационные данные авторизации: Telegram ID, имя и username из Telegram, email-адрес (при входе через magic-link), идентификатор Google/VK (при OAuth), хэшированные коды активации;
• Пользовательский контент: текст задач, заметок, выводов и рефлексий; цели и приоритеты циклов; настроение и финансовые отметки дня;
• Фотографии страниц ежедневника: временно хранятся в течение TTL, выбираемого пользователем (1–90 дней), затем автоматически удаляются;
• Технические данные: IP-адрес, User-Agent, отметки времени запросов — только в служебных логах для безопасности и диагностики, без привязки к контенту;
• Метаданные согласий: отметки времени проставления согласий на обработку ПД и на трансграничную передачу, версия Политики, на которую дано согласие.

Сервис не обрабатывает специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, состояние здоровья, интимная жизнь) и биометрические данные. Если пользователь добровольно вносит такие сведения в свободный текст заметок, оператор не извлекает и не структурирует их.

3. Цели обработки

• предоставление функциональности сервиса (хранение задач, заметок, рефлексий; распознавание страниц ежедневника; AI-анализ и формирование инсайтов);
• авторизация пользователя и поддержание сессии;
• отправка функциональных уведомлений и напоминаний (которые пользователь может отключить в настройках);
• обеспечение безопасности сервиса и предотвращение злоупотреблений (rate limiting, обнаружение аномалий);
• исполнение требований законодательства РФ (предоставление сведений по запросу государственных органов).

4. Правовые основания обработки

• согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ), оформляемое чекбоксом при регистрации и в разделе «Настройки → Согласия»;
• исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6 152-ФЗ) — пользовательское соглашение, доступное на странице «Условия использования»;
• осуществление прав и законных интересов оператора в части обеспечения безопасности сервиса (п. 7 ч. 1 ст. 6 152-ФЗ).

5. Локализация хранения

В соответствии с ч. 5 ст. 18 152-ФЗ первичная запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации.

Базы данных PostgreSQL и объектное хранилище MinIO размещены на серверах в Российской Федерации (Selectel, дата-центр Москва — площадка ru-3). Резервные копии хранятся в Selectel Object Storage (ru-3) на территории РФ.

6. Трансграничная передача персональных данных

Для работы функций распознавания страниц ежедневника и AI-анализа подтверждённого текста оператор передаёт минимально необходимые данные следующим иностранным лицам, обрабатывающим персональные данные по поручению оператора:

• OpenAI, OpCo LLC (3180 18th Street, San Francisco, CA 94110, USA) — обработка фотографий страниц через Vision-модель и текстовый анализ;
• Anthropic, PBC (548 Market Street PMB 90375, San Francisco, CA 94104, USA) — альтернативный провайдер AI-анализа, доступный по выбору пользователя.

Передаваемый объём ограничен изображением одной страницы (в момент распознавания, без постоянного хранения у получателя) и фрагментами подтверждённого пользователем текста, необходимыми для формирования AI-ответа. В запросах не передаются идентификаторы пользователя, email, Telegram ID или другие прямые идентификаторы.

США отсутствуют в перечне иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (Приказ Роскомнадзора от 05.08.2014 № 274). В соответствии с ч. 4 ст. 12 152-ФЗ трансграничная передача в такие страны осуществляется только при наличии письменного согласия субъекта. Согласие оформляется отдельным чекбоксом в разделе «Настройки → Согласия» и может быть отозвано в любой момент — при отзыве AI-функции и распознавание становятся недоступными, остальной функционал (хранение задач, заметок) продолжает работать.

7. Сроки и условия хранения

• Фотографии страниц — хранятся в течение TTL, выбранного пользователем (по умолчанию 7 дней, диапазон 1–90), затем удаляются автоматически;
• Текст задач, заметок, инсайтов — до удаления пользователем или закрытия аккаунта;
• Логи и резервные копии — до 30 дней с момента сбора (логи) и до 6 месяцев (бэкапы) в зашифрованном виде;
• Метаданные согласий — в течение срока действия аккаунта плюс 3 года после удаления (для подтверждения правомерности обработки в случае проверки).

8. Меры защиты

• передача всех данных только по защищённым каналам (HTTPS/TLS 1.3);
• хранение API-ключей пользователей в зашифрованном виде (AES-GCM);
• хеширование кодов активации (SHA-256), пароли в plaintext не хранятся;
• ролевое разграничение доступа к инфраструктуре (только два администратора);
• сетевая изоляция (WireGuard-туннель между узлами, межсетевые экраны на обоих узлах);
• регулярное резервное копирование (ежедневно для БД, еженедельно для файлового хранилища);
• обновление зависимостей с проверкой на уязвимости (npm audit, pip-audit в CI).

9. Права субъекта персональных данных

В соответствии со ст. 14, 20, 21 152-ФЗ пользователь имеет право:

• получить информацию об обработке своих ПД (состав, цели, сроки, контрагенты) — реализуется через настоящую Политику и личный кабинет;
• требовать уточнения, блокирования или удаления ПД, если они неточны, неактуальны или избыточны;
• отозвать согласие на обработку — через настройки сервиса или письменно по адресу оператора;
• обжаловать действия оператора в Роскомнадзор или в суд.

Запросы рассматриваются в срок не более 30 дней с момента получения. Удаление аккаунта и всех связанных данных производится автоматически по команде /delete_my_data в Telegram-боте или соответствующей кнопкой в настройках. Экспорт данных доступен в формате JSON через раздел «Настройки → Экспорт данных».

10. Файлы cookies и аналитика

Сервис использует строго функциональные cookies для поддержания авторизации (lens_token — httpOnly, SameSite=Lax). Маркетинговая аналитика (Яндекс.Метрика) на публичном сайте включается только после явного согласия пользователя через баннер согласия. Авторизованная часть приложения аналитических счётчиков не использует.

11. Изменения политики

При существенных изменениях (новый состав данных, новые получатели, новые цели обработки) оператор присваивает Политике новую версию и при следующем входе пользователя в сервис показывает блокирующий запрос на повторное согласие. Без подтверждения согласий доступ к сервису ограничен.

12. Контакты для запросов

Все запросы по обработке персональных данных — на электронный адрес [ЗАПОЛНИТЬ: privacy@linza-ai.com] или письменно по адресу: [ЗАПОЛНИТЬ: юридический адрес].