Политика обработки персональных данных
1. Общие положения
Настоящая Политика определяет порядок обработки и защиты персональных данных пользователей сервиса Клод, размещённого по адресу claude-rus.ru (далее — Сервис), и разработана в соответствии с Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных» (далее — «Закон»).
Оператор обработки персональных данных:
- Индивидуальный предприниматель Петрачков Сергей Геннадьевич
- ИНН: 781112240122
- ОГРНИП: 322784700136841
- Контактный email: codelotu2@yandex.ru
Используя Сервис (регистрируясь, авторизуясь, отправляя запросы или оплачивая тариф), пользователь подтверждает, что ознакомлен с настоящей Политикой и даёт согласие на обработку своих персональных данных на условиях, изложенных в ней и в документе «Согласие на обработку персональных данных».
2. Основные понятия
В настоящей Политике используются понятия в значениях, определённых ст. 3 № 152-ФЗ:
- Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
- Оператор — физическое или юридическое лицо, организующее и осуществляющее обработку ПД.
- Субъект ПД — физическое лицо, к которому относятся персональные данные.
- Обработка ПД — любое действие или совокупность действий с ПД (сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
- Автоматизированная обработка ПД — обработка ПД с помощью средств вычислительной техники.
- Cookies — небольшие текстовые файлы, размещаемые сайтом на устройстве пользователя для поддержания работы Сервиса.
- Промпт / запрос — текстовое сообщение, направленное пользователем в диалог с языковой моделью через интерфейс Сервиса.
3. Принципы обработки ПД
Обработка персональных данных осуществляется Оператором на основе принципов, установленных ст. 5 № 152-ФЗ: законность и справедливость, конкретность целей, соответствие объёма данных целям обработки, точность и актуальность данных, ограничение срока хранения, недопустимость объединения баз с несовместимыми целями обработки.
4. Какие данные мы собираем
4.1. При регистрации и входе в аккаунт
- Адрес электронной почты (email) — как логин и для сервисных уведомлений;
- Пароль — хранится исключительно в виде криптографического хеша Argon2id; восстановить исходный пароль из хеша невозможно;
- При входе через Яндекс ID — email, имя профиля и уникальный идентификатор Яндекс ID, передаваемые ООО «Яндекс» в рамках стандартного протокола OAuth 2.0 после подтверждения авторизации.
4.2. На этапе онбординга
- Имя или ник, указанные пользователем (необязательно);
- Род деятельности / роль, выбранные из списка (необязательно);
- Согласие или отказ на использование пользовательских данных для улучшения Сервиса.
4.3. При использовании чата
- Содержание промптов (запросов), которые пользователь отправляет в диалог;
- Ответы языковой модели на эти запросы;
- Заголовки и время создания/обновления чатов;
- Технические метаданные запроса (момент отправки, размер).
Промпты могут содержать персональные данные третьих лиц, если пользователь самостоятельно их туда внесёт. Оператор настоятельно не рекомендует передавать в чат ПД третьих лиц без их явного согласия, а также сведения, составляющие охраняемую законом тайну.
4.4. При оплате тарифа
- Имя плательщика, email — передаются платёжному провайдеру;
- Идентификатор подписки, тариф, период, статус и даты платежей;
- Данные банковской карты Оператор не получает и не хранит. Все карточные данные обрабатываются и хранятся только на стороне платёжного провайдера, сертифицированного по стандарту PCI DSS. Оператор получает только токен подписки и статус операции.
4.5. Технические данные и логи сессий
- IP-адрес;
- User-Agent (тип и версия браузера, операционная система);
- Идентификатор сессии (JWT), хранящийся в HttpOnly-cookie;
- Время входа, последней активности и завершения сессии;
- Стандартные серверные логи (nginx, Fastify) — путь запроса, код ответа, метка времени.
Технические данные и логи фиксируются автоматически и используются для обеспечения безопасности и диагностики Сервиса.
4.6. Специальные категории ПД
Специальные категории персональных данных (сведения о состоянии здоровья, расовой или национальной принадлежности, политических, религиозных и философских убеждениях, интимной жизни, судимости) и биометрические персональные данные Оператор не запрашивает и не обрабатывает целенаправленно. Если пользователь добровольно включит такие сведения в промпт, они будут обработаны исключительно как часть текста запроса и не будут систематизироваться по этим признакам.
5. Цели обработки и правовые основания
Полученные данные используются исключительно для целей, перечисленных ниже. Для каждой цели указано правовое основание согласно ч. 1 ст. 6 № 152-ФЗ:
| Цель | Состав ПД | Основание |
|---|---|---|
| Регистрация и идентификация пользователя | email, хеш пароля, Яндекс ID | п. 5 ч. 1 ст. 6 (исполнение договора) |
| Предоставление доступа к функциям чата | email, промпты, ответы модели | п. 5 ч. 1 ст. 6 |
| Заключение и исполнение договора подписки | email, имя, данные платежа | п. 5 ч. 1 ст. 6 |
| Исполнение требований налогового и бухгалтерского законодательства РФ | данные платёжных операций | п. 2 ч. 1 ст. 6 (обязанность, возложенная законом) |
| Обеспечение безопасности и расследование инцидентов | IP, User-Agent, логи, идентификаторы сессий | п. 7 ч. 1 ст. 6 (защита прав и интересов Оператора) |
| Сервисные уведомления (платежи, безопасность, изменения в тарифе) | п. 5 ч. 1 ст. 6 | |
| Улучшение качества Сервиса в обезличенном виде | обезличенные технические метрики | п. 1 ч. 1 ст. 6 (согласие) + ст. 5 ч. 9 (статистические цели) |
6. Сторонние сервисы и категории получателей
Для работы Сервиса Оператор использует следующие сторонние организации, каждая из которых выступает самостоятельным оператором в объёме, описанном ниже:
6.1. Языковая модель (LLM-провайдер)
Содержание ваших запросов передаётся для обработки одному или нескольким провайдерам, оказывающим услуги доступа к языковой модели по API. При передаче применяется шифрование TLS 1.2/1.3. Цель передачи — получение ответа модели в режиме реального времени.
Минимизация на стороне Оператора. Перед отправкой Оператор удаляет из системного контекста идентифицирующие сведения о пользователе — адрес электронной почты, имя, идентификатор учётной записи. Передаются только: модель, содержание пользовательского сообщения, ранее накопленный диалог в рамках текущего чата и технические параметры запроса (максимальная длина ответа, флаги стриминга и т. п.). Содержание сообщения, добровольно введённое пользователем, передаётся в исходном виде — пользователь самостоятельно отвечает за состав вводимых данных (п. 4.3 настоящей Политики).
Резервирование. Состав провайдеров может изменяться при сохранении уровня защиты, установленного настоящей Политикой. Изменение провайдера не требует отдельного уведомления и не расширяет объём передаваемых данных. Оператор поддерживает многопровайдерную архитектуру для обеспечения непрерывности оказания услуг.
Что провайдеры не получают. Email пользователя, имя, идентификатор учётной записи, IP-адрес пользователя (запрос идёт с серверов Оператора), история платежей, иные сведения, не связанные с содержанием конкретного диалога.
6.2. Платёжный провайдер
Обработка платежей и возвратов осуществляется лицензированным платёжным провайдером. На момент публикации настоящей Политики Оператор находится в процессе подключения; реквизиты, политика и условия провайдера будут опубликованы здесь до запуска платных подписок. Карточные данные Оператору не передаются и Оператором не хранятся.
6.3. Яндекс ID (OAuth)
При входе через Яндекс получателем данных авторизации выступает ООО «Яндекс», ИНН 7736207543, ОГРН 1027700229193, адрес: 119021, г. Москва, ул. Льва Толстого, д. 16. Условия: yandex.ru/legal/oauth_termsofuse.
6.4. Хостинг-провайдер
Сервис размещён на серверах российского хостинг-провайдера. Все данные пользователей физически расположены на территории Российской Федерации, что соответствует требованию ч. 5 ст. 18 № 152-ФЗ.
6.5. Что Оператор НЕ делает
- Не продаёт и не передаёт базу пользователей третьим лицам с коммерческой целью;
- Не использует содержание ваших промптов для показа рекламы;
- Не использует ваши данные для обучения сторонних языковых моделей.
7. Трансграничная передача персональных данных
Для обеспечения функционирования языковой модели (раздел 6.1) Оператор осуществляет трансграничную передачу части персональных данных пользователя на серверы иностранных получателей.
| Что передаётся | Куда | Цель |
|---|---|---|
| Содержание сообщений пользователя в текущем чате; ранее накопленный диалог (контекст); технические параметры запроса (модель, длина ответа) | Anthropic, PBC (США) — через технического посредника-агрегатора, обеспечивающего шифрование канала, согласно договору поручения обработки | Формирование ответа языковой модели по запросу пользователя в режиме реального времени |
Что НЕ передаётся за пределы РФ: адрес электронной почты пользователя, имя, идентификатор учётной записи, IP-адрес, история платежей, иные сведения учётной записи. Минимизация осуществляется на стороне Оператора — см. раздел 6.1.
Страна получателя — США. США не входят в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных (Приказ Роскомнадзора № 128 от 05.08.2022). В связи с этим Оператор:
- осуществляет первичную обработку и хранение всех персональных данных исключительно на территории Российской Федерации (раздел 6.4);
- передаёт за границу только содержание конкретного запроса, необходимое для его обработки, без идентификаторов пользователя;
- обеспечивает шифрование канала передачи (TLS 1.2/1.3);
- направил уведомление о трансграничной передаче персональных данных в Роскомнадзор (ч. 3 ст. 12 № 152-ФЗ); статус — подаётся одновременно с уведомлением об обработке персональных данных. Реквизиты уведомления будут опубликованы в данном разделе после регистрации;
- заключил договор поручения обработки персональных данных с техническим посредником-агрегатором.
Согласие пользователя. Подтверждая регистрацию в Сервисе, пользователь даёт согласие на описанную выше трансграничную передачу персональных данных. Согласие может быть отозвано в любой момент через настройки учётной записи или письменным заявлением на адрес поддержки. После отзыва согласия использование Сервиса с языковыми моделями станет невозможным; данные, переданные до отзыва, обрабатываются законно.
Срок хранения у получателя. Anthropic, PBC согласно её публичной политике хранит API-данные не более 30 дней, не использует их для обучения моделей и удаляет по истечении срока. Полный текст: anthropic.com/legal/privacy и anthropic.com/legal/commercial-terms.
8. Сроки хранения
- Учётная запись и связанные ПД — весь срок действия аккаунта и до 30 дней после его удаления (технический период очистки резервных копий).
- Чаты и промпты — до момента удаления пользователем вручную либо до удаления аккаунта.
- Логи сессий — не более 35 дней с момента последней активности (далее автоматическая очистка).
- Платёжные операции и связанные с ними ПД — не менее 5 лет с даты операции (требование ст. 23 НК РФ и ч. 1 ст. 29 ФЗ-402 «О бухгалтерском учёте»).
- Серверные логи nginx — не более 30 дней.
9. Меры защиты
Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, копирования, распространения и иных неправомерных действий (ст. 19 № 152-ФЗ):
- Правовые: утверждены настоящая Политика, документ «Согласие на обработку персональных данных», ответственный за организацию обработки ПД назначен Приказом № 1 от 17 мая 2026 г.
- Организационные: доступ к базе данных Сервиса ограничен — только сам Оператор; работа осуществляется на устройствах с парольной защитой и дисковым шифрованием.
- Технические: HTTPS (TLS 1.2/1.3) с HSTS на всём периметре; пароли хранятся как хеши Argon2id; сессионные токены передаются в HttpOnly + Secure + SameSite-Lax cookie с ограниченным сроком жизни и возможностью отзыва; rate-limit на аутентификационных endpoint-ах; ежедневные резервные копии БД на отдельном хранилище.
10. Ваши права как субъекта ПД
В соответствии со ст. 14 № 152-ФЗ вы имеете право:
- Получать информацию о факте и составе обработки ваших ПД;
- Требовать уточнения, блокирования или уничтожения неполных, устаревших, неточных, незаконно полученных или не являющихся необходимыми ПД;
- Отозвать согласие на обработку ПД в любой момент;
- Требовать прекращения обработки и удаления ваших ПД (за исключением случаев, когда хранение прямо предписано законом, см. п. 7);
- Самостоятельно удалить свой аккаунт и всю связанную с ним информацию через Настройки → Account → «Удалить аккаунт»;
- Обжаловать действия или бездействие Оператора в Роскомнадзор (rkn.gov.ru) или в судебном порядке.
Для реализации прав направьте обращение на codelotu2@yandex.ru. Сроки ответа:
- На запрос о составе обрабатываемых данных — в течение 10 рабочих дней (срок может быть продлён не более чем на 5 рабочих дней; ч. 8 ст. 14 + ч. 1 ст. 20 № 152-ФЗ);
- На требование уточнить/удалить данные — в течение 7 рабочих дней после предоставления подтверждающих сведений (ч. 1 ст. 21);
- На отзыв согласия и прекращение обработки — в течение 30 дней (ч. 5 ст. 21).
11. Cookies
Сервис использует только технически необходимые cookies: сессионный токен (HttpOnly), сохранённые настройки темы, языка и шрифта (localStorage). Аналитические или рекламные cookies на момент публикации настоящей Политики не используются. При появлении аналитических инструментов Оператор внедрит cookie-баннер с возможностью отказа и обновит настоящую Политику.
12. Действия при инциденте (утечка ПД)
В случае обнаружения утечки или несанкционированного доступа к ПД Оператор обязуется (в соответствии с ч. 3.1 ст. 21 № 152-ФЗ):
- В течение 24 часов уведомить Роскомнадзор через pd.rkn.gov.ru;
- В течение 72 часов направить отчёт о результатах расследования;
- Уведомить субъектов ПД, чьи данные пострадали — на email, указанный в аккаунте;
- Принять меры по ограничению ущерба и предотвращению повторения инцидента.
13. Ответственный за организацию обработки ПД
В соответствии со ст. 22.1 № 152-ФЗ ответственным за организацию обработки персональных данных назначен сам Оператор — ИП Петрачков С.Г. (Приказ № 1 от 17 мая 2026 г.). Контакт: codelotu2@yandex.ru.
14. Изменения Политики
Политика может быть обновлена. Актуальная редакция всегда доступна по адресу claude-rus.ru/legal/privacy. О существенных изменениях Оператор уведомляет в интерфейсе Сервиса и/или по email, указанному в аккаунте, не менее чем за 7 дней до вступления изменений в силу.
15. Заключительные положения
Настоящая Политика вступает в силу с момента её опубликования и действует бессрочно. К настоящей Политике применяется законодательство Российской Федерации. Все споры подлежат разрешению в порядке, предусмотренном законодательством РФ, по месту нахождения Оператора, если иное не предусмотрено законом.