Политика в отношении обработки персональных данных
Сервис: MindVault AI (далее — «Сервис», «Платформа») Сайт: https://mind-vault.ru Оператор: Индивидуальный предприниматель Ковалев Андрей Леонидович, ИНН 771878476181, ОГРНИП 318774600304940 Редакция от: 04.07.2026
Настоящий документ — формальная Политика обработки персональных данных, публикуемая в соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон № 152-ФЗ»). Человекочитаемое изложение того, как Сервис работает с данными, приведено в Политике конфиденциальности.
1. Общие положения
1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые Оператором, и разработана во исполнение требований ч. 2 ст. 18.1 Закона № 152-ФЗ.
1.2. Политика действует в отношении всей информации, которую Оператор может получить о субъектах персональных данных при использовании ими Сервиса и сайта https://mind-vault.ru.
1.3. Оператор обрабатывает персональные данные на законной и справедливой основе, руководствуясь Конституцией РФ, Законом № 152-ФЗ, иными нормативными правовыми актами РФ в области персональных данных.
1.4. Используя Сервис, субъект подтверждает ознакомление с настоящей Политикой. Согласие на обработку персональных данных оформляется отдельным документом (Согласие на обработку персональных данных).
2. Термины и определения
В Политике используются термины в значениях, установленных ст. 3 Закона № 152-ФЗ:
- Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
- Оператор — индивидуальный предприниматель, указанный в разделе «Оператор», организующий и (или) осуществляющий обработку персональных данных.
- Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
- Автоматизированная обработка — обработка с помощью средств вычислительной техники.
- Трансграничная передача — передача персональных данных на территорию иностранного государства органу власти, иностранному физическому или юридическому лицу.
- Память Сервиса («второй мозг») — функциональность долговременного хранения и семантического поиска информации, вносимой Пользователем, реализованная на базе векторной (Qdrant), графовой (Neo4j) и реляционной (PostgreSQL) баз данных.
- Пользователь — физическое лицо, использующее Сервис; в части его персональных данных — субъект персональных данных.
3. Оператор и ответственный за организацию обработки
3.1. Оператор: Индивидуальный предприниматель Ковалев Андрей Леонидович, ИНН 771878476181, ОГРНИП 318774600304940, адрес: 107065, г. Москва, ул. Камчатская, д. 8, к. 2, кв. 61.
3.2. Оператор осуществляет деятельность без привлечения наёмных работников. Функции ответственного за организацию обработки персональных данных Оператор исполняет лично.
3.3. Контакт для обращений субъектов персональных данных: почтовый адрес Оператора 107065, г. Москва, ул. Камчатская, д. 8, к. 2, кв. 61 либо Telegram-бот поддержки @MindVaultAISupportBot.
4. Правовые основания обработки
4.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:
- согласие субъекта на обработку персональных данных (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ);
- исполнение договора, стороной которого является субъект, — Договора-оферты (п. 5 ч. 1 ст. 6);
- осуществление прав и законных интересов Оператора (обеспечение безопасности Сервиса, предотвращение злоупотреблений) при условии ненарушения прав субъекта (п. 7 ч. 1 ст. 6);
- исполнение возложенных на Оператора законом обязанностей (налоговое законодательство, законодательство о применении ККТ — Федеральный закон № 54-ФЗ) (п. 2 ч. 1 ст. 6).
4.2. Трансграничная передача персональных данных осуществляется на основании согласия субъекта в соответствии со ст. 12 Закона № 152-ФЗ; до начала такой передачи Оператор подаёт в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных. Обработка специальных категорий персональных данных осуществляется на основании специального согласия субъекта, выражаемого им в составе Согласия на обработку персональных данных (п. 7) (ч. 2 ст. 10 Закона № 152-ФЗ).
5. Принципы обработки
5.1. Обработка персональных данных осуществляется в соответствии с принципами ст. 5 Закона № 152-ФЗ:
- законность и справедливость;
- ограничение обработки достижением конкретных, заранее определённых и законных целей;
- недопущение обработки, несовместимой с целями сбора;
- соответствие содержания и объёма данных заявленным целям;
- точность и достаточность данных, их актуализация;
- хранение в форме, позволяющей определить субъекта, не дольше, чем требуют цели обработки;
- уничтожение или обезличивание по достижении целей либо при утрате необходимости.
6. Категории субъектов и категории персональных данных
6.1. Категории субъектов: физические лица, зарегистрировавшиеся в Сервисе и (или) использующие его, а также лица, взаимодействующие с Сервисом через каналы связи (в том числе Telegram).
6.2. Категории обрабатываемых персональных данных:
| Группа | Состав данных |
|---|---|
| Идентификационные и контактные | адрес электронной почты; номер телефона; идентификатор, имя пользователя, имя и номер телефона в Telegram |
| Аутентификационные | хеш пароля; коды и токены двухфакторной аутентификации; токены доверенных устройств; IP-адрес и сведения об устройстве при входе |
| Пользовательский контент (Память Сервиса) | информация, которую Пользователь добровольно вносит в Память Сервиса: тексты диалогов, факты, заметки, документы, расшифровки голосовых сообщений |
| Платёжные | сведения о платежах и балансе; данные, необходимые для формирования кассового чека (адрес электронной почты и (или) телефон) |
| Технические | данные журналов, сведения об использовании Сервиса, метрики потребления |
6.3. Специальные категории и биометрия:
- Оператор целенаправленно не запрашивает специальные категории персональных данных (раса, национальность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь) и не использует их для профилирования.
- Поскольку Память Сервиса предназначена для хранения любой информации, вносимой Пользователем по его усмотрению, Пользователь может самостоятельно внести такие сведения. В этом случае они обрабатываются исключительно для предоставления функциональности памяти (хранение и выдача по запросу Пользователя) на основании специального согласия субъекта, выражаемого им в составе Согласия на обработку персональных данных (п. 7), и под его ответственность (см. также Договор-оферту).
- Оператор не обрабатывает биометрические персональные данные. Голосовые сообщения используются исключительно для преобразования речи в текст (расшифровки); аудиозаписи не сохраняются и не используются для идентификации личности по голосу.
6.4. Данные третьих лиц. Внося в Память Сервиса персональные данные третьих лиц, Пользователь самостоятельно определяет цель и состав такой обработки и гарантирует наличие правовых оснований (в том числе согласия третьих лиц). Оператор обрабатывает эти данные исключительно в объёме функциональности Памяти по запросу (заданию) Пользователя как пользователя Сервиса; ответственность за правомерность их внесения несёт Пользователь.
6.5. Несовершеннолетние. Сервис не предназначен для лиц младше 18 лет. Оператор целенаправленно не собирает персональные данные несовершеннолетних. При выявлении факта обработки персональных данных лица младше 18 лет такие данные подлежат удалению, а доступ к Сервису может быть заблокирован.
7. Цели обработки
7.1. Персональные данные обрабатываются для следующих целей:
- регистрация и идентификация Пользователя, предоставление доступа к Сервису;
- заключение и исполнение Договора-оферты, оказание услуг Платформы (создание и работа ИИ-агентов, функциональность Памяти, каналы взаимодействия, Memory API);
- расчёты, биллинг, формирование кассовых чеков в соответствии с Федеральным законом № 54-ФЗ;
- обеспечение безопасности, предотвращение мошенничества и злоупотреблений;
- информирование Пользователя о работе Сервиса; направление маркетинговых сообщений — только при наличии отдельного согласия;
- исполнение требований законодательства.
8. Порядок и условия обработки
8.1. Обработка осуществляется как с использованием средств автоматизации, так и без них. Часть обработки (извлечение фактов из текста, семантический поиск, генерация ответов ИИ) является автоматизированной; в отношении такой обработки субъект вправе заявить возражение в порядке раздела 11.
8.2. Локализация баз данных (ч. 5 ст. 18 Закона № 152-ФЗ). Запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации (ООО «АЙТИ БАЗИС» (хостинг-провайдер HostKey), дата-центр по адресу г. Москва (дата-центр хостинг-провайдера HostKey)). Первичная запись и хранение персональных данных граждан Российской Федерации осуществляются в базах данных на территории Российской Федерации; последующая передача отдельных данных для работы ИИ-функций и каналов связи может носить трансграничный характер и осуществляется в порядке раздела 9 на основании согласия субъекта (см. 8.4).
8.3. Хранилища данных: реляционная база PostgreSQL (учётные записи, биллинг, полнотекстовые диалоги Памяти), векторная база Qdrant (семантические факты), графовая база Neo4j (связи между сущностями). Данные разных Пользователей логически разграничены по идентификаторам владельца (тенант/пользователь/ассистент) и средствам контроля доступа.
8.4. Трансграничная передача. При использовании функций ИИ-ответов пользовательский контент передаётся внешним поставщикам больших языковых моделей. В текущей конфигурации Сервиса основной поставщик модели расположен за пределами Российской Федерации (Китайская Народная Республика — сервис DeepSeek), поэтому такая трансграничная передача осуществляется штатно при работе ИИ-функций, а не в порядке исключения. Условия и получатели — в разделе 9 и в Согласии на трансграничную передачу.
8.5. Условия прекращения обработки: достижение целей обработки; отзыв согласия субъектом (при отсутствии иных правовых оснований); прекращение оказания услуг или закрытие Сервиса; требование закона. По прекращении данные уничтожаются или обезличиваются в сроки, установленные разделом 10.
9. Передача персональных данных третьим лицам и трансграничная передача
9.1. Поручение обработки (ст. 6 ч. 3 Закона № 152-ФЗ). Оператор поручает обработку персональных данных перечисленным ниже лицам, осуществляющим обработку по поручению Оператора на территории Российской Федерации и связанным обязанностью соблюдать конфиденциальность и требования Закона № 152-ФЗ, в объёме, необходимом для оказания услуг:
| Получатель | Назначение | Юрисдикция |
|---|---|---|
| ООО «АЙТИ БАЗИС» (хостинг-провайдер HostKey) | хостинг, размещение баз данных и серверов | Российская Федерация |
| ООО «ЮКасса» (или иной платёжный агент) | приём платежей, формирование кассовых чеков (54-ФЗ) | Российская Федерация |
Конструкция поручения обработки по ч. 3 ст. 6 Закона № 152-ФЗ не распространяется на перечисленных ниже получателей: зарубежные поставщики больших языковых моделей являются получателями в порядке трансграничной передачи (ст. 12 Закона № 152-ФЗ — см. 9.2 и Согласие на трансграничную передачу), а Telegram Messenger является используемым Пользователем каналом связи. Обработка на стороне этих получателей регулируется применимым к ним иностранным правом и их собственными условиями, которые Оператор контролирует не в полной мере (синхронно с Согласием на обработку персональных данных, §6):
| Получатель | Назначение | Юрисдикция | Правовая конструкция |
|---|---|---|---|
| Поставщики больших языковых моделей (DeepSeek и иные) | автоматизированная обработка пользовательского контента для генерации ответов ИИ | иностранные государства, в т.ч. Китайская Народная Республика — см. 9.2 | трансграничная передача (ст. 12), не поручение по ч. 3 ст. 6 |
| Telegram Messenger | передача сообщений по каналу связи (при подключении Пользователем) | иностранная платформа | используемый Пользователем канал связи, не поручение по ч. 3 ст. 6 |
9.2. Трансграничная передача (ст. 12 Закона № 152-ФЗ).
- Передача пользовательского контента внешним поставщикам больших языковых моделей, расположенным за пределами РФ (в том числе в Китайской Народной Республике — сервис DeepSeek), является трансграничной передачей персональных данных. Поскольку основной поставщик модели в текущей конфигурации расположен за пределами РФ, такая передача происходит штатно при использовании ИИ-функций.
- Правовым основанием является согласие субъекта в соответствии со ст. 12 Закона № 152-ФЗ, оформляемое документом Согласие на трансграничную передачу.
- До начала трансграничной передачи Оператор подаёт в Роскомнадзор отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных (ст. 12 ч. 3; форма — приказ Роскомнадзора от 28.10.2022 № 180). Порядок начала передачи зависит от того, отнесено ли государство-получатель к обеспечивающим адекватную защиту прав субъектов персональных данных (перечень — приказ Роскомнадзора от 05.08.2022 № 128). Китайская Народная Республика (сервис DeepSeek, используемый Оператором) включена в указанный перечень — при передаче в неё Оператор осуществляет передачу после направления уведомления. Если Оператор в будущем начнёт использовать поставщиков в государствах, не обеспечивающих адекватной защиты, Оператор приступает к передаче в такие государства не ранее истечения установленного законом срока рассмотрения уведомления Роскомнадзором (10 рабочих дней) и при отсутствии решения о её запрете или ограничении.
- Оператор стремится использовать поставщиков и тарифные планы, по условиям которых переданный контент обрабатывается для генерации ответа (транзиентно) и не используется для обучения их моделей. Итоговый режим обработки определяется условиями конкретного поставщика, которые Оператор контролирует не в полной мере; обработку данных на стороне иностранного получателя сверх условий соответствующего сервиса Оператор не контролирует (синхронно с Согласием на трансграничную передачу, §5–6). До публикации соответствующие договоры и (или) публичные условия поставщиков сверяются на предмет фактического наличия такого режима.
- Пользователю предоставляется возможность отказаться от трансграничной передачи путём неподписания соответствующего согласия; в этом случае функциональность, требующая внешних иностранных моделей, будет недоступна (российский режим обработки на текущий момент может отсутствовать или быть ограничен).
9.3. Memory API (самостоятельное подключение внешнего ИИ). Пользователь может самостоятельно подключить к своей Памяти внешний ИИ-сервис или агента (в том числе собственный — например, Claude или ChatGPT) через Memory API по ключу доступа. В этом случае Пользователь самостоятельно инициирует передачу содержимого своей Памяти выбранному им внешнему сервису (в том числе возможно трансграничную) и несёт ответственность за правомерность и последствия такой передачи; условия внешнего сервиса определяются этим сервисом, а не Оператором (синхронно с Согласием на трансграничную передачу, §8).
9.4. Оператор не продаёт персональные данные и не передаёт их третьим лицам в целях, не предусмотренных настоящей Политикой, за исключением случаев, установленных законом (например, по запросам уполномоченных государственных органов).
10. Сроки обработки и уничтожения
10.1. Персональные данные обрабатываются в течение срока, необходимого для достижения целей обработки, если иной срок не установлен законом или договором.
10.2. Ориентировочные сроки:
- учётные и контактные данные — в течение срока действия учётной записи и 3 (трёх) лет после её закрытия;
- пользовательский контент Памяти — до удаления Пользователем соответствующего агента/данных либо до прекращения договора; при удалении агента связанные семантические и графовые данные уничтожаются;
- платёжные и кассовые данные — в течение сроков, установленных налоговым законодательством и законодательством о применении ККТ;
- данные, обрабатываемые на основании согласия, — до достижения целей или до отзыва согласия.
10.3. По достижении целей обработки либо в случае отзыва согласия и отсутствия иных правовых оснований персональные данные подлежат уничтожению или обезличиванию в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки либо отзыва согласия, если иной срок не предусмотрен договором или законодательством.
10.4. Объём удаления. При удалении агента связанные семантические (Qdrant) и графовые (Neo4j) данные уничтожаются. Удаление не распространяется на копии контента, переданные транзиентно поставщикам ИИ для генерации ответа (по условиям договоров с поставщиками такой контент не удерживается ими сверх необходимого для генерации ответа), а также на данные, которые Пользователь самостоятельно передал внешним сервисам через Memory API (см. 9.3); удаление таких данных осуществляется по правилам соответствующего внешнего сервиса. Полнотекстовые записи диалогов, хранимые для обеспечения работы Памяти, удаляются по запросу субъекта по почтовому адресу Оператора (указан в реквизитах) либо через Telegram-бот поддержки @MindVaultAISupportBot в сроки, установленные настоящим разделом.
11. Права субъектов персональных данных и порядок их реализации
11.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных (ст. 14 Закона № 152-ФЗ);
- требовать уточнения, блокирования или уничтожения персональных данных, если они неполны, устаревшие, неточные, незаконно полученные или не являются необходимыми;
- отозвать согласие на обработку персональных данных;
- возражать против автоматизированной обработки;
- обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — или в судебном порядке.
11.2. Порядок реализации прав:
- значительную часть действий (просмотр и редактирование данных учётной записи, удаление данных Памяти и агентов, отзыв отдельных согласий) Пользователь осуществляет самостоятельно через личный кабинет Сервиса;
- если требуемая функция в личном кабинете отсутствует, субъект направляет обращение по почтовому адресу Оператора (указан в реквизитах) либо через Telegram-бот поддержки @MindVaultAISupportBot. Оператор рассматривает обращение и предоставляет ответ в сроки, установленные Законом № 152-ФЗ (по общему правилу — в течение 10 рабочих дней, с возможностью продления не более чем на 5 рабочих дней с уведомлением).
- для идентификации заявителя Оператор вправе запросить сведения, подтверждающие личность субъекта и его связь с обрабатываемыми данными.
11.3. Возражение против автоматизированной обработки. Возражение против автоматизированной обработки субъект направляет по почтовому адресу Оператора (указан в реквизитах) либо через Telegram-бот поддержки @MindVaultAISupportBot. Поскольку извлечение фактов, семантический поиск и генерация ответов ИИ являются неотъемлемой частью функциональности Сервиса, удовлетворение такого возражения может повлечь невозможность дальнейшего оказания соответствующих услуг; об этом субъект уведомляется в ответе Оператора.
12. Меры по обеспечению безопасности персональных данных
12.1. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий, в соответствии со ст. 18.1 и 19 Закона № 152-ФЗ, постановлением Правительства РФ от 01.11.2012 № 1119 и приказом ФСТЭК России от 18.02.2013 № 21. Информационная система отнесена к уровню защищённости УЗ-4 (актуальные угрозы 3-го типа, обработка иных категорий ПДн).
12.2. Фактически реализованные меры (приводятся честно, в соответствии с действительным состоянием Сервиса):
- шифрование трафика по протоколу TLS/HTTPS на внешнем периметре и между внутренними сервисами;
- обязательная аутентификация доступа к данным Памяти (доступ без действительных учётных данных отклоняется);
- логическое разграничение данных по владельцу (тенант/пользователь/ассистент) и контроль области действия ключей доступа;
- размещение первичных баз данных на территории Российской Федерации;
- ограничение публичного сетевого доступа к внутренним подсистемам (доступ только из внутренней сети);
- использование голосовых данных только для расшифровки в текст без хранения аудиозаписей.
12.3. Перечень мер актуализируется по мере развития Сервиса. Оператор не декларирует меры, которые фактически не внедрены.
12.4. Ограничения контроля и зоны риска. Оператор не контролирует содержание информации, добровольно вносимой Пользователем в Память, и не отвечает за добровольную передачу Пользователем конфиденциальной информации агенту. Оператор принимает разумные меры защиты, однако не может гарантировать абсолютную защищённость данных при передаче по сети Интернет. Раскрытие данных Памяти вследствие воздействия третьих лиц на агента через подключённые каналы связи (например, инструкции, переданные в сообщениях) находится вне полного контроля Оператора.
13. Актуализация Политики
13.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция размещается по адресу https://mind-vault.ru с указанием даты редакции.
13.2. По вопросам, связанным с обработкой персональных данных, субъект может обратиться к Оператору по почтовому адресу (указан в реквизитах) либо через Telegram-бот поддержки @MindVaultAISupportBot.