Политика обработки персональных данных

Сервис «Chiqo» (chiqo.fit) · редакция от —

Оператор персональных данных: —, самозанятый, ИНН —

Контакт по вопросам ПДн:

Настоящая Политика определяет порядок обработки и защиты персональных данных пользователей сервиса «Chiqo» (далее — «Сервис»), размещённого по адресу https://chiqo.fit, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Политика вступает в силу с момента публикации на сайте и действует до замены новой редакцией.

1. Обрабатываемые персональные данные

Оператор может обрабатывать следующие категории данных:

1.1. Данные учётной записи и аутентификации

адрес электронной почты;
при регистрации по email — хеш пароля хранится исключительно в сервисе аутентификации Supabase Auth (обработчик, п. 5) и недоступен Оператору; в собственных прикладных таблицах Оператора хеш пароля не размещается; пароль в открытом виде не хранится нигде; при входе через Google OAuth пароль не передаётся и не хранится;
идентификатор пользователя, дата регистрации, сведения о сессиях;
при входе через Google OAuth — имя, адрес электронной почты, URL аватара, предоставляемые провайдером Google по согласию Пользователя.

1.2. Данные профиля

имя (отображаемое имя);
URL аватара профиля;
баланс токенов;
настройки предпочитаемых моделей ИИ (при наличии).

1.3. Пользовательский контент

фотографии предметов гардероба, загруженные Пользователем, и связанные с ними метаданные (тип вещи, категория, атрибуты — цвет, размер, материал и иные характеристики, указанные или определённые Сервисом);
сгенерированные образы, фотографии примерки, аватары для примерочной;
параметры запросов (стиль, повод, название образа и иные пользовательские настройки генерации).

1.4. Технические и служебные данные

пути к файлам в облачном хранилище, идентификаторы задач обработки (статус, время создания и завершения);
технические журналы запросов к серверным функциям (идентификатор запроса, время, код результата) — без сохранения содержимого переписки в объёме, превышающем необходимый для диагностики;
IP-адрес, данные браузера и устройства — в объёме, автоматически передаваемом при обращении к Сервису и инфраструктуре хостинг-провайдеров.

1.5. Платёжные данные

Оплата токенов осуществляется через платёжных партнёров (ЮKassa, Lemon Squeezy). Оператор не получает и не хранит полные реквизиты банковских карт. Платёжный партнёр может передавать Оператору идентификатор транзакции, сумму, статус оплаты и email плательщика для зачисления токенов.

2. Цели обработки

регистрация, аутентификация и ведение учётной записи;
предоставление функций Сервиса, включая обработку с помощью ИИ;
учёт и списание токенов, отображение баланса;
приём и подтверждение оплаты через платёжных партнёров;
техническая поддержка и ответы на обращения Пользователей;
обеспечение безопасности и предотвращение злоупотреблений;
исполнение требований законодательства Российской Федерации.

3. Правовые основания

Обработка осуществляется на основании:

согласия субъекта персональных данных (ст. 6, 9 152-ФЗ) — при регистрации и использовании Сервиса;
исполнения договора с субъектом (публичная оферта) — ст. 6 ч. 5 п. 5 152-ФЗ;
законных интересов Оператора — обеспечение работоспособности и безопасности Сервиса, при условии соблюдения прав субъекта.

4. Способы обработки

Обработка включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование и удаление данных с использованием автоматизированных средств.

5. Передача третьим лицам

Для функционирования Сервиса персональные данные и пользовательский контент могут передаваться следующим категориям получателей (обработчиков) в объёме, необходимом для оказания услуг:

Supabase (Supabase Inc.) — база данных, аутентификация, файловое хранилище, серверные функции; серверы могут располагаться за пределами Российской Федерации;
Google LLC — OAuth-авторизация; при использовании моделей Google Gemini — обработка изображений и текста для генерации и анализа;
OpenRouter — маршрутизация запросов к языковым и vision-моделям для анализа гардероба и генерации образов;
Replicate — обработка изображений (удаление фона, апскейл, генерация образов);
ЮKassa (НКО «ЮMoney») — приём платежей от пользователей в РФ;
Lemon Squeezy (Stripe, Inc. group) — приём международных платежей;
Cloudflare Pages — хостинг статических страниц личного кабинета (account.chiqo.fit).

Передача осуществляется на основании договоров с обработчиками и/или согласия Пользователя. Оператор не продаёт персональные данные третьим лицам в маркетинговых целях.

6. Трансграничная передача

Использование облачной инфраструктуры Supabase и зарубежных провайдеров ИИ может предполагать трансграничную передачу персональных данных. Оператор принимает меры, предусмотренные ст. 12 152-ФЗ, и информирует Пользователя о возможной передаче за пределы РФ до начала такой обработки (акцептом настоящей Политики и оферты).

7. Срок хранения

Персональные данные хранятся до удаления учётной записи Пользователем или по запросу на удаление, направленному на , если более длительный срок не требуется законодательством (например, для бухгалтерского учёта операций самозанятого).

После удаления учётной записи данные профиля, пользовательский контент в базе данных и файловом хранилище подлежат удалению в разумный срок, за исключением данных, обязанность хранения которых установлена законом.

8. Меры защиты

Оператор применяет организационные и технические меры: разграничение доступа, шифрование соединений (HTTPS), политики безопасности на уровне базы данных (RLS), хранение секретов вне клиентского приложения, минимизацию объёма передаваемых данных внешним провайдерам.

9. Права субъекта персональных данных

Пользователь вправе:

получать сведения об обработке своих персональных данных;
требовать уточнения, блокирования или удаления данных;
отозвать согласие на обработку (что может повлечь невозможность использования Сервиса);
обжаловать действия Оператора в Роскомнадзор или в суд.

Запросы направляются на с указанием email учётной записи. Срок ответа — до 30 календарных дней, если иной срок не установлен законом.

10. Файлы cookie и localStorage

Сервис использует localStorage браузера для хранения сессии аутентификации Supabase. Сторонние аналитические cookie не применяются в личном кабинете account.chiqo.fit. Основное приложение chiqo.fit может использовать иные механизмы хранения — см. актуальную версию Политики на основном сайте при её публикации.

11. Изменение Политики

Оператор вправе обновлять Политику. Новая редакция вступает в силу с момента публикации на сайте. Продолжение использования Сервиса означает согласие с обновлённой редакцией.