Политика обработки персональных данных Twin AI

1. Оператор и контактные данные

Оператор персональных данных: ООО «Рислингс», УНП 193958578, юридический адрес: Республика Беларусь, 220103, г. Минск, ул. Стариновская, дом 15, помещение 9.

Контактное лицо по вопросам обработки персональных данных: twinai.support@freeaiphoto.com. Письма с предметом «Персональные данные» рассматриваются в срок до 15 рабочих дней.

Настоящая Политика разработана и применяется в соответствии с: Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»; Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» — в части, применимой к пользователям-резидентам Российской Федерации.

2. Какие категории данных мы обрабатываем

• Идентификационные данные: имя пользователя, адрес электронной почты, при использовании Sign in with Google — идентификатор Google-аккаунта и публичные данные профиля (имя, аватар).
• Данные учётной записи: пароль (в виде криптографического хэша; в открытом виде не хранится), часовой пояс, язык интерфейса, дата и время регистрации.
• Данные использования: история запросов (промптов), параметры генерации, идентификаторы выбранных моделей, баланс и история движения Кредитов, статусы и метаданные операций генерации.
• Сгенерированный контент: создаваемые Пользователем изображения, видео и тексты, размещаемые в Личном кабинете.
• Загруженные Пользователем материалы: изображения и видеоматериалы, передаваемые в Сервис в качестве референсов и/или для генерации портретов, обработки фотографий, обучения персонализированных моделей.
• Биометрические персональные данные: изображения лица Пользователя (и иных лиц, на использование изображений которых Пользователь имеет правомерное основание), загруженные Пользователем в Сервис. Обработка биометрических данных осуществляется на основании отдельного согласия Пользователя (раздел 8 Договора-оферты, ст. 11 ФЗ-152 / ст. 8 Закона РБ № 99-З).
• Платёжные данные: суммы платежей, статусы транзакций, идентификаторы платежей. Полные реквизиты банковских карт и счетов мы не получаем и не храним — обработка реквизитов производится непосредственно платёжными агентами (ЮKassa, Stripe и т. п.) на стороне их PCI-DSS-инфраструктуры.
• Технические данные: IP-адрес, тип и версия устройства, операционная система, тип и версия браузера, идентификаторы устройств, технические журналы (логи) обращений.
• Cookies и идентификаторы сессий: подробнее в Cookie-политике.
• Обращения в поддержку: содержание сообщений, направленных в адрес поддержки, и метаданные таких обращений.

3. Цели обработки

1. Заключение и исполнение договора возмездного оказания услуг (Оферта): регистрация и идентификация Пользователя, предоставление доступа к Сервису, проведение операций генерации и учёт Кредитов.
2. Расчёты по договору: приём платежей, формирование и выдача чеков, возвраты денежных средств.
3. Техническая поддержка и коммуникация по существу договора: ответ на обращения, направление уведомлений о технических работах, изменениях Оферты и условий Подписки.
4. Безопасность и предотвращение злоупотреблений: модерация запросов и Сгенерированного контента, борьба с мошенничеством, защита от DDoS- и иных атак, защита прав Исполнителя и третьих лиц.
5. Исполнение требований применимого законодательства, в том числе ответы на запросы уполномоченных органов и соблюдение требований AML/CFT.
6. Аналитика и улучшение Сервиса: обработка обезличенных и агрегированных данных об использовании.
7. Маркетинговые коммуникации — только при наличии отдельного согласия Пользователя.

4. Правовые основания

• Согласие субъекта персональных данных на обработку (ст. 5 Закона РБ № 99-З, п. 1 ч. 1 ст. 6 ФЗ-152).
• Исполнение договора, заключённого с субъектом персональных данных (Оферта).
• Исполнение обязанностей оператора, возложенных на него законодательством.
• Защита прав и законных интересов оператора и третьих лиц — для целей безопасности и предотвращения злоупотреблений (при условии, что такие интересы не нарушают прав субъекта).

5. Кому мы передаём данные

Мы привлекаем третьих лиц для оказания услуг Пользователю и для надлежащего функционирования Сервиса. В составе и в пределах, необходимых для достижения целей обработки, мы передаём отдельные категории данных следующим типам получателей:

• Поставщики моделей ИИ (включая, в частности, OpenAI, Anthropic, Google, Stability AI, FAL, Replicate, поставщиков моделей Sora, Veo, Flux, Kling и иных): получают содержимое промптов и/или референсных файлов, необходимых для исполнения операции генерации; передача осуществляется по защищённым каналам.
• Платёжные агенты: ЮKassa (ООО НКО «ЮMoney», Россия) — для приёма платежей в рублях; Stripe Payments Europe, Ltd. (Ирландия) и Stripe, Inc. (США) — для международных платежей. Полные банковские реквизиты обрабатываются исключительно на их инфраструктуре.
• Поставщики инфраструктуры: Microsoft Azure (хостинг и хранение), CDN, поставщики DNS и защиты от DDoS.
• Поставщики мониторинга и диагностики: Sentry (Functional Software, Inc., США) — для сбора и анализа технических ошибок.
• Поставщики связи и аналитики, явно перечисленные на cookie-баннере: только при наличии отдельного согласия Пользователя.
• Государственные органы и иные уполномоченные субъекты — на основании мотивированного запроса в порядке, установленном применимым законодательством.

Страны трансграничной передачи

Часть указанных получателей расположена за пределами Республики Беларусь и Российской Федерации, что означает трансграничную передачу персональных данных. На дату публикации настоящей Политики передача осуществляется в следующие юрисдикции:

• Соединённые Штаты Америки — OpenAI, Anthropic, Stability AI, Replicate, FAL, Stripe Inc., Sentry (Functional Software, Inc.);
• Ирландия и иные государства Европейского союза — Stripe Payments Europe, Ltd., Microsoft Ireland Operations Ltd.;
• Великобритания — отдельные поставщики моделей и инфраструктуры;
• Сингапур, Япония, Республика Корея — отдельные региональные дата-центры Microsoft Azure и поставщиков моделей;
• Российская Федерация — ЮКасса (ООО НКО «ЮMoney»), отдельные инфраструктурные поставщики.

До передачи Исполнитель обеспечивает соблюдение требований применимого законодательства: получение отдельного согласия Пользователя на трансграничную передачу там, где это требуется (ст. 12 ФЗ-152 / ст. 9 Закона РБ № 99-З); заключение с получателями договоров об обработке персональных данных (Data Processing Agreement, Standard Contractual Clauses либо аналогичных); проверку наличия у получателей систем защиты данных адекватного уровня.

Перечень получателей и стран может обновляться. Актуальная редакция размещается в Личном кабинете и на странице twinailabs.com/privacy-policy-policy. О существенных изменениях состава получателей Пользователь уведомляется не менее чем за 30 календарных дней до даты вступления изменений в силу с возможностью отозвать согласие до этой даты.

6. Сроки хранения

• Данные учётной записи и истории операций — в течение действия Личного кабинета и в течение 1 (одного) года после его удаления, если иное не требуется применимым законодательством.
• Сгенерированный контент — в течение действия Личного кабинета; по запросу Пользователя — удаляется в срок до 30 календарных дней.
• Платёжные данные (суммы и статусы транзакций) — в течение сроков, установленных бухгалтерским и налоговым законодательством применимой юрисдикции (как правило, не менее 5 лет).
• Технические журналы (логи) — до 12 месяцев, после чего обезличиваются или удаляются.
• Cookies — в соответствии с Cookie-политикой.
• Обращения в поддержку — до 3 лет с момента закрытия обращения.

7. Права субъектов персональных данных

Пользователь имеет, в частности, следующие права в отношении своих персональных данных:

• право получить информацию об обработке своих персональных данных, в том числе об источниках, целях, основаниях, сроках обработки и о получателях;
• право требовать уточнения, блокирования, удаления своих персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей;
• право в любой момент отозвать согласие на обработку (при наличии иных оснований обработки она может быть продолжена в установленных целях);
• право обжаловать действия (бездействие) оператора в Национальный центр защиты персональных данных Республики Беларусь (npa.by) или в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — для пользователей-резидентов Российской Федерации, и в иные компетентные органы по месту своего жительства.

Запросы об осуществлении прав направляются на twinai.support@freeaiphoto.com с учётной записи, указанной при регистрации, либо иным способом, позволяющим однозначно идентифицировать заявителя. Срок ответа — не более 15 рабочих дней с момента получения запроса (ст. 18 Закона РБ № 99-З; ст. 14 ФЗ-152).

8. Меры защиты

• Шифрование данных при передаче по сети (TLS).
• Хранение паролей в виде криптографических хэшей; невозможность их восстановления в открытом виде.
• Разграничение доступа: к производственным базам данных имеют доступ только уполномоченные сотрудники в объёме, необходимом для выполнения должностных обязанностей.
• Журналирование действий администраторов и регулярный аудит журналов.
• Регулярное резервное копирование и проверка процедур восстановления.
• Программа управления уязвимостями и реагирования на инциденты безопасности; раскрытие через twinai.support@freeaiphoto.com.

9. Дети и несовершеннолетние

Сервис маркирован как 18+ и не предназначен для использования лицами, не достигшими 18 лет. Если нам станет известно, что в Сервисе зарегистрирован несовершеннолетний, мы заблокируем такую учётную запись и удалим связанные с ней персональные данные.

10. Изменения Политики

Мы вправе вносить изменения в настоящую Политику. Актуальная редакция всегда доступна по адресу twinailabs.com/privacy-policy. О существенных изменениях мы уведомим Пользователя по электронной почте и/или в Личном кабинете не менее чем за 14 календарных дней до даты вступления изменений в силу.