Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок сбора, использования, хранения, защиты и удаления персональных данных пользователей сервиса homiwork.com (далее — «Сервис»).

1.2. Оператором персональных данных является: ИП Васьков Иван Вячеславович, ИНН 661103103710 (далее — «Оператор»).

1.3. Контактный адрес электронной почты: support@homiwork.com.

1.4. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации.

1.5. Используя Сервис, Пользователь подтверждает, что ему исполнилось 18 (восемнадцать) лет. Лица младше 18 лет не имеют права использовать Сервис.

2. Собираемые данные

2.1. Для функционирования Сервиса мы собираем и обрабатываем следующие категории данных:

2.1.1. Данные, предоставляемые Пользователем:

• Адрес электронной почты (email) — для регистрации, авторизации и восстановления доступа к аккаунту;
• Имя пользователя (логин) — для идентификации в системе;
• Пароль — хранится исключительно в зашифрованном (хэшированном) виде.

2.1.2. Контент, загружаемый Пользователем:

• Фотографии и изображения для обработки или в качестве референсов;
• Аудиофайлы для обработки;
• Видеофайлы для обработки;
• Текстовые данные (описания, пожелания, инструкции для генерации).

Загружаемые пользователем изображения автоматически преобразуются (уменьшение разрешения, перекодирование) перед использованием AI-моделями. После такого преобразования изображения не содержат биометрических данных в смысле ст. 11 152-ФЗ — извлечение уникальных биометрических параметров для идентификации становится невозможным. Оригинальные изображения не сохраняются.

2.1.3. Автоматически генерируемый контент:

• Песни и музыка;
• Изображения (портреты, открытки, приглашения, логотипы, гербы и другие графические материалы);
• Стихи;
• Тексты (поздравления, официальные письма, маркетинговые материалы и другие текстовые материалы);
• Видео;
• История общения с ИИ-ассистентами.

2.1.4. Технические данные:

• Хэш сетевого адреса (SHA-256 с приватной солью) — для защиты от злоупотреблений и rate-limiting. Хэш необратим, исходный IP не сохраняется и не передаётся;
• Информация о браузере и устройстве (общие технические заголовки запроса);
• Пользовательские настройки и предпочтения;
• Данные об использовании Сервиса (статистика, логи).

2.1.5. Платёжная информация:

Мы НЕ храним платёжные данные (номера карт, CVV и т.д.). Все платежи обрабатываются через сторонние платёжные сервисы, сертифицированные по стандарту PCI DSS. Мы получаем только подтверждение об успешной оплате и идентификатор транзакции.

2.1.6. Данные о лицах (Face Data) и загруженные фотографии:

Наше приложение позволяет Пользователям добровольно загружать фотографии, которые могут содержать изображения лиц, в качестве визуальных референсов для функций генерации контента на основе ИИ (портреты, оживление фотографий, улучшение фотографий и др.).

Мы НЕ выполняем распознавание лиц, биометрический анализ и не извлекаем какие-либо данные о геометрии лица, картах глубины или биометрические отпечатки из загруженных фотографий. Загруженные фотографии обрабатываются как обычные файлы изображений и используются исключительно в качестве входных данных для ИИ-генерации контента.

Фотографии передаются техническим подрядчикам исключительно для разового выполнения запрошенной Пользователем генерации (см. п. 6.2). Подрядчики не сохраняют, не анализируют и не используют загруженные изображения для обучения моделей или иных целей.

Загруженные референсные фотографии автоматически удаляются с наших серверов в течение 7 (семи) календарных дней. Пользователи также могут удалить сгенерированный контент вместе с исходными фотографиями в любой момент через интерфейс приложения.

Мы не передаём загруженные фотографии или любые производные данные рекламодателям, аналитическим сервисам или иным третьим лицам.

3. Цели обработки персональных данных

3.1. Собранные данные используются исключительно для следующих целей:

• Регистрация и аутентификация Пользователей;
• Обеспечение безопасности аккаунта;
• Предоставление услуг Сервиса (генерация контента);
• Обработка платежей и учёт баллов энергии;
• Модерация контента и предотвращение нарушений;
• Техническая поддержка и коммуникация с Пользователями;
• Улучшение качества Сервиса и алгоритмов ИИ;
• Выполнение требований законодательства;
• Защита прав и законных интересов Оператора.

4. Сроки хранения данных

4.1. Данные аккаунта (email, логин, пароль): хранятся до удаления аккаунта Пользователем или до удаления аккаунта Оператором в соответствии с условиями использования.

4.2. Неактивные аккаунты: В целях реализации права на забвение, аккаунты Пользователей, которые не осуществляли вход в систему в течение 1 (одного) года, автоматически удаляются вместе со всеми связанными данными и контентом.

4.3. Загруженный контент (фотографии, аудио, видео для обработки): хранится в течение 7 (семи) календарных дней для целей модерации и проверки, после чего автоматически удаляется.

4.4. Сгенерированный контент:

• Для Пользователей без Prime-статуса: сгенерированный контент автоматически удаляется через 2-4 месяца с момента создания;
• Для Пользователей с Prime-статусом: контент хранится до момента удаления Пользователем или до истечения срока действия Prime-статуса (после чего применяются стандартные сроки хранения).

При удалении контент помечается как удалённый (для возможности восстановления) и полностью удаляется через 7 (семь) календарных дней.

4.5. История общения с ИИ-ассистентами:

• Хранятся только последние 100 (сто) сообщений с каждым ИИ-ассистентом;
• Для Пользователей без Prime-статуса: история сообщений автоматически удаляется через 2-4 месяца;
• Для Пользователей с Prime-статусом: история сообщений хранится до удаления аккаунта или до истечения срока действия Prime-статуса.

4.6. Технические логи и хэши сетевых адресов: хранятся в течение 12 (двенадцати) месяцев для обеспечения безопасности и расследования инцидентов. Исходные IP-адреса не сохраняются.

4.7. Данные о транзакциях: хранятся в течение срока, установленного законодательством РФ (не менее 5 лет), для целей бухгалтерского и налогового учёта.

5. Защита персональных данных

5.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

5.2. Меры защиты включают:

• Шифрование паролей с использованием современных криптографических алгоритмов;
• Использование защищённого соединения (HTTPS/TLS);
• Ограничение доступа к персональным данным;
• Регулярное резервное копирование;
• Мониторинг безопасности системы.

5.3. Важное уведомление: Несмотря на принимаемые меры защиты, Оператор не может гарантировать абсолютную безопасность данных при их передаче через сеть Интернет. Пользователь использует Сервис на свой риск.

6. Передача данных третьим лицам

6.1. Оператор не продаёт персональные данные. Передача данных ограниченному кругу третьих лиц происходит только в следующих случаях:

• По требованию уполномоченных государственных органов в соответствии с законодательством РФ;
• Платёжным операторам — для обработки оплаты (только сумма, идентификатор заказа, email; платёжные реквизиты передаются Пользователем напрямую в платёжную систему и Оператору не доступны);
• Техническим подрядчикам — для размещения инфраструктуры, хранения файлов и обработки запросов на генерацию контента.

6.2. Обработка запросов на генерацию. Для выполнения запрошенной Пользователем генерации (песни, стихи, поздравления, изображения, видео) текстовые промпты и предварительно преобразованные изображения передаются техническим подрядчикам. Передаваемые запросы обезличены: email, имя пользователя, идентификатор аккаунта и иные сведения, позволяющие установить личность, в них не включаются. Запрос используется исключительно для разового получения результата.

6.3. Все третьи лица, получающие доступ к данным, обязаны соблюдать конфиденциальность и использовать данные исключительно для выполнения своих функций.

7. Использование данных для генерации

7.1. Оператор не обучает и не дообучает на данных Пользователя собственные ИИ-модели. Сервис использует техническую инфраструктуру для разового выполнения запрошенной Пользователем генерации (см. п. 6.2).

7.2. Загруженный Пользователем и сгенерированный контент может использоваться Оператором для:

• Внутренних целей Сервиса (тестирование, отладка, улучшение алгоритмов и параметров генерации);
• Статистического анализа в обезличенной форме.

8. Права Пользователя

8.1. Пользователь имеет право:

• Получить информацию об обработке своих персональных данных;
• Требовать уточнения, блокирования или уничтожения персональных данных;
• Отозвать согласие на обработку персональных данных;
• Самостоятельно удалить свой контент через интерфейс Сервиса;
• Удалить свой аккаунт (при этом весь связанный контент также удаляется);
• Обжаловать действия Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

8.2. Для реализации своих прав Пользователь может:

• Использовать функционал личного кабинета для управления данными и контентом;
• Направить письменный запрос на адрес электронной почты support@homiwork.com.

8.3. Требования к запросу. Запрос на реализацию прав направляется по email support@homiwork.com с того же адреса, который привязан к аккаунту, — это служит подтверждением личности субъекта. Запрос должен содержать суть обращения и дату. Дополнительные сведения Оператор вправе запросить отдельно, если это необходимо для идентификации Пользователя.

8.4. Срок рассмотрения запроса — 30 (тридцать) календарных дней с момента получения.

9. Удаление аккаунта и данных

9.1. Пользователь может в любой момент удалить свой аккаунт через настройки личного кабинета.

9.2. При удалении аккаунта:

• Персональные данные (email, логин) удаляются;
• Весь сгенерированный контент удаляется;
• История общения с ИИ-ассистентами удаляется;
• Данные о транзакциях сохраняются в соответствии с требованиями законодательства.

9.3. Автоматическое удаление неактивных аккаунтов: Аккаунты, в которые Пользователь не входил в течение 1 (одного) года, автоматически удаляются со всеми связанными данными.

9.4. Удаление аккаунта является необратимым. Восстановление удалённых данных невозможно.

10. Файлы cookie и веб-аналитика

10.1. Сервис использует следующие категории cookies:

• Необходимые (всегда включены): sessionid, csrftoken, django_language, user_timezone, cookie_consent_v1 — обеспечивают авторизацию, защиту от CSRF, выбор языка и хранение согласия. Без них Сервис не может работать. Срок хранения — до 1 года.
• Аналитические (по согласию): счётчик Yandex.Metrika (ООО «Яндекс», РФ), куки с префиксом _ym_. Сконфигурирован в минимальном режиме — без карты кликов, отслеживания внешних ссылок, точного отказа и WebVisor. Используется для подсчёта посещений и улучшения Сервиса.
• Технический мониторинг: Sentry (sentry.io) — отлов ошибок JavaScript для обеспечения стабильности и безопасности Сервиса. Не использует cookies, но отправляет техническую информацию о сессии (session_key, версия браузера, стек ошибки). Основание обработки — законный интерес Оператора в обеспечении работоспособности Сервиса.

10.2. Рекламные cookies, маркетинговые пиксели (Facebook, VK, TikTok), Google Analytics и иные сторонние трекеры не используются.

10.3. При первом посещении Сервиса в обычном веб-браузере Пользователю показывается баннер с возможностью принять, отклонить необязательные или настроить категории cookies. В мобильных приложениях iOS и Android отдельный баннер не показывается — согласие на обработку данных Пользователь даёт при установке приложения через политику соответствующего магазина (App Store, Google Play, RuStore) и политику самого приложения.

10.4. Пользователь может в любой момент отозвать или изменить согласие на использование аналитических cookies через ссылку «Управление cookies» в подвале сайта. После отзыва согласия cookies Yandex.Metrika автоматически удаляются.

10.5. Пользователь также может отключить использование cookie в настройках браузера, однако это может повлиять на функциональность Сервиса (выход из аккаунта, сброс языка интерфейса).

11. Запрещённый контент и модерация

11.1. Оператор оставляет за собой право проверять загружаемый контент на предмет нарушения законодательства и правил Сервиса.

11.2. В случае обнаружения запрещённого контента (в том числе материалов, содержащих детскую порнографию, разжигание ненависти, призывы к насилию), Оператор вправе:

• Немедленно заблокировать аккаунт Пользователя;
• Передать информацию правоохранительным органам;
• Сохранить необходимые данные для расследования.

12. Изменения в Политике

12.1. Оператор вправе вносить изменения в настоящую Политику в любое время.

12.2. Изменения вступают в силу с момента публикации новой редакции Политики на сайте Сервиса.

12.3. Пользователь обязуется самостоятельно отслеживать изменения в Политике. Продолжение использования Сервиса после внесения изменений означает согласие с новой редакцией Политики.