Политика обработки персональных данных

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые Оператором при использовании сервиса Welder AI, доступного по адресу https://www.welderai.ru/.

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», иными нормативными правовыми актами Российской Федерации.

1.3. Действие Политики распространяется на любые сведения, которые Оператор может получить о Пользователе во время использования Сервиса.

Оператор: Мостовая Вера Сергеевна, плательщик налога на профессиональный доход, ИНН 773609550994.

Связь по вопросам обработки персональных данных:

1. через встроенный Чат поддержки на Сайте — предпочтительный канал для активных Пользователей;
2. по электронной почте: hello@welderai.ru — рекомендуется при невозможности воспользоваться Чатом, в том числе при недоступности Аккаунта.

Иные контактные данные Оператора не публикуются. Через любой из указанных выше каналов Пользователь вправе направить любой запрос, связанный с обработкой его персональных данных, включая запросы об уточнении, блокировании и удалении сведений, об отзыве согласия на обработку и о реализации иных прав, предусмотренных 152-ФЗ.

Оператор обрабатывает персональные данные Пользователя на принципах:

1. законности и справедливости;
2. ограничения обработки достижением конкретных, заранее определённых и законных целей;
3. недопущения объединения баз данных, обработка которых осуществляется в целях, несовместимых между собой;
4. соответствия содержания и объёма обрабатываемых данных заявленным целям;
5. точности, достаточности, актуальности данных;
6. хранения данных в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки;
7. обеспечения безопасности данных в соответствии с требованиями 152-ФЗ.

4.1. Субъекты данных: зарегистрированные Пользователи Сервиса, посетители Сайта, лица, обращающиеся через Чат поддержки.

4.2. Категории обрабатываемых данных:

1. Идентификационные данные: адрес электронной почты, имя (никнейм), номер телефона (при наличии).
2. Учётные данные: логин, хэш пароля, идентификаторы сессии, токены доступа.
3. Данные об использовании Сервиса: история операций (генерации сценариев, изображений, видео), баланс токенов, история начислений и списаний, выбранный Тариф.
4. Платёжные метаданные: сведения об операциях оплаты (сумма, дата, статус, идентификатор транзакции у платёжного оператора). Полные реквизиты банковских карт Оператор не получает и не хранит — они обрабатываются непосредственно платёжным оператором.
5. Технические данные: IP-адрес, тип и версия устройства, операционной системы и браузера, разрешение экрана, источник перехода (HTTP- referer), параметры URL, идентификаторы cookie, временные метки запросов.
6. Контент Пользователя: загруженные Пользователем файлы (изображения, аудио, видео, тексты), введённые Пользователем сценарии, описания и иные текстовые материалы, а также сгенерированные на их основе результаты.
7. Данные авторизации в подключенных сторонних сервисах публикации — токены доступа (access token, refresh token), срок действия токена, идентификатор подключенного аккаунта/канала/страницы, публичные сведения (имя/handle, число подписчиков, URL аватара, идентификаторы бизнес-аккаунтов и страниц). См. также раздел 8 настоящей Политики.
8. Коммуникации: история сообщений в Чате поддержки и иной переписки.

4.3. Оператор не обрабатывает специальные категории персональных данных (расовая или национальная принадлежность, политические взгляды, состояние здоровья и т. п.) и биометрические персональные данные, за исключением случаев, когда такие данные намеренно загружены Пользователем в составе контента и обрабатываются исключительно для целей оказания услуг.

Оператор обрабатывает персональные данные в следующих целях:

1. регистрация и идентификация Пользователя в Сервисе;
2. предоставление функциональных возможностей Сервиса в рамках выбранного Тарифа;
3. учёт и списание токенов в соответствии с тарифной политикой;
4. обработка платежей, выставление подтверждающих документов;
5. публикация сгенерированного контента Пользователя в подключенные им внешние платформы публикации (в том числе TikTok, Instagram, YouTube) — исключительно по явной команде Пользователя и в объёме, выбранном Пользователем;
6. осуществление коммуникации с Пользователем, в том числе через Чат поддержки, по электронной почте, через push-уведомления;
7. информирование Пользователя о новых возможностях, акциях и обновлениях Сервиса (с учётом полученных согласий);
8. обеспечение безопасности Сервиса, выявление и предотвращение несанкционированного доступа, мошенничества, злоупотреблений;
9. анализ использования Сервиса, его развитие и улучшение качества;
10. исполнение требований применимого законодательства, ответы на запросы компетентных государственных органов;
11. защита прав и законных интересов Оператора.

Правовыми основаниями обработки персональных данных являются:

1. согласие Пользователя на обработку персональных данных, выраженное совершением действий, указанных в Публичной оферте, и продолжением использования Сервиса;
2. необходимость исполнения договора, стороной которого является Пользователь (статья 6 ч. 1 п. 5 152-ФЗ);
3. необходимость осуществления Оператором или третьими лицами их прав и законных интересов при условии, что не нарушаются права и свободы Пользователя (статья 6 ч. 1 п. 7 152-ФЗ);
4. исполнение требований законодательства Российской Федерации, в том числе налогового, антитеррористического, законодательства о бухгалтерском учёте.

7.1. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таковых, и включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

7.2. Оператор обрабатывает персональные данные с применением технических и организационных мер защиты, установленных требованиями 152-ФЗ и принятых на их основе подзаконных актов.

8.1. Назначение интеграций. Welder AI позволяет Пользователю опубликовать сгенерированный в Сервисе видеоконтент на принадлежащих ему аккаунтах в сторонних платформах публикации — TikTok, Instagram (через платформу Meta) и YouTube (через платформу Google). Интеграции активируются только по явному действию Пользователя (нажатие «Подключить» и прохождение OAuth-авторизации в окне соответствующей платформы).

8.2. Получаемые разрешения и категории данных. При подключении аккаунта Оператор запрашивает у платформы и получает следующие сведения (минимально необходимые для функции автопостинга):

1. TikTok — разрешения user.info.basic, video.upload, video.publish. Категории данных: открытый идентификатор пользователя (open ID), отображаемое имя, URL аватара; статус загрузки видео, идентификатор опубликованного видео и метаданные публикации. Оператор не запрашивает доступ к личной переписке, спискам подписок, истории просмотров и иным сведениям, не относящимся к публикации.
2. Instagram (Meta Graph API) — разрешения instagram_basic, instagram_content_publish, pages_show_list, business_management (последнее — только при подключении бизнес-аккаунта). Категории данных: идентификатор подключенной страницы Facebook и связанного с ней Instagram Business аккаунта, имя/handle, URL аватара, статус загрузки и публикации мультимедиа.
3. YouTube (Google API) — разрешения https://www.googleapis.com/auth/youtube.upload и https://www.googleapis.com/auth/youtube.readonly. Категории данных: идентификатор канала, название канала, URL аватара, статус обработки и публикации видео, идентификатор опубликованного видео.

8.3. Чего Оператор не получает и не запрашивает: личной переписки, частных сообщений, чёрновиков и неопубликованного контента Пользователя на платформах; данных о его подписчиках и подписках; данных о платёжных операциях внутри платформ; геолокационных и иных биометрических сведений; данных, защищённых дополнительными платформенными разрешениями (advanced access), кроме тех, что прямо перечислены в п. 8.2.

8.4. Использование данных интеграций. Полученные при подключении сведения используются Оператором исключительно для следующих ограниченных целей:

1. отображения Пользователю списка его подключенных аккаунтов / каналов / страниц в интерфейсе Сервиса;
2. выполнения операций публикации (upload, publish), запрошенных Пользователем;
3. отслеживания статуса публикации и отображения результата в интерфейсе;
4. отображения сводной статистики публикаций — если соответствующее разрешение предоставлено и Пользователь его явно подтвердил.

Оператор не использует данные, полученные через интеграции с платформами, для показа рекламы, продажи третьим лицам, оценки кредитоспособности, кадровых решений, обучения собственных моделей машинного обучения и иных целей, выходящих за рамки прямо указанной функции автопостинга. См. также раздел 15 («Соответствие политикам платформ»).

8.5. Хранение токенов и связанных данных. По каждому подключению Оператор хранит:

1. access-token и refresh-token — в зашифрованном виде (шифрование at rest), до момента отключения интеграции Пользователем либо до окончания срока действия токена, установленного платформой;
2. идентификатор подключённого аккаунта (open ID / channel ID / page ID), отображаемое имя или handle, URL аватара — для отображения списка подключений в интерфейсе Сервиса;
3. при наличии соответствующего разрешения — публичные метрики аккаунта (число подписчиков, число публикаций, дата создания) — для отображения сводки в интерфейсе;
4. идентификатор каждого видео, опубликованного через Сервис, и его публикационные метаданные — статус (uploaded, processing, published, failed), дата публикации, URL опубликованного материала, а также переданные Пользователем название, описание и теги — для отслеживания истории публикаций в интерфейсе.

Токены доступа третьих лиц используются исключительно от имени Пользователя и только в рамках сценариев, описанных в п. 8.4. Сроки хранения см. в разделе 10.

8.6. Отзыв доступа. Пользователь может в любой момент отключить интеграцию (а) через раздел «Интеграции» в Настройках своего Аккаунта в Welder AI, (б) через настройки соответствующей платформы (TikTok settings, Facebook Business settings, Google Account permissions). При отключении интеграции Оператор удаляет связанные access-токены и refresh-токены и прекращает обращение к API платформы от имени Пользователя.

9.1. Оператор не продаёт и не передаёт персональные данные Пользователей третьим лицам в маркетинговых целях.

9.2. Для оказания услуг Оператор привлекает поставщиков программно-аппаратной инфраструктуры и платформенных сервисов на основании заключённых с ними договоров, предусматривающих обязательства по обеспечению конфиденциальности и безопасности данных. Без раскрытия конкретных наименований таких поставщиков в настоящей Политике ниже указаны их функциональные категории:

1. Облачные провайдеры инфраструктуры — для размещения Сайта, баз данных, файловых хранилищ, обеспечения отказоустойчивости и геораспределения;
2. Поставщики вычислительных ресурсов искусственного интеллекта — для выполнения операций генерации текста, изображений и видео, обработки пользовательского ввода;
3. Платёжные операторы — для приёма платежей, проведения возвратов, формирования фискальных документов;
4. Системы аналитики поведения и продуктовых метрик — для исследования использования Сервиса, выявления узких мест и улучшения интерфейса;
5. Сервисы транзакционных коммуникаций — для отправки электронных писем (подтверждения регистрации, чеки, уведомления);
6. Системы выявления злоупотреблений и обеспечения безопасности — для защиты от ботов, спама, фрод-атак, нагрузочных атак;
7. Внешние платформы публикации контента (TikTok, Instagram / платформа Meta, YouTube / платформа Google) — при использовании Пользователем функций автоматической публикации, и только в объёме, необходимом для исполнения этой функции (см. раздел 8).

9.3. Передача данных привлечённым третьим лицам осуществляется в объёме, необходимом для исполнения соответствующих функций, и ограничивается целями, указанными в разделе 5 настоящей Политики.

9.4. Оператор передаёт персональные данные государственным органам и иным уполномоченным лицам в случаях и порядке, установленных законодательством Российской Федерации.

10.1. Персональные данные Пользователя хранятся в течение всего срока действия Аккаунта, а после удаления Аккаунта — в течение 3 (трёх) лет в целях защиты прав и законных интересов Оператора, за исключением случаев, когда законодательство устанавливает иной срок хранения (например, в отношении сведений, связанных с финансовыми операциями, — в течение сроков, установленных налоговым и бухгалтерским законодательством, но не менее 5 лет).

10.2. Токены доступа сторонних платформ (см. раздел 8) хранятся до момента отключения интеграции Пользователем либо до окончания их срока действия, установленного платформой, — что наступит раньше. После отключения интеграции токены удаляются из активных хранилищ; технические резервные копии (бэкапы) ротируются по стандартному графику и не превышают 90 дней.

10.3. По истечении сроков хранения персональные данные подлежат уничтожению либо обезличиванию.

11.1. По запросу Пользователя Оператор удаляет связанные с ним персональные данные из активных систем обработки. Запрос может быть направлен любым из способов, указанных в Callout выше; во всех случаях Оператор запрашивает подтверждение принадлежности учётной записи (например, ответ с зарегистрированного email или ответ из активной сессии Аккаунта).

11.2. Что удаляется по запросу: идентификационные и учётные данные, контент Пользователя (сценарии, загруженные материалы, сгенерированные результаты), данные подключенных интеграций (см. раздел 8), история сообщений в Чате поддержки.

11.3. Что сохраняется и почему: платёжные метаданные и финансовые документы — в обезличенной или закрытой форме в течение сроков, установленных налоговым и бухгалтерским законодательством Российской Федерации (не менее 5 лет); сведения, необходимые для предотвращения мошенничества и злоупотреблений (например, отметка о ранее заблокированных учётных записях), — в обезличенной форме.

11.4. Удаление и платформы публикации. Удаление Аккаунта в Welder AI не удаляет опубликованные Пользователем материалы в TikTok, Instagram и YouTube — такие материалы хранятся на стороне соответствующей платформы и могут быть удалены только через её интерфейс. Однако Оператор удаляет хранящиеся у себя токены доступа к этим платформам и прекращает любые операции от имени Пользователя.

12.1. На Сайте используются файлы cookie и аналогичные технологии (локальное хранилище браузера, идентификаторы устройств) для обеспечения работы функциональности Сайта, сохранения пользовательских настроек, измерения эффективности маркетинговых каналов, аналитики поведения посетителей в обезличенном виде.

12.2. Часть cookie-файлов является технически необходимой и устанавливается без явного согласия Пользователя — без них Сайт не сможет функционировать. Иные категории cookie-файлов устанавливаются на основании согласия Пользователя, выраженного через активное взаимодействие с Сайтом или согласия, выраженного через специальный баннер (при его наличии).

12.3. Пользователь вправе самостоятельно управлять файлами cookie через настройки своего браузера, в том числе блокировать их установку или удалять ранее установленные. Отключение cookie может привести к ограничению функциональности Сайта.

В соответствии с 152-ФЗ Пользователь имеет право:

1. получать информацию об обработке своих персональных данных;
2. требовать уточнения, блокирования или удаления данных, если они являются неполными, устаревшими, неточными или незаконно полученными;
3. отозвать согласие на обработку персональных данных, направив соответствующее обращение через Чат поддержки. После отзыва согласия Оператор вправе продолжить обработку при наличии иных правовых оснований, предусмотренных 152-ФЗ;
4. обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке;
5. требовать переноса данных в машиночитаемом формате — в объёме, технически возможном для Оператора.

Удаление Аккаунта может быть запрошено через личный кабинет или Чат поддержки. Удаление Аккаунта не означает автоматического удаления всех обезличенных данных и сведений, обработка которых сохраняется на основании закона.

14.1. Оператор применяет правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в том числе:

1. организацию режима обеспечения безопасности помещений и инфраструктуры;
2. применение средств защиты информации, включая средства шифрования при передаче данных по сетям общего пользования;
3. шифрование чувствительных артефактов в состоянии покоя (at rest), в том числе access-токенов и refresh-токенов сторонних платформ;
4. контроль доступа сотрудников и привлечённых лиц к персональным данным на основе принципа минимально необходимых полномочий;
5. регулярный аудит и мониторинг активности в системах обработки;
6. заключение с привлечёнными третьими лицами договоров, предусматривающих их обязательства по соблюдению режима конфиденциальности.

14.2. Несмотря на принимаемые меры, Оператор не может гарантировать абсолютную защиту персональных данных от любых угроз. Пользователь принимает на себя риски, связанные с использованием сети Интернет.

15.1. Принцип ограниченного использования (Limited Use). Оператор обрабатывает данные, полученные через интеграции с платформами, исключительно для оказания и улучшения функции автопостинга, запрошенной Пользователем. Оператор не передаёт эти данные третьим лицам, не использует их для построения рекламных профилей, не продаёт и не использует для обучения собственных или сторонних моделей машинного обучения, кроме случаев, явно предусмотренных применимым законом или прямо согласованных с Пользователем.

15.1A. Маркировка AI-генерированного контента. Сервис создаёт видеоконтент с использованием моделей генеративного искусственного интеллекта. Оператор обеспечивает:

• (а) маркировку всех видео, созданных Пользователем, как AI-generated на целевой платформе;
• (б) на Instagram / Facebook, где встроенный флаг API отсутствует, автоматическое применение хэштега #AIgenerated;
• (в) на YouTube установку containsSyntheticMedia=true при каждом вызове videos.insert();
• (г) на TikTok установку переключателя AI-generated (is_aigc=true), где API её поддерживает.

Пользователь остаётся ответственным за проверку применения раскрытия AI перед публикацией.

15.2. YouTube API Services. При использовании функций публикации в YouTube Сервис задействует YouTube API Services. Использование Сервиса в этой части регулируется YouTube Terms of Service и Google Privacy Policy. Использование Сервиса соответствует требованиям Google API Services User Data Policy, в том числе требованию ограниченного использования (Limited Use). Отозвать доступ Сервиса к данным YouTube можно через страницу Google Account permissions.

15.3. TikTok for Developers. Использование функций публикации в TikTok регулируется TikTok Developer Terms of Service и TikTok Privacy Policy, а публикуемый контент — Сообществом TikTok и применимым законом. Отозвать доступ Сервиса можно через настройки TikTok → Manage Account → Apps and Websites.

15.4. Meta Platform (Instagram). Использование функций публикации в Instagram регулируется Meta Platform Terms, Meta Privacy Policy и применимыми политиками сообщества Instagram. Отозвать доступ Сервиса можно через Facebook Business Settings → Business Integrations либо через Instagram → Settings → Apps and Websites.

15.5. Уведомление об инцидентах. В случае выявления инцидента безопасности, затрагивающего данные, полученные через интеграции с платформами, Оператор уведомляет затронутых Пользователей и соответствующие платформы в сроки, установленные применимым законодательством и платформенными политиками.

16.1. Запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации, в соответствии со статьёй 18 152-ФЗ.

16.2. Оператор может осуществлять трансграничную передачу персональных данных в иностранные государства — для целей оказания услуг и взаимодействия с поставщиками вычислительных ресурсов и внешними платформами публикации, описанными в разделе 9. Перечень таких государств может включать страны, обеспечивающие адекватную защиту прав субъектов персональных данных, а также иные страны при наличии соответствующих оснований по 152-ФЗ.

16.3. Оператор уведомляет уполномоченный орган о намерении осуществлять трансграничную передачу персональных данных в случаях и порядке, установленных законодательством.

17.1. Сервис не предназначен для использования лицами, не достигшими 18 (восемнадцати) лет. Оператор не осуществляет целенаправленный сбор персональных данных таких лиц.

17.2. В случае если Оператору станет известно о том, что данные несовершеннолетнего были получены без согласия его законных представителей, такие данные подлежат удалению в кратчайшие сроки.

18.1. Оператор вправе вносить изменения в настоящую Политику в любое время. Актуальная редакция всегда размещается на странице https://welderai.ru/legal/privacy.

18.2. Продолжение использования Сервиса после публикации новой редакции означает согласие Пользователя с такой редакцией.