Политика конфиденциальности

Дата публикации: 5 мая 2026 г.

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей сервиса CardBoost (далее — «Сервис»), расположенного по адресу cardboost.ru, в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»).

Оператором персональных данных (далее — «Оператор») является ИП Шнерсон Сергей Вячеславович (ИНН 166108937866, ОГРНИП 317169000061594).

Лицом, ответственным за организацию обработки персональных данных у Оператора в соответствии со ст. 18.1 152-ФЗ, является Шнерсон Сергей Вячеславович (контакт: support@cardboost.ru).

1. Термины

• Пользователь — дееспособное физическое лицо, достигшее 18 лет, либо индивидуальный предприниматель / представитель юридического лица, использующее Сервис.
• Персональные данные (далее — «ПДн») — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).
• Обработка ПДн — любое действие с персональными данными (сбор, запись, систематизация, накопление, хранение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
• Контент Пользователя — фотографии товаров, текстовые описания, ключевые характеристики и иные материалы, загружаемые или создаваемые Пользователем в Сервисе.
• Трансграничная передача — передача ПДн на территорию иностранного государства иностранному лицу.

2. Категории субъектов и состав обрабатываемых данных

Оператор обрабатывает ПДн следующих категорий субъектов:

2.1. Пользователи Сервиса — физические лица (включая индивидуальных предпринимателей и представителей юридических лиц), зарегистрировавшие учётную запись в Сервисе. Состав ПДн, предоставляемых Пользователем самостоятельно:

• адрес электронной почты — для регистрации и одноразовых кодов авторизации;
• загруженные фотографии товаров и иных объектов, предназначенных для продажи на маркетплейсах;
• текстовые описания товара, ключевые характеристики, категория — для генерации карточки;
• данные обращений в поддержку (текст и приложенные изображения).

Состав данных о Пользователе, собираемых автоматически:

• IP-адрес;
• тип устройства, браузера и операционной системы;
• посещённые страницы и действия в Сервисе;
• время и дата визитов;
• источник перехода (referer), UTM-метки;
• файлы cookie и аналогичные технологии.

2.2. Физические лица, изображённые на загружаемых фотографиях (например, модели на фото одежды). Состав ПДн:

• изображение лица и тела, запечатлённое на фотографии, загружаемой Пользователем.

В отношении таких физических лиц Пользователь, загружающий фотографию, является оператором ПДн (см. раздел 12 настоящей Политики); Оператор Сервиса осуществляет техническую обработку изображения по поручению Пользователя.

2.3. Платёжные данные. Данные банковских карт обрабатываются платёжной системой ЮKassa (ООО НКО «ЮМани») и Оператору не передаются. Оператор сохраняет только информацию о транзакциях: сумма, дата, статус, идентификатор платежа.

2.4. Принцип минимизации. Оператор обрабатывает Контент Пользователя исключительно в объёме, необходимом для генерации карточки товара, заказанной Пользователем. Контент не используется в маркетинговых, рекламных или статистических целях, требующих идентификации Пользователя.

2.5. Использование для обучения моделей ИИ. Оператор не использует Контент Пользователя для обучения собственных моделей искусственного интеллекта. Оператор передаёт запросы только тем провайдерам ИИ-моделей, которые по условиям своего использования не применяют передаваемые им данные для обучения моделей на бесплатной основе (в частности, согласно публичной политике OpenRouter и правилам подключённых к нему провайдеров API-запросов).

3. Биометрические и специальные категории ПДн

3.1. Оператор не обрабатывает специальные категории ПДн, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни (ст. 10 152-ФЗ).

3.2. Загружаемые в Сервис фотографии могут содержать изображения лиц физических лиц, однако Оператор не использует биометрические характеристики таких лиц (черты лица, отпечатки и т. п.) для установления личности субъекта ПДн. В связи с этим, в смысле ст. 11 152-ФЗ, такие изображения не обрабатываются Оператором как биометрические ПДн.

3.3. Если Пользователь загружает фотографию, которая по своему характеру может рассматриваться как биометрические или специальные ПДн третьих лиц, ответственность за наличие соответствующего согласия таких лиц несёт Пользователь (см. раздел 12).

4. Цели обработки ПДн

• Исполнение договора (публичной оферты) — предоставление доступа к Сервису, генерация карточек товаров, списание и пополнение генераций (кредитов);
• Авторизация — отправка одноразовых кодов (OTP) на email Пользователя;
• Поддержка пользователей — обработка сообщений, направленных через раздел «Поддержка»;
• Улучшение Сервиса — анализ использования, выявление ошибок, оптимизация работы инструментов;
• Коммуникация — уведомления о работе Сервиса, изменениях условий Оферты, технических сбоях;
• Безопасность — предотвращение злоупотреблений, мошенничества и несанкционированного доступа;
• Соблюдение закона — выполнение требований законодательства Российской Федерации, включая хранение платёжной документации.

5. Правовые основания обработки

• Согласие Пользователя, предоставляемое при регистрации и акцепте публичной Оферты (ст. 6 ч. 1 п. 1 152-ФЗ);
• Исполнение договора, стороной которого является Пользователь (ст. 6 ч. 1 п. 5 152-ФЗ);
• Законные интересы Оператора в части улучшения Сервиса и защиты от злоупотреблений (ст. 6 ч. 1 п. 7 152-ФЗ);
• Юридические обязательства — соблюдение требований Налогового кодекса РФ, ФЗ «О бухгалтерском учёте» и иных нормативных актов;
• Регистрационные документы Оператора — свидетельство о государственной регистрации Шнерсона С. В. в качестве индивидуального предпринимателя.

6. Передача данных третьим лицам

6.1. Для оказания услуг Оператор передаёт отдельные данные следующим третьим лицам:

• ЮKassa (ООО НКО «ЮМани») — РФ, г. Москва. Цель: приём и обработка платежей. Объём: реквизиты банковских карт обрабатываются на стороне ЮKassa в соответствии со стандартом PCI DSS; Оператору данные карт не передаются;
• Yandex Cloud Postbox (ООО «Яндекс.Облако») — РФ, г. Москва. Цель: отправка транзакционных писем (коды авторизации, уведомления). Объём: email Пользователя и текст письма;
• smtp.bz — РФ. Цель: резервный сервис исходящих почтовых рассылок. Объём: email Пользователя и текст письма;
• ООО «ЯНДЕКС» (Яндекс.Метрика) — РФ, г. Москва. Цель: сбор обезличенной аналитики посещений. Объём: технические данные (IP, браузер, действия), без email и идентификатора аккаунта;
• OpenRouter, Inc. — США. Цель и объём передачи: см. раздел 7 (трансграничная передача);
• Партнёрские провайдеры моделей ИИ, подключённые через OpenRouter, в том числе Google LLC (модели семейства Gemini) — США. Цель и объём передачи: см. раздел 7;
• Государственные органы Российской Федерации — по законному запросу в соответствии с законодательством РФ.

6.2. Передача ПДн третьим лицам осуществляется на основании отдельных договоров (включая договоры присоединения / условия оказания услуг), в рамках которых третьи лица обязуются обеспечить конфиденциальность и безопасность передаваемых ПДн в соответствии с требованиями применимого законодательства.

6.3. Оператор не продаёт персональные данные и не передаёт их третьим лицам в маркетинговых или рекламных целях.

7. Трансграничная передача ПДн

7.1. Часть третьих лиц, к инфраструктуре которых Оператор обращается для обработки запросов Пользователя к моделям искусственного интеллекта, расположены за пределами территории Российской Федерации:

• OpenRouter, Inc. — США;
• Google LLC (модели семейства Gemini и иные, доступные через OpenRouter) — США, с использованием глобальной облачной инфраструктуры Google;
• иные провайдеры ИИ-моделей, подключённых через OpenRouter и действующих на территории государств, не являющихся членами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

7.2. В рамках трансграничной передачи этим третьим лицам передаётся следующий состав данных:

• текстовые описания товара (название, категория, ключевые преимущества), которые Пользователь вводит в форму генерации;
• фотографии товаров, которые Пользователь загружает в Сервис, в том числе фотографии, на которых может быть изображено физическое лицо.

7.3. Цель трансграничной передачи: техническая обработка запросов Пользователя моделями искусственного интеллекта для генерации карточки товара (графической композиции из 8 слайдов: главное фото, lifestyle-сценарии, инфографика, размеры, сравнение, CTA), заказанной Пользователем в Сервисе.

7.4. Оператор не передаёт третьим лицам, расположенным за пределами РФ, адрес электронной почты Пользователя, его идентификатор в Сервисе, IP-адрес и иные идентифицирующие Пользователя данные. Вместе с фото и описанием передаётся только минимальный технический контекст, необходимый для обработки запроса.

7.5. Совершая акцепт публичной Оферты и настоящей Политики, а также подтверждая согласие через отдельную информационную форму перед первой генерацией карточки, Пользователь даёт Оператору информированное согласие на трансграничную передачу указанных в п. 7.2 данных третьим лицам, указанным в п. 7.1, в объёме и с целью, указанной в п. 7.3.

7.6. Пользователь вправе отозвать согласие на трансграничную передачу в любой момент в разделе «Согласия» или направив заявление на support@cardboost.ru. После отзыва согласия Пользователь не сможет пользоваться функцией генерации карточек до повторного предоставления согласия.

8. Условия обработки и хранения. Меры безопасности

8.1. Конфиденциальность (ст. 7 152-ФЗ). Оператор и его уполномоченные лица обязуются не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, кроме случаев, прямо предусмотренных законодательством Российской Федерации.

8.2. Локализация баз данных (ч. 5 ст. 18 152-ФЗ). Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан Российской Федерации осуществляются Оператором с использованием баз данных, находящихся на территории Российской Федерации.

8.3. Меры по обеспечению безопасности ПДн (ч. 2 ст. 18.1, ч. 1 ст. 19 152-ФЗ). Оператор принимает следующие правовые, организационные и технические меры:

• назначено лицо, ответственное за организацию обработки ПДн (см. шапку настоящей Политики);
• издана настоящая Политика и иные локальные акты Оператора, определяющие порядок обработки и защиты ПДн;
• применяется криптографическая защита канала: соединение с Сервисом — по протоколу HTTPS с TLS-шифрованием;
• применяется беспарольная авторизация по одноразовым кодам (OTP), направляемым на email Пользователя; пароли в Сервисе не используются и не хранятся;
• доступ к ПДн ограничен — он предоставляется только уполномоченным лицам Оператора в объёме, необходимом для исполнения их обязанностей;
• ведётся журналирование действий, связанных с доступом к ПДн;
• выполняется регулярное резервное копирование данных;
• организован контроль за принимаемыми мерами и их периодический пересмотр;
• обработка ПДн осуществляется исключительно с использованием средств автоматизации; обработка без таких средств не осуществляется.

8.4. Сроки хранения данных:

• данные аккаунта и баланс генераций — в течение срока существования аккаунта;
• загруженные фотографии и сгенерированные карточки — до момента их удаления Пользователем через интерфейс Сервиса (раздел «Мои карточки») либо до удаления аккаунта;
• данные о транзакциях — 5 лет с момента совершения операции в соответствии с требованиями законодательства о бухгалтерском учёте;
• сообщения в службу поддержки и приложенные к ним материалы — 12 месяцев после закрытия обращения;
• логи доступа и технические данные — не более 12 месяцев;
• данные об отозванных согласиях и обращениях — бессрочно, для подтверждения факта отзыва.

8.5. Условия прекращения обработки. Обработка ПДн прекращается в следующих случаях: достижение целей обработки, истечение срока действия согласия, отзыв согласия субъектом ПДн, выявление неправомерной обработки. После прекращения обработки Оператор уничтожает или обезличивает ПДн в срок не более 30 (тридцати) дней, за исключением данных, обработка которых продолжается на иных законных основаниях (например, данные о транзакциях — для целей налогового и бухгалтерского учёта).

9. Файлы cookie

9.1. Сервис использует cookie и аналогичные технологии для:

• поддержания авторизованной сессии Пользователя (строго необходимые cookie);
• сохранения настроек и предпочтений;
• сбора обезличенной аналитики с помощью Яндекс.Метрики.

9.2. Согласие на cookie. При первом посещении сайта анонимному Пользователю показывается баннер с предложением принять использование cookie. До нажатия кнопки «Принять» Яндекс.Метрика и связанные с ней cookie не загружаются. При регистрации согласие на использование cookie и аналитики считается данным как часть согласия с настоящей Политикой.

9.3. Отзыв согласия. Пользователь может в любой момент отозвать согласие, удалив cookie через настройки браузера или очистив локальное хранилище сайта (ключ cookies_consent). Подробнее о политике Яндекса в отношении данных Метрики — yandex.ru/legal/metrica_termsofuse.

9.4. Пользователь может отключить cookie в настройках браузера, однако это может повлиять на функциональность Сервиса (в частности, сделать невозможным вход в аккаунт).

10. Права Пользователя. Регламент обращений

10.1. В соответствии с 152-ФЗ Пользователь имеет право:

• получить информацию о хранящихся о нём ПДн;
• потребовать уточнения, блокирования или удаления своих данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать согласие на обработку ПДн;
• получить копию данных в машиночитаемом формате;
• обжаловать действия или бездействие Оператора в Роскомнадзоре или в суде.

10.2. Регламент обращения. Для реализации указанных прав Пользователь направляет письменное обращение на электронную почту support@cardboost.ru. В обращении необходимо указать:

• фамилию, имя, отчество (при наличии) субъекта ПДн;
• email учётной записи в Сервисе (если имеется);
• суть запроса (получение информации, уточнение, блокирование, удаление, отзыв согласия и т. п.);
• контактные данные для направления ответа.

10.3. Идентификация субъекта. В целях защиты от подделки запросов Оператор направляет ответ на тот же email, который указан в учётной записи Пользователя или в обращении. При обоснованных сомнениях в личности заявителя Оператор вправе запросить дополнительные сведения, подтверждающие, что обращение направлено непосредственно субъектом ПДн или его уполномоченным представителем.

10.4. Срок ответа. Оператор обязуется рассмотреть обращение и предоставить мотивированный ответ в срок не более 30 (тридцати) календарных дней с даты получения обращения.

10.5. Мотивированный отказ. Оператор вправе мотивированно отказать в удовлетворении обращения, если: данные не относятся к заявителю; обработка осуществляется на ином законном основании, не требующем согласия (например, требования бухгалтерского/налогового законодательства); запрос противоречит требованиям применимого законодательства. В этом случае в ответе указываются причины отказа.

11. Согласие на обработку и его отзыв

11.1. Пользователь предоставляет своё согласие на обработку ПДн, указанных в настоящей Политике, путём совершения действий, недвусмысленно свидетельствующих о таком согласии: регистрация в Сервисе, проставление отметки о согласии с Политикой и Офертой, оплата услуг.

11.2. Согласие предоставляется на весь перечень целей, указанных в разделе 4 настоящей Политики, на срок действия договора (Оферты) и 5 (пять) лет после его прекращения, если иной срок не предусмотрен законодательством.

11.3. Пользователь вправе в любой момент отозвать согласие на обработку ПДн, направив соответствующее заявление на support@cardboost.ru. Отзыв согласия не затрагивает законности обработки, произведённой до отзыва.

11.4. После отзыва согласия Оператор в срок не более 30 (тридцати) дней прекращает обработку ПДн и уничтожает их, за исключением данных, обработка которых продолжается на иных законных основаниях (например, данные о транзакциях — для целей налогового и бухгалтерского учёта).

12. Обработка изображений третьих лиц. Пользователь как оператор

12.1. Сервис позволяет Пользователю загружать любые фотографии товаров, включая те, на которых может быть изображено другое физическое лицо (например, фото одежды на модели). Оператор не имеет технической и правовой возможности проверить, является ли изображённое на фотографии лицо самим Пользователем и получено ли его согласие на обработку.

12.2. Загружая в Сервис фотографию, на которой запечатлено физическое лицо, отличное от самого Пользователя, Пользователь самостоятельно определяет цели и состав обработки таких персональных данных (выбор инструмента, описания товара, повторные обработки), и, в силу ст. 3 152-ФЗ, выступает оператором персональных данных в отношении этого лица.

12.3. Пользователь гарантирует, что до загрузки такой фотографии он получил от изображённого лица согласие на обработку его персональных данных в объёме, необходимом для работы Сервиса, включая:

• обработку изображения Оператором;
• передачу изображения третьим лицам, указанным в разделе 6 настоящей Политики;
• трансграничную передачу изображения третьим лицам, указанным в п. 7.1.

12.4. Оператор и Пользователь, загружающий фотографии третьих лиц, признаются лицами, совместно участвующими в обработке персональных данных таких лиц, каждый — в пределах своей фактической роли:

• Пользователь определяет цель обработки (выбор инструмента, описания) и гарантирует наличие согласия субъекта ПДн;
• Оператор обеспечивает технические и организационные меры защиты данных в пределах собственной инфраструктуры, передачу третьим лицам в соответствии с разделом 6 и режимы хранения в соответствии с разделом 8.

Такое разделение не освобождает Оператора от обязанностей, установленных 152-ФЗ в отношении обработки, осуществляемой на его инфраструктуре.

12.5. Вся ответственность перед третьими лицами, чьи персональные данные были обработаны Сервисом по инициативе Пользователя без их согласия, лежит на Пользователе. В случае предъявления претензий или требований со стороны таких лиц либо со стороны Роскомнадзора и иных государственных органов, Пользователь обязуется самостоятельно урегулировать их, а также возместить Оператору все понесённые в связи с этим расходы, включая юридические расходы и административные штрафы.

13. Возрастные ограничения

Сервис предназначен для лиц, достигших 18 лет. Использование Сервиса лицами младше 18 лет не допускается. Если Оператору становится известно, что данные были предоставлены лицом младше 18 лет, такие данные подлежат удалению.

14. Удаление аккаунта

Пользователь может запросить удаление аккаунта, направив письмо на support@cardboost.ru. При удалении аккаунта:

• все загруженные фотографии и сгенерированные карточки удаляются с серверов Оператора в срок до 30 дней;
• неиспользованные генерации (кредиты) аннулируются без возврата денежных средств, за исключением случаев, предусмотренных Офертой;
• данные о транзакциях сохраняются 5 лет в соответствии с требованиями законодательства о бухгалтерском учёте;
• обезличенные технические логи могут сохраняться в общем порядке (п. 8.4).

15. Изменение Политики

Оператор вправе изменять настоящую Политику. Актуальная редакция всегда доступна по адресу cardboost.ru/politika. О существенных изменениях, затрагивающих объём или цели обработки персональных данных, Оператор уведомляет Пользователя по электронной почте. Продолжение использования Сервиса после публикации новой редакции означает согласие Пользователя с обновлённой Политикой.

16. Контакты Оператора

ИП Шнерсон Сергей Вячеславович
ОГРНИП: 317169000061594
ИНН: 166108937866
Email: support@cardboost.ru