Политика
в отношении обработки персональных данных

1.1. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) в действующей редакции, включая изменения ФЗ-420 от 30.11.2024 и ФЗ-156 от 24.06.2025, и определяет порядок обработки персональных данных Индивидуальным предпринимателем Тазиевым Амиром Дамировичем (ИНН 162611261184, ОГРНИП 323169000237039, адрес электронной почты info@autofract.com; далее — «Оператор») при оказании услуг сервиса «Bashka» (ai.autofract.com, @mybashka_bot; далее — «Сервис»).

1.2. Политика размещена в свободном доступе на сайте Сервиса в соответствии с ч. 2 ст. 18.1 152-ФЗ.

В силу архитектуры Сервиса Оператор выступает в двух различных правовых ролях применительно к двум категориям субъектов:

2.1. Пользователи Сервиса — Оператор является оператором обработки. К Пользователям относятся физические лица, самозанятые, индивидуальные предприниматели и представители юридических лиц, которые регистрируются в Сервисе, получают лицензию на использование Программы и используют её для взаимодействия со своими Конечными клиентами.

2.2. Конечные клиенты Пользователей — Оператор является лицом, осуществляющим обработку персональных данных по поручению Пользователя (ч. 3 ст. 6 152-ФЗ). К Конечным клиентам относятся физические лица, которые направляют сообщения в Telegram-аккаунт Пользователя и чьи сообщения обрабатываются Программой. Оператором в отношении Конечных клиентов является сам Пользователь. Отношения между Пользователем и Оператором по обработке персональных данных Конечных клиентов регулируются Договором-поручением на обработку персональных данных (DPA), размещённым на сайте Сервиса.

3.1. Персональные данные Пользователей Сервиса:

• фамилия, имя, отчество; адрес электронной почты; номер телефона; Telegram ID, username, имя профиля;
• для ИП и самозанятых — ИНН, ОГРНИП; для юридических лиц — наименование, ИНН, ОГРН, должность и ФИО контактного лица;
• логин, хешированный пароль, данные об устройстве, IP-адрес, cookies, user-agent, сведения о действиях в Личном кабинете;
• платёжная информация (маскированные реквизиты карт обрабатываются платёжным агентом; Оператор получает факт и сумму платежа);
• настройки профиля Пользователя: указанные Пользователем услуги, цены, описания, материалы, прайсы, файлы;
• содержание обращений в службу поддержки.

3.2. Персональные данные Конечных клиентов (обрабатываются по поручению Пользователя):

• Telegram ID, username, имя и фамилия в профиле Telegram;
• содержание сообщений, отправляемых Конечным клиентом, и ответов, генерируемых Программой;
• прикреплённые файлы, голосовые сообщения, изображения, документы;
• метаданные: дата, время, статус сообщений;
• любые сведения, сообщённые Конечным клиентом в ходе переписки (контактные данные, сведения о проекте, суммах, датах и т.п.).

Для Пользователей Сервиса:

• заключение и исполнение лицензионного договора, предоставление доступа к Программе;
• биллинг, выставление счетов, формирование закрывающих документов;
• техническая поддержка и коммуникация по вопросам Сервиса;
• улучшение качества Сервиса, аналитика использования (на агрегированном/обезличенном уровне);
• направление информационных и маркетинговых сообщений (при наличии отдельного согласия);
• исполнение требований законодательства (налогового, о противодействии отмыванию доходов и т.д.).

Для Конечных клиентов (по поручению Пользователя):

• обработка входящих сообщений и генерация ответов от имени Пользователя с использованием AI-моделей;
• квалификация обращений, формирование данных для CRM Пользователя;
• приём предоплаты через платёжного агента Robokassa;
• хранение и передача Пользователю истории переписки для использования в его предпринимательской деятельности.

5.1. Для Пользователей Сервиса — согласие субъекта (п. 1 ч. 1 ст. 6 152-ФЗ); исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6); исполнение законодательства (п. 2 ч. 1 ст. 6).

5.2. Для Конечных клиентов — поручение Оператора-Пользователя на основании ч. 3 ст. 6 152-ФЗ; согласие Конечного клиента, получаемое Пользователем в силу его обязанностей по DPA, в том числе путём размещения Пользователем уведомления в первом сообщении бота; исполнение договора между Пользователем и его Конечным клиентом.

5.3. Трансграничная передача осуществляется на основании письменного согласия субъекта (п. 1 ч. 4 ст. 12 152-ФЗ) и после уведомления Роскомнадзора в порядке ч. 3 ст. 12.

6.1. Данные учётной записи Пользователя — в течение срока действия договора и 3 (три) года после его прекращения (срок исковой давности по ГК РФ).

6.2. Платёжные документы и налоговые реквизиты — 5 (пять) лет с даты совершения операции (в соответствии со ст. 23 НК РФ).

6.3. Переписка Конечных клиентов — в течение срока, установленного Пользователем в настройках, но не более срока действия подписки Пользователя; по прекращении лицензии — удаляется в течение 30 дней, за исключением резервных копий, которые ротируются в срок до 90 дней.

6.4. Маркетинговые данные — до отзыва согласия.

6.5. Cookie и данные аналитики — до 13 месяцев.

7.1. Оператор осуществляет трансграничную передачу персональных данных в иностранные государства для обеспечения функционирования AI-компонентов Программы.

7.2. Персональные данные могут передаваться иностранным поставщикам AI-моделей, расположенным в странах, включённых в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных (приказ Роскомнадзора от 05.08.2022 № 128), а также в странах, не включённых в указанный перечень, в том числе в Соединённых Штатах Америки. Состав поставщиков может изменяться по усмотрению Оператора; актуальный перечень предоставляется по запросу на info@autofract.com.

7.3. Передача в страны без адекватной защиты осуществляется при одновременном соблюдении условий: (а) Оператор направил в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу в порядке ч. 3 ст. 12 152-ФЗ и истёк срок, предусмотренный ч. 11 ст. 12; (б) получено согласие субъекта персональных данных в письменной форме на трансграничную передачу (п. 1 ч. 4 ст. 12 152-ФЗ); (в) с иностранным получателем обеспечены договорные или обычно-принятые условия, направленные на конфиденциальность и безопасность персональных данных.

7.4. Оператор несёт ответственность перед субъектом персональных данных за действия иностранных получателей солидарно с ними (ч. 6 ст. 6 152-ФЗ).

8.1. Оператор передаёт персональные данные следующим категориям третьих лиц:

• платёжным агентам — ООО «РОБОКАССА» (ИНН 5407489915) — для проведения платежей;
• инфраструктурным провайдерам — хостинг-провайдеру, оказывающему услуги размещения на территории РФ;
• провайдерам сервисов интеграций — по указанию Пользователя (Google Workspace, Notion, Figma, Tilda, AmoCRM, YCLIENTS и др.); использование данных сервисов регулируется их собственными политиками;
• государственным органам — в случаях, прямо предусмотренных законодательством РФ.

8.2. С лицами, осуществляющими обработку по поручению Оператора, заключаются соответствующие договоры или оферты поручения.

9.1. Запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ).

9.2. Последующая обработка посредством иностранных AI-моделей осуществляется как вторичная операция обработки и не заменяет первичную запись в российских базах данных.

10.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных (ст. 19 152-ФЗ и Постановление Правительства РФ № 1119 от 01.11.2012):

• назначение ответственного за обработку персональных данных;
• издание локальных актов: настоящей Политики, Правил обработки, Положения о мерах безопасности, перечня допущенных лиц;
• ознакомление работников и подрядчиков, обязательства о конфиденциальности;
• разграничение и журналирование доступа; многофакторная аутентификация;
• шифрование передаваемых и хранимых данных, резервное копирование;
• антивирусная защита, межсетевое экранирование, мониторинг инцидентов;
• регулярная оценка эффективности мер, периодическая проверка актуальности Политики;
• оценка вреда субъектам персональных данных (ст. 18.1 ч. 1 п. 5 152-ФЗ).

В соответствии со ст. 14, 20, 21 152-ФЗ субъект имеет право:

• получать информацию, касающуюся обработки его персональных данных, в том числе сведения, предусмотренные ч. 7 ст. 14 152-ФЗ;
• требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми;
• отзывать согласие на обработку персональных данных;
• обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке;
• на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда.

Для реализации прав субъект направляет запрос на info@autofract.com или через форму на странице /rights с указанием сведений, подтверждающих его личность и позволяющих идентифицировать соответствующие персональные данные. Срок ответа — не более 10 рабочих дней с возможностью продления до 5 рабочих дней (ст. 20 152-ФЗ).

12.1. Сайт использует технические и аналитические cookie-файлы, включая Яндекс.Метрику (ООО «Яндекс», РФ). Порядок использования описан в отдельном документе «Согласие на использование cookie и метрики».

12.2. Использование аналитических и маркетинговых cookie производится только при наличии согласия пользователя, полученного через cookie-баннер.

13.1. При выявлении неправомерной или случайной передачи персональных данных Оператор уведомляет Роскомнадзор: в течение 24 часов — о факте инцидента, в течение 72 часов — о результатах внутреннего расследования (ч. 3.1 ст. 21 152-ФЗ).

13.2. Оператор уведомляет пострадавших субъектов в разумный срок и с учётом существа нарушения.

Оператор вправе вносить изменения. Актуальная редакция размещается на сайте Сервиса с указанием даты вступления в силу. Предыдущие редакции архивируются по адресу ai.autofract.com/privacy/archive.

Редакция от 20.04.2026