Черновик для юридического ревью. Плейсхолдеры вида [УКАЗАТЬ …] необходимо заменить перед публичным GA.
**Версия:** 2026-06-02-lawyer-template **Дата вступления в силу:** «___» _______________ 2026 г. **Статус:** на основе шаблона юристов 2026 — требуется финальное ревью перед публичным GA (T3)
---
1.1. Настоящая Политика конфиденциальности (далее — **Политика**) действует в отношении всех персональных данных, которые **плательщик налога на профессиональный доход (самозанятое лицо) Джувеликян Баграт Карапетович**, ИНН **583521657878** (далее — **Оператор**), может получить от **Пользователя** во время использования веб-сервиса **ETRL Chat** по адресу **https://etrl.chat** (далее — **Сайт**, **Сервис**).
1.2. **ИНН Оператора:** 583521657878.
1.3. **Контактный email по вопросам персональных данных:** info@etrl.chat (либо адрес из переменной окружения `NEXT_PUBLIC_PRIVACY_EMAIL` на Сайте).
1.4. **Telegram-канал:** [https://t.me/etrlchatai](https://t.me/etrlchatai) — новости и обратная связь по продукту.
1.5. Политика дополняет [Публичную оферту](./Public-Offer.md) и [Уведомление об cookies](./Cookie-and-Tracking-Notice.md). Регистрируясь на Сайте или оплачивая услуги, Пользователь подтверждает ознакомление с Политикой.
---
2.1. Оператор обрабатывает следующие категории персональных данных Пользователей:
- фамилия, имя, отчество (если указаны при регистрации или в профиле); - адрес электронной почты; - номер телефона (если указан или используется для входа через стороннего провайдера); - идентификатор учётной записи в Сервисе (UUID и связанные технические идентификаторы); - содержимое диалогов с ИИ-ассистентом, загруженные файлы и вложения, если Пользователь отправляет их в Сервис; - данные об использовании Сервиса: метрики запросов, тариф, лимиты, события биллинга, история подписки, баланс монет (при наличии); - данные платежей: статус, сумма, идентификаторы транзакций (полные реквизиты банковской карты обрабатываются платёжным провайдером **ЮKassa**, а не Оператором); - данные реферальной и промо-программы (код партнёра, промокод, статус начисления — если применимо); - данные подключённых интеграций (например, через Composio), если Пользователь их активирует; - данные файлов cookie и аналогичные технологии (см. [Cookie-and-Tracking-Notice.md](./Cookie-and-Tracking-Notice.md)); - технические данные: IP-адрес, user-agent, данные сессии, журналы безопасности и диагностики (correlation id).
2.2. Оператор **не запрашивает** специальные категории персональных данных (здоровье, биометрия и т.п.). Пользователь не должен намеренно передавать такие сведения в чат.
---
3.1. Оператор обрабатывает персональные данные в следующих целях:
- регистрация, идентификация и аутентификация Пользователя; - предоставление доступа к функциональности Сервиса (чат, Studio, интеграции, биллинг); - исполнение [Публичной оферты](./Public-Offer.md) и расчётов по тарифам; - направление сервисных уведомлений (подтверждение email, статус оплаты, безопасность аккаунта); - техническая поддержка и обработка обращений Пользователя; - обеспечение информационной безопасности, предотвращение злоупотреблений и соблюдение [Политики допустимого использования](./Acceptable-Use-Policy.md); - учёт реферальных и промо-начислений (если программа включена); - улучшение качества и стабильности Сервиса на основе обезличенной или агрегированной статистики; - исполнение требований законодательства РФ.
---
4.1. Обработка осуществляется на основании:
- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; - договора (акцепта [Публичной оферты](./Public-Offer.md)), стороной которого является Пользователь; - согласия субъекта персональных данных — в случаях, когда оно требуется (например, отдельные маркетинговые рассылки или необязательные cookies, если будут подключены); - законного интереса Оператора — для обеспечения безопасности и работоспособности Сервиса в объёме, допустимом законом.
---
5.1. Обработка осуществляется путём сбора, записи, систематизации, накопления, хранения, уточнения, извлечения, использования, передачи (предоставления, доступа), обезличивания, блокирования, удаления и уничтожения персональных данных.
5.2. Обработка осуществляется автоматизированным и, при необходимости, неавтоматизированным способами.
5.3. **Сроки хранения** (ориентиры; уточнить с юристом при необходимости):
| Категория | Срок | |-----------|------| | Учётная запись и профиль | до удаления аккаунта по запросу Пользователя + резервные копии до **90** календарных дней | | Содержимое диалогов и вложения | пока аккаунт активен; после удаления — удаление или обезличивание в разумный срок, если иное не требуется законом | | Журналы безопасности и технические логи | до **90** календарных дней, если более длительный срок не требуется для расследования инцидента | | Данные биллинга и платежей | не менее срока, установленного налоговым и бухгалтерским законодательством РФ (**5 лет** с даты операции — ориентир) |
5.4. По достижении целей обработки или при отзыве согласия (где применимо) данные подлежат удалению или обезличиванию, за исключением случаев, когда хранение обязательно по закону.
---
6.1. Оператор может передать персональные данные третьим лицам в следующих случаях:
- с согласия Пользователя; - по требованию уполномоченных органов в случаях, предусмотренных законодательством РФ; - для исполнения договора с Пользователем — **обработчикам** (поставщикам инфраструктуры), включая:
| Получатель / категория | Назначение | |------------------------|------------| | **Supabase** (облачная БД и аутентификация) | хранение учётных данных, сессий, продуктовых данных | | **Railway** и иные хостинг-провайдеры | размещение приложения и API | | **ЮKassa** (НКО «МОНЕТА») | приём платежей и подписок | | Провайдеры облачных вычислений и **ИИ-моделей** | обработка запросов чата и генерация ответов | | **Composio** и иные интеграции | только если Пользователь подключил соответствующий сервис | | Сервисы email-доставки (через Supabase Auth) | подтверждение регистрации, сервисные письма |
6.2. Часть указанных получателей может находиться за пределами РФ. При трансграничной передаче Оператор обеспечивает меры, предусмотренные ст. 12 152-ФЗ (договоры поручения, оценка условий у страны-получателя и т.д.) — **подтвердить с юристом** перечень стран и правовые механизмы.
6.3. Оператор **не продаёт** персональные данные третьим лицам в маркетинговых целях.
---
7.1. Пользователь имеет право:
- получать информацию об обработке своих данных; - требовать уточнения, блокирования или уничтожения данных, если они неполны, устарели или обработаны незаконно; - отозвать согласие на обработку (где обработка основана на согласии); - обжаловать действия Оператора в **Роскомнадзор** или в суд.
7.2. Для реализации прав направьте запрос на **info@etrl.chat** с темой «Персональные данные». Оператор ответит в сроки, установленные 152-ФЗ.
7.3. Удаление аккаунта и связанных данных может быть запрошено через поддержку; отдельные записи могут сохраняться, если это требуется законом (биллинг, споры).
---
8.1. Оператор принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования и распространения, в том числе:
- шифрование каналов связи (HTTPS/TLS); - разграничение доступа к инфраструктуре и секретам; - журналирование и мониторинг инцидентов; - минимизация объёма собираемых данных.
---
9.1. Сайт использует cookies и локальное хранилище браузера. Подробности — в [Cookie-and-Tracking-Notice.md](./Cookie-and-Tracking-Notice.md).
---
10.1. Оператор вправе изменять настоящую Политику. Актуальная версия публикуется на Сайте по адресу `/legal/privacy` с указанием версии и даты.
10.2. Продолжение использования Сервиса после публикации новой версии может означать согласие с изменениями — **уточнить с юристом** для T3.
---
**Email:** info@etrl.chat **Поддержка:** адрес из `NEXT_PUBLIC_SUPPORT_EMAIL` на Сайте (если отличается).