Политика конфиденциальности

01 · Оператор данных

Оператором персональных данных, обрабатываемых при использовании Платформы, является [ОПЕРАТОР: ИП/ТОО, регистрационные данные, юридический адрес — указываются после регистрации юридического лица].

Контактный адрес для запросов: [email protected].

02 · К кому относится

Политика применяется к двум группам субъектов:

Пользователи — операторы аккаунтов на Платформе (юридические лица и их сотрудники), оплачивающие подписку и настраивающие ботов;

Конечные клиенты — лица, общающиеся с ботами Пользователей в Telegram, WhatsApp, Instagram, веб-виджете. Их данные обрабатываются Платформой по поручению Пользователя.

В отношении Конечных клиентов оператором данных выступает Пользователь; Платформа действует как обработчик персональных данных в его интересах.

03 · Какие данные собираем

От Пользователей

учётные данные: email, хэш пароля, имя, язык интерфейса, флаги уведомлений;

данные тенанта: название, slug, тариф, история платежей;

технические данные: IP-адрес, user-agent, лог входов, аудит-журнал действий в админке;

API-ключи и токены интеграций (Telegram bot token, WhatsApp credentials, OpenAI API key) — хранятся в зашифрованном виде (AES-256-GCM).

От Конечных клиентов (через Пользователя)

идентификатор канала (Telegram chat_id, номер WhatsApp, IG user_id), отображаемое имя, язык;

содержание диалогов: текст, голосовые (после транскрибирования), описания изображений, выбранные кнопки;

поля заявок (имя, телефон, email и иные, явно запрошенные ботом);

теги, отметки оператора, заметки.

04 · Цели обработки

Данные обрабатываются для следующих целей:

предоставления функций Платформы (создание и работа ботов, аналитика, рассылки, биллинг);

аутентификации и защиты от несанкционированного доступа;

выполнения обязательств по приёму платежей и налоговой отчётности;

предотвращения злоупотреблений, спама, фрода и нарушений Условий использования;

связи с Пользователем по вопросам сервиса и (с отдельным согласием) маркетинговых уведомлений.

05 · Правовые основания

Правовые основания обработки:

Договор: данные Пользователя — для исполнения договора оказания услуг Платформы;

Поручение оператору: данные Конечных клиентов обрабатываются по поручению Пользователя в порядке статьи 1, пункта 12 Закона РК «О персональных данных и их защите» (Платформа — обработчик);

Согласие: транскрибирование голосовых, описание изображений, маркетинговые рассылки;

Законная обязанность: налоговая отчётность, реагирование на запросы уполномоченных органов.

06 · Передача третьим лицам

Для работы Платформы данные передаются следующим обработчикам:

AI-провайдеры (LLM, vision, transcription)

OpenAI, Inc. — США, Сан-Франциско. Передаются: тексты диалогов, прикреплённые голосовые (для Whisper), изображения (для GPT-4o-mini), системные промпты, настройки бота.

Anthropic, PBC — США, Сан-Франциско. При выборе Пользователем модели Claude передаются те же данные.

OpenAI и Anthropic заявляют, что НЕ используют данные API-клиентов для обучения моделей по умолчанию (см. их публичные политики). Срок хранения логов API на их стороне — до 30 дней для целей abuse-monitoring.

Платежный провайдер

Cloudpayments — обработка платежей. Передаются: тариф, сумма, идентификатор подписки. Платёжные карты обрабатываются на стороне провайдера, не сохраняются на нашей стороне.

Email-провайдеры

Resend (США) — для системных писем (восстановление пароля, подтверждение email, уведомления). Передаются: email-адрес и содержимое письма.

Хостинг и инфраструктура

VPS-провайдер (юрисдикция: Республика Казахстан), используемый для размещения серверов и базы данных.

Со всеми обработчиками заключены договоры, обязывающие их соблюдать конфиденциальность.

07 · Локализация и трансграничная передача

Локализация в Республике Казахстан. Первичный сбор, накопление и хранение персональных данных Пользователей и Конечных клиентов осуществляются на серверах, расположенных на территории Республики Казахстан, в соответствии со ст. 12 Закона РК «О персональных данных и их защите» № 94-V от 21.05.2013 и Правилами, утверждёнными Постановлением Правительства РК № 21498. Резервные копии хранятся в той же юрисдикции.

Трансграничная передача части данных третьим лицам происходит исключительно при выполнении соответствующей функции сервиса: обращение к LLM-API (США), отправка email через Resend (США), доставка сообщений через Telegram (Швейцария / ОАЭ) и Meta — WhatsApp Cloud API / Instagram Direct (США / ЕС). Передаются только данные, необходимые для выполнения конкретной функции, и в минимально достаточном объёме.

Регистрируясь на Платформе и/или взаимодействуя с ботом Пользователя, субъект персональных данных подтверждает осведомлённость и соглашается с описанной трансграничной передачей. Полный перечень субпроцессоров, юрисдикций и условий привлечения опубликован на странице aibabot.com/legal/subprocessors.

Пользователь, как оператор персональных данных Конечных клиентов, обязан самостоятельно обеспечить наличие необходимого согласия и надлежащим образом информировать своих Конечных клиентов о трансграничной передаче.

08 · Сроки хранения

учётные данные Пользователя — пока действует аккаунт; после удаления — 90 дней резервного хранения, далее необратимое удаление;

данные о платежах — 5 лет с момента операции, как требуется налоговым законодательством;

диалоги Конечных клиентов и заявки — пока тенант не удалит их вручную или не расторгнет договор; затем удаляются вместе с данными Пользователя;

аудит-журналы и логи входов — 12 месяцев, для целей расследования инцидентов безопасности.

09 · Безопасность

Применяются технические и организационные меры защиты:

все API-ключи и токены интеграций шифруются на стороне БД (AES-256-GCM с регулярной ротацией ключей);

весь трафик между клиентом и Платформой передаётся по HTTPS (TLS ≥ 1.2);

пароли хранятся в виде bcrypt-хэшей с индивидуальной солью;

операторы тенанта имеют ограниченные права (RBAC: TenantOwner, Operator), все действия логируются в аудит-журнал;

двухфакторная аутентификация (2FA TOTP) доступна для Пользователей.

10 · Права субъектов данных

Субъект персональных данных вправе:

получать сведения об обработке его данных и о составе субпроцессоров;

требовать исправления неточных данных;

требовать удаления данных, обрабатываемых с нарушением закона, либо в случаях, когда обработка более не требуется (см. ниже отдельный канал);

отзывать согласие на обработку (отозвав согласие, субъект может потерять доступ к Платформе или к боту Пользователя);

обжаловать действия Оператора в уполномоченный орган Республики Казахстан или Российской Федерации.

Запрос на удаление персональных данных подаётся через специальную форму на странице aibabot.com/legal/data-deletion или письмом на [email protected]. Срок ответа: не более 15 рабочих дней (РК — ст. 24 Закона № 94-V) / 10 рабочих дней (РФ — ст. 21 Федерального закона № 152-ФЗ). Подтверждение получения запроса направляется автоматически в течение 24 часов.

Жалобы на бота, контент или нарушение конфиденциальности принимаются по адресу [email protected] и через форму на странице aibabot.com/legal/abuse.

11 · Файлы cookie

Платформа использует только функционально необходимые cookie для аутентификации и сохранения языковых предпочтений. Трекинговые и рекламные cookie не устанавливаются. Аналитика по работе ботов считается на серверной стороне без использования cookie.

12 · Несовершеннолетние

Платформа не предназначена для лиц младше 18 лет. Аккаунты создаются совершеннолетними физическими лицами или представителями организаций. Если выяснится, что аккаунт создан несовершеннолетним без согласия родителей или законных представителей, аккаунт блокируется и данные удаляются.

13 · Изменения политики

Политика может обновляться. О существенных изменениях Пользователи уведомляются через интерфейс и/или email не менее чем за 14 дней до вступления изменений в силу. Дата последнего обновления указана в начале документа.