Политика конфиденциальности
Версия 2.1 Дата вступления в силу — 17 июля 2025 г.
Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом РФ от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее — Закон о ПДн), а также с учётом изменений, вступивших в силу 01.03.2023 и 01.07.2025 в части трансграничной передачи и локализации персональных данных.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика определяет порядок и условия обработки персональных данных при использовании Telegram‑бота «@YandexDirectSmartBot» и Web‑приложения «AI SmartBot | Яндекс Директ» (далее совместно — Сервис).
1.2. Используя Сервис, Пользователь подтверждает, что ознакомился с настоящей Политикой, понимает её положения и даёт согласие на обработку и трансграничную передачу своих персональных данных на условиях, изложенных ниже.
1.1. Настоящая Политика определяет порядок и условия обработки персональных данных при использовании Telegram‑бота «@YandexDirectSmartBot» и Web‑приложения «AI SmartBot | Яндекс Директ» (далее совместно — Сервис).
1.2. Используя Сервис, Пользователь подтверждает, что ознакомился с настоящей Политикой, понимает её положения и даёт согласие на обработку и трансграничную передачу своих персональных данных на условиях, изложенных ниже.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
«Оператор» — Капков Андрей Александрович, ИНН 381452517170, зарегистрированный в качестве самозанятого (НПД).
«Пользователь» — физическое лицо, использующее Сервис.
«Персональные данные (ПДн)» — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу.
«Оператор» — Капков Андрей Александрович, ИНН 381452517170, зарегистрированный в качестве самозанятого (НПД).
«Пользователь» — физическое лицо, использующее Сервис.
«Персональные данные (ПДн)» — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу.
3. ОПЕРАТОР И ЕГО КОНТАКТЫ
3.1. Оператор: Капков Андрей Александрович (ИНН 381452517170).
3.2. Адрес электронной почты для обращений субъектов ПДн: andrei_kapkov88@mail.ru.
3.3. Оператор зарегистрирован в реестре операторов персональных данных Роскомнадзора и подал Уведомление № ********* о трансграничной передаче ПДн.
3.1. Оператор: Капков Андрей Александрович (ИНН 381452517170).
3.2. Адрес электронной почты для обращений субъектов ПДн: andrei_kapkov88@mail.ru.
3.3. Оператор зарегистрирован в реестре операторов персональных данных Роскомнадзора и подал Уведомление № ********* о трансграничной передаче ПДн.
4. СОСТАВ, КАТЕГОРИИ И ТЕХНИЧЕСКИЕ ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Идентификаторы Telegram и параметры WebApp
В процессе использования Telegram-бота и WebApp-приложения Оператор обрабатывает следующие данные:
4.2. Учётные данные внешних сервисов
Яндекс.Директ:
Todoist:
4.3. Данные аналитики и отчётов
4.3.2. Генерация ключевых фраз по URL
По запросу Пользователя Сервис временно загружает публичный HTML‑контент указанного им сайта, извлекает открытый текст и передаёт его в OpenAI API для генерации списка ключевых фраз. Извлечённый текст не сохраняется в базе данных и удаляется из оперативной памяти сразу после формирования результата. Ответ ИИ от‑дается Пользователю в виде текстового файла generated_keywords.txt, который формируется динамически и не хранится на сервере Оператора.
4.3.2. Анализ ключевых фраз и объявлений
По запросу Пользователя Сервис может передавать в OpenAI API:
4.4. Данные подписок и платежей (Telegram Stars)
При оформлении подписки через Telegram Stars, Оператор получает и обрабатывает следующие сведения:
4.5. Данные антифрод-системы
В рамках функции автоматического анализа рекламных площадок (антифрод), Оператор обрабатывает:
4.6. Ответственность при использовании групповых чатов
Пользователь вправе самостоятельно добавлять Telegram-бота в группы и каналы, включая те, где участвуют третьи лица. При этом:
4.7. Ограничения и исключения
Оператор не собирает и не обрабатывает специальные категории персональных данных (включая ФИО, номер телефона, email, паспортные данные, биометрию), за исключением случаев, когда пользователь добровольно сообщает такие данные в сообщениях боту или в открытых комментариях к задачам Todoist.
4.8. Передача данных в OpenAI
4.1. Идентификаторы Telegram и параметры WebApp
В процессе использования Telegram-бота и WebApp-приложения Оператор обрабатывает следующие данные:
- Telegram ID пользователя (chat_id, owner_id);
- Telegram username (если указан в профиле пользователя);
- Название группы или канала (title), если бот используется в групповом чате;
- Значения параметров state и session WebApp (включая owner_id, chat_id);
- session_id WebApp (cookie-файл с параметрами безопасности HttpOnly, Secure, SameSite=Lax);
- Версия Telegram-клиента, IP-адрес, тип устройства, дата и время взаимодействий (в логах сервера);
- События пользовательских действий (например, авторизация, запуск AI-мониторинга), собираемые через Google Analytics 4 (Measurement Protocol).
4.2. Учётные данные внешних сервисов
Яндекс.Директ:
- OAuth‑токен (access_token), сохраняемый в базе данных в зашифрованном виде (с использованием алгоритма AES‑256‑GCM, библиотека Fernet);
- логин рекламного аккаунта (используется для отображения и связи аккаунта в системе).
Todoist:
- персональный API‑токен, сохраняемый в базе данных на территории РФ (Timeweb Cloud) в зашифрованном виде (AES‑256‑GCM через Fernet);
- ID выбранных проектов (project_ids);
- настройки часового пояса;
- данные расписания и отправки уведомлений;
- Telegram ID пользователя, связанный с аккаунтом Todoist.
4.3. Данные аналитики и отчётов
- Названия и ID целей Яндекс.Метрики, вручную выбранные пользователем (в рамках функции «Избранные цели»);
- Сведения, передаваемые в OpenAI при формировании AI-отчётов: hash campaign_id, агрегированная статистика (кол-во показов, кликов, расходов и др.);
- Обезличенные данные передаются по защищённому API и не позволяют идентифицировать пользователя, не содержат логинов, токенов или других идентификаторов.
4.3.2. Генерация ключевых фраз по URL
По запросу Пользователя Сервис временно загружает публичный HTML‑контент указанного им сайта, извлекает открытый текст и передаёт его в OpenAI API для генерации списка ключевых фраз. Извлечённый текст не сохраняется в базе данных и удаляется из оперативной памяти сразу после формирования результата. Ответ ИИ от‑дается Пользователю в виде текстового файла generated_keywords.txt, который формируется динамически и не хранится на сервере Оператора.
4.3.2. Анализ ключевых фраз и объявлений
По запросу Пользователя Сервис может передавать в OpenAI API:
- списки ключевых фраз, полученные через API Яндекс.Директ из выбранной Пользователем рекламной кампании либо введённые вручную;
- тексты рекламных объявлений (заголовки, описания, ссылки), полученные аналогично через API Яндекс.Директ;
- фрагменты текста веб-страниц, полученные по URL, указанному Пользователем (например, при генерации ключевых фраз из сайта).
- Эти данные используются исключительно для формирования рекомендаций по оптимизации рекламы и не сохраняются в базе данных.
4.4. Данные подписок и платежей (Telegram Stars)
При оформлении подписки через Telegram Stars, Оператор получает и обрабатывает следующие сведения:
- Telegram ID пользователя, оформившего подписку;
- уровень подписки (Pro / Premium / Extra10);
- количество оставшихся AI-запросов;
- количество списанных звёзд (Stars);
- дату и время транзакции;
- идентификатор операции Telegram — telegram_payment_charge_id, передаваемый в payment_details как часть технической информации (не содержит ПДн);
- данные сохраняются в базе данных (таблица payments_history) на территории РФ (Timeweb Cloud) и используются исключительно для учёта подписок и контроля доступа к функциям сервиса.
4.5. Данные антифрод-системы
В рамках функции автоматического анализа рекламных площадок (антифрод), Оператор обрабатывает:
- ID аккаунта Яндекс.Директ и список подключённых кампаний;
- идентификаторы рекламных кампаний, в которых обнаружены подозрительные размещения;
- сведения о заблокированных площадках (список доменов/площадок в placements);
- количество кликов по таким площадкам;
- сумма фактически сэкономленных расходов и прогнозируемая экономия (cost_saved, forecast_saved);
- период анализа (date_from – date_to);
- история блокировок (таблица antifraud_history);
- информация используется только для формирования отчётов и не передаётся третьим лицам.
4.6. Ответственность при использовании групповых чатов
Пользователь вправе самостоятельно добавлять Telegram-бота в группы и каналы, включая те, где участвуют третьи лица. При этом:
- Оператор не осуществляет контроль над составом участников групповых чатов;
- отправка уведомлений (в том числе из Todoist) и аналитических отчётов в группы производится только по прямой команде Пользователя или расписанию;
- в случае, если через такие уведомления может быть раскрыта информация о задачах, целях Метрики или рекламных кабинетах, ответственность за доступ третьих лиц к этим данным лежит на Пользователе.
4.7. Ограничения и исключения
Оператор не собирает и не обрабатывает специальные категории персональных данных (включая ФИО, номер телефона, email, паспортные данные, биометрию), за исключением случаев, когда пользователь добровольно сообщает такие данные в сообщениях боту или в открытых комментариях к задачам Todoist.
4.8. Передача данных в OpenAI
- Для формирования AI-отчётов используется агрегированная статистика;
- Все данные, передаваемые в OpenAI API, являются обезличенными;
- В состав передаваемой информации не входят логины, токены, Telegram ID, IP-адреса или иные идентификаторы пользователя;
- Эти данные не относятся к персональным в понимании законодательства РФ и используются исключительно для аналитических целей.
5. ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ
5.1. Предоставление Пользователю персонализированной аналитики рекламных кампаний Яндекс.Директ.
5.2. Организация доступа к аккаунту Яндекс.Директ и Todoist по запросу Пользователя.
5.3. Выполнение обязательств по подписке, начисление и списание AI‑запросов.
5.4. Отправка уведомлений и отчётов в Telegram.
5.5. Пресечение мошеннической активности (антифрод‑функции).
5.6. Идентификация пользователя при передаче данных между Telegram-ботом и Web-приложением через параметр state.
5.7. Обеспечение персонализированного взаимодействия с пользователем в WebApp, включая авторизацию, хранение состояния сеанса и отображение подключённых аккаунтов.
5.8. Отправка уведомлений и аналитических отчётов в групповые чаты Telegram, по явному действию Пользователя (например, при добавлении бота в группу и запуске команды).
5.9. Формирование персонализированных аналитических отчётов по выбранным Пользователем целям Яндекс.Метрики.
5.10. Автоматическое выявление и блокировка неэффективных рекламных площадок на основе анализа статистики кампаний (антифрод-функции).
Правовое основание — п. 5 ч. 1 ст. 6 Закона о ПДн: обработка осуществляется с согласия Пользователя, выраженного при нажатии кнопок «Согласен на обработку ПДн» и «Согласен на трансграничную передачу ПДн».
5.1. Предоставление Пользователю персонализированной аналитики рекламных кампаний Яндекс.Директ.
5.2. Организация доступа к аккаунту Яндекс.Директ и Todoist по запросу Пользователя.
5.3. Выполнение обязательств по подписке, начисление и списание AI‑запросов.
5.4. Отправка уведомлений и отчётов в Telegram.
5.5. Пресечение мошеннической активности (антифрод‑функции).
5.6. Идентификация пользователя при передаче данных между Telegram-ботом и Web-приложением через параметр state.
5.7. Обеспечение персонализированного взаимодействия с пользователем в WebApp, включая авторизацию, хранение состояния сеанса и отображение подключённых аккаунтов.
5.8. Отправка уведомлений и аналитических отчётов в групповые чаты Telegram, по явному действию Пользователя (например, при добавлении бота в группу и запуске команды).
5.9. Формирование персонализированных аналитических отчётов по выбранным Пользователем целям Яндекс.Метрики.
5.10. Автоматическое выявление и блокировка неэффективных рекламных площадок на основе анализа статистики кампаний (антифрод-функции).
Правовое основание — п. 5 ч. 1 ст. 6 Закона о ПДн: обработка осуществляется с согласия Пользователя, выраженного при нажатии кнопок «Согласен на обработку ПДн» и «Согласен на трансграничную передачу ПДн».
6. ТЕРРИТОРИЯ, ПЕРВИЧНОЕ РАЗМЕЩЕНИЕ И ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА
6.1. Все персональные данные пользователей Сервиса хранятся и обрабатываются в базе данных, размещённой на территории Российской Федерации (Timeweb Cloud, Москва), в том числе на этапе их первичного сбора. Код Web-приложения и Telegram-бота могут быть размещены на платформе Heroku (США), при этом все данные, введённые пользователем, немедленно передаются в базу данных в РФ. Промежуточное хранение ПДн на серверах за пределами РФ не осуществляется.
6.2. Трансграничная передача данных осуществляется только в целях:
6.3. Информация о странах‑получателях и принятых мерах защиты указана в Уведомлении № 2, подтверждённом Роскомнадзором.
6.1. Все персональные данные пользователей Сервиса хранятся и обрабатываются в базе данных, размещённой на территории Российской Федерации (Timeweb Cloud, Москва), в том числе на этапе их первичного сбора. Код Web-приложения и Telegram-бота могут быть размещены на платформе Heroku (США), при этом все данные, введённые пользователем, немедленно передаются в базу данных в РФ. Промежуточное хранение ПДн на серверах за пределами РФ не осуществляется.
6.2. Трансграничная передача данных осуществляется только в целях:
- доставки сообщений через Telegram API (серверы в Сингапуре/Нидерландах);
- синхронизации задач через Todoist API (серверы в Канаде);
- OpenAI получает обезличенные данные, не относящиеся к ПДн, они не позволяют прямо или косвенно идентифицировать конкретное физическое лицо.
6.3. Информация о странах‑получателях и принятых мерах защиты указана в Уведомлении № 2, подтверждённом Роскомнадзором.
7. СРОКИ ХРАНЕНИЯ И УДАЛЕНИЕ ДАННЫХ
7.1. ПДн хранятся до момента отзыва согласия или дезактивации учётной записи.
7.2. При выборе Пользователем в Web‑App («Настройки → Отключить аккаунт») ПДн удаляются немедленно автоматическим скриптом; резервные копии уничтожаются при ближайшей ротации (не позднее 7 дней).
7.3. Журналы api_audit (метаданные запросов) хранятся 90 дней, после чего удаляются.
7.1. ПДн хранятся до момента отзыва согласия или дезактивации учётной записи.
7.2. При выборе Пользователем в Web‑App («Настройки → Отключить аккаунт») ПДн удаляются немедленно автоматическим скриптом; резервные копии уничтожаются при ближайшей ротации (не позднее 7 дней).
7.3. Журналы api_audit (метаданные запросов) хранятся 90 дней, после чего удаляются.
8. МЕРЫ ПО ЗАЩИТЕ ПДн
8.1. Для хранения чувствительных данных в базе данных используется симметричное шифрование с применением библиотеки cryptography.Fernet (алгоритм AES‑GCM с контролем целостности). Шифрованию подлежат OAuth‑токены Яндекс.Директ и API‑токены Todoist, записанные в зашифрованные поля с типом EncryptedText. Ключ шифрования хранится в переменной окружения FERNET_KEY и не включается в исходный код. Иные данные (например, логины, project_ids) могут храниться в незашифрованном виде, если это не нарушает их конфиденциальность.
8.2. Псевдонимизация (sha256(salt)) username при внешних вызовах.
8.3. Журналы доступа в режиме append‑only с контролем целостности.
8.4. Авторизация к админ‑панели по SSH key, двухфакторная аутентификация Timeweb.
8.5. План реагирования на инциденты и резервное копирование с горячей репликацией.
8.1. Для хранения чувствительных данных в базе данных используется симметричное шифрование с применением библиотеки cryptography.Fernet (алгоритм AES‑GCM с контролем целостности). Шифрованию подлежат OAuth‑токены Яндекс.Директ и API‑токены Todoist, записанные в зашифрованные поля с типом EncryptedText. Ключ шифрования хранится в переменной окружения FERNET_KEY и не включается в исходный код. Иные данные (например, логины, project_ids) могут храниться в незашифрованном виде, если это не нарушает их конфиденциальность.
8.2. Псевдонимизация (sha256(salt)) username при внешних вызовах.
8.3. Журналы доступа в режиме append‑only с контролем целостности.
8.4. Авторизация к админ‑панели по SSH key, двухфакторная аутентификация Timeweb.
8.5. План реагирования на инциденты и резервное копирование с горячей репликацией.
9. ПРАВА СУБЪЕКТОВ ПДн
Пользователь вправе: — получать сведения об обработке (email‑запрос); — требовать уточнения, блокировки или удаления данных; — отзывать согласие (функция «Отключить аккаунт» в Web‑приложении (Настройки → Отключить аккаунт) или email‑запрос); — обжаловать действия/бездействие Оператора в Роскомнадзоре или иным способом в соответствии с законодательством РФ.
Пользователь вправе: — получать сведения об обработке (email‑запрос); — требовать уточнения, блокировки или удаления данных; — отзывать согласие (функция «Отключить аккаунт» в Web‑приложении (Настройки → Отключить аккаунт) или email‑запрос); — обжаловать действия/бездействие Оператора в Роскомнадзоре или иным способом в соответствии с законодательством РФ.
10. ПОРЯДОК ОТЗЫВА СОГЛАСИЯ
10.1. Функция «Отключить аккаунт» в Web‑приложении (Настройки → Отключить аккаунт) или запрос на andrei_kapkov88@mail.ru.
10.2. Оператор прекращает обработку и удаляет ПДн в течение 10 календарных дней с момента получения требования.
10.1. Функция «Отключить аккаунт» в Web‑приложении (Настройки → Отключить аккаунт) или запрос на andrei_kapkov88@mail.ru.
10.2. Оператор прекращает обработку и удаляет ПДн в течение 10 календарных дней с момента получения требования.
11. ОБРАБОТЧИКИ И ТРЕТЬИ ЛИЦА
12. ОБНОВЛЕНИЕ ПОЛИТИКИ
12.1. Политика может быть изменена Оператором. Новая редакция размещается на https://aismartbots.ru/privacy-policy.html не позднее 7 дней до вступления.
12.2. Существенные изменения (изменение списка стран‑получателей) сопровождаются уведомлением Пользователя через бота.
12.1. Политика может быть изменена Оператором. Новая редакция размещается на https://aismartbots.ru/privacy-policy.html не позднее 7 дней до вступления.
12.2. Существенные изменения (изменение списка стран‑получателей) сопровождаются уведомлением Пользователя через бота.
13. КОНТАКТЫ ОПЕРАТОРА
E‑mail: andrei_kapkov88@mail.ru (приём запросов ПДн).
E‑mail: andrei_kapkov88@mail.ru (приём запросов ПДн).
Настоящая Политика утверждена Оператором 16 июля 2025 г. и вступает в силу 17 июля 2025 г.
© 2025 @YandexDirectSmartBot