Юридические документы

Политика конфиденциальности
и обработки персональных данных

Редакция от 26 марта 2026 года · действует с момента публикации

1. Общие положения

Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») определяет порядок обработки персональных данных пользователей сервиса NEGVE, доступного по адресу negve.com (далее — «Сервис», «NEGVE»).

Политика применяется к сайту, студии AI-обработки изображений, личному кабинету, платежным и авторизационным сценариям, обращениям в поддержку, административным и защитным журналам, связанным с работой Сервиса.

Политика подготовлена с учётом требований применимого законодательства Российской Федерации, включая Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Если отдельные положения Политики противоречат обязательным нормам закона, применяются нормы закона.

2. Оператор и контакты

3. Какие данные мы можем обрабатывать

3.1 Данные, которые вы сообщаете сами

• адрес электронной почты, пароль, данные учётной записи;
• имя, никнейм, изображение профиля, если вы их указали либо передали через OAuth-провайдера;
• загружаемые изображения, включая фотографии людей, предметов, документов, товаров, старых фотографий и иные файлы, которые вы инициируете к обработке;
• результаты AI-обработки, черновики, настройки модулей, сохранённая история, избранное и иные данные, создаваемые внутри Сервиса;
• обращения в поддержку, жалобы, претензии, ответы и приложенные материалы.

3.2 Данные, которые формируются автоматически

• IP-адрес, технические идентификаторы запроса, тип и версия браузера, сведения об устройстве и операционной системе;
• страницы и маршруты Сервиса, время посещения, продолжительность сессии, технические ошибки, события безопасности и защиты от злоупотреблений;
• техническое состояние платёжных и авторизационных сценариев, события телеметрии, runtime-инциденты и журналы ошибок;
• сведения о тарифе, подписке, токенах NGV, платежных событиях, промокодах и статусах оплаты;
• технические данные браузерного хранилища, включая состояние сессии, черновиков, истории, настроек интерфейса и незавершённого checkout.

3.3 Специальные и чувствительные категории

При загрузке фотографий людей Сервис может обрабатывать изображения, которые в зависимости от применимого права могут относиться к биометрическим персональным данным. Такая обработка происходит исключительно по инициативе пользователя, в объёме, необходимом для оказания выбранной услуги, и при условии, что пользователь обладает всеми требуемыми правами и согласиями на такую обработку.

4. Для чего мы обрабатываем данные

• создание и обслуживание учётной записи, аутентификация пользователя, в том числе через email и Google Sign-In;
• оказание цифровых услуг и AI-обработка изображений в выбранных модулях Сервиса;
• сохранение истории, черновиков, пользовательских настроек и восстановление рабочего состояния Сервиса;
• приём и обработка платежей, ведение бухгалтерского, платёжного и антифрод-учёта, предоставление подписок и токенов NGV;
• обеспечение безопасности, предотвращение злоупотреблений, мошенничества, обхода ограничений, нарушений прав третьих лиц и расследование инцидентов;
• поддержка пользователей, обработка претензий и обращений, выполнение обязательств по договору и требованиям закона;
• диагностика ошибок, развитие продукта, проведение внутренних технических проверок, улучшение качества и устойчивости Сервиса.

5. Правовые основания обработки

Мы обрабатываем персональные данные на следующих основаниях, в зависимости от конкретного сценария:

• исполнение договора или действий, совершаемых по вашему запросу до заключения договора;
• ваше согласие, включая согласие, выраженное путём использования определённой функции, загрузки файла, выбора OAuth-провайдера, оплаты, отправки обращения или активации подписки;
• исполнение требований законодательства, бухгалтерского, налогового, платёжного, процессуального и иного обязательного регулирования;
• законные интересы оператора в части обеспечения безопасности, противодействия злоупотреблениям, защиты прав оператора и третьих лиц, ведения журнала инцидентов, при условии что такие интересы не нарушают ваши обязательные права.

6. Как работает обработка в Сервисе

6.1 Авторизация и учётная запись

Для входа в Сервис используются email/password сценарии и Google OAuth. Аутентификация, хранение основной учётной записи, access/refresh сессий и callback-обработки выполняются через Supabase Auth. При входе через Google мы получаем только тот объём данных, который разрешён настройками OAuth и политиками Google.

6.2 Хранение файлов и результатов

Загружаемые пользователем файлы и технические метаданные к ним хранятся через Supabase Storage и связанные таблицы учёта. Путь, тип файла, размер, технические хеши, privacy-метки, политика хранения и срок действия могут фиксироваться в базе для корректной работы Сервиса, безопасности, отладки, разрешения инцидентов и поддержки пользователя.

6.3 AI-обработка

В зависимости от выбранного модуля Сервис может передавать данные внешним AI-провайдерам, включая Google Gemini и PhotoRoom, исключительно для выполнения инициированного пользователем действия. Такие провайдеры действуют по собственным правилам, условиям и режимам обработки. NEGVE не гарантирует, что правила стороннего провайдера будут идентичны настоящей Политике, и рекомендует использовать только те функции, с условиями которых вы согласны.

6.4 Платежи и подписки

Для оплаты используется YooKassa и связанные с ней платёжные сценарии. Оператор не хранит полные реквизиты банковских карт; обработка таких данных осуществляется платёжным провайдером по его правилам. Оператор получает и хранит только платёжные статусы, идентификаторы платежей, тариф, стоимость, состав предоставленного доступа, записи бухгалтерского и антифрод-учёта, данные о токенах и подписках.

6.5 Телеметрия и журналы инцидентов

Для обеспечения устойчивости и расследования ошибок Сервис фиксирует технические события, runtime-инциденты, отказы платежей и авторизации, события безопасности, обращения к критическим маршрутам и, при настройке соответствующего окружения, может передавать сведения об ошибках в Sentry. Такие данные используются только для диагностики, расследования, защиты прав оператора и поддержки пользователей.

7. Передача данных третьим лицам и внешним провайдерам

Мы не продаём персональные данные. Передача или предоставление доступа возможны только в объёме, необходимом для работы Сервиса, выполнения ваших команд, исполнения закона, защиты прав оператора и борьбы со злоупотреблениями.

К ключевым категориям внешних провайдеров относятся:

• Vercel — хостинг, CDN, serverless-инфраструктура и публикация приложения;
• Supabase — аутентификация, база данных, файловое хранилище и техническая инфраструктура состояния аккаунта;
• Google — Google Sign-In и AI-сервисы Gemini при использовании соответствующих функций;
• PhotoRoom — обработка изображений для удаления фона и смежных сценариев, если вы используете такие инструменты;
• YooKassa — приём платежей, подписки, платёжные статусы, возвраты и связанный финансовый учёт;
• Sentry — обработка технических ошибок и runtime-инцидентов, если такой сервис включён оператором.

При использовании иностранных или распределённых облачных сервисов возможна трансграничная передача персональных данных. Такая передача допускается только в объёме, необходимом для предоставления функции, и при условии соблюдения требований применимого законодательства оператором и/или соответствующим провайдером в пределах их ролей.

8. Сроки хранения

Сервис использует разные сроки хранения для разных категорий данных. Мы сознательно не обещаем единый срок для всех материалов, потому что он зависит от выбранного модуля, плана, подписки, режима хранения, истории использования, требований безопасности и закона.

• Учётная запись, профиль, настройки, история и рабочие данные: хранятся до удаления аккаунта пользователем, удаления соответствующих объектов пользователем или до прекращения необходимости в обработке, если более длительное хранение не требуется законом или защитой прав оператора.
• Черновики модулей: хранятся в течение срока, который определяется логикой Сервиса, типом подписки, планом или внутренними правилами удержания, и могут автоматически истекать.
• Результаты генерации и история: хранятся до удаления пользователем, удаления аккаунта, истечения внутреннего срока хранения либо прекращения необходимости в хранении.
• Платёжные, бухгалтерские, антифрод- и аудиторские записи: могут храниться дольше основной учётной записи, поскольку это требуется для учёта, защиты прав, разрешения претензий, возвратов, споров, расследования мошенничества и соблюдения закона. При удалении аккаунта оператор стремится разорвать прямую связь таких записей с аккаунтом, где это допустимо.
• Журналы безопасности, телеметрия и runtime-инциденты: хранятся столько, сколько объективно нужно для диагностики, расследования, защиты инфраструктуры и исполнения обязательств оператора.

9. Удаление аккаунта и данных

Пользователь может инициировать удаление аккаунта через предусмотренный маршрут Сервиса. При удалении аккаунта оператор удаляет или обезличивает значительную часть данных учётной записи, включая профиль, идентичности, пользовательские настройки, черновики, историю и часть служебных записей.

При этом часть данных может сохраняться или обезличиваться вместо полного удаления, если это требуется для финансового, платёжного, антифрод- или юридического аудита, исполнения обязательств перед платёжными провайдерами, защиты прав оператора, расследования злоупотреблений либо в силу прямого требования закона.

10. Browser storage, cookies и технические идентификаторы

NEGVE активно использует браузерное техническое хранилище (например, localStorage/sessionStorage) для сохранения состояния сессии, выбора модуля, черновиков, истории, пользовательских настроек, темы интерфейса и незавершённого checkout. Если вы очищаете такое хранилище, часть данных, доступных только на устройстве, может быть утеряна.

Основная логика Сервиса строится не на рекламных cookie, а на техническом storage. Однако сторонние страницы и сервисы, участвующие в входе, оплате, доставке статики или защите инфраструктуры, могут устанавливать собственные cookies и идентификаторы по своим правилам. Оператор не контролирует cookie-политику таких внешних доменов.

11. Меры защиты

• шифрование трафика при передаче данных по HTTPS/TLS;
• разделение публичных и привилегированных ключей доступа, использование серверных секретов для административных операций;
• контроль доступа, журналирование технических инцидентов, rate limiting и иные защитные механизмы, где они доступны в Сервисе;
• удаление, истечение срока или обезличивание отдельных категорий данных по мере выполнения целей обработки;
• ограничение доступа к данным сотрудникам и подрядчикам по принципу необходимости доступа.

При этом ни один интернет-сервис не может гарантировать абсолютную безопасность. Используя Сервис, вы осознаёте сетевые, инфраструктурные и провайдерские риски, характерные для облачных и AI-сервисов.

12. Ваши права

В пределах, установленных применимым законодательством, вы вправе:

• получать сведения об обработке ваших персональных данных;
• требовать уточнения, блокирования или удаления неточных, устаревших либо обрабатываемых с нарушением закона данных;
• отзывать согласие, если обработка основана именно на согласии и отсутствует иное правовое основание для продолжения обработки;
• оспаривать неправомерные действия оператора и обращаться в уполномоченный орган или суд;
• использовать предусмотренные интерфейсом Сервиса механизмы удаления данных и аккаунта.

Запросы по правам субъекта персональных данных направляются на privacy@negve.com. Для защиты пользователя оператор вправе запросить данные, достаточные для идентификации заявителя и подтверждения его полномочий. Срок и порядок ответа определяются применимым законодательством и характером запроса.

13. Ограничения использования Сервиса детьми

NEGVE не предназначен для лиц младше 18 лет. Если вы действуете в интересах несовершеннолетнего либо загружаете изображения третьих лиц, вы обязаны иметь все необходимые полномочия и согласия. Если оператору станет известно о неправомерной передаче данных ребёнка или иного защищаемого лица, оператор вправе ограничить доступ, удалить материалы и предпринять иные необходимые меры.

14. Изменение Политики

Оператор вправе обновлять Политику при изменении продукта, состава провайдеров, способов обработки, закона, платёжных и AI-сценариев либо модели Сервиса. Новая редакция вступает в силу с момента публикации, если иное прямо не указано в самой редакции или не требуется законом.

15. Контакты