Политика обработки персональных данных

# Политика обработки персональных данных Assist Версия: v1.0 Дата: 8 июня 2026 года Оператор: Индивидуальный предприниматель Фоменко Богдан Игоревич, ИНН 346104066000, ОГРНИП 325344300020762. Единый контакт по вопросам персональных данных, поддержки, безопасности и жалоб: dev@assistgroup.tech. Настоящая Политика описывает, как Assist обрабатывает персональные данные при использовании сайта, desktop-приложения, backend API, платежных и вспомогательных сервисов. ## 1. Роли и область действия Оператором персональных данных является ИП Фоменко Богдан Игоревич. Пользователь является субъектом персональных данных и самостоятельно отвечает за законность передачи в Assist данных третьих лиц, включая реплики участников разговора, имена, должности, коммерческую информацию и иной контекст. Политика применяется к сайту assist-ai.ru, desktop-приложению Assist, API, платежным операциям, письмам, обращениям в поддержку и юридическим акцептам. ## 2. Категории субъектов Assist может обрабатывать данные следующих категорий субъектов: 1. зарегистрированные пользователи; 2. посетители сайта; 3. плательщики и держатели сохраненных платежных методов в пределах данных, получаемых от платежного провайдера; 4. лица, обращающиеся в поддержку; 5. участники разговоров, чьи реплики или сведения пользователь передает в Assist при наличии законного основания. ## 3. Какие данные обрабатываются Assist может обрабатывать: 1. аккаунт: email, username, хэш пароля, язык интерфейса, идентификатор пользователя, дата регистрации, дата подтверждения email; 2. безопасность: IP, user-agent, технические идентификаторы, события входа, ошибки, rate-limit и антифрод-сигналы; 3. биллинг: баланс, package type, сумма, paymentId, orderId, payment type, payment status, customerKey, cardId, rebillId, account token, masked PAN, срок действия карты, статус карты, настройки автопополнения, email для чека; 4. legal-аудит: ключ документа, версия, язык, цель акцепта, source page, дата, хэш IP, хэш user-agent, metadata; 5. приложение: настройки источников, язык, выбранный режим, состояние локальной STT-модели, технические события загрузки модели/обновления; 6. аудио и транскрипция: локально обрабатываемый аудиопоток, текстовая транскрипция, текст запроса к AI, история серверного диалога, если она включена в конкретной версии backend; 7. поддержка: email, содержание обращения, вложения, история коммуникации; 8. сайт: cookie/localStorage, выбранный язык, cookie consent, технические данные посещения. Полные номера банковских карт и CVV в Assist не хранятся. Если masked PAN, cardId, rebillId или token доступны из Т-Банк, они используются только для платежей, сохраненных карт, автопополнения и учета. ## 4. Аудио, локальная STT и AI Пользователь сам запускает обработку и выбирает источники: микрофон и/или системный звук. В текущем desktop-сценарии распознавание речи выполняется локально через STT-модель, установленную в директорию приложения пользователя. Локальная STT-модель может загружаться через GitHub downloads/updates. После локального распознавания текстовая транскрипция, выбранный контекст, язык и prompt могут передаваться backend-сервису и внешнему AI-провайдеру для генерации ответа. В backend также может существовать endpoint для загрузки аудио и передачи его внешнему speech-to-text провайдеру; такая функция должна использоваться только при наличии законного основания и быть отражена в интерфейсе, если включена в продукте. Assist не использует голос для идентификации личности пользователя. Если в будущем голос будет использоваться для идентификации или верификации личности, потребуется отдельная оценка и правовое оформление биометрических данных. ## 5. Цели обработки Данные обрабатываются для: 1. регистрации, подтверждения email, входа и восстановления пароля; 2. предоставления desktop-приложения, API и AI-ответов; 3. локальной и серверной обработки транскрипции; 4. начисления и учета баланса; 5. приема платежей, привязки карты, автопополнения, чеков и возвратов; 6. фиксации акцептов оферты, согласий и lawful-use acknowledgement; 7. поддержки пользователей и обработки претензий; 8. безопасности, антифрода, диагностики ошибок и предотвращения злоупотреблений; 9. исполнения требований закона, бухгалтерского и налогового учета; 10. защиты прав Оператора, пользователей и третьих лиц. ## 6. Правовые основания В зависимости от сценария обработка основана на: 1. исполнении договора и оферты; 2. согласии пользователя на обработку персональных данных; 3. отдельном согласии на рекуррентные платежи; 4. законных обязанностях по платежам, фискальным документам, бухгалтерскому и налоговому учету; 5. защите прав и законных интересов Оператора, пользователей и третьих лиц; 6. требованиях применимого законодательства. Отзыв согласия можно направить на dev@assistgroup.tech. Отзыв не прекращает обработку, которая необходима для договора, закона, бухгалтерского учета, безопасности, претензий или защиты прав. ## 7. Действия с персональными данными Оператор может осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, предоставление, обезличивание, блокирование, удаление и уничтожение персональных данных. Обработка может быть автоматизированной, неавтоматизированной или смешанной, с передачей по сети Интернет. ## 8. Внешние получатели и трансграничная передача Данные могут передаваться получателям и категориям получателей ниже. Конкретный состав провайдеров зависит от версии продукта и включенных функций. | Получатель | Страна/регион | Цель | Категории данных | Когда включается | |---|---|---|---|---| | Т-Банк и связанные платежные/фискальные сервисы | РФ | платежи, привязка карты, чеки, автопополнение, возвраты | email, сумма, paymentId, orderId, customerKey, cardId, rebillId, masked PAN, статус платежа | при оплате, привязке карты, автопополнении, возврате | | Resend или иной email-провайдер | США/ЕС/иные | транзакционные письма | email, username, тип письма, техническое событие | регистрация, подтверждение email, welcome, reset password, service notice | | DeepSeek-compatible/OpenAI/иной AI-провайдер | иностранная инфраструктура | генерация AI-ответа | текст транскрипции, prompt, язык, режим, технический контекст | когда пользователь отправляет фрагмент в AI | | OpenAI speech-to-text или иной STT-провайдер | иностранная инфраструктура | распознавание аудио, если backend audio upload включен | аудио, язык, технический контекст | только при использовании соответствующей функции | | GitHub | США/иные | загрузка STT-модели, обновлений приложения и release assets | IP, user-agent, технический запрос | при загрузке модели или обновления | | Хостинг, CDN, инфраструктура, логи | РФ/иные | работа сайта/API, безопасность, диагностика | IP, user-agent, request metadata, технические события | при использовании сайта/API | Если применимое право требует уведомления о трансграничной передаче или включения Оператора в реестр операторов персональных данных, Оператор ведет соответствующий процесс до начала соответствующей обработки или передачи. Если передача в конкретную страну или получателю становится недопустимой, соответствующая функция может быть ограничена. ## 9. Cookies и localStorage Сайт использует обязательные cookie/localStorage для работы интерфейса, сохранения языка и cookie-настроек. Аналитические и маркетинговые cookies могут применяться только при согласии, если они включены в конкретной версии сайта. Подробнее: /cookie-policy. Desktop-приложение может использовать localStorage или аналогичные локальные хранилища для пользовательских настроек, lawful-use acknowledgement версии v1.0, UI-состояний и технических параметров. ## 10. Сроки хранения 1. Аккаунт хранится, пока пользователь использует Assist, и далее в сроки, необходимые для закона, бухгалтерского учета, безопасности и претензий. 2. Платежные записи, чеки и учетные документы хранятся в сроки, требуемые применимым законом. 3. Legal acceptances хранятся как доказательство акцепта и не перезаписываются. 4. Транскрипции и серверная история диалога хранятся согласно фактической backend-логике конкретной версии и могут очищаться или удаляться по support-процессу. 5. Локальная STT-модель и локальные настройки хранятся на устройстве пользователя до удаления приложения/модели или очистки данных. 6. Обращения в поддержку хранятся столько, сколько нужно для ответа, качества поддержки, безопасности и защиты прав. В v1 удаление и экспорт аккаунта выполняются через support process: пользователь пишет на dev@assistgroup.tech с email аккаунта. После проверки запроса данные удаляются или экспортируются в разумный срок, кроме данных, которые нужно хранить по закону, бухгалтерскому учету, безопасности или защите прав. ## 11. Права пользователя Пользователь может запросить: 1. подтверждение обработки и доступ к данным; 2. уточнение, блокирование или удаление данных; 3. ограничение обработки; 4. отзыв согласия; 5. экспорт доступных данных; 6. сведения о получателях и трансграничной передаче; 7. прекращение автопополнения и удаление сохраненного платежного метода, если функция доступна. Запросы направляются на dev@assistgroup.tech. Для защиты аккаунта Оператор может запросить подтверждение владения email или дополнительные сведения, достаточные для идентификации запроса. ## 12. Безопасность Assist применяет TLS, серверную авторизацию, хэширование паролей, разграничение доступа, минимизацию платежных данных, редактирование чувствительных webhook-логов, audit юридических акцептов, контроль доступа к административным функциям и мониторинг ошибок. Оператор не заявляет ISO 27001, SOC 2, PCI DSS как собственную сертификацию Assist или GDPR-ready статус, если такие документы отдельно не получены и не опубликованы. ## 13. Инциденты При инциденте с персональными данными Оператор проводит оценку, принимает меры по ограничению последствий и, если применимое право требует уведомления уполномоченного органа или субъектов данных, выполняет соответствующий процесс в установленные сроки. Сообщения о подозрениях на утечку или уязвимость направляются на dev@assistgroup.tech. ## 14. Дети Assist не предназначен для лиц младше возраста, с которого они могут самостоятельно принимать условия сервиса по применимому праву. Если законный представитель считает, что данные несовершеннолетнего обработаны без основания, он может написать на dev@assistgroup.tech. ## 15. Изменения политики Новая версия публикуется на этой странице. Существенные изменения могут требовать повторного акцепта или отдельного уведомления в интерфейсе/email. ## 16. Контакт dev@assistgroup.tech