Политика обработки персональных данных

1.1. Политика распространяется на все персональные данные, которые Оператор может получить от Пользователя в процессе использования Сервиса, расположенного на доменах edvoice.ru, app.edvoice.ru и их поддоменах.

1.2. Используя Сервис, регистрируя учётную запись или передавая персональные данные иным способом, Пользователь подтверждает согласие с условиями настоящей Политики и даёт согласие на обработку своих персональных данных в порядке, описанном ниже.

1.3. В случае несогласия с условиями Политики Пользователь обязан прекратить использование Сервиса.

Оператор: Индивидуальный предприниматель Майский Денис Олегович (ИП Майский Д. О.), далее — «Оператор».

Наименование: Индивидуальный предприниматель Майский Денис Олегович
ИНН: 861403707725
ОГРНИП: 322312300008347
Юридический адрес: 308031, Россия, Белгородская обл., г. Белгород, б-р Юности, д. 41, кв. 154
Телефон: 8-920-585-55-88
Email для обращений по вопросам ПДн: privacy@edvoice.ru

Оператор обрабатывает следующие категории персональных данных:

• Регистрационные данные: имя, адрес электронной почты, пароль (хранится в виде криптографического хеша bcrypt — не в открытом виде).
• Профильные данные: профессиональная роль, технологический стек, тип компании, уровень владения английским языком (CEFR) — заполняются добровольно при онбординге.
• Голосовые данные: аудиозаписи речи Пользователя во время тренировочных сессий с AI-партнёром.
• Транскрипты: текстовые расшифровки голосовых реплик, полученные при помощи технологии распознавания речи.
• Данные сессий: история тренировок, оценки по 5 критериям (беглость, словарный запас, грамматика, произношение, контент), длительность сессий, количество AI-токенов.
• Технические данные: IP-адрес, User-Agent браузера, время доступа, идентификаторы сессий (только для целей безопасности и rate-limiting).
• Платёжные данные (для корпоративных клиентов): реквизиты юридического лица, ИНН, контактный email и телефон. Данные платёжных карт передаются напрямую платёжному оператору (ЮKassa) и Оператором не хранятся.

Оператор обрабатывает персональные данные исключительно в следующих целях:

• Предоставление доступа к функциональности Сервиса (регистрация, авторизация, проведение тренировочных сессий с AI-партнёром).
• Персонализация контента (подбор сценариев под уровень и роль Пользователя).
• Анализ качества речи и формирование отчётов по результатам сессии.
• Обеспечение безопасности Сервиса, предотвращение мошенничества и злоупотреблений.
• Обработка платежей и выставление закрывающих документов для юр. лиц.
• Связь с Пользователем по вопросам функционирования Сервиса, рассылка уведомлений (например, об окончании триала, изменении политики).
• Улучшение Сервиса на основе обезличенной агрегированной статистики (без возможности идентификации конкретного Пользователя).

Оператор не использует персональные данные Пользователя для рекламы третьих лиц и не передаёт их в рекламные сети.

Правовыми основаниями обработки персональных данных являются:

• Согласие Пользователя на обработку персональных данных, выраженное при регистрации в Сервисе (статья 6 часть 1 пункт 1 152-ФЗ).
• Заключение и исполнение договора (Пользовательского соглашения), стороной которого является Пользователь (статья 6 часть 1 пункт 5 152-ФЗ).
• Осуществление прав и законных интересов Оператора (статья 6 часть 1 пункт 7 152-ФЗ) — например, для обеспечения безопасности и борьбы с мошенничеством.

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации, а также без таких средств. Действия с персональными данными включают: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

6.2. Сроки хранения данных:

• Аудиозаписи речи Пользователя (входные данные распознавания речи): 30 дней с момента создания, после чего автоматически удаляются из объектного хранилища.
• Аудиозаписи синтезированной речи AI-партнёра: 7 дней с момента создания.
• Транскрипты сессий: 90 дней с момента создания, доступны только Пользователю в личном кабинете.
• Метаданные сессий (дата, длительность, оценки): хранятся в течение срока действия учётной записи Пользователя.
• Регистрационные и профильные данные: хранятся в течение срока действия учётной записи. При удалении учётной записи Пользователем — 30 дней grace-периода на восстановление, затем безвозвратное удаление.
• Платёжные и бухгалтерские документы: хранятся в течение 5 лет в соответствии с требованиями налогового и бухгалтерского законодательства РФ.
• Технические логи безопасности: 90 дней.

6.3. Персональные данные граждан Российской Федерации записываются, систематизируются, накапливаются, хранятся, уточняются и извлекаются с использованием баз данных, находящихся на территории Российской Федерации (требование статьи 18 части 5 152-ФЗ). Базы данных размещены в Яндекс Облаке (ЦОД в Москве).

Для функционирования Сервиса Оператор привлекает следующих обработчиков персональных данных:

• ООО «Яндекс.Облако» (Россия) — облачная инфраструктура, хостинг баз данных и объектного хранилища, на котором размещены аудио и транскрипты. Все данные хранятся в ЦОД на территории РФ.
• Yandex SpeechKit (ООО «Яндекс», Россия) — синтез речи (text-to-speech) для голоса AI-партнёра. Передаётся только текст реплики, генерируемой AI, без персональных данных Пользователя.
• YandexGPT (ООО «Яндекс», Россия) — генерация ответов AI-партнёра и формирование отчётов по результатам сессий. Передаётся транскрипт реплики Пользователя без привязки к идентификатору.
• ProxyAPI (ООО «ProxyAPI») — посредник для доступа к OpenAI Whisper (распознавание речи). Передаётся аудиозапись реплики Пользователя без иных персональных данных. См. также раздел «Трансграничная передача».

Оператор не передаёт персональные данные иным третьим лицам, за исключением случаев, прямо предусмотренных законодательством РФ (например, по обоснованному запросу уполномоченных государственных органов).

В рамках работы технологии распознавания речи аудиозаписи реплик Пользователя передаются в OpenAI Whisper API (США) через посредника ProxyAPI. Это считается трансграничной передачей персональных данных (статья 12 152-ФЗ).

Передача осуществляется на основании прямого согласия Пользователя, выраженного при регистрации в Сервисе и принятии настоящей Политики. Иным образом Сервис голосовой практики не может функционировать.

Оператор уведомил Роскомнадзор о намерении осуществлять трансграничную передачу персональных данных в соответствии с требованиями части 3 статьи 12 152-ФЗ.

Уведомление в Роскомнадзор о намерении осуществлять обработку персональных данных подано в установленном порядке.

9.1. Сервис использует файлы cookie исключительно для обеспечения функциональности и безопасности:

• Сессионная cookie (__Secure-authjs.session-token) — хранит зашифрованный токен авторизации, необходимый для распознавания Пользователя. Срок действия: 7 дней.
• CSRF-токен (__Host-authjs.csrf-token) — защита от атак межсайтовой подделки запросов.
• Технические cookie (например, для запоминания состояния свёрнутого сайдбара).

9.2. Сервис не использует сторонние рекламные и аналитические cookie (Google Analytics, Яндекс.Метрика и т.п.) на данный момент. При подключении таких сервисов в будущем настоящая Политика будет обновлена и Пользователь сможет управлять согласием через баннер cookies.

В соответствии со статьями 14-21 152-ФЗ Пользователь имеет право:

• Получать информацию о том, какие его персональные данные обрабатываются Оператором.
• Требовать уточнения, блокирования или уничтожения персональных данных в случае их неполноты, неактуальности, недостоверности или незаконности обработки.
• Отозвать согласие на обработку персональных данных в любой момент. Отзыв согласия означает удаление учётной записи и связанных с ней данных (за исключением данных, обязательных к хранению по закону — бухгалтерия, налоговая отчётность).
• Самостоятельно изменять или удалять профильные данные через настройки своей учётной записи (app.edvoice.ru/profile).
• Обжаловать действия или бездействие Оператора в Роскомнадзоре или в судебном порядке.

Для реализации прав Пользователь может направить запрос на email privacy@edvoice.ru. Ответ предоставляется в течение 30 календарных дней.

В случае нарушений Пользователь имеет право обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):
Адрес: 109074, г. Москва, Китайгородский пр., 7, стр. 2
Сайт: rkn.gov.ru

Оператор применяет следующие организационные и технические меры защиты:

• Шифрование передачи данных по протоколу TLS 1.2+ (HTTPS).
• Хеширование паролей с использованием алгоритма bcrypt с актуальным cost-factor.
• HttpOnly, Secure, SameSite=Lax атрибуты для всех cookies, содержащих токены доступа.
• Регулярный аудит зависимостей на наличие известных уязвимостей.
• Rate-limiting на критичные endpoint'ы для защиты от brute-force и DoS.
• Ограничение доступа сотрудников Оператора к персональным данным по принципу минимальных привилегий.
• Резервное копирование баз данных с шифрованием при хранении.
• Соблюдение требований Приказа ФСТЭК России № 21 от 18.02.2013 г. для информационной системы персональных данных.

12.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция всегда доступна по адресу edvoice.ru/privacy.

12.2. При существенных изменениях, затрагивающих права Пользователей, Оператор уведомляет об этом через email и/или баннер в Сервисе не менее чем за 14 дней до вступления изменений в силу.

12.3. Продолжение использования Сервиса после вступления изменений в силу означает согласие Пользователя с новой редакцией Политики. В случае несогласия Пользователь вправе удалить учётную запись.

По всем вопросам, связанным с обработкой персональных данных, обращайтесь:

• Email для запросов по ПДн: privacy@edvoice.ru
• Общий контакт: hello@edvoice.ru
• Корпоративный отдел: sales@edvoice.ru

Почтовый адрес для письменных обращений: 308031, Россия, Белгородская обл., г. Белгород, б-р Юности, д. 41, кв. 154.