Обновлено: 18 мая 2026Версия 1.0

Политика конфиденциальности

Настоящая Политика обработки персональных данных (далее — «Политика») разработана администрацией платформы RubikBot (далее — «Оператор») в соответствии со статьёй 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных пользователей платформы и принимаемые меры по обеспечению безопасности персональных данных. Политика дополняет Публичную оферту (/legal/offer) и Условия использования (/legal/terms). На текущем этапе (альфа-режим, середина 2026 года) Оператор завершает регистрацию юридического лица; полные реквизиты будут опубликованы в разделе 22 после регистрации.

1. Термины и определения

В настоящей Политике используются следующие термины:

  1. 1.1.«Персональные данные» (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн).
  2. 1.2.«Оператор» — администрация платформы RubikBot, организующая и осуществляющая обработку персональных данных.
  3. 1.3.«Субъект ПДн» — физическое лицо, чьи персональные данные обрабатываются Оператором (пользователи платформы, контактные лица юридических лиц-клиентов, кандидаты на работу, посетители сайта).
  4. 1.4.«Обработка ПДн» — любые действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
  5. 1.5.«Автоматизированная обработка» — обработка с помощью средств вычислительной техники.
  6. 1.6.«Согласие на обработку» — свободное, конкретное, информированное и сознательное выражение воли субъекта ПДн на обработку его данных.
  7. 1.7.«Трансграничная передача» — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
  8. 1.8.«Конфиденциальность ПДн» — обязательное для соблюдения Оператором требование не допускать распространение персональных данных без согласия субъекта или наличия иного законного основания.
  9. 1.9.«Уничтожение ПДн» — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе или уничтожаются материальные носители.
  10. 1.10.«Информационная система ПДн» (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. Общие положения и правовые основания

  1. 2.1.Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом РФ (ст. 152 — компенсация морального вреда, ст. 152.2 — охрана частной жизни), Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», иными нормативными правовыми актами Российской Федерации.
  2. 2.2.Действие Политики распространяется на все процессы Оператора по сбору, записи, систематизации, накоплению, хранению, уточнению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению и уничтожению персональных данных.
  3. 2.3.Положения Политики являются обязательными для всех сотрудников Оператора и применяются ко всем системам, в которых обрабатываются персональные данные пользователей и иных субъектов ПДн.
  4. 2.4.Политика подлежит размещению на сайте rubikbot.com в свободном доступе для неограниченного круга лиц в соответствии с частью 2 статьи 18.1 ФЗ-152.
  5. 2.5.Политика составлена на русском языке. В случае разработки переводов на иные языки приоритет имеет русскоязычная редакция.

3. Принципы обработки персональных данных

Обработка персональных данных в RubikBot осуществляется на основе следующих принципов (статья 5 ФЗ-152):

  1. 3.1.Законность и справедливость — обработка осуществляется на законном и справедливом основании, не для целей, противоречащих законодательству и общественной морали.
  2. 3.2.Ограничение целей — обработка ограничена достижением конкретных, заранее определённых и законных целей. Не допускается обработка, несовместимая с целями сбора.
  3. 3.3.Совместимость с целями — не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
  4. 3.4.Минимизация — обрабатываются только те данные, которые необходимы для заявленных целей, в минимально необходимом объёме.
  5. 3.5.Точность и актуальность — Оператор принимает меры для обеспечения точности и актуальности персональных данных, своевременного обновления или удаления неполных, неточных или устаревших данных.
  6. 3.6.Ограничение хранения — данные хранятся в форме, позволяющей определить субъекта, не дольше, чем требуется для целей обработки, после чего подлежат удалению или обезличиванию.
  7. 3.7.Безопасность — применяются необходимые правовые, организационные и технические меры защиты данных от несанкционированного доступа, изменения, распространения и уничтожения.
  8. 3.8.Прозрачность — субъект ПДн информируется об обработке его данных в доступной форме до начала обработки.

4. Состав обрабатываемых персональных данных

Оператор обрабатывает следующие категории персональных данных:

  1. 4.1.Учётные данные пользователя: адрес электронной почты (обязательно), имя или псевдоним (необязательно), фотография профиля (необязательно), хеш пароля (Argon2id — не позволяет восстановить исходный пароль).
  2. 4.2.Данные авторизации через сторонних поставщиков (OAuth): идентификатор пользователя в Google или Yandex, отображаемое имя, адрес электронной почты, ссылка на фотографию профиля.
  3. 4.3.Платёжные метаданные: дата и сумма платежа, метод оплаты (без реквизитов карты — данные карты обрабатываются ЮKassa), идентификатор транзакции, результат проведения, реквизиты юридического лица при платежах по счёту.
  4. 4.4.Технические данные использования: IP-адрес устройства, время запросов, тип браузера и операционной системы, разрешение экрана, языковые настройки, идентификаторы сессии.
  5. 4.5.Содержимое запросов к нейросетям: текст, изображения, голос, файлы, которые пользователь отправляет в платформу. Эти данные передаются провайдеру выбранной нейросети для получения ответа.
  6. 4.6.Ответы нейросетей: тексты, изображения, аудио, файлы, сгенерированные нейросетями в ответ на запросы пользователя.
  7. 4.7.История диалогов: связь между запросами, ответами, выбранными моделями, потреблёнными токенами в разрезе сессий пользователя.
  8. 4.8.Метрики использования сервиса: количество запросов, потреблённых токенов, длительность сессий, типы ошибок, доля использования каждой модели.
  9. 4.9.Данные технической поддержки: содержание обращений на support@rubikbot.com, sales@rubikbot.com, privacy@rubikbot.com, security@rubikbot.com.
  10. 4.10.Маркетинговые предпочтения: согласие на рассылки, источники привлечения, реферальные коды.

Оператор не обрабатывает специальные категории персональных данных (статья 10 ФЗ-152) — расовая принадлежность, политические взгляды, состояние здоровья, интимная жизнь, биометрические данные — за исключением случаев, когда субъект ПДн самостоятельно загружает такие данные в содержимом запросов к нейросетям. В этом случае субъект ПДн принимает на себя ответственность за загрузку специальных категорий и подтверждает наличие правовых оснований по статье 10 ФЗ-152.

5. Категории субъектов персональных данных

Оператор обрабатывает данные следующих категорий субъектов ПДн:

  1. 5.1.Пользователи платформы — физические лица, прошедшие регистрацию и использующие сервисы RubikBot.
  2. 5.2.Контактные лица клиентов — юридических лиц — сотрудники компаний-клиентов, указанные в качестве контактных при заключении договора по тарифу Business или при оплате по счёту.
  3. 5.3.Кандидаты на работу — физические лица, направившие резюме на jobs@rubikbot.com или иным образом откликнувшиеся на вакансии Оператора.
  4. 5.4.Партнёры и контрагенты — представители организаций, с которыми Оператор заключает партнёрские соглашения, договоры подряда, договоры с поставщиками услуг.
  5. 5.5.Посетители сайта — физические лица, посещающие rubikbot.com без авторизации, в отношении которых обрабатываются обезличенные данные использования и файлы cookie.

6. Цели обработки персональных данных

Персональные данные обрабатываются для следующих конкретных целей:

  1. 6.1.Заключение и исполнение договора оказания информационных услуг по Публичной оферте — основная цель обработки данных пользователей.
  2. 6.2.Идентификация и аутентификация пользователей при входе в личный кабинет и через программный интерфейс.
  3. 6.3.Предоставление функциональности платформы: маршрутизация запросов к нейросетям, ведение истории диалогов, биллинг, статистика использования.
  4. 6.4.Расчёт стоимости услуг, выставление счетов, формирование фискальных чеков по 54-ФЗ.
  5. 6.5.Информирование пользователей о статусе сервиса, инцидентах, существенных изменениях оферты и условий — сервисные уведомления.
  6. 6.6.Маркетинговая коммуникация — направление новостных, рекламных и информационных материалов — только с отдельного согласия субъекта ПДн.
  7. 6.7.Улучшение качества сервиса — анализ обезличенных и агрегированных метрик использования для оптимизации интерфейса и стоимости инференса.
  8. 6.8.Обеспечение информационной безопасности — выявление и предотвращение злоупотреблений, мошенничества, атак на инфраструктуру.
  9. 6.9.Соблюдение требований законодательства — налогового, бухгалтерского, антитеррористического, антикоррупционного.
  10. 6.10.Подбор персонала — рассмотрение откликов кандидатов на работу.
  11. 6.11.Рассмотрение обращений, претензий, заявлений субъектов ПДн в соответствии со статьёй 14 ФЗ-152.

7. Правовые основания обработки

Обработка персональных данных осуществляется на следующих правовых основаниях, предусмотренных частью 1 статьи 6 ФЗ-152:

  1. 7.1.Согласие субъекта ПДн (пункт 1 части 1 статьи 6 ФЗ-152) — для маркетинговой коммуникации, использования файлов cookie аналитики.
  2. 7.2.Исполнение договора, стороной которого является субъект ПДн (пункт 5 части 1 статьи 6 ФЗ-152) — для оказания услуг по Публичной оферте.
  3. 7.3.Осуществление прав и законных интересов Оператора (пункт 7 части 1 статьи 6 ФЗ-152) — для обеспечения информационной безопасности, предотвращения мошенничества, защиты прав Оператора и иных пользователей.
  4. 7.4.Исполнение возложенных законодательством функций (пункты 2-4 части 1 статьи 6 ФЗ-152) — для соблюдения требований налогового и антитеррористического законодательства.
  5. 7.5.Обработка осуществляется в статистических или исследовательских целях (пункт 9 части 1 статьи 6 ФЗ-152) — для обезличенных метрик и аналитики, с обязательным обезличиванием данных.

8. Способы обработки персональных данных

  1. 8.1.Обработка персональных данных осуществляется смешанным способом: автоматизированным (с использованием средств вычислительной техники) и неавтоматизированным (при ручной обработке обращений субъектов).
  2. 8.2.Автоматизированная обработка включает: сбор через формы регистрации и заказа, хранение в базах данных, поиск и извлечение, преобразование, передача провайдерам нейросетей, обезличивание, удаление.
  3. 8.3.Неавтоматизированная обработка применяется: при ручном рассмотрении обращений на support@ и privacy@, при работе с кандидатами на работу, при подписании договоров с юридическими лицами.
  4. 8.4.Принятие решений, имеющих юридические последствия для субъекта ПДн (например, блокировка учётной записи за нарушение правил), осуществляется при участии человека (сотрудника Оператора); автоматическая модерация может временно ограничить функциональность до подтверждения решения сотрудником.

9. Сроки обработки и хранения

Сроки хранения персональных данных определяются целями обработки и требованиями законодательства:

  1. 9.1.Учётные данные пользователя — в течение всего срока действия учётной записи и 30 дней после её удаления (для возможности восстановления при ошибочном удалении). Резервные копии — дополнительно 30 дней после удаления из активных хранилищ.
  2. 9.2.История диалогов с нейросетями — пока пользователь не удалит её самостоятельно или не закроет учётную запись. Пользователь может удалить отдельные диалоги или всю историю в любой момент.
  3. 9.3.Платёжные метаданные — 5 лет с момента совершения операции (требование Постановления Правительства РФ № 1137 от 26.12.2011 для бухгалтерской отчётности, статьи 23 НК РФ для налогового учёта).
  4. 9.4.Технические логи (IP, время запросов) — 90 дней для обеспечения безопасности; затем обезличиваются.
  5. 9.5.Маркетинговые предпочтения — пока пользователь не отзовёт согласие на маркетинговые рассылки.
  6. 9.6.Обращения на support@ — 3 года для возможности рассмотрения повторных обращений и претензий.
  7. 9.7.Резюме кандидатов на работу — 6 месяцев с момента получения, если кандидат не выразил согласия на более длительное хранение.
  8. 9.8.Метрики использования сервиса — после обезличивания хранятся бессрочно для аналитических целей.

10. Передача персональных данных третьим лицам

Оператор передаёт персональные данные третьим лицам исключительно для целей, заявленных в настоящей Политике, и в минимально необходимом объёме:

  1. 10.1.Провайдеры нейросетей (OpenAI, Anthropic, Google, Mistral, Meta, ООО «Яндекс», ПАО «Сбербанк») — передаётся содержимое запросов пользователя для получения ответа модели. Это технически необходимо и является существенным условием оказания услуг.
  2. 10.2.Платёжный агент ЮKassa (ООО «НКО «ЮMoney», лицензия ЦБ РФ № 3510-К) — передаются данные платежей для проведения транзакций. Данные банковских карт обрабатываются ЮKassa в соответствии с её собственной политикой конфиденциальности и стандартом безопасности PCI DSS.
  3. 10.3.Поставщики аналитики PostHog (CCS-ROW Cyprus Limited) и Sentry (Functional Software, Inc.) — передаются обезличенные метрики использования и журналы ошибок для диагностики и улучшения сервиса. Передача обезличенных данных не требует отдельного согласия (часть 7 статьи 5 ФЗ-152).
  4. 10.4.Бухгалтерские и аудиторские партнёры — передаются данные платежей для ведения бухгалтерского учёта и аудита. С такими партнёрами подписано соглашение о конфиденциальности.
  5. 10.5.Государственные органы — данные предоставляются по требованию уполномоченных органов исключительно в соответствии с законодательством Российской Федерации (Налоговая служба, Роскомнадзор, правоохранительные органы по их мотивированным запросам).
  6. 10.6.Поставщики инфраструктуры (хостинг, резервное копирование) — данные хранятся на инфраструктуре в Российской Федерации с подписанными соглашениями о защите ПДн.

Передача персональных данных в коммерческих целях третьим лицам — продажа баз данных, маркетинговые программы партнёров без согласия субъекта — не осуществляется.

11. Трансграничная передача персональных данных

  1. 11.1.Часть провайдеров нейросетей (OpenAI, Anthropic, Google, Mistral, Meta) находятся за пределами Российской Федерации. Содержимое запросов пользователя при выборе соответствующей модели передаётся на серверы провайдера за рубеж.
  2. 11.2.Это является трансграничной передачей персональных данных в соответствии со статьёй 12 ФЗ-152. Передача осуществляется на основании согласия субъекта ПДн, явно выражаемого при выборе соответствующей модели в интерфейсе платформы.
  3. 11.3.Перед передачей Оператор уведомляет Роскомнадзор в порядке, установленном частью 3 статьи 12 ФЗ-152 (после регистрации юр.лица Оператор подаст уведомление о трансграничной передаче с указанием стран и категорий передаваемых данных).
  4. 11.4.Пользователь вправе выбрать только российские модели (YandexGPT, GigaChat) — в этом случае трансграничная передача не осуществляется, все данные остаются в РФ.
  5. 11.5.Список стран, в которые осуществляется трансграничная передача с указанием обеспечения адекватной защиты прав субъектов ПДн:
  6. 11.6.(а) США (OpenAI, Anthropic, Meta) — не входит в перечень стран Совета Европы, ратифицировавших Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108); защита прав обеспечивается договорными механизмами с провайдерами;
  7. 11.7.(б) Ирландия (Google) — входит в Конвенцию ETS № 108, обеспечивает адекватную защиту;
  8. 11.8.(в) Франция (Mistral) — входит в Конвенцию ETS № 108, обеспечивает адекватную защиту.

12. Локализация обработки данных в Российской Федерации

  1. 12.1.Оператор соблюдает требование части 5 статьи 18 ФЗ-152 о локализации данных российских граждан: первичная запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации производятся с использованием баз данных, физически расположенных на территории РФ.
  2. 12.2.Серверы баз данных RubikBot физически размещены в дата-центрах на территории Российской Федерации. Резервные копии также хранятся в РФ.
  3. 12.3.Содержимое запросов к зарубежным провайдерам нейросетей передаётся для получения ответа модели и не подразумевает первичную запись данных пользователя на иностранной территории — данные пользователя записаны в РФ и лишь отправляются в виде запроса.
  4. 12.4.Оператор ведёт учёт мест размещения баз данных и регулярно проверяет соблюдение требования локализации.

13. Меры безопасности персональных данных

Оператор применяет правовые, организационные и технические меры защиты персональных данных в соответствии со статьёй 19 ФЗ-152 и Постановлением Правительства РФ от 01.11.2012 № 1119.

Организационные меры:

  1. 13.1.Назначение ответственного за организацию обработки персональных данных (см. раздел 22).
  2. 13.2.Разработка и утверждение внутренних документов, регулирующих обработку ПДн (положения, инструкции, регламенты).
  3. 13.3.Допуск к обработке ПДн только сотрудников, прошедших обучение и подписавших обязательство о соблюдении конфиденциальности.
  4. 13.4.Контроль соблюдения требований законодательства и внутренних документов.
  5. 13.5.Регулярное обновление средств защиты информации.
  6. 13.6.Журналирование действий сотрудников с базами ПДн (аудиторские логи).
  7. 13.7.План реагирования на инциденты безопасности.

Технические меры:

  1. 13.1.Хеширование паролей пользователей с использованием Argon2id (актуальный стандарт OWASP 2025).
  2. 13.2.Хеширование ключей программного интерфейса с использованием bcrypt с фактором сложности не ниже 12.
  3. 13.3.Шифрование конфиденциальных полей в базе данных алгоритмом AES-256 с ротацией ключей шифрования.
  4. 13.4.Шифрование трафика между клиентом и сервером по протоколу TLS 1.2 и выше с использованием сертификатов от Let's Encrypt (центр сертификации, доверенный в РФ).
  5. 13.5.Разграничение доступа на основе ролей (Role-Based Access Control): минимум привилегий, разделение ролей администратора, разработчика, поддержки.
  6. 13.6.Двухфакторная аутентификация — рекомендована всем пользователям, обязательна для администраторов Оператора.
  7. 13.7.Защита от автоматизированных атак: ограничение частоты запросов, проверка корректности форм, защита от ботов на критических операциях.
  8. 13.8.Регулярное резервное копирование с шифрованием и проверкой целостности.
  9. 13.9.Журналирование действий с ПДн в системе с возможностью аудита.
  10. 13.10.Сегментация сети, межсетевые экраны, защита от вторжений (IDS/IPS).
  11. 13.11.Регулярные проверки уязвимостей и пентесты независимыми специалистами.

15. Аналитика и метрики использования сервиса

  1. 15.1.Оператор использует продуктовую аналитику для понимания поведения пользователей и улучшения сервиса. Применяемые системы: PostHog (продуктовые события и воронки), Sentry (журналы ошибок).
  2. 15.2.В аналитические системы передаются обезличенные события: тип действия (например, «начат диалог», «изменён тариф»), время события, идентификатор сессии (без привязки к учётной записи), агрегированные метрики (количество, длительность).
  3. 15.3.Содержимое запросов пользователя в аналитические системы не передаётся.
  4. 15.4.Пользователь вправе отключить продуктовую аналитику в личном кабинете в разделе «Профиль → Конфиденциальность». В этом случае обезличенные события не отправляются.
  5. 15.5.Журналы ошибок (Sentry) собирают: тип ошибки, время, путь страницы, версия браузера, обезличенный идентификатор сессии. Содержимое полей формы и пользовательский контент в журналы ошибок не попадают.
  6. 15.6.Срок хранения аналитических событий — 90 дней; журналов ошибок — 30 дней. После этого данные обезличиваются и используются только в агрегированном виде.

16. Согласие на обработку персональных данных

  1. 16.1.Согласие на обработку персональных данных, необходимых для оказания услуг (раздел 6, цели 1-5, 8-9), считается данным с момента акцепта Публичной оферты — регистрации, оплаты или иного действия, признаваемого акцептом (см. /legal/offer раздел 4).
  2. 16.2.Согласие на маркетинговую коммуникацию (цель 6) даётся отдельно — через явный чекбокс при регистрации или в личном кабинете. Без отдельного согласия маркетинговые рассылки не направляются.
  3. 16.3.Согласие на использование аналитических cookie (цель 7) запрашивается через cookie-баннер при первом посещении сайта. По умолчанию аналитические cookie отключены до получения согласия.
  4. 16.4.Согласие на трансграничную передачу персональных данных (раздел 11) даётся явно при выборе пользователем модели зарубежного провайдера для отправки запроса.
  5. 16.5.Все согласия фиксируются Оператором с указанием даты и способа выражения для последующего подтверждения.
  6. 16.6.Субъект ПДн вправе отозвать ранее данное согласие в любой момент путём направления заявления на privacy@rubikbot.com или через личный кабинет в разделе «Профиль → Конфиденциальность». Отзыв согласия влечёт прекращение соответствующей обработки в течение 10 (десяти) рабочих дней.

17. Права субъекта персональных данных

Субъект ПДн обладает следующими правами в соответствии со статьями 14-17 ФЗ-152:

  1. 17.1.Право на получение информации (статья 14 ФЗ-152) — узнать, обрабатывает ли Оператор персональные данные субъекта, какие именно данные, в каких целях, какими способами; получить копию обрабатываемых данных в машиночитаемом формате.
  2. 17.2.Право на изменение и уточнение (статья 14 ФЗ-152) — потребовать уточнения, изменения, исправления неверных, неполных или устаревших данных. Срок исполнения — 7 рабочих дней.
  3. 17.3.Право на удаление (статья 14 ФЗ-152) — потребовать удаления данных при отзыве согласия, достижении целей обработки, незаконности обработки. Удаление — в течение 10 рабочих дней с момента получения требования (если иное не предусмотрено законом).
  4. 17.4.Право на ограничение обработки — потребовать приостановления обработки до выяснения обстоятельств в случае возражения субъекта против обработки или сомнений в её законности.
  5. 17.5.Право на возражение против обработки в целях маркетинговой коммуникации — отказ от рассылок и обработки данных для составления маркетинговых профилей.
  6. 17.6.Право на отзыв согласия — отозвать ранее данное согласие на обработку (см. раздел 16.6).
  7. 17.7.Право обжаловать действия Оператора в Роскомнадзор и в суде (статья 17 ФЗ-152) — при нарушении прав субъекта.
  8. 17.8.Право на возмещение убытков и компенсацию морального вреда в результате нарушения требований законодательства о персональных данных (статьи 24 ФЗ-152, 151, 1064 ГК РФ).

18. Порядок реализации прав субъекта

  1. 18.1.Запрос на реализацию прав направляется на адрес электронной почты privacy@rubikbot.com или по почтовому адресу Оператора (раздел 22 после регистрации юр.лица).
  2. 18.2.Запрос должен содержать:
  3. 18.3.(а) фамилию, имя, отчество (при наличии) субъекта ПДн или его представителя;
  4. 18.4.(б) сведения, позволяющие идентифицировать субъекта в системе Оператора (адрес электронной почты регистрации, идентификатор учётной записи);
  5. 18.5.(в) сведения, подтверждающие полномочия представителя (при обращении представителя);
  6. 18.6.(г) суть запроса — какое именно право реализуется (получение информации, изменение, удаление и т.д.);
  7. 18.7.(д) подпись субъекта ПДн или его представителя.
  8. 18.8.Оператор подтверждает получение запроса в течение 24 часов и предоставляет ответ в следующие сроки:
  9. 18.9.(а) запрос информации об обработке — 30 календарных дней (статья 14 ФЗ-152);
  10. 18.10.(б) уточнение, изменение данных — 7 рабочих дней;
  11. 18.11.(в) удаление данных, отзыв согласия — 10 рабочих дней;
  12. 18.12.(г) ограничение обработки — 5 рабочих дней.
  13. 18.13.При отказе в удовлетворении запроса Оператор направляет мотивированный ответ с обоснованием отказа и указанием на возможность обжалования в Роскомнадзор или в суде.
  14. 18.14.Реализация прав субъекта бесплатна. Плата может взиматься только за подготовку повторных копий данных или за заведомо необоснованные и чрезмерные запросы.

19. Реагирование на инциденты безопасности

  1. 19.1.Оператор разработал и применяет план реагирования на инциденты, связанные с нарушением требований защиты персональных данных.
  2. 19.2.К инцидентам относятся: несанкционированный доступ к ПДн, утечка данных, утрата или повреждение баз ПДн, нарушение конфиденциальности при передаче, иные нарушения, способные привести к причинению вреда субъектам ПДн.
  3. 19.3.При обнаружении инцидента Оператор:
  4. 19.4.(а) принимает меры по локализации и устранению инцидента;
  5. 19.5.(б) проводит внутреннее расследование с фиксацией всех обстоятельств;
  6. 19.6.(в) оценивает масштаб инцидента и круг затронутых субъектов ПДн;
  7. 19.7.(г) уведомляет Роскомнадзор о факте инцидента в порядке части 3.1 статьи 21 ФЗ-152 — в течение 24 часов о факте, в течение 72 часов о результатах расследования;
  8. 19.8.(д) уведомляет затронутых субъектов ПДн по электронной почте в срок не позднее 72 часов с момента обнаружения, если инцидент создаёт риск нарушения их прав;
  9. 19.9.(е) предоставляет рекомендации по минимизации последствий (например, смена пароля).
  10. 19.10.Уведомление субъекту содержит: описание инцидента, типы затронутых данных, возможные последствия, меры, принятые Оператором, рекомендуемые действия субъекта, контакты для уточнения.
  11. 19.11.Реестр инцидентов ведётся Оператором с указанием даты, описания, мер реагирования, уведомлений Роскомнадзора и субъектов.

20. Особенности обработки в контексте искусственного интеллекта

  1. 20.1.Платформа выступает технологическим агрегатором сторонних нейросетей. Содержимое запросов пользователя передаётся выбранному провайдеру нейросети для получения ответа. Это технически необходимо.
  2. 20.2.Оператор не использует содержимое запросов и ответы нейросетей для обучения собственных моделей. Содержимое обрабатывается исключительно для оказания услуги и формирования личной истории диалогов пользователя.
  3. 20.3.Пользователь самостоятельно несёт ответственность за персональные данные третьих лиц, которые он включает в содержимое запросов. Оператор не имеет технической возможности проверять наличие у пользователя оснований для обработки таких данных.
  4. 20.4.При работе автономного ИИ-агента Hermes (см. /legal/terms раздел 7) пользователь явно подтверждает использование каждого инструмента (поиск, файлы, отправка сообщений). Логи действий Hermes доступны пользователю в личном кабинете в течение 30 дней.
  5. 20.5.Решения, принятые автоматической модерацией (см. /legal/terms раздел 18) и имеющие юридические последствия для пользователя, всегда проходят верификацию сотрудником Оператора перед окончательным применением — в соответствии со статьёй 22 GDPR и аналогичными нормами ФЗ-152.
  6. 20.6.Оператор не использует системы автоматического профилирования пользователей с принятием юридически значимых решений (например, отказ в оказании услуги исключительно на основании поведенческого профиля).

21. Изменение Политики конфиденциальности

  1. 21.1.Оператор вправе обновлять настоящую Политику. О существенных изменениях субъекты ПДн уведомляются не позднее чем за 14 (четырнадцать) календарных дней до вступления изменений в силу — по электронной почте и публикацией на странице rubikbot.com/legal/privacy.
  2. 21.2.Существенными изменениями считаются: расширение целей обработки, расширение списка третьих лиц-получателей данных, изменение сроков хранения в большую сторону, изменение порядка реализации прав субъекта.
  3. 21.3.Несущественные изменения (исправление опечаток, актуализация контактов и реквизитов, уточнение формулировок без изменения сути) вступают в силу с момента публикации без отдельного уведомления.
  4. 21.4.При несогласии с изменениями субъект ПДн вправе прекратить использование платформы и потребовать удаления своих данных в порядке раздела 17.
  5. 21.5.Архив всех редакций Политики сохраняется и предоставляется по запросу на privacy@rubikbot.com.

22. Ответственный за обработку ПДн и реквизиты Оператора

На текущем этапе (альфа-режим, середина 2026 года) Оператор завершает регистрацию юридического лица. Финальные реквизиты будут опубликованы в настоящем разделе и направлены всем активным пользователям по электронной почте после регистрации.

Ответственным за организацию обработки персональных данных в RubikBot выступает руководитель направления безопасности платформы. Контактный адрес для всех вопросов, связанных с обработкой ПДн и реализацией прав субъектов:

  1. 22.1.Электронная почта: privacy@rubikbot.com
  2. 22.2.Сайт: https://rubikbot.com
  3. 22.3.Telegram-канал для общих новостей: @RubikBotcom

Реквизиты для письменных обращений (полный почтовый адрес, ИНН, ОГРН) — будут опубликованы при выходе платформы из альфа-режима.

После регистрации юридического лица Оператор подаст уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор в соответствии со статьёй 22 ФЗ-152. Реестровый номер оператора будет опубликован в настоящей Политике после получения.

23. Заключительные положения

  1. 23.1.Настоящая Политика дополняет Публичную оферту (/legal/offer), Условия использования (/legal/terms) и Политику возврата средств (/legal/refunds), не отменяя и не заменяя их.
  2. 23.2.В случае противоречий между настоящей Политикой и Публичной офертой в части обработки персональных данных приоритет имеет Политика как специальный документ.
  3. 23.3.Если какое-либо положение Политики будет признано недействительным решением суда или Роскомнадзора, остальные положения сохраняют силу.
  4. 23.4.Применимое право — Российская Федерация. Споры, связанные с обработкой персональных данных, рассматриваются Роскомнадзором, судами общей юрисдикции либо арбитражными судами в соответствии с правилами подсудности (см. /legal/offer раздел 22).
  5. 23.5.Настоящая Политика составлена на русском языке. В случае разработки переводов на иные языки приоритет имеет русскоязычная редакция.
  6. 23.6.Текст Политики опубликован на сайте rubikbot.com/legal/privacy и доступен для неограниченного круга лиц в соответствии с частью 2 статьи 18.1 ФЗ-152.
Вопросы по документу — на страницу контактов.