Политика обработки персональных данных

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.4. Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

2.5. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.6. Сервис — программный продукт ShopStory, представляющий собой B2B SaaS-платформу для автоматизированной генерации AI-видео для электронной коммерции, доступный по адресу https://studio.shopstory.live.

3.1. Оператор обрабатывает следующие категории персональных данных:

3.1.1. Данные, предоставляемые пользователем:

3.1.2. Данные, собираемые автоматически:

3.1.3. Данные, создаваемые в процессе использования Сервиса:

Примечание: Указанные в таблице 3.1.3 данные, как правило, не являются персональными данными в смысле статьи 3 Федерального закона № 152-ФЗ, однако приведены для полноты информирования. Пользователь обязуется не включать в загружаемый контент персональные данные третьих лиц без наличия законных оснований для их обработки и передачи.

3.2. Оператор не осуществляет сбор и обработку:

• специальных категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь);
• биометрических персональных данных;
• данных о судимости;
• паспортных данных;
• платёжных реквизитов (банковские карты, расчётные счета).

4.1. Оператор обрабатывает персональные данные в следующих целях:

4.2. Обработка персональных данных осуществляется исключительно в указанных целях. Обработка в иных целях не допускается без получения отдельного согласия субъекта.

5.1. Обработка персональных данных осуществляется с использованием средств автоматизации.

5.2. Обработка включает следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление), блокирование, удаление, уничтожение.

5.3. Оператор не осуществляет распространение персональных данных (предоставление неограниченному кругу лиц).

5.4. Принципы обработки:

• обработка осуществляется на законной и справедливой основе;
• обработка ограничивается достижением конкретных, заранее определённых целей;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
• обработке подлежат только те персональные данные, которые отвечают целям обработки;
• содержание и объём обрабатываемых данных соответствуют заявленным целям;
• при обработке обеспечиваются точность и достаточность персональных данных.

6.1. Оператор вправе передавать персональные данные третьим лицам в следующих случаях:

• субъект дал согласие на передачу;
• передача необходима для исполнения договора с субъектом;
• передача предусмотрена законодательством Российской Федерации.

6.2. Перечень третьих лиц, которым могут быть переданы персональные данные:

6.3. Пользовательский контент (описания товаров, изображения, промпты) передаётся следующим поставщикам AI-сервисов для целей генерации контента:

6.4. Оператор обеспечивает конфиденциальность передаваемых данных и требует от получателей соблюдения аналогичных мер защиты.

7.1. Оператор осуществляет трансграничную передачу персональных данных в соответствии со статьёй 12 Федерального закона № 152-ФЗ.

7.2. Трансграничная передача персональных данных осуществляется на территорию следующих государств:

7.3. Оператор уведомил Роскомнадзор о намерении осуществлять трансграничную передачу персональных данных в соответствии с требованиями статьи 12 152-ФЗ.

7.4. Основанием для трансграничной передачи является согласие субъекта персональных данных, полученное в порядке, предусмотренном разделом 8 настоящей Политики.

7.5. Меры обеспечения безопасности при трансграничной передаче:

• передача осуществляется по зашифрованным каналам связи (HTTPS/TLS);
• аутентификация запросов осуществляется с использованием API-ключей;
• объём передаваемых данных минимизирован до необходимого для достижения цели.

8.1. Согласие на обработку персональных данных предоставляется субъектом свободно, своей волей и в своём интересе, путём проставления отметки в соответствующем поле (чекбокс) при использовании Сервиса.

8.2. Согласие является конкретным, предметным, информированным, сознательным и однозначным в соответствии с требованиями статьи 9 Федерального закона № 152-ФЗ (в редакции Федерального закона от 24.06.2025 № 156-ФЗ).

8.3. Согласие оформлено отдельно от иных документов в соответствии с требованиями пункта 1 статьи 9 Федерального закона № 152-ФЗ.

8.4. Предоставляя согласие, субъект подтверждает, что ознакомлен с:

• перечнем обрабатываемых персональных данных (раздел 3);
• целями обработки (раздел 4);
• перечнем третьих лиц-получателей (раздел 6);
• фактом трансграничной передачи (раздел 7);
• своими правами (раздел 9);
• порядком отзыва согласия (раздел 10).

8.5. Согласие действует с момента его предоставления и до момента отзыва субъектом или удаления учётной записи.

9.1. Субъект персональных данных имеет право:

9.1.1. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:

• подтверждение факта обработки;
• правовые основания и цели обработки;
• цели и применяемые Оператором способы обработки;
• наименование и местонахождение Оператора;
• сроки обработки, в том числе сроки хранения;
• перечень действий, совершаемых с данными;
• информацию о трансграничной передаче данных.

9.1.2. Требовать уточнения, блокирования или уничтожения персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

9.1.3. Отозвать согласие на обработку персональных данных в порядке, предусмотренном разделом 10 настоящей Политики.

9.1.4. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

9.1.5. Требовать удаления учётной записи и всех связанных персональных данных.

9.1.6. Получать информацию о лицах, которым персональные данные были переданы оператором, в соответствии с частью 7 статьи 14 Федерального закона № 152-ФЗ.

9.2. Для реализации своих прав субъект направляет запрос на адрес электронной почты: privacy@shopstory.live.

9.3. Оператор рассматривает запрос субъекта в срок не более 10 рабочих дней с момента получения.

10.1. Субъект вправе отозвать согласие на обработку персональных данных в любое время, направив запрос на адрес электронной почты privacy@shopstory.live с указанием:

• фамилии, имени, отчества субъекта;
• адреса электронной почты, использованного при регистрации;
• заявления об отзыве согласия на обработку персональных данных.

10.2. Оператор прекращает обработку персональных данных в течение 30 (тридцати) дней с момента получения отзыва, за исключением случаев, предусмотренных пунктами 2–11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона № 152-ФЗ.

10.3. При отзыве согласия учётная запись пользователя деактивируется, а персональные данные подлежат уничтожению в установленный срок.

10.4. Оператор уведомляет субъекта о прекращении обработки персональных данных в течение 3 рабочих дней после завершения процедуры.

11.1. Сроки обработки и хранения персональных данных определяются исходя из целей обработки:

11.2. По истечении срока хранения персональные данные подлежат уничтожению в течение 30 дней.

11.3. В случае удаления учётной записи все связанные персональные данные уничтожаются в течение 30 дней, за исключением данных, хранение которых предусмотрено законодательством.

12.1. Сервис использует cookie-файлы исключительно для обеспечения функционирования механизма аутентификации.

12.2. Перечень используемых cookie-файлов:

12.3. Строго необходимые cookie-файлы используются исключительно для обеспечения работоспособности Сервиса и не могут быть отключены.

12.4. Сервис не использует:

• аналитические cookie-файлы;
• маркетинговые cookie-файлы;
• cookie-файлы третьих лиц;
• пиксели отслеживания;
• системы веб-аналитики (Google Analytics, Яндекс.Метрика и пр.).

13.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

13.2. Технические меры защиты:

• шифрование каналов передачи данных (HTTPS/TLS);
• хеширование паролей с использованием алгоритма scrypt с уникальной солью;
• шифрование чувствительных данных при хранении;
• разграничение доступа к информационным системам на основе ролевой модели;
• двухфакторная аутентификация для администраторов;
• привязка сессий к IP-адресу;
• ограничение частоты запросов на аутентификацию (rate limiting);
• использование защищённых cookie-файлов (флаги Secure, HttpOnly, SameSite).

13.3. Организационные меры защиты:

• назначение ответственного за организацию обработки персональных данных;
• ограничение круга лиц, имеющих доступ к персональным данным;
• ознакомление сотрудников с требованиями законодательства и локальными актами по вопросам обработки и защиты персональных данных.

14.1. Первичный сбор, запись, систематизация, накопление и хранение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, расположенных на территории Российской Федерации, в соответствии с частью 5 статьи 18 Федерального закона № 152-ФЗ.

14.2. Серверы, на которых размещены базы данных Сервиса, находятся на территории Российской Федерации (хостинг-провайдер: ООО «Селектел», г. Санкт-Петербург).

15.1. При выявлении неточности персональных данных субъект вправе обратиться к Оператору с требованием об уточнении.

15.2. Оператор осуществляет уточнение данных в течение 7 рабочих дней с момента получения обоснованного требования.

15.3. В случае достижения целей обработки, отзыва согласия или по требованию субъекта, Оператор осуществляет уничтожение персональных данных в срок не более 30 дней.

15.4. Уничтожение персональных данных осуществляется способом, исключающим дальнейшую обработку этих данных.

16.1. Все обращения, запросы и уведомления субъектов персональных данных направляются по адресу: privacy@shopstory.live.

16.2. Оператор обязуется рассмотреть обращение субъекта и предоставить мотивированный ответ в срок, предусмотренный законодательством Российской Федерации (не более 10 рабочих дней).

16.3. Уполномоченный орган по защите прав субъектов персональных данных:

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

• Адрес: 109992, г. Москва, Китайгородский проезд, д. 7, стр. 2
• Сайт: https://rkn.gov.ru
• Портал персональных данных: https://pd.rkn.gov.ru

17.1. Оператор вправе вносить изменения в настоящую Политику без предварительного согласия субъектов. Актуальная редакция Политики размещена по адресу: https://ai.shopstory.live/privacy.

17.2. Новая редакция Политики вступает в силу с момента её размещения в сети Интернет, если иное не предусмотрено новой редакцией.

17.3. К настоящей Политике и отношениям между субъектом и Оператором применяется законодательство Российской Федерации.

17.4. Все споры, возникающие в связи с настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации по месту нахождения Оператора.

Индивидуальный предприниматель Новиков Андрей Николаевич

• ОГРНИП: 320861700052002
• ИНН: 862201327666
• Адрес регистрации: 127204, г. Москва, Долгопрудная аллея, д. 15, корп. 1, кв. 69
• Email: privacy@shopstory.live

Дата публикации: 24.01.2026

Версия: 1.0