Политика обработки персональных данных

Версия v0.1 от 2026-05-04. Это рабочая версия для закрытой альфы. Финальная редакция будет согласована с юристом до публичного запуска.

1. Общие положения

Настоящая Политика определяет порядок обработки и защиты персональных данных Пользователей сервиса MasteryBOT (далее — Сервис), доступного на сайте app.mastery-bot.ru, в соответствии с Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных».

Оператором персональных данных является владелец Сервиса (далее — Оператор). Реквизиты Оператора (ИП/самозанятый) будут указаны в финальной версии Политики после регистрации.

2. Какие данные мы собираем

Мы обрабатываем три категории данных:

2.1. Данные Мастера (владельца аккаунта в Сервисе)

• Email-адрес — для входа по магической ссылке.
• Telegram user ID и username — после привязки Telegram-аккаунта (Phase 3, после публичного запуска).
• Telegram bot token — токен бота Мастера, выданный @BotFather. Хранится в зашифрованном виде (pgcrypto), используется только для доставки сообщений клиентам через Telegram Bot API.
• Платёжные данные (Phase 2): идентификаторы транзакций ЮKassa. Реквизиты карты Сервис не хранит — они находятся в защищённом контуре ЮKassa.

2.2. Данные клиентов Мастера

• Telegram user ID, username, имя — присылаются Telegram при /start.
• Содержимое сценария заказа: фото, размеры, тип работы, комментарий — собирается ботом по шагам сценария.
• Чат-сообщения между Мастером и Клиентом, прикреплённые к заказу.
• Телефон, заметки — если Мастер вручную вносит их в карточку клиента.

2.3. Технические данные

• IP-адрес, user-agent — в логах сервера для предотвращения злоупотреблений.
• Метрики использования (PostHog/Yandex Metrika) — анонимизированные.

3. Цели обработки

• Аутентификация Мастера и предоставление доступа к функциям Сервиса.
• Передача заказов и сообщений между Клиентами и Мастерами через Telegram-бота.
• Биллинг и выставление фискальных чеков (54-ФЗ) — Phase 2+.
• Аналитика использования продукта в обезличенном виде для улучшения Сервиса.

4. Правовые основания

• Согласие субъекта персональных данных (галочка при регистрации).
• Договор-оферта между Мастером и Оператором (для Мастера); договор между Клиентом и Мастером возникает при оформлении заказа.
• Требования 152-ФЗ, 54-ФЗ, иных нормативных актов РФ.

5. Как мы храним и защищаем данные

• В Phase 1-2 (закрытая альфа, бета) база данных размещена на сервере Supabase в регионе ЕС. Это не соответствует требованию ст. 18 п. 5 152-ФЗ о хранении ПДн граждан РФ на территории России. На этапе альфы данные обрабатываются с явного информированного согласия Мастера и ограниченного круга пользователей (≤ 50 тенантов).
• Phase 3 (до публичного запуска): полная миграция на Yandex Cloud Managed PostgreSQL с серверами в РФ, уведомление в Роскомнадзор.
• Telegram-токены ботов шифруются на уровне БД (pgcrypto AES).
• Связь с сайтом — только по HTTPS.
• Резервные копии — ежедневно в зашифрованном виде, retention 30 дней.

6. Передача третьим лицам

Мы не передаём ПДн третьим лицам, кроме случаев:

• Telegram — данные клиентских сообщений неизбежно проходят через серверы Telegram (это часть архитектуры мессенджера).
• ЮKassa (Phase 2+) — для проведения платежей передаются email и сумма транзакции.
• Supabase / Yandex Cloud — как наш cloud-провайдер для хранения и обработки данных.
• По законному запросу государственных органов.

7. Срок хранения

• Данные аккаунта Мастера — на всё время использования Сервиса.
• После удаления аккаунта (право на забвение) — все связанные данные удаляются в течение 30 дней. Резервные копии очищаются при следующей ротации.
• Платёжные транзакции — 5 лет (требование 402-ФЗ о бухгалтерском учёте).

8. Ваши права

• Получение информации о составе хранимых данных — кнопка «Скачать мои данные» в /cabinet/settings (одним JSON-файлом).
• Уточнение или исправление — через интерфейс кабинета или по запросу на support@mastery-bot.ru (адрес заработает после Phase 3).
• Удаление (право на забвение) — кнопка «Удалить аккаунт» в /cabinet/settings.
• Отзыв согласия на обработку — равнозначен удалению аккаунта.
• Жалоба в Роскомнадзор на действия Оператора — после регистрации оператора в реестре РКН (Phase 3).

9. Cookies и аналитика

Сервис использует функциональные cookies для поддержания сессии (Supabase Auth). Аналитические cookies (PostHog) на этапе альфы отключены.

10. Изменения Политики

Оператор может вносить изменения в Политику. Актуальная версия всегда доступна по адресу /legal/policy. О существенных изменениях Мастера получают уведомление по email.

11. Контакты

Вопросы по обработке ПДн — на email Оператора (будет указан в финальной версии). На время альфы — через канал поддержки в Telegram, известный участникам закрытой группы.