Войти

    Политика обработки персональных данных

    NeuroAPI (neuroapi.host) Редакция от 04.09.2025 (версия 1.1)

    Эта редакция учитывает актуальные требования 152‑ФЗ (с учётом изменений 2025 года), практику РКН, а также сведения, которые оператор указывает в уведомлении в реестр операторов ПД.

    1. Оператор и ответственный

    Оператор ПД: Индивидуальный предприниматель Седых Роман Викторович, ИНН 120305100943, ОГРНИП 324385000035894; регион регистрации: Иркутская область, Иркутский район, с. Хомутово.

    Ответственный за организацию обработки ПД: Седых Р.В.; контакт: privacy@neuroapi.host.

    Сайт:https://neuroapi.host

    Почтовый адрес для корреспонденции: предоставляется по запросу субъекта ПД.

    2. Роль сервиса и ограничение по содержимому

    2.1. Сервис предоставляет техническую прокси‑передачу запросов/ответов между Пользователем и внешними LLM‑провайдерами без записи содержимого (ни запросов, ни ответов).

    2.2. Пользователь не должен отправлять через Сервис персональные данные третьих лиц, свои биометрические и иные специальные категории ПД. Любая отправка ПД в запросах — на риск Пользователя.

    2.3. Контент запросов/ответов не сохраняется и не выгружается; внутренняя статистика ведётся только в агрегированном виде по всем пользователям и не содержит ПД.

    3. Категории субъектов ПД

    • Физические лица — пользователи сервиса.
    • Представители/контактные лица B2B‑клиентов (при работе по ЭДО/счётам).

    4. Состав ПД (перечень)

    • Идентификационные данные: e‑mail, логин, внутренний идентификатор пользователя.
    • Аутентификация: хэш пароля; токены/идентификаторы сессий.
    • Технические данные: IP‑адрес, cookie/идентификаторы сессии, user‑agent.
    • Платёжные события: статусы и идентификаторы транзакций (через Робокассу); платёжные реквизиты у Оператора не принимаются и не хранятся.
    • Коммуникации с поддержкой: содержание обращения и предоставленные контакты.
    • B2B‑обращения: ФИО, компания, телефон, содержание обращения; технические параметры отправки (время, IP, user‑agent, страница, UTM) — в объёме, необходимом для обработки заявки.
    • • • • • • •

    Аналитика посещаемости: агрегированные события Яндекс.Метрики (без записи содержимого запросов; WebVisor выключён на авторизации/оплате).

    Специальные категории ПД и биометрические ПД не обрабатываются.

    5. Цели обработки и правовые основания

    • Регистрация учётной записи, предоставление доступа к сервису, расчёт/списание услуг — исполнение договора (публичной оферты).
    • Обеспечение работоспособности, информационная безопасность, предотвращение злоупотреблений — законный интерес оператора.
    • Веб‑аналитика (Яндекс.Метрика) — только на основании отдельного согласия (баннер cookie).
    • Маркетинговые рассылки не осуществляются.

    6. Источники и способы получения ПД

    ПД предоставляются субъектами напрямую при регистрации/использовании сайта и в рамках расчётов; данные от третьих лиц (кроме обработчиков по договору поручения) не получаются.

    7. Операции с ПД

    Сбор, запись, систематизация, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление обработчикам), блокирование, удаление, уничтожение — в объёме, необходимом для целей обработки. Обработка ведётся автоматизированно; принятия решений, порождающих правовые последствия для субъекта исключительно на основе автоматизированной обработки, не осуществляется.

    8. Локализация, место обработки и трансграничная передача

    8.1. Первичная запись, систематизация и хранение учётных ПД граждан РФ осуществляются на территории РФ в дата‑центрах АО «Селектел».

    8.2. Трансграничная передача ПД не осуществляется; результаты обработки ПД не предоставляются иностранным лицам, за исключением случаев, прямо предусмотренных законодательством РФ.

    9. Передача ПД обработчикам (по договорам поручения)

    • АО «Селектел» — хостинг/ДЦ (РФ).
    • ООО «РОБОКАССА» — приём платежей (оператор собственных ПД плательщика; оператору передаются только статусы транзакций).
    • • • • • • •

    ООО «Яндекс» (Яндекс.Метрика) — аналитика посещаемости сайта при наличии согласия субъекта. Передача осуществляется только в пределах целей обработки и по договорным обязательствам о мерах защиты.

    10. Сроки хранения и уничтожение

    • Учётные ПД — срок действия аккаунта и до 3 лет после удаления (для расчётов/претензий/исполнения закона).
    • Платёжные события/первичные документы — по требованиям бух./налогового учёта (обычно 5 лет).
    • Техжурналы метаданных API (без содержимого) — до 12 месяцев для целей ИБ и расследования инцидентов.
    • Cookie/аналитика — по настройкам баннера/браузера (обычно до 12 месяцев).
    • По достижении целей — уничтожение ПД.

    11. Безопасность ПД

    Организационные и технические меры по ПП РФ No 1119: разграничение доступа; учёт действий; 2FA (при наличии); шифрование каналов (TLS 1.3); хэширование паролей (Argon2id); шифрование резервных копий; хранение секретов в защищённом хранилище; отключение WebVisor на авторизации/оплате.

    Инциденты ПД: при выявлении — уведомление Роскомнадзора в сроки, установленные приказом No 187 (первичное в 24 часа; доп. сведения — по запросу).

    12. Обезличивание ПД

    Оператор не осуществляет обезличивание ПД и не формирует обезличенные наборы на постоянной основе. Внутренняя статистика — только агрегаты по всем пользователям, без ПД. При поступлении законного требования (ст. 13.1 152‑ФЗ) оператор действует в соответствии с установленными процедурами и сроками.

    13. Cookie и аналитика (отдельное согласие)

    13.1. На сайте используются cookie, необходимые для авторизации и защиты (правовая база — договор/законный интерес).

    13.2. Яндекс.Метрика применяется только для аналитики посещаемости и активируется только после явного согласия в баннере cookie (кнопка «Принять аналитику»). До согласия — только необходимые cookie.

    13.3. Состояние согласия и версия баннера фиксируются; отказ не ограничивает доступ к сервису.

    • • • • •

    14. Права субъектов ПД и порядок обращений

    Субъект вправе запросить сведения об обработке, потребовать уточнения, удаления/ограничения ПД, отозвать согласие на аналитику. Запрос направляется на privacy@neuroapi.host с указанием e‑mail аккаунта; ответ — в течение 30 дней. Содержимое запросов к моделям не хранится и не может быть предоставлено.

    15. Дети

    Сервис не предназначен для лиц младше 18 лет; данные несовершеннолетних намеренно не собираются.

    16. Изменения Политики

    Актуальная версия публикуется на /privacy с датой редакции. Существенные изменения могут сопровождаться уведомлением в ЛК/e‑mail.

    17. Реквизиты и контакты

    Оператор: ИП Седых Роман Викторович

    ИНН: 120305100943

    ОГРНИП: 324385000035894 (02.04.2024)

    Регион: Иркутская область, Иркутский район, с. Хомутово (РФ)

    E‑mail для обращений по ПД:privacy@neuroapi.host

    Сайт:https://neuroapi.host

    Приложения (часть Политики)

    Приложение A. Баннер‑согласие на аналитику (отдельный документ/форма)

    Текст: «Мы используем Яндекс.Метрику для аналитики посещаемости. Подробнее — в Политике ПД.»

    Кнопки: [Принять аналитику] · [Только необходимые]

    Логика: до согласия Метрика не активируется; при «Принять аналитику» — включается; логируется anon_id/user_id, ts, ip, ua, version, choice.

    Приложение B. Сведения, соответствующие полям уведомления в РКН

    Цели: регистрация/авторизация; оказание услуг доступа к сервису; расчёты; ИБ; веб‑аналитика (при согласии).

    • Категории субъектов: пользователи‑физлица; представители B2B‑клиентов.
    • Перечень ПД: см. разд. 4.
    • Операции: см. разд. 7.
    • Категории/перечень обработчиков: Selectel (хостинг), Робокасса (платежи — статусы), Яндекс.Метрика (аналитика при согласии).
    • Место БД: РФ (Selectel).
    • Трансграничная передача: не осуществляется.
    • Меры защиты: см. разд. 11 (TLS 1.3, Argon2id, шифрование бэкапов и пр.).
    • Ответственный за ПД: см. разд. 1.
    • Автоматизированные решения/профилирование: не осуществляются.
    • Источники: данные от субъектов через сайт/ЛК.

    Приложение C. Принятие документов (чекбокс в ЛК)

    Принимаю Оферту, Правила, Политику ПД и AUP. (без фразы «даю согласие на обработку ПД» — согласие требуется только для аналитики, см. Приложение A)

    Приложение D. Регламент инцидентов ПД (кратко)

    — Первичное уведомление РКН — до 24 часов; доп. сведения — по запросу/в установленные сроки.

    — Уведомление затронутых пользователей (при необходимости); рекомендации по смене пароля/2FA.

    Приложение E. «No content logs» (техническая политика)

    — Контент запросов/ответов не пишется; логи только метаданные (время, объём, маршрут, статусы/ошибки).

    — Диагностические дампы с payload запрещены; swap отключён; доступ к прод‑логам ограничен.

    Настоящая Политика утверждена ИП Седых Р.В. и действует бессрочно до замены новой редакцией.

    • • • • • • • • • •