Сервис «СММ АЙБРО» (smmaibro.ru)
Дата вступления в силу: 05 марта 2026 г. Последнее обновление: 03 июня 2026 г. Версия: 1.5
1. Общие положения
1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, обработки, хранения, использования и защиты персональных данных пользователей Сервиса «СММ АЙБРО» (далее — «Сервис»).
1.2. Политика разработана в соответствии с:
- Конституцией Российской Федерации (ст. 23, 24);
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без средств автоматизации»;
- Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных»;
- иными нормативными правовыми актами Российской Федерации в области персональных данных.
1.3. Настоящая Политика является публичным документом и размещена по адресу: smmaibro.ru/privacy.
1.4. Используя Сервис, Пользователь подтверждает, что ознакомлен с настоящей Политикой и согласен с её условиями.
2. Оператор персональных данных
2.1. Оператор: Индивидуальный предприниматель Мальцев Валерий Валерьевич
| Реквизит | Значение |
|---|---|
| ИНН | 519041916737 |
| ОГРНИП | 326920000006135 |
| Адрес регистрации | г. Санкт-Петербург |
| Электронная почта | info@smmaibro.ru |
| Сайт | smmaibro.ru |
2.2. Оператор подал уведомление об обработке персональных данных в Роскомнадзор:
- Регистрационный номер: № 1731/91 от 22.02.2026
- Проверка статуса: pd.rkn.gov.ru
3. Основные понятия
3.1. В настоящей Политике используются следующие термины:
| Термин | Определение |
|---|---|
| Персональные данные | Любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных) — ст. 3 152-ФЗ |
| Обработка персональных данных | Любое действие (операция) или совокупность действий, совершаемых с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение |
| Оператор | Лицо, организующее и (или) осуществляющее обработку персональных данных — ИП Мальцев В.В. |
| Субъект персональных данных (Пользователь) | Физическое лицо, чьи персональные данные обрабатываются Оператором |
| Предоставление персональных данных | Действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц |
| Информационная система персональных данных (ИСПДн) | Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств |
| Трансграничная передача | Передача персональных данных на территорию иностранного государства |
4. Категории собираемых персональных данных
4.1. Данные, предоставляемые Пользователем
| Категория | Данные | Обязательность |
|---|---|---|
| Идентификационные | ID и username в MAX (а также отображаемое имя, если передаётся платформой) | Обязательно (при регистрации) |
| Контактные | Адрес электронной почты | По желанию |
| Платёжные | Полные данные карты (номер/PAN, CVC) не хранятся Оператором — обработка ЮКасса / ТБанк (PCI DSS). Для автоматических периодических (рекуррентных) платежей Оператор хранит обезличенный платёжный токен, выданный платёжным агрегатором | При привязке карты для подписки |
| Бизнес-данные | Название бизнеса, описание деятельности, товары, услуги, цены | По желанию |
| Контент | Тексты публикаций, изображения, промоматериалы | По желанию |
4.2. Данные, собираемые автоматически
| Категория | Данные | Цель сбора |
|---|---|---|
| Технические | IP-адрес, тип браузера, разрешение экрана, ОС | Обеспечение работоспособности |
| Сессионные | Дата и время доступа, длительность сессии | Безопасность, аналитика |
| Cookie-файлы | Идентификатор сессии, предпочтения интерфейса | Функциональность Сервиса |
| Аналитические | Действия в Сервисе, просмотры страниц | Улучшение Сервиса |
| Журналы (логи) | Записи действий, ошибок, запросов к API | Диагностика, безопасность |
4.3. Данные, получаемые от третьих лиц
| Источник | Данные | Основание |
|---|---|---|
| API MAX | ID и username в MAX (а также профильные данные, если передаются платформой) | Согласие при запуске бота |
| ЮКасса | Статус платежа, идентификатор транзакции, платёжный токен привязанной карты (без полного номера карты и CVC) | Договор с ЮКасса |
| ТБанк | Статус платежа, идентификатор транзакции, платёжный токен привязанной карты (без полного номера карты и CVC) | Договор с ТБанк |
4.4. Данные, обрабатываемые ИИ-технологиями
| Что передаётся в ИИ | Что НЕ передаётся в ИИ |
|---|---|
| Текст запроса пользователя (анонимизированный) | ФИО, контакты, email |
| Описание бизнеса, товаров, услуг | ID и username в MAX |
| Контекст диалога (последние сообщения) | Платёжные данные |
| Ниша/категория бизнеса | IP-адрес, данные сессии |
| Пароли, токены |
4.5. Данные клиентов бизнеса Пользователя (CRM)
4.5.1. В случае, если Пользователь использует функции Сервиса по приёму заказов и записи на услуги (CRM-функционал), Сервис обрабатывает по поручению Пользователя персональные данные клиентов бизнеса Пользователя (далее — «Конечные клиенты»).
4.5.2. В отношении персональных данных Конечных клиентов Пользователь (владелец бизнеса) выступает оператором в смысле ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а Оператор Сервиса — обработчиком по поручению Пользователя (sub-processor) в соответствии с ч. 3 ст. 6 152-ФЗ.
4.5.3. Состав, цели, сроки и порядок обработки персональных данных Конечных клиентов, а также распределение ответственности между Пользователем и Оператором Сервиса определяются отдельным документом — Поручением на обработку персональных данных (DPA), являющимся неотъемлемой частью настоящей Политики и Публичной оферты.
4.5.4. Оператор Сервиса не использует данные Конечных клиентов в собственных целях, не передаёт их другим Пользователям и не использует для обучения ИИ-моделей на идентифицируемых данных.
4.5.5. Категории данных Конечных клиентов, обрабатываемых через CRM-функционал: имя, контактный номер телефона, адрес доставки (при заказе с доставкой), комментарий к заказу/записи, выбранный временной слот (для записи на услугу), состав заказа. Подробно — в Поручении на обработку ПД (DPA), раздел 5.
5. Цели обработки персональных данных
5.1. Оператор обрабатывает персональные данные в следующих целях:
| № | Цель | Правовое основание (ст. 6 152-ФЗ) |
|---|---|---|
| 1 | Регистрация и идентификация Пользователя | Согласие субъекта; исполнение договора |
| 2 | Предоставление доступа к функциям Сервиса | Исполнение договора (оферты) |
| 3 | Обработка платежей и ведение расчётов, в том числе автоматических периодических (рекуррентных) списаний абонентской платы с привязанной банковской карты | Исполнение договора; требования 54-ФЗ |
| 4 | Генерация контента с использованием ИИ | Исполнение договора |
| 5 | Работа ИИ-ассистента (ответы на вопросы клиентов) | Исполнение договора |
| 6 | Техническая поддержка | Исполнение договора |
| 7 | Улучшение и развитие Сервиса | Законный интерес оператора |
| 8 | Обеспечение безопасности (предотвращение мошенничества, спама) | Законный интерес оператора |
| 9 | Исполнение обязанностей перед государственными органами | Требования законодательства РФ |
| 10 | Направление уведомлений о Сервисе (изменения тарифов, обновления, технические уведомления) | Законный интерес оператора |
5.2. Оператор не обрабатывает персональные данные в рекламных целях без отдельного согласия Пользователя.
5.3. Оператор не продаёт и не передаёт персональные данные третьим лицам в коммерческих целях.
6. Правовые основания обработки
6.1. Обработка персональных данных осуществляется на следующих правовых основаниях (ст. 6 152-ФЗ):
6.1.1. Согласие субъекта (п. 1 ч. 1 ст. 6) — при регистрации в Сервисе Пользователь даёт согласие на обработку, подтверждая отдельный чекбокс в форме регистрации (чекбокс не отмечен заранее).
6.1.2. Исполнение договора (п. 5 ч. 1 ст. 6) — обработка необходима для исполнения Оферты (публичного договора), стороной которого является Пользователь.
6.1.3. Законный интерес оператора (п. 7 ч. 1 ст. 6) — обработка необходима для реализации прав и законных интересов Оператора при условии, что это не нарушает права субъекта.
6.1.4. Требования законодательства (п. 2 ч. 1 ст. 6) — обработка необходима для исполнения обязательств, установленных законодательством РФ (налоговое законодательство, 54-ФЗ о ККТ).
7. Порядок и условия обработки
7.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без таковых.
7.2. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
7.3. Оператор обрабатывает персональные данные в объёме, необходимом для достижения заявленных целей обработки. Излишние данные не собираются.
7.4. Оператор не запрашивает и не обрабатывает целенаправленно специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь). Сбор и обработка таких данных не входят в заявленные цели обработки.
7.4.1. Пользователи Сервиса — как владельцы бизнес-каналов, так и конечные клиенты, обращающиеся к ИИ-ассистенту (ЧЗВ) в MAX, — не должны передавать в чат специальные категории персональных данных (в том числе сведения о состоянии здоровья, диагнозах и т. п.). Ответственность за передачу таких данных несёт лицо, направившее сообщение.
7.4.2. Если специальные категории персональных данных всё же попадают в Сервис вследствие действий пользователя, они обрабатываются исключительно в объёме, необходимом для формирования ответа на обращение, и не используются для иных целей (профилирование, обогащение профиля, передача третьим лицам сверх необходимого для оказания услуги и т. п.).
7.5. Обработка биометрических персональных данных не осуществляется: Оператор не запрашивает и не использует данные, предназначенные для установления личности субъекта по его физиологическим и биологическим особенностям.
8. Хранение персональных данных
8.1. Место хранения (локализация данных)
В соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ первичный сбор, запись, систематизация, накопление, хранение и уточнение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации.
Основное хранилище персональных данных:
| Место хранения | Адрес | Назначение |
|---|---|---|
| ООО «Яндекс.Облако» (Yandex Cloud) — вычислительная инфраструктура | Регион ru-central1 (центры обработки данных на территории Российской Федерации: Московская, Владимирская, Рязанская области) |
Первичное хранилище персональных данных, веб-сервер (виртуальная машина Compute Cloud) |
| ООО «Яндекс.Облако» (Yandex Cloud) — база данных | Регион ru-central1, зона доступности ru-central1-a (г. Москва) |
Управляемая база данных (Managed Service for PostgreSQL), первичное хранение и резервные копии |
Юридические реквизиты хостинг-провайдера:
- Наименование: ООО «Яндекс.Облако»
- ИНН: 7704458262
- ОГРН: 1187746678580
- КПП: 770401001
- Адрес: 119021, г. Москва, муниципальный округ Хамовники, ул. Льва Толстого, д. 16, помещ. 528
Дополнительное хранилище медиа-файлов (территория РФ):
| Место хранения | Юрисдикция | Назначение |
|---|---|---|
ООО «Яндекс» (Yandex Cloud Object Storage), регион ru-central1, bucket aibro-smm-media |
Россия | Хранение медиа-файлов Сервиса (изображения, файлы знаний бизнеса, аватары) |
Юридические реквизиты дополнительного хранилища:
- Наименование: ООО «Яндекс»
- ИНН: 7736207543
- ОГРН: 1027700229193
- Адрес: 119021, г. Москва, ул. Льва Толстого, д. 16
Зарубежная инфраструктура (только трансграничный транзит ИИ-запросов):
Для работы ИИ-функций Сервиса используется защищённый proxy-сервер https://llm.smmaibro.ru на инфраструктуре трансграничного proxy-провайдера (Германия). Proxy выполняет роль транзитного узла между серверами Оператора (Москва) и корпоративным контуром иностранного поставщика ИИ-инфраструктуры. Данные не сохраняются на стороне proxy (in-memory транзит). Канал защищён mTLS (взаимной TLS-аутентификацией) и Bearer-токеном.
С 10 мая 2026 года Оператор не использует инфраструктуру DigitalOcean, LLC (миграция завершена). Все вычислительные ресурсы для хранения и обработки персональных данных размещены на территории Российской Федерации.
8.2. Сроки хранения
| Категория данных | Срок хранения | Основание |
|---|---|---|
| Данные аккаунта (ID и username в MAX, email) | В течение действия аккаунта + 90 дней после удаления | Исполнение договора |
| Платёжные записи (без данных карты) | 5 лет | Налоговое законодательство, 54-ФЗ |
| Бизнес-данные (товары, услуги, контент) | В течение действия аккаунта + 90 дней после удаления | Исполнение договора |
| Данные для ИИ-обработки | На время обработки запроса, не сохраняются | Минимизация данных |
| Данные о спорах и претензиях | 3 года с момента разрешения | Срок исковой давности (ст. 196 ГК РФ) |
| Журналы (логи) | 1 год | Безопасность |
| Согласия на обработку ПД | 5 лет после отзыва | Доказательная база |
8.3. Уничтожение данных
8.3.1. По истечении сроков хранения персональные данные уничтожаются в соответствии с матрицей процедур удаления, приведённой ниже.
8.3.2. При отзыве согласия — данные, обработка которых основана только на согласии, уничтожаются в сроки, указанные в п. 8.3.4, с момента получения отзыва (за исключением данных, хранение которых обязательно по закону).
8.3.3. Уничтожение осуществляется путём безвозвратного удаления из информационных систем.
8.3.4. Матрица процедур удаления данных (ст. 21 152-ФЗ):
| Контур хранения | Срок удаления | Механизм |
|---|---|---|
| База данных (серверы в РФ) | 30 дней с момента истечения срока хранения; 7 дней с момента отзыва согласия | Полное удаление записей из базы данных |
| Логи запросов к ИИ | 30 дней | Очистка текстовых журналов на сервере |
| Кэш иностранного поставщика ИИ-инфраструктуры | До 72 часов (автоматически) | Автоматическое удаление в рамках политики Zero Data Retention (п. 10.4.6) |
| Резервные копии базы данных | 30 дней | Перезапись резервных копий или исключение данных субъекта при восстановлении |
| Технические данные на трансграничном proxy (Германия) | Не сохраняются (in-memory транзит) | Данные проходят через proxy исключительно в оперативной памяти, не записываются на диск |
8.3.5. Сохранение истории диалогов ИИ на стороне иностранного поставщика ИИ-инфраструктуры отключено. Журналы диалогов хранятся исключительно в локальной базе данных Оператора на территории Российской Федерации.
8.3.6. Данные, хранение которых обязательно по законодательству Российской Федерации (налоговые записи — 5 лет, данные о спорах — 3 года, согласия на обработку ПД — 5 лет после отзыва), продолжают храниться в течение установленных сроков вне зависимости от отзыва согласия.
9. Передача персональных данных третьим лицам
9.1. Оператор передаёт персональные данные третьим лицам исключительно в случаях, предусмотренных настоящей Политикой и законодательством РФ.
9.2. Перечень третьих лиц:
| Получатель | Какие данные | Цель передачи | Основание | Расположение |
|---|---|---|---|---|
| НКО «ЮМани» (ЮКасса) | Сумма платежа, email (при наличии), реквизиты банковской карты при привязке для рекуррентных платежей (обрабатываются агрегатором, Оператору возвращается только платёжный токен) | Обработка платежей, в том числе автоматических периодических (рекуррентных) списаний | Договор с оператором | Россия |
| АО «ТБанк» | Сумма платежа, email (при наличии), реквизиты банковской карты при привязке для рекуррентных платежей (обрабатываются агрегатором, Оператору возвращается только платёжный токен) | Обработка платежей, в том числе автоматических периодических (рекуррентных) списаний | Договор с оператором | Россия |
ООО «Яндекс.Облако» (Yandex Cloud, регион ru-central1) |
Все данные на сервере (БД, backend) | Облачная инфраструктура (вычисления, управляемая БД), первичное хранение данных, резервные копии | Договор-оферта (публичные условия использования Yandex Cloud) | Россия |
ООО «Яндекс» (Yandex Cloud Object Storage, ru-central1) |
Медиа-файлы (изображения, файлы знаний) | Хранение медиа-файлов Сервиса | Договор с оператором | Россия |
Трансграничный proxy-провайдер (proxy llm.smmaibro.ru) |
Обезличенные тексты запросов в режиме транзита (in-memory) | Защищённый транзит ИИ-запросов между Москвой и корпоративным контуром поставщика ИИ-инфраструктуры | Отдельное согласие на трансграничную передачу ПД + договор с оператором | Германия (ЕС) |
| Иностранный поставщик ИИ-инфраструктуры (downstream через трансграничный proxy) | Обезличенные тексты запросов | Генерация ИИ-контента | Отдельное согласие на трансграничную передачу ПД + DPA | США / Ирландия |
| Яндекс Метрика, Yandex SmartCaptcha (ООО «Яндекс») | Обезличенные данные посещений, токены защиты форм | Веб-аналитика, защита форм от автоматических обращений | Законный интерес / договор с оператором | Россия |
9.3. Трансграничная передача
9.3.1. Оператор осуществляет трансграничную передачу персональных данных в следующие страны:
| Страна | Получатель | Данные | Обеспечение защиты |
|---|---|---|---|
| Германия (ЕС) | Трансграничный proxy-провайдер (proxy llm.smmaibro.ru) |
Обезличенные тексты запросов в режиме транзита (in-memory, не сохраняются) | ISO 27001, GDPR; mTLS + Bearer-токен; TLS 1.3 |
| США / Ирландия | Иностранный поставщик ИИ-инфраструктуры (downstream-контур через трансграничный proxy) | Обезличенные тексты запросов | DPA с поставщиком; Zero Data Retention; ISO 27001, SOC 2 |
9.3.2. Трансграничная передача осуществляется в соответствии со ст. 12 152-ФЗ и только при наличии отдельного явного согласия Пользователя на трансграничную передачу персональных данных.
9.3.3. Первичная запись, систематизация, накопление и хранение персональных данных осуществляется на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ) — облачная инфраструктура ООО «Яндекс.Облако» (Yandex Cloud), регион ru-central1 (центры обработки данных на территории Российской Федерации).
9.3.4. За рубеж передаются только данные, необходимые для технического функционирования Сервиса, в обезличенном виде по возможности.
9.3.5. Отказ от согласия на трансграничную передачу не лишает Пользователя права пользоваться базовыми функциями Сервиса, однако отдельные функции, технически связанные с такой передачей, могут быть ограничены.
9.4. Передача государственным органам
9.4.1. Оператор вправе передать персональные данные государственным органам РФ по мотивированному запросу в случаях, предусмотренных законодательством.
9.4.2. Оператор не передаёт персональные данные государственным органам без законных оснований.
9.5. Платёжные данные и автоматические периодические (рекуррентные) платежи
9.5.1. Полный номер банковской карты (PAN), срок действия и код безопасности (CVC/CVV) не передаются Оператору и не хранятся в его информационных системах. Обработка полных платёжных реквизитов осуществляется исключительно платёжными агрегаторами (НКО «ЮМани» (ЮКасса) и/или АО «ТБанк») в соответствии с требованиями стандарта PCI DSS.
9.5.2. При привязке банковской карты (card-on-file) для оформления подписки и/или Пробного периода платёжный агрегатор возвращает Оператору обезличенный платёжный токен — уникальный идентификатор, не позволяющий восстановить полные реквизиты карты. Платёжный токен используется Оператором исключительно для инициирования автоматических периодических (рекуррентных) списаний абонентской платы.
9.5.3. Пользователь вправе в любой момент отказаться от использования привязанной карты для автоматических периодических списаний (отвязать карту / отменить подписку) в электронной форме — через Личный кабинет или по электронной почте info@smmaibro.ru (п. 4² ст. 16.1 Закона РФ «О защите прав потребителей» в редакции Федерального закона от 15.10.2025 № 376-ФЗ). После отказа платёжный токен прекращает использоваться для списаний.
10. Использование ИИ-технологий
10.1. Сервис использует технологии искусственного интеллекта для:
- генерации текстового контента (посты, описания товаров, рекламные тексты);
- работы ИИ-ассистента (ответы на вопросы клиентов бизнеса);
- генерации изображений для публикаций;
- анализа ниши и подбора рекомендаций.
10.2. Какие данные передаются в ИИ:
- текст запроса Пользователя (обезличенный);
- описание бизнеса, товаров и услуг (для контекста генерации);
- последние сообщения диалога (для контекста ИИ-ассистента);
- категория/ниша бизнеса.
10.3. Какие данные НЕ передаются в ИИ:
- ФИО, контакты, email Пользователя;
- ID и username в MAX;
- платёжные данные;
- IP-адрес, данные сессии;
- пароли, токены доступа;
- персональные данные клиентов бизнеса Пользователя.
10.4. Передача данных в ИИ-систему
10.4.1. Для генерации контента и работы ИИ-ассистента Сервис использует корпоративный контур иностранного поставщика ИИ-инфраструктуры (доступ — через защищённый трансграничный proxy на территории Германии).
10.4.2. Цель передачи: генерация контекстных ответов ИИ-ассистента (Бот-ассистент) и генерация текстового/графического контента в рамках пользовательской сессии.
10.4.3. Минимизация данных: перед отправкой текстовых запросов в ИИ-систему Оператор применяет методы маскирования (удаления) персональных данных из текста. В ИИ-систему не передаются: ФИО, email, номера телефонов, идентификаторы аккаунтов в MAX, платёжные данные, IP-адреса и иные данные, позволяющие прямо идентифицировать физическое лицо.
10.4.4. Цепочка получателей данных при трансграничной передаче:
| № | Узел | Юрисдикция | Статус | Назначение |
|---|---|---|---|---|
| 1 | Трансграничный proxy-провайдер (proxy-сервер llm.smmaibro.ru) |
Германия (ЕС) | Обработчик (защищённый транзит, in-memory, без хранения) | Защищённая передача обезличенных запросов от серверов Оператора (Москва) к корпоративному контуру поставщика ИИ-инфраструктуры |
| 2 | Иностранный поставщик ИИ-инфраструктуры (downstream-контур через трансграничный proxy) | США / Ирландия | Обработчик по поручению Оператора (DPA с поставщиком ИИ-инфраструктуры) | Выполнение ИИ-вычислений на основе обезличенных запросов |
10.4.5. Правовое основание передачи: отдельное явное согласие Пользователя на трансграничную передачу персональных данных (ст. 12 152-ФЗ) и договор обработки данных (DPA с иностранным поставщиком ИИ-инфраструктуры). Уведомление о трансграничной передаче подано в Роскомнадзор в составе сведений оператора (рег. № 1731/91 от 22.02.2026).
10.4.6. Zero Data Retention (нулевое хранение данных). В рамках корпоративного контура иностранного поставщика ИИ-инфраструктуры:
- переданные данные не используются для обучения или улучшения моделей ИИ;
- временное кэширование данных составляет не более 72 часов, после чего данные автоматически удаляются;
- данные обрабатываются исключительно для генерации ответа в рамках текущей сессии.
10.4.7. Защита канала передачи: все соединения между серверами Оператора, трансграничным proxy и корпоративным контуром поставщика ИИ-инфраструктуры защищены протоколом TLS 1.3. Канал «Москва — proxy» дополнительно защищён mTLS (взаимной TLS-аутентификацией клиентским сертификатом) и Bearer-токеном.
10.4.8. Оператор исходит из того, что обезличенные данные, переданные в ИИ-систему, не предназначены для идентификации Пользователя.
10.5. Общие положения об ИИ
10.5.1. Результаты генерации ИИ не содержат персональных данных Пользователя.
10.5.2. ИИ не принимает юридически значимых решений в отношении Пользователя (блокировка, начисление/списание средств, изменение условий). Все такие решения принимаются Оператором.
10.5.3. Право на отказ от автоматизированной обработки. Пользователь вправе отказаться от использования ИИ-функций Сервиса и потребовать разъяснения порядка принятия решений на основе автоматизированной обработки (ст. 16 152-ФЗ). Отказ от ИИ-функций не влечёт прекращение доступа к иным функциям Сервиса.
11. Права субъекта персональных данных
11.1. Пользователь имеет право:
| № | Право | Основание |
|---|---|---|
| 1 | Получить информацию об обработке своих ПД | ч. 7 ст. 14 152-ФЗ |
| 2 | Требовать уточнения (обновления) своих ПД | ч. 1 ст. 14 152-ФЗ |
| 3 | Требовать блокирования ПД | ч. 1 ст. 14 152-ФЗ |
| 4 | Требовать удаления ПД | ч. 1 ст. 14 152-ФЗ |
| 5 | Отозвать согласие на обработку ПД | ч. 2 ст. 9 152-ФЗ |
| 6 | Обжаловать действия Оператора в Роскомнадзор или суд | ст. 17 152-ФЗ |
| 7 | Получить информацию о трансграничной передаче | ч. 7 ст. 14 152-ФЗ |
11.2. Для реализации прав Пользователь направляет запрос:
- через Личный кабинет: cabinet.smmaibro.ru → Настройки → Персональные данные;
- по электронной почте: info@smmaibro.ru.
11.3. Оператор рассматривает запрос в течение 30 (тридцати) дней с момента получения и направляет мотивированный ответ.
11.4. Оператор вправе запросить подтверждение личности Пользователя перед выполнением запроса.
12. Отзыв согласия на обработку
12.1. Пользователь вправе отозвать согласие на обработку персональных данных в любое время.
12.2. Для отзыва согласия Пользователь направляет заявление:
- через Личный кабинет: Настройки → Персональные данные → «Отозвать согласие»;
- по электронной почте: info@smmaibro.ru с темой «Отзыв согласия на обработку ПД».
12.3. Последствия отзыва согласия:
- Оператор прекращает обработку ПД в течение 30 дней (за исключением случаев, когда обработка обязательна по закону);
- Аккаунт Пользователя деактивируется;
- Бизнес-данные (товары, услуги, контент) удаляются в течение 90 дней;
- Неиспользованные реальные средства (₽) на Балансе возвращаются Пользователю (ст. 1102 ГК РФ);
- Данные, хранение которых обязательно по закону (налоговые записи — 5 лет, данные о спорах — 3 года), продолжают храниться.
12.4. Отзыв согласия не влияет на законность обработки, произведённой до момента отзыва.
13. Cookie-файлы
13.1. Сервис использует cookie-файлы для обеспечения работоспособности и улучшения пользовательского опыта.
13.2. Типы используемых cookie:
| Тип | Назначение | Срок действия |
|---|---|---|
| Необходимые (сессионные) | Авторизация, безопасность | До закрытия браузера |
| Функциональные | Настройки интерфейса, язык | 1 год |
| Аналитические (Яндекс Метрика) | Статистика посещений | 1 год |
13.3. Пользователь может отключить cookie в настройках браузера. Это может привести к ограничению функциональности Сервиса.
13.4. Продолжение использования Сервиса с включёнными cookie означает согласие Пользователя на их использование.
14. Защита персональных данных
14.1. Технические меры
Оператор применяет следующие технические меры защиты:
| № | Мера | Описание |
|---|---|---|
| 1 | Шифрование каналов связи | TLS 1.2/1.3 (HTTPS) для всех соединений |
| 2 | Шифрование данных | Хеширование паролей (bcrypt), шифрование токенов |
| 3 | Контроль доступа | Ролевая модель (RBAC), двухфакторная аутентификация для администраторов |
| 4 | Межсетевой экран | Ограничение доступа по IP, защита от DDoS на уровне облачной инфраструктуры хостинг-провайдера (Yandex Cloud) и встроенных средств nginx (rate-limiting, fail2ban) |
| 5 | Резервное копирование | Ежедневное автоматическое резервное копирование БД |
| 6 | Журналирование | Логирование всех операций с ПД, аудит доступа |
| 7 | Изоляция данных | Данные каждого бизнеса изолированы на уровне базы данных (per-business isolation): все таблицы бизнес-данных, в том числе CRM (заказы, записи, клиенты бизнеса), привязаны к business_id с обязательным фильтром на уровне всех запросов; для записей на услуги применяется ограничение исключающего пересечения временных слотов (PostgreSQL EXCLUDE constraint), предотвращающее коллизии между разными бизнесами и в рамках одного бизнеса |
| 8 | Защита API | JWT-токены, rate limiting, валидация входных данных |
14.2. Организационные меры
| № | Мера |
|---|---|
| 1 | Определён ответственный за организацию обработки ПД — ИП Мальцев В.В. |
| 2 | Доступ к ПД имеют только уполномоченные лица с обязательством о неразглашении |
| 3 | Внутренние регламенты обработки ПД |
| 4 | Регулярный аудит мер безопасности |
| 5 | Обучение лиц, имеющих доступ к ПД |
14.3. Уровень защищённости
Информационная система персональных данных Сервиса отнесена к 3-му уровню защищённости (УЗ-3) в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119.
15. Реагирование на инциденты
15.1. В случае утечки персональных данных или иного инцидента безопасности Оператор обязуется:
| Действие | Срок |
|---|---|
| Уведомить Роскомнадзор об инциденте | 24 часа с момента обнаружения |
| Направить результаты внутреннего расследования в Роскомнадзор | 72 часа с момента обнаружения |
| Уведомить затронутых Пользователей | В кратчайшие сроки |
| Принять меры по устранению последствий | Немедленно |
| Предотвратить повторение инцидента | В кратчайшие сроки |
15.2. Уведомление Пользователей производится через Личный кабинет и/или по электронной почте.
16. Обработка персональных данных несовершеннолетних
16.1. Сервис не предназначен для лиц младше 18 лет.
16.2. Оператор не осуществляет целенаправленный сбор персональных данных несовершеннолетних.
16.3. Если Оператору станет известно, что персональные данные были предоставлены лицом младше 18 лет без согласия законного представителя, такие данные будут удалены в кратчайшие сроки.
17. Заключительные положения
17.1. Настоящая Политика вступает в силу с момента её размещения на сайте smmaibro.ru и действует бессрочно.
17.2. Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента публикации, если иной срок не указан в новой редакции.
17.3. Оператор уведомляет Пользователей о существенных изменениях Политики через Личный кабинет не менее чем за 10 (десять) дней до вступления изменений в силу.
17.4. Продолжение использования Сервиса после вступления изменений в силу означает согласие Пользователя с новой редакцией Политики.
17.5. Действующая редакция Политики всегда доступна по адресу: smmaibro.ru/privacy.
17.6. По вопросам, связанным с обработкой персональных данных, обращайтесь:
- Личный кабинет: cabinet.smmaibro.ru → Настройки → Персональные данные
- Электронная почта: info@smmaibro.ru
17.7. Надзорный орган: Управление Роскомнадзора — rkn.gov.ru.
Документ разработан в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными актами Российской Федерации. Последнее обновление: 03 июня 2026 г. (версия 1.5)