Политика конфиденциальности сервиса ARIA

Политика конфиденциальности сервиса ARIA

Дата вступления в силу: 15 марта 2026 г.

Последнее обновление: 08 апреля 2026 г.

Версия: 1.3

1. Оператор персональных данных

1.1. Обработку персональных данных пользователей сервиса ARIA (lumsola.com) осуществляет: Индивидуальный предприниматель Катрушенко Елена Геннадьевна ИНН: 324107671553 ОГРНИП: 326320000017484 Адрес регистрации: 243140, Брянская обл., г. Клинцы Электронная почта для обращений: support@lumsola.com 1.2. Настоящая Политика определяет порядок обработки и защиты информации о физических лицах, пользующихся услугами Сервиса.

2. Категории обрабатываемых персональных данных

2.1. Стандартные персональные данные - Адрес электронной почты; - Имя (отображаемое имя, выбранное пользователем); - Пол; - Год рождения (указывается добровольно при регистрации). 2.2. Специальные категории персональных данных (ст. 10 152-ФЗ) Следующие данные обрабатываются только на основании отдельного Согласия, так как касаются состояния здоровья (психоэмоционального фона) и сведений личного характера:

• Записи в цифровом эмоциональном дневнике;
• Ответы на интерактивные упражнения когнитивно-поведенческой терапии (КПТ);
• Описания текущих эмоциональных состояний, переживаний и выявленных триггеров;
• Записи глубокой рефлексии и результаты самоанализа;
• Данные о парных сессиях (содержание диалогов и общих активностей при использовании режима «Пара»);
• Психологический профиль пользователя: стиль поведения в конфликте, языки любви, мотивации и ценности (заполняется добровольно при настройке профиля);
• Психологические характеристики первичного анкетирования: страхи, паттерны поведения, сильные стороны (заполняется добровольно в первые дни использования сервиса). 2.3. Технические и аналитические данные
• IP-адрес (используется для обеспечения безопасности и предотвращения фрода);
• Данные о браузере, типе устройства и операционной системе;
• Данные о взаимодействии с интерфейсом (с использованием системы Umami analytics), включая просмотры страниц и время сессий.

3. Цели обработки персональных данных

3.1 Оператор обрабатывает данные исключительно для достижения следующих целей:

• Обеспечение базового функционала Сервиса (регистрация, доступ к аккаунту);
• Анализ психоэмоционального состояния пользователя с использованием алгоритмов ИИ для предоставления релевантной поддержки;
• Техническая поддержка пользователей и обработка запросов;
• Обеспечение информационной безопасности и предотвращение злоупотреблений;
• Проведение внутренних исследований и улучшение качества работы нейросетевых моделей на основе обезличенных наборов данных.
• Передача текстового содержания диалога внешнему поставщику технологий ИИ (в качестве контекста) исключительно для целей генерации персонализированного ответа в рамках текущей сессии. Оператор не использует данные пользователей для дообучения (fine-tuning) каких-либо ИИ-моделей.

4. Правовые основания обработки

4.1. Обработка данных осуществляется в соответствии со следующими законами и нормативными актами:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Согласие Пользователя на обработку персональных данных;
• Специальное согласие на обработку данных о здоровье и частной жизни (для категорий, указанных в п. 2.2).

4.2. Для пользователей за пределами Российской Федерации. В случае, если Пользователь находится на территории государств Европейской экономической зоны (ЕЭЗ), обработка персональных данных осуществляется на основании:

• Статьи 6(1)(a) GDPR — согласие субъекта данных;
• Статьи 9(2)(a) GDPR — явное согласие на обработку специальных категорий данных (включая данные о здоровье).

4.3. Порядок получения согласия. Согласие Пользователя на обработку персональных данных предоставляется посредством совершения активных действий в интерфейсе Сервиса (например, установка отметки в соответствующем поле (checkbox) или установка отдельного флажка (checkbox) с текстом «Я ознакомился(-ась) с Политикой конфиденциальности и даю согласие на обработку моих персональных данных»). Согласие на обработку специальных категорий персональных данных (п. 2.2) предоставляется отдельно и не является обязательным для использования базовых функций Сервиса, если иное не обусловлено функциональными особенностями. Пользователь вправе отказаться от предоставления согласия либо отозвать его в любой момент без негативных последствий, за исключением случаев, когда обработка данных необходима для предоставления конкретной функции Сервиса.

4.4. Пользователь подтверждает, что до предоставления согласия он ознакомился с настоящей Политикой и понимает цели, объем и характер обработки его персональных данных.

5. Локализация данных и использование Искусственного Интеллекта

5.1. Первичная локализация. В соответствии с ч. 5 ст. 18 152-ФЗ, сбор, запись, систематизация, накопление и хранение персональных данных граждан РФ осуществляются на серверах, расположенных на территории Российской Федерации (хостинг-провайдер Timeweb, г. Москва).

5.2. Обработка с использованием искусственного интеллекта. Сервис использует API внешних поставщиков технологий искусственного интеллекта для генерации ответов. Актуальный перечень категорий субпроцессоров: - поставщики технологий ИИ (США / ЕЭЗ); - поставщики облачной инфраструктуры (РФ); - поставщики аналитических сервисов (ЕЭЗ / РФ). Конкретный перечень субпроцессоров доступен по запросу:support@lumsola.com.

5.3. Минимизация и псевдонимизация данных. Перед передачей данных во внешние системы Оператор предпринимает меры по минимизации объема передаваемой информации, включая: - удаление прямых идентификаторов (имя, email, контактные данные); - сокращение контекста до необходимого минимума; - применение технических мер псевдонимизации.

5.4. Характер передаваемых данных. Передаваемые данные могут включать текстовые фрагменты, отражающие пользовательский ввод, которые в отдельных случаях могут содержать косвенные признаки, позволяющие идентификацию субъекта при наличии дополнительной информации.

5.5. Трансграничная передача данных. В случае использования внешних сервисов, расположенных за пределами Российской Федерации, такая передача может квалифицироваться как трансграничная передача персональных данных. Оператор предпринимает необходимые меры для соблюдения требований применимого законодательства, включая: - получение согласия пользователя; - применение договорных и технических гарантий защиты данных. Оператор взаимодействует с поставщиками технологий, которые обязуются соблюдать применимые требования законодательства о защите персональных данных в соответствии с их политиками и условиями использования.

6. Сроки хранения данных

6.1. Персональные данные хранятся в течение всего срока действия учетной записи Пользователя. Отдельные категории данных могут храниться в течение различных сроков в зависимости от целей обработки, требований законодательства и необходимости обеспечения безопасности. При этом Оператор не хранит персональные данные дольше, чем это необходимо для достижения целей обработки.

6.2. В случае неактивности Пользователя (отсутствие входов в систему) более 24 календарных месяцев подряд, Оператор вправе архивировать или уничтожить данные.

6.3. При удалении аккаунта данные уничтожаются без возможности восстановления в течение 3 рабочих дней в ходе планового цикла обновления. После истечения указанного срока восстановление данных невозможно.

7. Права субъектов персональных данных

7.1. В соответствии с 152-ФЗ, вы имеете право:

• Получать информацию об обработке ваших данных;
• Требовать уточнения, блокирования или уничтожения данных в случае их неполноты или неточности;
• Отозвать любое из ранее данных согласий;
• Получать перечень лиц, имеющих доступ к вашим данным (в рамках внутренних процессов Оператора).
• Право на переносимость данных (в применимых юрисдикциях);
• Право на ограничение обработки;
• Право возражать против обработки;
• Право не быть объектом исключительно автоматизированных решений, имеющих юридические последствия.

8. Передача данных третьим лицам (Third Parties)

8.1. Оператор может привлекать третьих лиц для обеспечения функционирования Сервиса, включая:

• поставщиков облачной инфраструктуры;
• поставщиков аналитических сервисов (включая Umami analytics);
• поставщиков технологий искусственного интеллекта;
• подрядчиков технической поддержки. Такие лица обрабатывают данные на основании договоров и только в объеме, необходимом для выполнения своих функций.

8.2. Указанные третьи лица могут находиться как на территории Российской Федерации, так и за ее пределами, и действуют в качестве обработчиков персональных данных по поручению Оператора.

8.3. Оператор обеспечивает, что такие третьи лица принимают необходимые организационные и технические меры защиты персональных данных и обрабатывают их исключительно по поручению Оператора.

9. Использование аналитики и технологий отслеживания

9.1. Сервис использует инструменты аналитики (включая Umami), которые позволяют собирать техническую информацию о взаимодействии пользователей с интерфейсом. Такие данные используются исключительно в агрегированном виде и не направлены на идентификацию конкретного пользователя. В случае использования технологий, подпадающих под требования применимого законодательства (включая ePrivacy Directive), Пользователь будет уведомлен дополнительно через интерфейс Сервиса. При использовании технологий, требующих получения согласия в соответствии с применимым законодательством, такое согласие запрашивается до начала их использования.

10. Механизм отзыва согласия и удаления данных

10.1. Вы можете отозвать согласие следующими способами:

• Самостоятельно через интерфейс приложения: Настройки → Данные и приватность → Удалить аккаунт.
• Путем направления письменного запроса на электронную почту support@lumsola.com.

10.2. После отзыва согласия на обработку спецкатегорий данных (п. 2.2), использование основных функций Сервиса (ИИ-чат, дневник) станет невозможным.

10.3. Отзыв согласия не влияет на законность обработки, осуществленной до момента такого отзыва.

11. Меры безопасности и техническая защита

11.1. Для защиты ваших данных Оператор применяет комплекс мер:

• Шифрование: Все чувствительные данные шифруются на стороне клиента с использованием алгоритма AES-GCM.
• Безопасная авторизация: Использование JWT-токенов в режиме httpOnly (защита от XSS-атак).
• Криптография: Хэширование паролей с использованием алгоритма bcrypt (не менее 12 итераций).
• Транспортный уровень: Передача данных осуществляется исключительно по защищенному протоколу HTTPS (TLS 1.3).
• Инциденты: В случае компрометации персональных данных Оператор:
  • уведомляет Роскомнадзор в течение 24 часов с момента обнаружения инцидента (в соответствии с требованиями 152-ФЗ в редакции Федерального закона № 266-ФЗ);
  • завершает расследование и направляет итоговое уведомление в Роскомнадзор в течение 72 часов;
  • уведомляет затронутых пользователей через интерфейс Сервиса и/или по электронной почте без необоснованной задержки, если инцидент создаёт высокий риск для их прав и свобод.

12. Ограничение доступности сервиса

12.1. Сервис ARIA не осуществляет целенаправленного предложения услуг пользователям, находящимся на территории Европейской экономической зоны (ЕЭЗ). Тем не менее, в случае если пользователь из ЕЭЗ использует Сервис, Оператор обрабатывает его персональные данные в соответствии с применимыми нормами GDPR, включая правовые основания, указанные в п. 4.2 настоящей Политики, и права субъектов данных, предусмотренные п. 7.

13. Автоматизированная обработка и профилирование

13.1. Сервис может использовать автоматизированные алгоритмы анализа пользовательских данных для формирования рекомендаций и ответов. Такие алгоритмы не принимают юридически значимых решений и не оказывают существенного влияния на права и свободы Пользователя.

13.2. Пользователь вправе:

• запросить разъяснение принципов работы таких алгоритмов, направив обращение на support@lumsola.com;
• запросить участие человека в обработке конкретного запроса, направив обращение на support@lumsola.com;
• отказаться от использования функций, основанных на автоматизированном анализе, путём прекращения их использования или удаления соответствующих данных через Настройки → Данные и приватность.

13а. Несовершеннолетние пользователи

13а.1. Сервис ARIA предназначен исключительно для лиц, достигших 18-летнего возраста. Оператор не осуществляет намеренного сбора персональных данных лиц моложе 18 лет.

13а.2. Если Оператору стало известно, что персональные данные несовершеннолетнего были собраны без надлежащего родительского согласия, такие данные будут удалены в кратчайшие сроки.

13а.3. Если вам известно, что несовершеннолетний зарегистрировался в Сервисе, просим незамедлительно уведомить нас: support@lumsola.com.

14. Контакты и надзорные органы

По вопросам конфиденциальности: support@lumsola.com Надзорный орган в сфере персональных данных (РФ): Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Сайт: rkn.gov.ru

Для пользователей из ЕЭЗ: вы вправе обратиться с жалобой в надзорный орган по защите данных вашей страны. Перечень органов: https://edpb.europa.eu/about-edpb/about-edpb/members_en

Оператор оставляет за собой право вносить изменения в настоящую Политику. При внесении существенных изменений, затрагивающих цели или правовые основания обработки, Пользователь будет уведомлен через интерфейс приложения или по электронной почте не менее чем за 14 календарных дней до вступления изменений в силу. В случае если новая редакция Политики требует получения нового согласия, такое согласие запрашивается у Пользователя активным способом (checkbox или иное подтверждающее действие). Продолжение использования Сервиса после вступления изменений в силу не является автоматическим согласием с новой редакцией в части специальных категорий данных (п. 2.2) и ИИ-обучения (п. 3.2).