Политика в отношении обработки персональных данных

Редакция от 27.05.2026

1. Общие положения

1.1. Настоящая Политика составлена в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о ПДн) и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, применяемые Индивидуальным предпринимателем Александровым Егором Михайловичем, ОГРНИП 324774600739486, ИНН 772830329462 (далее — Оператор).

1.2. Политика применяется ко всей информации о пользователях, которую Оператор может получить в связи с использованием веб-сайта https://spello.ru и связанных с ним сервисов (далее — Сайт / Сервис).

1.3. Оператор ставит целью соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту права на неприкосновенность частной жизни, личную и семейную тайну.

1.4. Сервис не предназначен для лиц моложе 18 лет. Оператор не осуществляет целенаправленный сбор персональных данных несовершеннолетних. При выявлении обработки данных несовершеннолетнего без законных оснований Оператор прекращает такую обработку и удаляет данные.

2. Термины

2.1. В Политике используются термины в значениях, установленных Законом о ПДн: «персональные данные», «обработка персональных данных», «оператор», «распространение», «предоставление», «блокирование», «обезличивание», «уничтожение персональных данных», «информационная система персональных данных», «трансграничная передача персональных данных» и иные.

2.2. Пользователь — физическое лицо, использующее Сервис. Артефакт — результат генерации, созданный нейросетевыми моделями Сервиса.

3. Принципы обработки персональных данных

Обработка персональных данных осуществляется на законной и справедливой основе; ограничивается достижением конкретных, заранее определённых и законных целей; не допускается обработка, несовместимая с целями сбора; обрабатываются только данные, отвечающие целям обработки, без избыточности; обеспечивается точность и актуальность данных; хранение осуществляется не дольше, чем этого требуют цели обработки или закон; обеспечивается безопасность персональных данных.

4. Источники получения данных

4.1. Непосредственно от Пользователя — при регистрации, авторизации, заполнении профиля, загрузке Контента, обращении в поддержку.

4.2. От сервисов аутентификации, выбранных Пользователем для входа:

— VK ID (ВКонтакте) — при входе или регистрации через VK ID;

— Яндекс ID — при входе или регистрации через Яндекс ID.

Указанные сервисы выступают самостоятельными операторами персональных данных и обрабатывают данные в соответствии с собственными политиками конфиденциальности.

4.3. Автоматически — при использовании Сервиса (технические данные устройства и сессии, см. п. 5.5).

5. Состав данных, цели и правовые основания обработки

5.1. Учётная запись и аутентификация: идентификатор пользователя у сервиса аутентификации, e-mail (если предоставлен сервисом аутентификации), имя или отображаемое имя, имя пользователя (username), ссылка на аватар (если доступна), служебные метаданные авторизации (срок действия и тип токенов доступа, объём предоставленных разрешений). Состав данных, передаваемых сервисом аутентификации, определяется настройками аккаунта Пользователя у соответствующего сервиса и согласием Пользователя при авторизации. Сервис не запрашивает данные, не необходимые для идентификации и предоставления доступа к функционалу.

Цели: регистрация и вход, ведение Аккаунта, обеспечение безопасности и предотвращение злоупотреблений.

Правовые основания: исполнение договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 Закона о ПДн); осуществление прав и законных интересов Оператора — обеспечение безопасности Сервиса (п. 7 ч. 1 ст. 6 Закона о ПДн).

5.2. Коммуникации и уведомления: адрес электронной почты, идентификатор Telegram, содержание обращений в поддержку.

Цели: ответы на обращения; направление сервисных уведомлений, связанных с работой Сервиса (статусы задач, операции с балансом, важные изменения); направление маркетинговых сообщений — только при наличии отдельного согласия.

Правовые основания: исполнение договора; согласие субъекта персональных данных (для маркетинговых сообщений — п. 1 ч. 1 ст. 6 Закона о ПДн).

5.3. Контент Пользователя: текстовые запросы (промпты), загружаемые изображения и видео, иные материалы. Такой Контент может содержать персональные данные, если Пользователь включает их по своей воле.

Цели: оказание услуг Сервиса (генерация, обработка и хранение Артефактов), модерация, разрешение споров.

Правовые основания: исполнение договора; осуществление прав и законных интересов Оператора (обеспечение качества и безопасности Сервиса).

5.4. Изображения и видео, содержащие изображение человека. Пользователь может загружать изображения и видео, на которых изображены люди, в том числе он сам.

Цели: оказание услуги генерации и обработки, модерация и обеспечение безопасности (включая автоматические проверки на запрещённый контент), разрешение инцидентов и споров.

Правовые основания: исполнение договора; осуществление прав и законных интересов Оператора.

Важно: Оператор не осуществляет распознавание личности и не создаёт биометрические шаблоны для целей установления личности; изображения обрабатываются исключительно как графические материалы для генерации и модерации. Загружая изображение третьих лиц, Пользователь подтверждает наличие согласия изображённых лиц в соответствии со статьёй 152.1 Гражданского кодекса РФ.

5.5. Технические данные, cookies и аналитика: IP-адрес, данные user-agent (тип браузера и устройства), идентификаторы сессий, события взаимодействия с интерфейсом, иные технические журналы.

Цели: обеспечение работоспособности Сервиса, статистика и улучшение функционала, безопасность и противодействие злоупотреблениям.

Правовые основания: исполнение договора (технически необходимые данные); осуществление прав и законных интересов Оператора (аналитика, противодействие злоупотреблениям).

5.6. Платёжные данные: сумма, валюта и статус транзакции, идентификатор платежа у платёжного сервиса, состав приобретённого тарифа или пакета Токенов. Полные данные банковских карт Оператором не собираются и не хранятся — ввод платёжных реквизитов осуществляется на стороне платёжного сервиса ЮKassa (YooKassa).

Цели: приём оплаты, исполнение договора, бухгалтерский и налоговый учёт, обработка возвратов.

Правовые основания: исполнение договора; исполнение обязанностей, возложенных на Оператора законодательством (п. 2 ч. 1 ст. 6 Закона о ПДн).

5.7. Использование для обучения нейросетей и публичный показ. Оператор не размещает Контент Пользователя и/или Артефакты в публичных разделах Сервиса вне Аккаунта Пользователя и не использует такие данные для обучения собственных нейросетевых моделей без отдельного согласия субъекта персональных данных. Нейросетевые провайдеры обрабатывают переданные им данные по поручению Оператора исключительно для выполнения запроса Пользователя и не используют их для обучения своих моделей или в иных собственных целях.

5.8. Оператор не обрабатывает специальные категории персональных данных и биометрические персональные данные в целях, для которых Законом о ПДн предусмотрены специальные требования. Пользователю не следует загружать в Сервис специальные категории персональных данных.

6. Cookies и локальное хранилище

6.1. Сервис использует cookies и аналогичные технологии локального хранения данных браузера, технически необходимые для работы сессий, авторизации и обеспечения безопасности, а также для аналитики использования Сервиса. Для сбора статистики посещаемости и анализа использования Сайта применяется сервис веб-аналитики Яндекс.Метрика (ООО «ЯНДЕКС»), который обрабатывает данные в соответствии с собственной политикой конфиденциальности.

6.2. Пользователь может ограничить использование cookies в настройках браузера; при этом часть функционала Сервиса может работать некорректно.

7. Права субъекта персональных данных

7.1. Пользователь имеет права, предусмотренные Законом о ПДн, в том числе: получать информацию, касающуюся обработки его персональных данных; требовать уточнения, блокирования или уничтожения персональных данных в случае их неполноты, неактуальности, неточности, незаконного получения или ненужности для заявленной цели обработки; отзывать согласие на обработку персональных данных; обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

7.2. Запросы и обращения по вопросам обработки персональных данных направляются на адрес: hello@spello.ru.

8. Условия обработки и передачи персональных данных

8.1. Безопасность персональных данных обеспечивается правовыми, организационными и техническими мерами (регламентация доступа, шифрование, журналирование и аудит доступа, резервное копирование).

8.2. Оператор не раскрывает и не распространяет персональные данные третьим лицам, кроме случаев, когда это необходимо для:

(а) предоставления Сервиса и исполнения договора — передача лицам, обрабатывающим персональные данные по поручению Оператора (поставщики облачной инфраструктуры и хостинга, нейросетевые провайдеры, сервисы рассылки уведомлений, аналитики и противодействия злоупотреблениям);

(б) аутентификации Пользователя через выбранный им сервис (VK ID, Яндекс ID), действующий как самостоятельный оператор (см. п. 8.4);

(в) приёма платежей — передача платёжному сервису ЮKassa (YooKassa), который при обработке платежей действует как самостоятельный оператор персональных данных в соответствии с собственной политикой конфиденциальности;

(г) исполнения требований законодательства Российской Федерации и законных запросов уполномоченных государственных органов;

(д) защиты прав и законных интересов Оператора и/или третьих лиц способами, не противоречащими закону;

(е) в иных случаях — при наличии согласия субъекта персональных данных.

8.3. Передача данных лицам, указанным в п. 8.2 (а), осуществляется на основании договоров (поручений на обработку), предусматривающих обязанность соблюдения конфиденциальности и безопасности, ограничение целей и объёма обработки. Передаётся минимально необходимый объём данных.

8.4. Сервисы аутентификации. VK ID (ВКонтакте) и Яндекс ID являются самостоятельными операторами персональных данных и обрабатывают данные в соответствии с собственными политиками конфиденциальности, с которыми Пользователь может ознакомиться на официальных ресурсах указанных организаций.

8.5. Перечень обработчиков. Актуальные категории получателей и лиц, осуществляющих обработку персональных данных по поручению Оператора, а также цели передачи предоставляются Пользователю по запросу на hello@spello.ru.

8.6. Локализация баз данных. Запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, расположенных на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона о ПДн.

8.7. Безопасность токенов авторизации. Токены доступа и обновления, получаемые от сервисов аутентификации, хранятся в защищённом виде; доступ к ним ограничен по принципу служебной необходимости. Срок хранения ограничен сроком действия токенов и необходимостью обеспечения входа и безопасности, после чего токены удаляются или обновляются.

8.8. Автоматизированные проверки. Для целей безопасности и модерации к загружаемым материалам и запросам могут применяться автоматические алгоритмы (например, детекторы нежелательного контента). Такие алгоритмы анализируют материалы исключительно в целях безопасности и не используются для установления личности. Юридически значимые решения, порождающие правовые последствия для Пользователя, исключительно на основе автоматизированной обработки Оператором не принимаются без обеспечения возможности обращения к Оператору.

9. Трансграничная передача персональных данных

9.1. При использовании отдельных поставщиков инфраструктуры и нейросетевых моделей, а также при взаимодействии с сервисами аутентификации может осуществляться трансграничная передача персональных данных в иностранные государства.

9.2. Трансграничная передача персональных данных осуществляется с соблюдением требований статьи 12 Закона о ПДн: до начала такой передачи Оператор исполняет предусмотренные законом обязанности и принимает необходимые меры для защиты прав субъектов персональных данных. Передача осуществляется на основаниях, предусмотренных законом, включая исполнение договора, стороной которого является субъект персональных данных, и (при необходимости) согласие субъекта.

9.3. Информация об иностранных государствах и получателях, которым передаются персональные данные, предоставляется Пользователю по запросу.

9.4. Оператор направил в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) уведомление о намерении осуществлять трансграничную передачу персональных данных в порядке, предусмотренном статьёй 12 Закона о ПДн.

10. Сроки обработки и хранения персональных данных

10.1. Персональные данные хранятся в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если иной срок не установлен законом или договором. По достижении целей обработки или в случае утраты необходимости в достижении этих целей персональные данные подлежат уничтожению или обезличиванию.

10.2. Базовые сроки хранения:

— данные Аккаунта и метаданные авторизации — в течение срока действия Аккаунта;

— переписка с поддержкой — 1 (один) год с даты завершения обращения;

— технические журналы и журналы безопасности — до 6 (шести) месяцев;

— данные платежей и связанные документы — в течение сроков, установленных законодательством о бухгалтерском учёте и налогах (по общему правилу — не менее 5 лет).

10.3. Загружаемые материалы и Артефакты. Оригиналы загруженных Пользователем изображений и видео хранятся в течение срока, необходимого для оказания услуги и обеспечения безопасности, но не более 60 (шестидесяти) дней, после чего удаляются или обезличиваются. Артефакты хранятся в Аккаунте до их удаления Пользователем или до удаления Аккаунта.

10.4. После удаления Аккаунта персональные данные удаляются в срок, предусмотренный Пользовательским соглашением, за исключением данных, обязанность хранения которых возложена на Оператора законом.

11. Реализация прав субъекта персональных данных

11.1. Запросы о доступе, уточнении, блокировании или уничтожении персональных данных направляются на hello@spello.ru. Запрос о доступе к персональным данным Оператор рассматривает в течение 10 (десяти) рабочих дней с момента его получения; срок может быть продлён не более чем на 5 (пять) рабочих дней с направлением субъекту мотивированного уведомления о причинах продления. Уточнение персональных данных в случае подтверждения их неточности производится в течение 7 (семи) рабочих дней. Прекращение неправомерной обработки и уничтожение персональных данных осуществляются в сроки, установленные статьёй 21 Закона о ПДн.

11.2. Отзыв согласия. Согласие на обработку персональных данных может быть отозвано в любой момент путём направления уведомления на указанный адрес. Отзыв согласия не влияет на законность обработки, осуществлявшейся до его получения. После отзыва согласия Оператор прекращает обработку, для которой согласие являлось единственным правовым основанием, если отсутствуют иные основания, предусмотренные законом.

11.3. Отвязка сервиса аутентификации и удаление Аккаунта. Отзыв доступа на стороне сервиса аутентификации (VK ID, Яндекс ID) не приводит к автоматическому удалению Аккаунта в Сервисе. Для полного удаления Аккаунта и связанных персональных данных Пользователю необходимо направить запрос на электронный адрес Оператора в порядке, предусмотренном Пользовательским соглашением. Оператор рассматривает такой запрос и выполняет удаление в течение 7 (семи) рабочих дней.

12. Меры по защите персональных данных

12.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в том числе: принятие локальных актов по вопросам обработки персональных данных; определение лиц, ответственных за обработку; разграничение прав доступа; шифрование данных при хранении и передаче; резервное копирование; мониторинг событий безопасности; ознакомление сотрудников с требованиями законодательства.

12.2. В случае инцидента, повлёкшего неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, Оператор принимает меры по минимизации последствий и уведомляет уполномоченный орган в течение 24 часов с момента выявления инцидента — о факте инцидента, и в течение 72 часов — о результатах внутреннего расследования, а также уведомляет субъектов персональных данных в случаях, предусмотренных Законом о ПДн.

13. Обращения государственных органов и жалобы третьих лиц

13.1. Запросы уполномоченных государственных органов исполняются в объёме и порядке, установленных законодательством Российской Федерации.

13.2. Жалобы, связанные с нарушением права на изображение и иных прав третьих лиц, принимаются на hello@spello.ru. Изображённое лицо вправе обратиться к Оператору непосредственно, независимо от наличия у него договорных отношений с Оператором. Оператор рассматривает обращение в срок не более 10 (десяти) рабочих дней и при наличии очевидного нарушения ограничивает доступ к материалу или удаляет его.

14. Изменение Политики

14.1. Политика действует бессрочно до замены её новой редакцией.

14.2. Актуальная редакция размещается по адресу https://spello.ru/legal/privacy.html. О существенных изменениях Оператор уведомляет Пользователя через Сайт и/или по электронной почте.

15. Реквизиты и контакты Оператора

Оператор: Индивидуальный предприниматель Александров Егор Михайлович

ИНН: 772830329462

ОГРНИП: 324774600739486

E-mail: hello@spello.ru