Политика в отношении обработки персональных данных

Действует с 14 апреля 2026 года. Версия 1.0

Настоящая Политика описывает, какие персональные данные собирает сервис Zepsy, зачем, как хранит и передаёт их третьим лицам. Политика составлена в соответствии с Федеральным законом №152-ФЗ «О персональных данных» от 27.07.2006.

Оператор персональных данных:
Назаретян Кнарик Давидовна, плательщик налога на профессиональный доход (422-ФЗ)
ИНН: 500717175199
Контакт по вопросам обработки ПД: simillia@mail.ru

1. Какие данные мы обрабатываем

О мастере (пользователе-профессионале):

Имя (то, что пользователь укажет при регистрации);
Telegram ID и/или MAX ID (идентификатор аккаунта в мессенджере);
Названия услуг, цены, рабочие часы, адрес для клиентов;
Платёжные данные в объёме, необходимом для учёта оплаты (идентификатор транзакции, сумма, дата). Реквизиты карт Zepsy не сохраняет.

О клиенте мастера:

Имя, указанное при записи;
Телефон — если клиент указал его добровольно при записи;
Telegram ID / MAX ID — автоматически из мессенджера;
История записей к мастеру: даты, услуги, статусы (подтверждено, отменено, выполнено);
Сообщения клиента мастеру и AI-ассистенту (для ведения диалога и подбора услуг);
Дата рождения — если клиент её сообщил (для поздравлений и скидок);
Заметки мастера о клиенте (добровольно создаются мастером).

2. Цели обработки

Запись клиентов к мастеру и ведение расписания;
Отправка уведомлений о записях, напоминаний, отмен и переносов;
AI-ассистент мастера: понимание запроса клиента и помощь в записи;
Учёт оплат, оформление подписки на тариф PRO;
Техническая поддержка пользователей;
Улучшение сервиса на основе агрегированной статистики (без персонализации).

3. Правовое основание

Согласие субъекта персональных данных — выражается через начало использования сервиса (ст. 6 п. 1 152-ФЗ);
Исполнение договора — при оплате тарифа (ст. 6 п. 5 152-ФЗ);
Для мастеров — также соблюдение требований налогового законодательства в части учёта платежей.

4. Передача данных третьим лицам

Мы передаём часть данных партнёрам и сервисам, без которых Zepsy не может работать:

Telegram и MAX (Россия/международные) — мы работаем через API этих мессенджеров. Сообщения пользователей и идентификаторы аккаунтов передаются в рамках стандартного использования мессенджера.
ЮKassa (ООО «НКО ЮМани», Россия) — для приёма платежей по тарифам PRO. Передаются сумма платежа и идентификатор заказа. Реквизиты карт обрабатывает только ЮKassa.
Anthropic PBC (США) — для работы AI-ассистента мастера. В запросы передаётся: сообщение клиента, имя мастера, перечень услуг, история последних записей клиента (без телефона и без платёжных данных). Подробнее — см. раздел «Трансграничная передача» ниже.

5. Трансграничная передача данных

AI-функции сервиса (понимание речи клиента, помощь в записи) реализованы на платформе Anthropic PBC (США). При использовании AI-ассистента данные, перечисленные в разделе 4, передаются на территорию США. США не входят в перечень государств, обеспечивающих адекватную защиту прав субъектов ПД, поэтому такая передача требует согласия субъекта (ст. 12 152-ФЗ).

Использование AI-ассистента — опционально: мастер может отключить его в настройках. Если AI не включён, данные в Anthropic не передаются. Клиент также может отказаться от взаимодействия с AI-ассистентом и общаться с мастером напрямую в мессенджере.

6. Сроки хранения

Данные мастера — пока аккаунт активен; при удалении аккаунта — до 30 дней (технический буфер на откат), далее стираются безвозвратно.
Данные клиента — пока клиент взаимодействует с каким-либо мастером; при команде /mydata → «Удалить» — стираются безвозвратно в течение суток.
Логи AI-диалогов — хранятся не более 90 дней с момента последнего обращения.
Платёжные записи — хранятся в течение сроков, установленных налоговым законодательством РФ (не более 5 лет).

7. Права субъекта персональных данных

В соответствии со ст. 14 Закона №152-ФЗ вы имеете право:

Получить подтверждение факта обработки ваших данных;
Получить копию обрабатываемых данных — команда /mydata в клиентском боте;
Требовать уточнения, блокирования или уничтожения данных, если они неполны, устаревшие или неточны;
Отозвать согласие на обработку — команда /mydata → «Удалить все мои данные»;
Обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.

8. Защита данных

Первичное хранение данных — на серверах в Российской Федерации (ст. 18 ч. 5 152-ФЗ).
Подключения к сервису — по HTTPS с актуальными TLS-сертификатами.
Доступ к базе данных — только у администратора Оператора по защищённому каналу.
Пароли, токены, ключи API хранятся в защищённых переменных окружения, не попадают в исходный код и логи.

9. Cookies и аналитика

Сайт zepsy.ru не устанавливает сторонние cookies и не использует внешние системы аналитики (Яндекс.Метрика, Google Analytics и подобные). Внутри Telegram MiniApp и MAX MiniApp применяются технические механизмы авторизации платформы, описанные в их документации.

10. Изменения Политики

Мы оставляем за собой право вносить изменения в настоящую Политику. Новая версия публикуется по этому адресу. Дата актуальной версии указана в начале документа.

11. Контакты

Любые вопросы и обращения по обработке персональных данных — на simillia@mail.ru. Ответ в течение 10 рабочих дней.