Политика обработки персональных данных

1. Сведения об операторе

2. Категории субъектов и обрабатываемых данных

2.1. Посетители Сайта

• обезличенный идентификатор сессии браузера в localStorage (ключ _mip_sid)
• хеш IP-адреса (SHA-256 с секретным ключом, необратимый при недоступе к ключу)
• хеш строки User-Agent, путь просматриваемой страницы, источник перехода (referrer)

Эти данные обрабатываются с целью внутренней аналитики посещаемости. Не передаются третьим лицам, не используются для идентификации личности.

2.2. Лица, оставившие заявку на демонстрацию через форму

• имя
• адрес электронной почты
• наименование компании (опционально)
• комментарий с описанием задачи (опционально)
• хеш IP-адреса и User-Agent (для защиты от спама)
• дата и факт проставления согласия на обработку

2.3. Пользователи Платформы (app.usemip.ru)

• логин и криптографический хеш пароля (argon2id)
• имя пользователя, адрес электронной почты, наименование организации
• загружаемые аудио- и видеозаписи рабочих встреч
• транскрипции, имена спикеров, результаты автоматического анализа
• метаданные сессий: время входов, IP, действия в системе

2.4. Участники рабочих встреч пользователей Платформы

• голосовые данные, содержащиеся в загружаемых записях
• имена, упоминаемые в записях (распознаются с помощью диаризации и связываются с реплик­ами)

⚠️ Загружая записи встреч, пользователь Платформы подтверждает, что располагает согласием всех участников встречи на обработку их персональных данных в составе записи (или иным правовым основанием по ст. 6 ФЗ-152).

3. Правовые основания и цели обработки

4. Поручение обработки третьим лицам

Оператор поручает обработку отдельных операций третьим лицам — обработчикам в смысле ч. 3 ст. 6 ФЗ-152. Все обработчики связаны письменными или электронными договорами, обязывающими их соблюдать конфиденциальность и требования законодательства РФ.

Текущие обработчики:

• ООО «Твоувеб» (Twoweb) — хостинг-провайдер серверов в Российской Федерации, на которых размещены Сайт и Платформа. timeweb.com
• Internet Security Research Group (Let's Encrypt) — выдача и обслуживание TLS-сертификатов для шифрования канала передачи. Передаются только публичные технические данные (доменное имя), персональные данные субъектов не передаются.

За пределы Российской Федерации персональные данные не передаются. Сторонние системы аналитики (Яндекс.Метрика, Google Analytics, Facebook Pixel и т. п.) на Сайте и в Платформе не подключены.

5. Условия и порядок обработки

5.1. Способы обработки

Обработка осуществляется автоматизированным и неавтоматизированным способом без передачи третьим лицам сверх перечня в п. 4.

5.2. Локализация данных

В соответствии с ч. 5 ст. 18 ФЗ-152 запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации.

Серверы расположены в дата-центрах на территории РФ.

5.3. Автоматизированные модели обработки

Для распознавания речи и анализа содержания записей применяются автономные модели машинного обучения, развёрнутые на серверах Оператора в РФ:

• Whisper — преобразование речи в текст
• Pyannote — диаризация (определение, кто говорит)
• LLM (Ollama) — резюмирование, извлечение задач и решений

Данные встреч и иные персональные данные не передаются на внешние API-сервисы (OpenAI, Google, Anthropic и т. п.).

6. Сроки обработки и хранения

• Контактные данные из формы заявки на демо — 36 месяцев с даты получения, либо до отзыва согласия субъектом
• Аудио- и видеозаписи встреч — 90 дней с момента обработки, далее удаляются автоматически
• Транскрипции и результаты анализа встреч — 12 месяцев
• Хеши IP-адресов и идентификаторы сессий (обезличенная аналитика) — 90 дней, удаляются автоматически по расписанию (ежесуточно)
• Журналы попыток входа в административную панель — 30 дней
• Журналы действий в Платформе — 12 месяцев
• Доказательство согласия (дата + версия принятой Политики) — бессрочно либо до отзыва согласия, в соответствии с рекомендациями Роскомнадзора

По истечении срока или по требованию субъекта данные удаляются необратимым способом, в том числе из резервных копий в течение разумного срока (обычно до 90 дней).

7. Меры защиты

Оператор применяет правовые, организационные и технические меры защиты в соответствии с ч. 1 ст. 19 ФЗ-152, Постановлением Правительства РФ № 1119, Приказом ФСТЭК России № 21 (для ИСПДн уровня защищённости 4):

• Шифрование канала передачи данных (TLS 1.2+, HTTPS)
• Хранение паролей в виде криптографических хешей (argon2id)
• Обезличивание IP-адресов и идентификаторов браузера через SHA-256 с секретным ключом
• Разграничение доступа на уровне операционной системы, СУБД и приложения
• Защита от автоматизированного спама: honeypot, временные ловушки, ограничение частоты запросов
• Журналирование действий администраторов и операций с персональными данными; маскировка персональных данных в логах
• Регулярное резервное копирование на серверах в Российской Федерации
• Назначение лица, ответственного за организацию обработки персональных данных
• Принятие локального акта, регулирующего обработку персональных данных (внутренний документ Оператора)

8. Разграничение доступа в Платформе

Платформа обеспечивает разграничение доступа на уровне проектов. Пользователь видит только данные тех проектов, в которых он является участником. Администратор Платформы имеет полный доступ ко всем данным в рамках исполнения служебных обязанностей.

9. Права субъекта персональных данных

В соответствии со ст. 14–17, 20, 21 ФЗ-152 субъект персональных данных имеет право:

• получать сведения о наличии и характере обрабатываемых о нём данных (ст. 14)
• требовать уточнения, исправления неполных или неточных данных (ст. 14, 21)
• требовать удаления своих персональных данных, если они получены незаконно или больше не нужны для целей обработки (ст. 21)
• требовать ограничения обработки своих персональных данных (ст. 21)
• отозвать согласие на обработку персональных данных в любой момент (ч. 2 ст. 9)
• обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке (ст. 17)
• требовать возмещения убытков и компенсации морального вреда (ст. 17 ч. 2)

Порядок реализации прав

Запрос можно направить:

• через специальную форму на странице /privacy/request
• на email info@usemip.ru с пометкой «Запрос ФЗ-152»
• в Telegram @aleksandr_legeza

Срок рассмотрения и ответа — не более 30 дней с момента получения запроса (ст. 20 ч. 1).

10. Согласие на обработку

Согласие предоставляется субъектом одним из следующих способов:

• проставление отметки в чекбоксе при отправке формы заявки на демо на Сайте
• регистрация и принятие условий при использовании Платформы
• загрузка записи встречи в Платформу (для пользователей Платформы)

Факт проставления согласия (дата, время, версия настоящей Политики) фиксируется в базе данных в момент действия и хранится в качестве доказательства согласия.

Субъект вправе отозвать согласие в любой момент способами, указанными в п. 9.

11. Cookie и локальные технические средства

На Сайте используются следующие технические средства:

• Cookie сессии администратора (mip_demo_admin, mip_demo_csrf) — устанавливаются только после входа в административную панель. Используются для авторизации и защиты от CSRF-атак. На обычных посетителей не устанавливаются.
• localStorage _mip_sid — псевдослучайный 24-символьный идентификатор сессии браузера для подсчёта уникальных посещений в самостоятельно размещённой аналитике.
• localStorage _mip_notice_v1 — флаг подтверждения ознакомления с уведомлением о технических средствах.

Вы можете очистить локальное хранилище браузера через настройки приватности — это сбросит идентификатор _mip_sid и приведёт к новой сессии.

Сторонние системы аналитики (Яндекс.Метрика, Google Analytics, Facebook Pixel и т. п.) на Сайте не подключены.

12. Действия при инцидентах безопасности

В случае выявления неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов:

• В течение 24 часов с момента выявления Оператор уведомляет Роскомнадзор о произошедшем инциденте (ч. 3.1 ст. 21 ФЗ-152)
• В течение 72 часов предоставляет Роскомнадзору информацию о результатах внутреннего расследования
• Уведомляет затронутых субъектов персональных данных при наличии существенного риска для их прав и свобод
• Принимает меры для прекращения неправомерной обработки и устранения её последствий

13. Изменения политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда публикуется по адресу /privacy. Дата последнего обновления указана в начале документа. Существенные изменения вступают в силу не ранее чем через 7 дней после публикации.

Если изменения затрагивают цели обработки или категории передаваемых данных, требующих нового согласия, Оператор запрашивает согласие повторно.

14. Контакты и обжалование

Контактные данные Оператора указаны в п. 1 настоящей Политики.

Жалоба на действия Оператора направляется:

• Оператору — по контактам в п. 1 (досудебный порядок)
• В Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — rkn.gov.ru
• В суд по месту жительства или по местонахождению Оператора