Политика конфиденциальности

Настоящая Политика обработки персональных данных (далее — «Политика») разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, принятые индивидуальным предпринимателем Насыровым Русланом Мамедовичем (далее — «Оператор»).

Политика распространяется на персональные данные пользователей сервиса «Сонграйтер», доступного через Telegram-бот @easysongbot, бот в мессенджере MAX, сообщество и Mini App во ВКонтакте, а также веб-приложение easysong.ru и связанные с ним поддомены.

Начало использования любой из платформ сервиса означает согласие пользователя с настоящей Политикой и с обработкой его персональных данных на условиях, изложенных ниже.

1. Общие положения

1.1. Оператор персональных данных: индивидуальный предприниматель Насыров Руслан Мамедович (ИНН 693100847030, ОГРНИП 317695200006655, адрес: 171210, Тверская обл., г. Лихославль, ул. Пролетарская, д. 3, кв. 37).

1.2. Контактный адрес для обращений субъектов персональных данных: support@easysong.ru.

1.3. Лицо, ответственное за организацию обработки персональных данных у Оператора, — Насыров Р.М.

1.4. Политика применяется ко всем персональным данным, получаемым Оператором в связи с использованием сервиса Сонграйтер.

2. Категории субъектов и состав обрабатываемых данных

Оператор обрабатывает персональные данные следующих категорий субъектов: пользователи сервиса (физические лица), потенциальные пользователи (посетители сайта), плательщики и получатели подарочных платежей.

2.1. Данные, получаемые от мессенджеров и социальных сетей

Платформа	Состав данных
Telegram	Telegram ID, username, имя и фамилия из профиля, язык интерфейса, ссылка на аватар (при наличии)
MAX	MAX user ID, имя, ссылка на аватар (при наличии)
ВКонтакте	VK ID, имя и фамилия, ссылка на профиль, ссылка на аватар (при наличии)

2.2. Данные, получаемые при веб-авторизации

• адрес электронной почты;
• одноразовые коды подтверждения (хранятся ограниченное время);
• идентификаторы сессий, токены авторизации, cookies (в том числе session_token, vc_anon_token);
• IP-адрес устройства, User-Agent браузера, время входа.

2.3. Данные об использовании сервиса

• тексты пользовательских запросов и промптов для генерации;
• загружаемые пользователем изображения, аудиофайлы, тексты;
• результаты генерации (аудиокомпозиции, тексты, изображения, видео);
• история действий: создание, продление, изменение, удаление контента;
• настройки и предпочтения, сохранённые персоны (тексты и голосовые модели);
• история сообщений в AI-чате сервиса.

2.4. Платёжные данные

• история покупок: дата, сумма, выбранный пакет алмазов, статус оплаты, идентификатор транзакции;
• адрес электронной почты для отправки фискального чека (если не был указан ранее);
• данные о реферальных начислениях и заявках на вывод (включая указанные пользователем реквизиты получения средств).

Реквизиты банковских карт не сохраняются Оператором и обрабатываются исключительно платёжными провайдерами в их защищённой среде.

2.5. Биометрические персональные данные

При подключении услуг клонирования голоса и создания «поющего фото» Оператор обрабатывает биометрические персональные данные:

• аудиозапись голоса пользователя (~1 минута речи) и обученную на её основе голосовую модель (voice ID);
• фотоизображение лица пользователя или иного физического лица, в отношении которого пользователь подтвердил наличие согласия;
• видеоматериалы, синтезированные на основе указанных данных.

Обработка биометрических данных осуществляется исключительно на основании отдельного письменного согласия пользователя — см. Согласие на обработку биометрических персональных данных.

2.6. Аналитические данные

• Yandex Metrica Client ID, события поведения на сайте, веб-визор-записи (без полей с персональными данными);
• Google Analytics 4 Client ID, события и параметры устройства;
• Top.Mail.Ru / VK Ads vid (анонимный идентификатор посетителя), внутренний идентификатор пользователя сайта (users.id) для серверного сопоставления конверсий, факты совершения целевых действий (регистрация, создание первой песни, оплата). Персональные данные (email, телефон, имя) не передаются;
• UTM-метки, реферальные параметры startapp, источники и каналы переходов, Yandex Direct yclid, VK Ads rb_clickid;
• параметры устройства: тип устройства, операционная система, разрешение экрана, язык, регион;
• сводные показатели использования сервиса для расчёта unit-экономики.

2.5. Биометрические персональные данные (специальная категория):

При использовании функции клонирования голоса (создание цифровой копии голоса для синтеза вокала в песнях) обрабатываются биометрические персональные данные:

• Аудиозапись голоса пользователя (15–180 секунд исходной записи)
• Аудиозапись контрольной фразы (3–20 секунд)
• Цифровая модель голоса (voice persona)

Обработка биометрических данных осуществляется только при наличии отдельного письменного согласия пользователя в соответствии со ст. 11 152-ФЗ. Полные условия — см. Согласие на обработку биометрических данных.

Биометрические данные передаются обработчику Kie.ai (юрисдикция: Гонконг, КНР) для технологической реализации синтеза голоса. Передача только аудиозаписи и пола голоса. ФИО, контактные данные, идентификаторы аккаунта в составе биометрических данных не передаются. Срок хранения — до отзыва согласия пользователем.

Голосовые сообщения, отправляемые пользователем в AI-чат, не являются биометрическими данными в смысле 152-ФЗ — они транскрибируются через сервис OpenAI Whisper в текст, аудиозаписи не сохраняются.

3. Цели обработки персональных данных

Персональные данные обрабатываются исключительно в следующих целях:

• Заключение и исполнение договора: предоставление пользователю доступа к сервису, идентификация и авторизация, ведение баланса алмазов, обработка платежей и возвратов;
• Оказание услуг: генерация контента по запросам пользователя, хранение и предоставление доступа к результатам, доставка уведомлений о готовности генераций (push-сообщения, WebSocket);
• Биометрическая идентификация и синтез: создание и хранение голосовой модели пользователя, генерация «поющего фото» — исключительно при наличии действующего согласия;
• Реферальная программа и подарки: учёт привлечённых пользователей, начисление и выплата вознаграждения, активация подарочных платежей;
• Поддержка пользователей: обработка обращений, расследование инцидентов, возврат алмазов и денежных средств;
• Безопасность сервиса: противодействие мошенничеству, накруткам, нарушениям контент-политики, защите от автоматизированных атак;
• Аналитика и улучшение сервиса: обезличенный анализ использования, расчёт unit-экономики и эффективности маркетинговых каналов, тестирование интерфейсов;
• Маркетинг и коммуникация: направление информационных сообщений о новых функциях, акциях и важных изменениях в сервисе через мессенджеры и электронную почту, при наличии действующего согласия;
• Соблюдение законодательства: исполнение требований налогового, бухгалтерского и иного законодательства Российской Федерации, в том числе требований о фискализации платежей.

4. Правовые основания обработки

Обработка персональных данных осуществляется Оператором на следующих основаниях:

• пункт 5 части 1 статьи 6 152-ФЗ — обработка необходима для исполнения договора с субъектом персональных данных (Публичная оферта сервиса);
• пункт 1 части 1 статьи 6 152-ФЗ — согласие субъекта на обработку персональных данных, выраженное путём начала использования сервиса и (или) проставления соответствующей отметки в интерфейсе;
• пункт 7 части 1 статьи 6 152-ФЗ — обработка необходима для достижения законных интересов Оператора (обеспечение безопасности, аналитика, противодействие мошенничеству) при условии непревышения интересов и прав субъекта;
• часть 1 статьи 11 152-ФЗ — отдельное письменное согласие субъекта на обработку биометрических персональных данных;
• пункт 2 части 1 статьи 6 152-ФЗ — обработка необходима для достижения целей, предусмотренных законом (Налоговый кодекс РФ, Федеральный закон № 54-ФЗ).

5. Способы и сроки обработки

5.1. Обработка персональных данных осуществляется как автоматизированными средствами (на серверах Оператора и привлекаемых поставщиков), так и без использования средств автоматизации — при обращении в поддержку.

5.2. Сроки хранения персональных данных:

Категория данных	Срок хранения
Учётная запись и связанные с ней данные использования	В течение всего периода активного использования сервиса и 3 года после последней активности
Биометрические данные (голос, изображения лиц, голосовые модели)	До отзыва согласия или до удаления по обращению пользователя; не более 1 года после прекращения использования соответствующих функций
Платёжные операции и фискальные чеки	5 лет с даты совершения операции — требование налогового и бухгалтерского законодательства
Согласия и отзывы согласий	3 года с даты получения / отзыва
Логи системы, журналы доступа	До 90 дней
Аналитические события Yandex Metrica, Google Analytics и Top.Mail.Ru / VK Ads	В соответствии с политикой соответствующего сервиса (как правило, до 25 месяцев)

5.3. По истечении сроков хранения персональные данные подлежат уничтожению либо обезличиванию.

6. Передача персональных данных третьим лицам

Оператор передаёт персональные данные третьим лицам исключительно в объёме, необходимом для оказания услуг, и при условии обеспечения этими лицами требований законодательства о защите персональных данных.

6.1. Привлекаемые лица, осуществляющие обработку по поручению Оператора

Категория	Поставщик	Цель передачи
Мессенджеры	Telegram FZ-LLC, ВКонтакте (ООО «В Контакте»), MAX (ООО «Коммуникационная платформа»)	Доставка сообщений, авторизация пользователей
Платёжные системы	Robokassa (ООО «Бизнес Технологии»), ЮKassa (ООО НКО «ЮMoney»)	Приём платежей, формирование фискальных чеков
AI-провайдеры (музыка, видео, изображения)	Kie.ai, SunoAPI.org, HeyGen, Akool	Генерация музыкальных композиций, видео, «поющего фото», изображений
AI-провайдеры (тексты, AI-чат)	DeepSeek, OpenAI, Anthropic, CometAPI	Генерация и редактирование текстов песен, работа AI-чата, эмбеддинги для поиска по FAQ
Облачное хранилище	Yandex Cloud (Yandex Object Storage), Beget S3	Хранение аудио, видео и изображений, созданных в сервисе
Электронная почта	Unisender (ООО «Юнисендер Рус»), SMTP-сервис хостинг-провайдера	Отправка кодов подтверждения, фискальных чеков и информационных писем
Веб-аналитика	Yandex Metrica (ООО «Яндекс»), Google Analytics 4 (Google LLC), Top.Mail.Ru / VK Ads (ООО «ВК», ИНН 7743001840)	Сбор и анализ обезличенной статистики посещений, измерение эффективности рекламы
Хостинг и инфраструктура	Beget	Размещение серверов сервиса, СУБД, файловое хранилище

6.2. Передача государственным органам

Персональные данные могут быть переданы органам государственной власти и иным уполномоченным органам и должностным лицам в случаях, предусмотренных законодательством Российской Федерации, и в установленном законом порядке.

6.3. Условия передачи

С привлекаемыми лицами заключены договоры (приняты публичные оферты соответствующих сервисов), предусматривающие обязанность соблюдения конфиденциальности и обеспечения безопасности персональных данных. Передача осуществляется только в объёме, необходимом для достижения целей обработки.

7. Трансграничная передача персональных данных

7.1. Оператор осуществляет трансграничную передачу персональных данных в страны, обеспечивающие адекватную защиту прав субъектов персональных данных (по перечню Роскомнадзора), а также в страны, не обеспечивающие адекватной защиты, — при наличии согласия субъекта или иных оснований, предусмотренных статьёй 12 152-ФЗ.

7.2. Основные направления трансграничной передачи:

• США — OpenAI, Anthropic, Google LLC (Google Analytics);
• Гонконг / Сингапур — Kie.ai, CometAPI, SunoAPI;
• Объединённые Арабские Эмираты — Telegram FZ-LLC;
• иные юрисдикции — в случае изменения географии серверов привлекаемых поставщиков.

7.3. Оператор уведомляет Роскомнадзор о трансграничной передаче персональных данных в порядке, установленном статьёй 12 152-ФЗ. Начало использования соответствующих функций сервиса означает согласие пользователя на трансграничную передачу его данных в указанных целях.

8. Меры защиты персональных данных

8.1. Технические меры

• передача данных по защищённым каналам с применением протокола TLS (HTTPS);
• хранение паролей и токенов в виде криптографических хешей или зашифрованного представления;
• разграничение прав доступа к базам данных, ведение журналов доступа;
• регулярное резервное копирование данных;
• защита периметра инфраструктуры (firewall, ограничение доступа по IP, защита от автоматизированных атак).

8.2. Организационные меры

• назначение лица, ответственного за организацию обработки персональных данных;
• принятие настоящей Политики и иных локальных актов по вопросам защиты данных;
• учёт носителей с персональными данными и контроль уничтожения;
• ограничение круга лиц, имеющих доступ к персональным данным, обязательством о неразглашении;
• регулярная оценка эффективности принимаемых мер.

9. Права субъектов персональных данных

Субъект персональных данных имеет право:

• получать сведения, касающиеся обработки его персональных данных (статья 14 152-ФЗ);
• требовать уточнения, блокирования или уничтожения своих данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать ранее данное согласие на обработку персональных данных, в том числе на обработку биометрических данных и на получение информационных рассылок;
• обжаловать действия или бездействие Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и в судебном порядке;
• защищать свои права и законные интересы, в том числе требовать возмещения убытков и (или) компенсации морального вреда в судебном порядке.

10. Порядок реализации прав

10.1. Обращения субъектов персональных данных направляются Оператору:

• по электронной почте: support@easysong.ru;
• почтовым отправлением по адресу Оператора, указанному в разделе 1.

10.2. Обращение должно содержать:

• сведения, позволяющие идентифицировать субъекта (ФИО или используемые в сервисе идентификаторы — Telegram ID, e-mail, VK ID и т.п.);
• сведения, подтверждающие участие субъекта в отношениях с Оператором, либо иные сведения, позволяющие подтвердить факт обработки персональных данных Оператором;
• подпись субъекта или его представителя (для письменных обращений). При обращении по электронной почте достаточно отправки с адреса, указанного в учётной записи пользователя.

10.3. Сроки ответа:

• предоставление сведений об обработке — 10 рабочих дней с даты получения обращения, с возможностью однократного продления ещё на 5 рабочих дней с уведомлением субъекта;
• уточнение или уничтожение данных — 7 рабочих дней с даты получения подтверждающих документов;
• отзыв согласия — обработка прекращается в течение 30 дней с момента получения отзыва (за исключением случаев, когда продолжение обработки требуется законом).

10.4. Удаление учётной записи и связанных данных доступно пользователю самостоятельно через интерфейс сервиса либо по обращению в поддержку.

11. Cookies и аналогичные технологии

11.1. На страницах сервиса используются следующие типы cookies:

• технические — необходимы для работы сервиса (сессии, защита от подделки запросов, сохранение настроек интерфейса). Эти cookies нельзя отключить без потери функциональности;
• аналитические — Yandex Metrica, Google Analytics 4 и Top.Mail.Ru / VK Ads, собирают обезличенную статистику посещений и измеряют эффективность рекламы;
• маркетинговые — идентификаторы рекламных кампаний (UTM, yclid), используемые для оценки эффективности привлечения пользователей.

11.2. Пользователь может управлять cookies в настройках своего браузера, в том числе отключить их сохранение. Отключение технических cookies может ограничить доступ к отдельным функциям сервиса.

11.3. Сессионные cookies сервиса передаются только по защищённому соединению (флаг Secure) и недоступны из клиентского JavaScript (флаг HttpOnly).

12. Обработка данных несовершеннолетних

12.1. Сервис не предназначен для систематического использования лицами, не достигшими 18 лет.

12.2. Использование лицами в возрасте от 14 до 18 лет допускается только с согласия законных представителей. Платные функции и функции, связанные с обработкой биометрических персональных данных (клонирование голоса, поющее фото), доступны исключительно лицам, достигшим 18 лет.

12.3. При выявлении факта обработки персональных данных лица, не достигшего 14 лет, без согласия законных представителей, такие данные подлежат удалению в кратчайший срок.

13. Обработка персональных данных до регистрации

13.1. Часть функций сервиса (анонимная демонстрационная генерация на странице easysong.ru/app, создание анонимного клона голоса) доступна до прохождения полной регистрации.

13.2. При использовании указанных функций Оператор обрабатывает технические идентификаторы (cookie vc_anon_token, IP-адрес, User-Agent) и, при создании анонимного клона голоса, — биометрические данные пользователя.

13.3. Анонимные заявки и сопутствующие данные хранятся не более 24 часов с момента создания, после чего автоматически удаляются. Если в течение этого срока пользователь завершит регистрацию через одну из платформ, его анонимные данные переносятся на созданную учётную запись.

13.4. Анонимный клон голоса, не привязанный к учётной записи, удаляется в течение 7 календарных дней.

14. Изменения Политики

14.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда размещена по адресу https://easysong.ru/privacy.

14.2. О существенных изменениях, влияющих на состав обрабатываемых данных, цели обработки или круг привлекаемых лиц, Оператор уведомляет пользователей через сообщения в одной из платформ сервиса и (или) по электронной почте, указанной в учётной записи.

14.3. Продолжение использования сервиса после публикации новой редакции означает согласие пользователя с её условиями.

15. Контактная информация