ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

Версия: 4.0
Дата вступления в силу: [ДАТА]

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных Индивидуальным предпринимателем Болдыревым Андреем Павловичем (далее — «Оператор», «HedyOS», «мы»).

1.2. Политика разработана в соответствии с:
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

1.3. Настоящая Политика применяется ко всем персональным данным, которые Оператор может получить от пользователя (далее — «Пользователь», «вы») при использовании сервиса HedyOS (далее — «Сервис»), доступного через веб-сайт hedyos.com и десктопные приложения.

1.4. При регистрации, каждом доступе и/или фактическом использовании Сервиса вы подтверждаете свое согласие с условиями настоящей Политики в редакции, действующей на момент использования. Если вы не согласны с условиями Политики, пожалуйста, не используйте Сервис.

---

2. ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ

Индивидуальный предприниматель Болдырев Андрей Павлович

• ИНН: 382400388207
• ОГРНИП: 323547600156648
• Адрес электронной почты: hello@hedyos.com
• Веб-сайт: https://hedyos.com

По вопросам, связанным с обработкой персональных данных, вы можете обратиться по адресу: hello@hedyos.com

Оператор осуществляет обработку персональных данных в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных».

---

2.1. РОЛИ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор выступает в двух различных ролях в зависимости от категории обрабатываемых данных:

2.1.1. HedyOS как ОПЕРАТОР персональных данных пользователей:

Оператор является оператором персональных данных (в соответствии со ст. 3 Федерального закона № 152-ФЗ) в отношении следующих категорий данных:
- Адрес электронной почты пользователя
- Пароль (в хешированном виде)
- Hardware ID (идентификатор устройства)
- Информация о подписке и транзакциях
- Настройки и предпочтения пользователя
- IP-адрес и технические данные

Правовое основание обработки:
- Согласие пользователя (п. 1 ч. 1 ст. 6 152-ФЗ)
- Исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ)
- Законные интересы Оператора (п. 7 ч. 1 ст. 6 152-ФЗ)

Цель обработки:
Предоставление доступа к Сервису, управление учётной записью, обработка платежей, техническая поддержка, обеспечение безопасности.

2.1.2. HedyOS как ОБРАБОТЧИК КОНТЕНТА, ПРЕДОСТАВЛЕННОГО ПОЛЬЗОВАТЕЛЯМИ:

Оператор обрабатывает контент (тексты транскрипций), предоставленный Пользователями, который МОЖЕТ содержать персональные данные третьих лиц.

Если контент содержит персональные данные третьих лиц:
- ПОЛЬЗОВАТЕЛЬ является ОПЕРАТОРОМ этих персональных данных
- HedyOS выступает в качестве ОБРАБОТЧИКА по поручению Пользователя (в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ)

Обработка осуществляется на основании договора (Публичной оферты и Приложения № 1 к ней) для целей:
- Синхронизации текста между устройствами Пользователя
- Предоставления публичного доступа к сессиям транскрипции (по поручению Пользователя)
- Автоматического перевода текста

Перечень действий с контентом:
- Хранение на серверах Оператора (территория РФ)
- Передача субобработчикам (сервисы машинного перевода)
- Предоставление доступа по публичной ссылке (по поручению Пользователя)
- Удаление по требованию Пользователя

Правовое основание обработки:
- Договор между Оператором и Пользователем (п. 5 ч. 1 ст. 6, ч. 3 ст. 6 152-ФЗ)

Обязательства HedyOS как обработчика:
- Обрабатывать контент ТОЛЬКО в соответствии с поручением Пользователя
- Обеспечивать конфиденциальность и безопасность данных
- Не раскрывать персональные данные третьим лицам, кроме субобработчиков и случаев, предусмотренных законом
- Уведомлять Пользователя об инцидентах безопасности в течение 24 часов
- Удалять данные по требованию Пользователя в течение 30 дней

Ответственность:
Ответственность за законность обработки персональных данных третьих лиц, включая наличие необходимых согласий субъектов ПД, несёт Пользователь как оператор этих данных (см. раздел 6.2 и 6.3).

2.1.3. Разграничение ответственности:

Настоящая Политика конфиденциальности регулирует обработку персональных данных пользователей Сервиса (категория 2.1.1).

Обработка контента, который может содержать персональные данные третьих лиц (категория 2.1.2), осуществляется Оператором в качестве обработчика по поручению Пользователя. Требования к обработке такого контента и ответственность Пользователя описаны в разделах 6.2 и 6.3.

---

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор обрабатывает персональные данные для следующих целей:

3.1. Предоставление доступа к Сервису:
- Регистрация и авторизация пользователя;
- Идентификация пользователя при доступе к функционалу Сервиса;
- Привязка лицензии к устройству пользователя.

3.2. Предоставление функциональности:
- Транскрибация аудио в текст;
- Перевод транскрибированного текста;
- Синхронизация данных между устройствами (по желанию пользователя);
- Предоставление публичного доступа к сессиям транскрипции (по желанию пользователя).

3.3. Обработка платежей:
- Управление лицензиями и подписками;
- Обработка платежей через платежную систему Продамус;
- Выставление счетов и хранение информации о транзакциях.

3.4. Техническая поддержка и улучшение Сервиса:
- Предоставление технической поддержки пользователям;
- Анализ использования Сервиса для улучшения функциональности;
- Обеспечение безопасности и предотвращение злоупотреблений.

3.5. Информирование:

3.5.1. Обязательные технические уведомления (без возможности отказа):
- Подтверждение регистрации и восстановление доступа
- Критические уведомления безопасности (попытки взлома, подозрительная активность)

Основание: исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ)

3.5.2. Сервисные уведомления (требуют согласия, можно отключить):
- Подтверждение оплаты, статус подписки
- Изменения в работе Сервиса, влияющие на функциональность

Основание: согласие (п. 1 ч. 1 ст. 6 152-ФЗ), может быть отозвано в настройках профиля

3.5.3. Маркетинговые и информационные рассылки (требуют отдельного согласия):
- Новости о новых функциях
- Специальные предложения и акции
- Образовательный контент

Основание: согласие (п. 1 ч. 1 ст. 6 152-ФЗ), может быть отозвано в любой момент в настройках профиля

---

4. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор обрабатывает следующие категории персональных данных:

4.1. Обязательные данные (необходимые для использования Сервиса):
- Адрес электронной почты — для регистрации, авторизации и связи с пользователем;
- Пароль — хранится в зашифрованном виде (хеширование);
- Hardware ID (идентификатор устройства) — для привязки лицензии к устройству пользователя (только для hardware-based лицензий).

4.2. Необязательные данные:
- Имя пользователя — если указано пользователем при регистрации;
- Транскрибированный текст — хранится только если пользователь включил синхронизацию между устройствами или создал публичную ссылку на сессию;
- Настройки и предпочтения — для персонализации работы Сервиса.

4.2.1. Публичные ссылки на сессии транскрипции:

Пользователь может создать публичную ссылку на сессию транскрипции, которая будет доступна любому лицу в интернете без авторизации.

ВАЖНО: Создавая публичную ссылку, вы САМОСТОЯТЕЛЬНО принимаете решение о публикации содержимого транскрипции и несёте полную ответственность за:
- Наличие законных оснований для публикации персональных данных третьих лиц (ч. 1 ст. 10.1 152-ФЗ требует письменное согласие субъектов ПД на обнародование)
- Соблюдение авторских прав на содержание аудио/текста
- Соблюдение требований конфиденциальности (коммерческая тайна, служебная информация)
- Соответствие законодательству о защите персональных данных

Роль HedyOS:
HedyOS выступает исключительно как хостинг-провайдер в соответствии со ст. 10-11 Федерального закона № 149-ФЗ "Об информации, информационных технологиях и о защите информации", предоставляющий техническую возможность публикации контента по вашему поручению, и не несёт ответственности за содержимое опубликованных транскрипций.

Контроль содержимого:
Вы имеете возможность редактировать транскрибированный текст перед созданием публичной ссылки, включая удаление конфиденциальной информации или персональных данных третьих лиц.

Удаление публичных ссылок:
Если вы получили жалобу от субъекта персональных данных или правообладателя, вы обязаны немедленно удалить публичную ссылку. HedyOS также удалит доступ к транскрипции по обоснованной жалобе в течение 24 часов в соответствии с процедурой реагирования на жалобы.

4.3. Автоматически собираемые технические данные:
- IP-адрес — для определения геолокации (локально, без передачи третьим лицам) и обеспечения безопасности;
- Данные cookies — для обеспечения работы веб-интерфейса;
- Информация о браузере и устройстве — для оптимизации работы Сервиса;
- История использования Сервиса — статистика транскрипций (количество, длительность) для управления лимитами лицензии.

4.4. Платежные данные:
- Информация о транзакциях — дата, сумма, статус платежа;
- Платежные реквизиты обрабатываются платежной системой Продамус и не хранятся на наших серверах.

4.5. ВАЖНО: Данные, НЕ ОБРАБАТЫВАЕМЫЕ Оператором:

Аудиофайлы для транскрипции:
Аудиофайлы, загружаемые пользователем для транскрипции, НЕ обрабатываются и НЕ хранятся Оператором:
- Для использования функции транскрипции пользователь САМОСТОЯТЕЛЬНО регистрируется в стороннем сервисе распознавания речи и получает личный API-ключ;
- Пользователь вводит свой API-ключ в настройках HedyOS;
- Аудиофайлы передаются НАПРЯМУЮ с устройства пользователя в выбранный им сервис распознавания речи, минуя серверы Оператора;
- Оператор НЕ ИМЕЕТ доступа к аудиофайлам пользователя;
- Оператор НЕ ЯВЛЯЕТСЯ стороной в обработке аудиоданных пользователя сторонними сервисами.

Локальное хранение транскрипции:
По умолчанию текст транскрипции хранится ТОЛЬКО локально на устройстве пользователя и не передаётся на серверы Оператора.

Текст транскрипции передаётся на сервер Оператора (расположенный в РФ) ТОЛЬКО в следующих случаях:
- Пользователь активировал функцию синхронизации между устройствами; ИЛИ
- Пользователь создал публичную ссылку на сессию транскрипции; ИЛИ
- Пользователь использует функцию автоматического перевода текста.

Контроль синхронизации:
Вы можете в любой момент:
- Включить или отключить синхронизацию в настройках приложения
- Удалить синхронизированные данные с серверов через настройки
- Просматривать список синхронизированных сессий

При отключении синхронизации ранее синхронизированные данные остаются на сервере до их явного удаления пользователем или удаления учётной записи.

4.6. Агрегированная статистика:

Оператор собирает агрегированную статистику использования Сервиса (количество транскрипций, средняя длительность сессий, популярность функций) для улучшения функциональности и пользовательского опыта.

Такие данные не позволяют идентифицировать конкретного пользователя.

---

5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ

Обработка персональных данных осуществляется на следующих правовых основаниях:

5.1. Согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ):

Используя Сервис, вы подтверждаете, что:
- Ознакомились с настоящей Политикой конфиденциальности;
- Даёте согласие на обработку ваших персональных данных в соответствии с условиями настоящей Политики.

При регистрации в Сервисе согласие на обработку персональных данных подтверждается одним из следующих способов:

Прямая регистрация:
Установкой галочки «☑ Я ознакомлен и согласен с Политикой конфиденциальности» и нажатием кнопки «Зарегистрироваться».

Ссылка на полный текст Политики конфиденциальности размещается на странице регистрации.

Регистрация через сторонние сервисы авторизации (OAuth):
После успешной авторизации в стороннем сервисе, но до создания учётной записи в HedyOS, пользователю отображается страница с предложением ознакомиться с Политикой конфиденциальности и кнопкой «Принять и создать учётную запись». Учётная запись создаётся только после явного подтверждения согласия.

В случае внесения существенных изменений в Политику (изменение целей обработки, новые категории получателей персональных данных) пользователь получит уведомление при входе в Сервис и должен будет подтвердить согласие с обновлённой Политикой для продолжения использования Сервиса.

5.2. Исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ):
- Обработка персональных данных необходима для исполнения договора (Публичной оферты), стороной которого является пользователь.

5.3. Законные интересы Оператора (п. 7 ч. 1 ст. 6 152-ФЗ):

Обработка персональных данных на основании законных интересов осуществляется для:

Обеспечение безопасности Сервиса:
- Анализ логов доступа для выявления подозрительной активности (попытки взлома, DDoS-атаки, брутфорс паролей)
- Блокирование IP-адресов с вредоносной активностью
- Предотвращение мошенничества с платежами и злоупотребления Сервисом

Улучшение технической стабильности и качества:
- Сбор статистики ошибок (crash reports без пользовательских данных) для исправления багов
- Анализ производительности Сервиса для оптимизации (например, время загрузки страниц, потребление ресурсов)
- Анализ статистики использования функций для приоритизации разработки (например, какие функции востребованы, а какие не используются)

Соблюдение правовых обязательств:
- Хранение данных для налоговой и бухгалтерской отчётности в течение сроков, установленных законодательством РФ
- Предоставление данных по законным запросам государственных органов

Оператор обеспечивает баланс между своими законными интересами и правами субъектов персональных данных, не допуская нарушения прав и свобод пользователей.

5.4. ВОЗРАСТНЫЕ ОГРАНИЧЕНИЯ

5.4.1. Сервис предназначен исключительно для лиц, достигших возраста 18 лет.

5.4.2. Регистрируясь в Сервисе, вы подтверждаете, что достигли указанного возраста.

5.4.3. Если Оператору станет известно, что пользователь не достиг возраста 18 лет:
- Учётная запись будет немедленно заблокирована
- Персональные данные будут удалены в течение 3 рабочих дней
- Оплаченные средства могут быть возвращены по запросу законного представителя несовершеннолетнего

5.4.4. Если вы являетесь законным представителем несовершеннолетнего и обнаружили, что он зарегистрировался в Сервисе, немедленно сообщите об этом по адресу: hello@hedyos.com

---

6. ОБРАБОТКА КОНТЕНТА ДЛЯ ТРАНСКРИПЦИИ И ПЕРЕВОДА

6.1. Транскрипция аудио с использованием API-ключа пользователя

6.1.1. Самостоятельное подключение сервиса распознавания речи:
Для использования функции транскрипции аудио в текст пользователь САМОСТОЯТЕЛЬНО:
- Регистрируется в стороннем сервисе распознавания речи;
- Получает личный API-ключ в выбранном сервисе;
- Вводит свой API-ключ в настройках приложения HedyOS.

6.1.2. Прямое взаимодействие с API:
При использовании функции транскрипции:
- Аудиофайлы передаются НАПРЯМУЮ с устройства пользователя в выбранный им сторонний сервис распознавания речи;
- Аудиофайлы НЕ ПРОХОДЯТ через серверы Оператора;
- Взаимодействие осуществляется напрямую между устройством пользователя и сторонним API-сервисом с использованием API-ключа пользователя;
- Оператор НЕ ИМЕЕТ доступа к аудиофайлам пользователя;
- Оператор НЕ ХРАНИТ аудиофайлы на своих серверах.

6.1.3. Юридические отношения и ответственность:

При использовании функции транскрипции:

Роль HedyOS:
Оператор HedyOS выступает исключительно как разработчик и поставщик клиентского программного обеспечения (десктопного приложения), которое обеспечивает техническую возможность взаимодействия с API сторонних сервисов распознавания речи.

HedyOS предоставляет ТОЛЬКО техническую возможность отправки аудиофайлов в сторонние API с использованием личного API-ключа пользователя, при этом:
- НЕ ИМЕЕТ доступа к содержимому аудиофайлов
- НЕ ХРАНИТ аудиофайлы на своих серверах
- НЕ КОНТРОЛИРУЕТ использование аудиофайлов
- НЕ УЧАСТВУЕТ в маршрутизации аудиоданных (они передаются напрямую с устройства пользователя)

Юридические отношения:
- Договорные отношения по обработке аудиоданных возникают НАПРЯМУЮ между вами и выбранным вами сторонним сервисом распознавания речи
- Оператор HedyOS НЕ ЯВЛЯЕТСЯ стороной в этих договорных отношениях
- Вы самостоятельно несёте ответственность за соблюдение условий использования и политик конфиденциальности выбранных вами сторонних сервисов

Техническая архитектура взаимодействия:

Приложение HedyOS функционирует как клиентское программное обеспечение, установленное на вашем устройстве. При транскрипции:

• Приложение формирует HTTP-запрос непосредственно с вашего устройства к API выбранного вами сервиса распознавания речи

• Ваш API-ключ используется для авторизации запроса

• Аудиоданные передаются напрямую из памяти вашего устройства в API сервиса через зашифрованное соединение (TLS)

• Серверы HedyOS НЕ УЧАСТВУЮТ в маршрутизации этих данных

• Оператор технически НЕ ИМЕЕТ ВОЗМОЖНОСТИ перехватить, просмотреть или сохранить ваши аудиофайлы

6.1.4. Поддерживаемые сервисы транскрипции:
HedyOS поддерживает интеграцию с различными сервисами распознавания речи.

Актуальный список поддерживаемых сервисов и ссылки на их политики конфиденциальности доступны:
- В настройках приложения в разделе "Транскрипция"
- На странице документации: https://hedyos.com/docs/transcription-services
- По запросу в службу поддержки: hello@hedyos.com

Перед использованием любого сервиса распознавания речи Оператор рекомендует ознакомиться с политикой конфиденциальности выбранного сервиса.

6.1.5. Рекомендации пользователю:
Оператор рекомендует:
- Ознакомиться с условиями использования и политикой конфиденциальности выбранного вами стороннего сервиса распознавания речи перед началом его использования;
- Самостоятельно оценить риски, связанные с передачей аудиоданных в сторонние сервисы, в том числе расположенные за пределами Российской Федерации;
- Убедиться, что выбранный сервис соответствует вашим требованиям по конфиденциальности и безопасности данных.

Оператор:
- НЕ КОНТРОЛИРУЕТ и не несет ответственности за обработку ваших данных сторонними сервисами;
- НЕ ГАРАНТИРУЕТ доступность, качество работы или безопасность сторонних сервисов;
- НЕ НЕСЕТ ответственности за действия или бездействие сторонних сервисов.

Все вопросы, связанные с обработкой аудиоданных сторонними сервисами, должны направляться напрямую в службу поддержки соответствующего сервиса.

6.1.6. Отсутствие трансграничной передачи со стороны Оператора:
Поскольку взаимодействие с API сторонних сервисов осуществляется напрямую с вашего устройства с использованием вашего личного API-ключа:
- Оператор НЕ ОСУЩЕСТВЛЯЕТ трансграничную передачу ваших аудиоданных;
- Оператор НЕ ЯВЛЯЕТСЯ посредником в передаче аудиоданных третьим лицам;
- Решение об использовании сторонних сервисов, в том числе расположенных за пределами РФ, принимаете вы самостоятельно на основании договора между вами и выбранным сервисом.

Если выбранный вами сервис расположен за пределами Российской Федерации, ответственность за соблюдение требований законодательства РФ о трансграничной передаче персональных данных лежит на вас как на пользователе сервиса.

6.1.7. Обязательства пользователя:

Используя функцию транскрипции, вы подтверждаете и гарантируете, что:

• Имеете законное право на обработку загружаемых аудиофайлов

• Если аудиофайл содержит голоса или персональные данные третьих лиц, вы САМОСТОЯТЕЛЬНО несете ответственность за:

• Получение всех необходимых согласий этих лиц на запись, хранение и обработку их голосов и персональных данных (если такие согласия требуются применимым законодательством)

• ИЛИ наличие иного законного основания для обработки (например, исполнение договора, законные интересы в соответствии с 152-ФЗ)

• Соблюдение требований Федерального закона № 152-ФЗ «О персональных данных» как ОПЕРАТОР персональных данных третьих лиц

• Законность трансграничной передачи персональных данных (если используете сервисы распознавания речи, расположенные за пределами Российской Федерации)

• Несёте полную ответственность за соблюдение требований законодательства о персональных данных в отношении третьих лиц, информация о которых содержится в аудиозаписях

• Обязуетесь не использовать Сервис для обработки аудиозаписей, полученных незаконным путём (скрытая запись без согласия там, где это запрещено законом, нарушение тайны переговоров и т.д.)

• Освобождаете HedyOS от любой ответственности перед третьими лицами, связанной с содержанием или законностью обработки ваших аудиофайлов

Нарушение этих обязательств может привести к:
• Приостановке или прекращению доступа к Сервису
• Привлечению к ответственности в соответствии с законодательством РФ

Оператор не контролирует содержание аудиофайлов и не несёт ответственности за нарушения пользователем прав третьих лиц.

6.1.8. Процедура реагирования на жалобы:

Если третье лицо считает, что его персональные данные (в том числе голос) были обработаны незаконно с использованием функции транскрипции HedyOS, оно может направить жалобу на адрес электронной почты: hello@hedyos.com

Жалоба должна содержать:
- ФИО и контактные данные заявителя
- Описание предполагаемого нарушения
- Доказательства нарушения (если имеются)
- Требования заявителя

HedyOS обязуется:
- Рассмотреть жалобу в течение 5 (пяти) рабочих дней с момента получения
- Провести проверку обоснованности жалобы
- При наличии оснований полагать, что действительно имело место нарушение:
- Связаться с пользователем, разместившим спорный контент
- Потребовать предоставления доказательств законности обработки
- При непредоставлении доказательств в течение 3 рабочих дней — заблокировать доступ к спорному контенту (тексту транскрипции, если он синхронизирован на серверах)
- Предоставить ответ заявителю о результатах рассмотрения жалобы
- По запросу уполномоченных органов (Роскомнадзор, суд, правоохранительные органы) предоставить информацию о пользователе, разместившем спорный контент, в соответствии с законодательством РФ

Обратите внимание:
- HedyOS не хранит аудиофайлы и не имеет к ним доступа
- HedyOS может удалить только текст транскрипции, если он был синхронизирован на серверах
- Оригинальные аудиофайлы хранятся локально на устройстве пользователя
- Для удаления аудиофайлов необходимо обращаться непосредственно к пользователю

---

6.2. Автоматический перевод текста транскрипции

6.2.1. Роль Оператора при обработке контента

Оператор обрабатывает контент (тексты транскрипций), предоставленный Пользователями, который МОЖЕТ содержать персональные данные третьих лиц.

Если контент содержит персональные данные третьих лиц:

Оператор выступает в качестве ОБРАБОТЧИКА в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ.

ОПЕРАТОРОМ таких персональных данных является Пользователь Сервиса.

Используя функции синхронизации, публичных ссылок или автоматического перевода, Пользователь поручает Оператору HedyOS обработку контента, который может содержать персональные данные, для целей предоставления функциональности Сервиса.

6.2.2. Два сценария использования Сервиса

СЦЕНАРИЙ 1: Персональное использование

Если вы используете Сервис для транскрибации своих личных аудиозаписей (лекции, подкасты, личные заметки, аудиокниги), где обрабатываются ВАШИ СОБСТВЕННЫЕ персональные данные, дополнительных согласий не требуется.

Вы являетесь субъектом персональных данных и даёте согласие на их обработку, принимая настоящую Политику.

СЦЕНАРИЙ 2: Бизнес-использование (обработка контента с данными третьих лиц)

Если вы используете Сервис для транскрибации контента, который может содержать персональные данные третьих лиц:
- Разговоров с клиентами (звонки в службу поддержки, продажи, консультации)
- Записей совещаний с сотрудниками/партнёрами
- Записей переговоров, интервью
- Записей конференций, вебинаров
- Иного контента, содержащего персональные данные третьих лиц

то вы являетесь ОПЕРАТОРОМ этих персональных данных и несёте ответственность за законность их обработки в соответствии с Федеральным законом № 152-ФЗ.

HedyOS в этом случае выступает ОБРАБОТЧИКОМ по вашему поручению.

6.2.3. Обязанности Пользователя при бизнес-использовании

При использовании Сервиса для обработки контента, который может содержать персональные данные третьих лиц, Пользователь обязан:

1. Получить согласие от субъектов персональных данных (клиентов, сотрудников, партнёров) на обработку их ПД, включая:
- Запись аудио/голоса
- Транскрибацию в текст
- Передачу данных обработчикам (в том числе HedyOS и сторонним сервисам перевода)
- Трансграничную передачу данных (если используются сервисы, расположенные за пределами РФ)

ИЛИ

2. Иметь иное законное основание для обработки в соответствии со ст. 6 Федерального закона № 152-ФЗ:
- Исполнение договора с субъектом ПД (например, запись звонка для подтверждения условий заказа)
- Законные интересы оператора (например, обучение персонала, контроль качества обслуживания) — при условии, что интересы субъекта ПД не превалируют
- Иные основания, предусмотренные законом

3. Включить в свою Политику конфиденциальности / Договор / Согласие информацию о том, что данные могут обрабатываться с использованием сторонних сервисов (обработчиков), включая HedyOS.

Типичные законные основания БЕЗ отдельного согласия:
- Исполнение договора (запись звонка клиента для подтверждения условий сделки)
- Законные интересы оператора (обучение сотрудников, контроль качества) — при соблюдении баланса интересов

Когда согласие ОБЯЗАТЕЛЬНО:
- Запись личных разговоров, не связанных с договором
- Обработка специальных категорий ПД (расовая принадлежность, здоровье, биометрические данные, судимости и т.д.) — требуется письменное согласие

6.2.4. Шаблон согласия для клиентов Пользователя

⚠️ ВАЖНОЕ ПРАВОВОЕ УВЕДОМЛЕНИЕ

Приведённый ниже шаблон предоставляется исключительно для ознакомления и НЕ ЯВЛЯЕТСЯ:
• Юридической консультацией
• Гарантией соответствия вашим требованиям
• Заменой консультации специалиста по защите персональных данных

Каждая организация должна адаптировать текст под свою специфику:
• Указать конкретные цели обработки
• Перечислить все обработчики и субобработчики с указанием стран
• Указать сроки хранения данных
• Добавить информацию о правах субъектов ПД

HedyOS не несёт ответственности за использование этого шаблона без адаптации и проверки юристом.

Для составления полноценного согласия рекомендуем обратиться к специалисту по защите персональных данных.

---

ШАБЛОН ДЛЯ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ ПОЛЬЗОВАТЕЛЯ:

"Ваши персональные данные, включая голос и информацию из разговоров, могут обрабатываться с использованием сторонних обработчиков (сервисов транскрибации и автоматического перевода речи), в том числе расположенных за пределами Российской Федерации, для следующих целей:
- Улучшение качества обслуживания
- Анализ обращений клиентов
- Обучение персонала
- Контроль качества работы сотрудников
- [указать свои цели]

Обработка осуществляется с соблюдением требований Федерального закона № 152-ФЗ «О персональных данных». Обработчики обязаны обеспечивать конфиденциальность и безопасность ваших данных."

---

Рекомендации по получению согласия:
- Использовать голосовое предупреждение: "Разговор записывается для контроля качества и обучения персонала"
- Включить пункт в договор с клиентом
- Разместить информацию на сайте / в офисе

Полный расширенный шаблон согласия и рекомендации по его адаптации доступны на странице: https://hedyos.com/docs/privacy-template

6.2.5. Порядок работы функции перевода

При активации функции автоматического перевода:
1. Текст транскрипции передаётся с сервера Оператора HedyOS в сторонний сервис машинного перевода
2. Сервис перевода обрабатывает текст и возвращает переведённый текст
3. Переведённый текст сохраняется на сервере HedyOS (если активирована синхронизация) или локально на устройстве

Правовое основание обработки:
- Договор (Публичная оферта и Приложение № 1) между HedyOS и Пользователем, содержащий поручение на обработку контента
- Согласие Пользователя на использование функции перевода (выраженное путём активации функции)

6.2.6. Используемые сервисы машинного перевода

Оператор использует сторонние сервисы машинного перевода для предоставления функции автоматического перевода.

Оператор действует как обработчик по поручению Пользователя и передаёт контент (который может содержать персональные данные) в сервисы перевода на основании договора (Публичной оферты и Приложения № 1) между Оператором и Пользователем.

Актуальный список используемых сервисов перевода и их местонахождение доступен:
- В настройках приложения в разделе "Перевод"
- На странице: https://hedyos.com/docs/translation-services
- По запросу пользователя на адрес: hello@hedyos.com

Сервисы перевода могут быть расположены как на территории Российской Федерации, так и за её пределами.

6.2.7. Ответственность сторон

Ответственность распределяется следующим образом:

Пользователь (как оператор ПД третьих лиц, если таковые содержатся в контенте) несёт ответственность за:
- Наличие законных оснований для обработки (согласия или иные основания по ст. 6, 12 152-ФЗ)
- Информирование третьих лиц о передаче данных обработчикам
- Соблюдение прав субъектов ПД (доступ, исправление, удаление)
- Получение согласий на трансграничную передачу данных (если используются сервисы за пределами РФ) или наличие иных законных оснований

HedyOS (как обработчик по поручению) несёт ответственность за:
- Обеспечение безопасности данных при обработке и хранении
- Соблюдение инструкций пользователя по обработке
- Выбор надёжных субобработчиков и контроль их действий
- Уведомление об инцидентах безопасности

Если пользователь не имел права обрабатывать ПД, но HedyOS обработал данные в соответствии с поручением и не знал о нарушении, ответственность несёт пользователь (ч. 3 ст. 6 152-ФЗ).

Если HedyOS нарушил требования безопасности или обработал данные не в соответствии с поручением, ответственность несёт HedyOS.

Оператор НЕ НЕСЁТ ответственности за:
- Отсутствие у Пользователя законных оснований для обработки ПД третьих лиц
- Нарушение Пользователем требований законодательства о ПД в отношении третьих лиц
- Претензии третьих лиц, связанные с незаконной обработкой их данных Пользователем
- Содержание контента (Оператор не контролирует и не модерирует содержание)

6.2.8. Обработка контента сторонними сервисами

Информация, которая обрабатывается сторонними сервисами машинного перевода, обрабатывается указанными лицами в соответствии с их Пользовательскими соглашениями и Политиками конфиденциальности.

Оператор выбирает надёжных поставщиков услуг машинного перевода, которые обеспечивают конфиденциальность обрабатываемых данных и соответствуют требованиям безопасности.

Пользователь обязан самостоятельно ознакомиться с политиками конфиденциальности сторонних сервисов перевода перед использованием функции автоматического перевода.

6.2.9. Рекомендации для бизнес-пользователей

Если вы используете HedyOS в коммерческих целях для обработки контента, который может содержать данные клиентов/сотрудников:

✅ Рекомендуем:
1. Проконсультироваться с юристом о необходимости получения согласий в вашей конкретной ситуации
2. Добавить пункт о сторонних обработчиках (включая HedyOS) в вашу Политику конфиденциальности
3. Использовать голосовое предупреждение при записи разговоров: "Разговор записывается для контроля качества и обучения персонала"
4. Документировать получение согласий от клиентов/сотрудников (если согласия требуются)
5. Провести внутренний аудит обработки ПД для определения правовых оснований

6.2.10. Будущие изменения (опционально)

В будущем Оператор может предоставить возможность использования функции перевода с собственным API-ключом пользователя, аналогично функции транскрипции. В этом случае:
- Текст будет передаваться напрямую с устройства пользователя в выбранный им сервис перевода
- Оператор не будет участвовать в обработке текста
- Применяются те же правила, что и для транскрипции (см. раздел 6.1)

Об изменениях в функциональности будет сообщено в соответствии с разделом 13 настоящей Политики.

---

6.3. КОРПОРАТИВНОЕ ИСПОЛЬЗОВАНИЕ

6.3.1. Определение корпоративного использования:

Корпоративным (бизнес) использованием считается использование Сервиса:
• Сотрудниками организации в рамках выполнения трудовых обязанностей
• При оплате подписки юридическим лицом или ИП
• Для обработки контента, который может содержать данные клиентов, партнёров, контрагентов организации

6.3.2. Оператор персональных данных при корпоративном использовании:

При корпоративном использовании ОПЕРАТОРОМ персональных данных третьих лиц (клиентов, партнёров) является ОРГАНИЗАЦИЯ-РАБОТОДАТЕЛЬ, а не конкретный сотрудник, использующий Сервис.

Сотрудник действует как уполномоченное лицо организации-оператора.

6.3.3. Обязанности организации при корпоративном использовании:

Организация, приобретающая подписку для своих сотрудников, обязана:

• Получить необходимые согласия от субъектов ПД (клиентов, партнёров) на обработку их данных, включая запись разговоров и использование сторонних обработчиков (HedyOS), ИЛИ иметь иное законное основание для обработки

• Включить в свою Политику конфиденциальности информацию о том, что для обработки ПД используются сторонние обработчики (в том числе HedyOS и субобработчики)

• Проинструктировать сотрудников о требованиях законодательства о ПД и правилах использования Сервиса

• Назначить ответственного за организацию обработки ПД (ст. 22.1 152-ФЗ)

• Нести полную ответственность за действия своих сотрудников при использовании Сервиса

6.3.4. Обязанности сотрудника:

Сотрудник, использующий Сервис в рамках выполнения трудовых обязанностей, обязан:

• Соблюдать внутренние инструкции организации-работодателя по работе с ПД

• Не использовать Сервис для обработки данных, на которые организация не имеет законных оснований

• При создании публичных ссылок убедиться, что это не нарушает требования конфиденциальности организации

Сотрудник несёт дисциплинарную ответственность перед работодателем за нарушения.

6.3.5. Ответственность перед HedyOS:

При корпоративном использовании ответственность перед HedyOS за наличие законных оснований для обработки ПД третьих лиц несёт ОРГАНИЗАЦИЯ (как сторона договора), а не отдельные сотрудники.

Организация индемнифицирует (освобождает от ответственности) HedyOS от любых претензий третьих лиц, связанных с отсутствием у организации законных оснований для обработки их персональных данных (см. Приложение № 1 к Публичной оферте).

6.3.6. Рекомендации для организаций:

При корпоративном использовании Сервиса организациям рекомендуется:

• Провести внутренний аудит обработки персональных данных для определения правовых оснований

• Включить использование HedyOS в перечень мер по обработке ПД в соответствии с внутренними документами (Политика обработки ПД, Приказ о назначении ответственного)

• Разработать инструкции для сотрудников по использованию Сервиса с учётом требований конфиденциальности

• Включить пункт о сторонних обработчиках в договоры с клиентами и/или согласия на обработку ПД

---

7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

7.1. Общие положения:
Оператор не передает персональные данные пользователей третьим лицам, за исключением случаев, указанных в настоящем разделе.

Персональные данные пользователей (email, пароли, Hardware ID, информация о подписке) обрабатываются и хранятся ИСКЛЮЧИТЕЛЬНО на серверах, расположенных на территории Российской Федерации, и НЕ ПЕРЕДАЮТСЯ за пределы РФ.

7.2. Передача для обеспечения функциональности Сервиса:

Персональные данные пользователей могут передаваться следующим категориям третьих лиц:

7.2.1. Платежные системы:

Какие данные передаются:
- Email пользователя
- Информация о транзакции (дата, сумма, тип подписки)

Платёжные реквизиты (данные банковской карты) обрабатываются непосредственно платёжной системой и НЕ ХРАНЯТСЯ на серверах Оператора.

Цель: обработка платежей, управление подписками, возвраты средств

Правовое основание:
• Исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ)
• Согласие пользователя на обработку платежа, выраженное путём подтверждения оплаты

Трансграничная передача:
Оператор использует российские платёжные системы для обработки платежей. Платёжные системы могут осуществлять трансграничную передачу данных в минимальном объёме, необходимом для проведения платёжных операций (включая взаимодействие с международными платёжными системами Visa, Mastercard и банками-эквайерами).

Правовое основание трансграничной передачи:
• Ваше согласие, выраженное путём подтверждения платежа
• Необходимость исполнения договора — обработка платежа технически невозможна без участия платёжных систем (п. 5 ч. 1 ст. 6, ч. 1 ст. 12 Федерального закона № 152-ФЗ)

Список стран, в которые платёжные системы могут передавать данные:
Актуальный список стран и информация о мерах защиты данных доступны:
- На странице оплаты при оформлении подписки
- На странице: https://hedyos.com/payments-info
- По запросу: hello@hedyos.com

Подтверждая платёж, вы даёте явное согласие на трансграничную передачу минимально необходимых данных (email, дата/сумма транзакции) для проведения платёжной операции, в том числе в страны, не обеспечивающие адекватную защиту ПД в соответствии с законодательством РФ (в соответствии с ч. 1 ст. 12 Федерального закона № 152-ФЗ).

Политики конфиденциальности платёжных систем:
Актуальный список используемых платёжных систем и ссылки на их политики конфиденциальности доступны на странице оплаты при оформлении подписки.

Вся информация, которая собирается платёжными системами, хранится и обрабатывается в соответствии с их Пользовательскими соглашениями и Политиками конфиденциальности. Оператор не несёт ответственность за действия платёжных систем.

7.2.2. Сервисы автоматического перевода текста:

Правовая квалификация:
Оператор выступает в роли обработчика контента, который может содержать персональные данные, по поручению Пользователя (ч. 3 ст. 6 152-ФЗ).

Сторонние сервисы машинного перевода выступают в роли субобработчиков (обработчиков по поручению обработчика).

Какие данные передаются:
- Текст транскрипции, который может содержать персональные данные третьих лиц (ФИО, контактную информацию, иные идентификаторы)

Оператором этих персональных данных (если они содержатся в тексте) является Пользователь Сервиса.

Цель:
- Автоматический перевод текста транскрипции на другие языки

Правовое основание:
- Договор (Публичная оферта и Приложение № 1) между Оператором и Пользователем, содержащий поручение на обработку контента (п. 5 ч. 1 ст. 6, ч. 3 ст. 6 152-ФЗ)
- Согласие Пользователя на использование функции перевода, выраженное путём активации функции в Сервисе (п. 1 ч. 1 ст. 6 152-ФЗ)

Местонахождение сервисов:

Сервисы машинного перевода могут быть расположены в различных юрисдикциях, включая, но не ограничиваясь:

• Российская Федерация
• США (не обеспечивают адекватную защиту персональных данных в соответствии с законодательством РФ)
• Страны Европейского союза

Активируя функцию автоматического перевода, Пользователь даёт согласие на обработку контента (который может содержать персональные данные) в указанных юрисдикциях.

Актуальный и полный список сервисов: https://hedyos.com/docs/translation-services

Ответственность:
Оператор выбирает надёжных поставщиков услуг машинного перевода, которые обеспечивают конфиденциальность обрабатываемых данных. Обработка текста сторонними сервисами осуществляется в соответствии с политиками конфиденциальности этих сервисов.

Ответственность за законность передачи данных третьих лиц:
Ответственность за наличие законных оснований для обработки персональных данных третьих лиц, содержащихся в тексте транскрипции (включая трансграничную передачу), несёт Пользователь как оператор этих данных (см. разделы 6.2 и 6.3).

---

ВАЖНОЕ УТОЧНЕНИЕ:
Оператор НЕ ПЕРЕДАЁТ третьим лицам аудиофайлы пользователей для транскрипции. Транскрипция осуществляется пользователем самостоятельно с использованием собственного API-ключа стороннего сервиса (см. раздел 6.1).

7.2.3. Email-сервисы:
- Какие данные передаются: адрес электронной почты;
- Цель: отправка уведомлений о статусе подписки, технических обновлениях (только при наличии согласия);
- Правовое основание: согласие пользователя (п. 1 ч. 1 ст. 6 152-ФЗ) или исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ) для обязательных уведомлений.

7.2.4. Хостинг-провайдеры:

Какие данные передаются:
Хостинг-провайдеры (серверы в РФ) имеют технический доступ на уровне инфраструктуры к:
• Зашифрованным базам данных (пароли в хеше, email пользователей)
• Файлам с текстами транскрипций (если синхронизация включена)
• Логам HTTP-запросов

Цель: обеспечение работы Сервиса, хранение данных на защищенных серверах

Местонахождение: серверы расположены на территории Российской Федерации

Правовое основание:
Хостинг-провайдеры действуют как обработчики ПД (ч. 3 ст. 6 152-ФЗ) на основании договора, который обязывает их:
• Обеспечивать конфиденциальность
• Не использовать данные в собственных целях
• Соблюдать требования 152-ФЗ

Актуальный список хостинг-провайдеров:
[Указать наименования, например: ООО "Хостинг-провайдер"]

Оператор заключил с каждым хостинг-провайдером договор на обработку ПД, соответствующий требованиям ч. 3 ст. 6 Федерального закона № 152-ФЗ и содержащий обязательства по обеспечению конфиденциальности и безопасности данных.

Копии договоров доступны по запросу Роскомнадзора или иных уполномоченных органов.

7.3. Передача по требованию государственных органов:
Оператор вправе раскрыть персональные данные по обоснованному требованию:
- Уполномоченных государственных органов Российской Федерации;
- Судебных органов;
- В случаях, предусмотренных законодательством РФ.

7.4. Обязательства третьих лиц:
Все третьи лица, получающие доступ к персональным данным пользователей, обязаны:
- Соблюдать конфиденциальность персональных данных;
- Обеспечивать защиту персональных данных в соответствии с применимым законодательством;
- Использовать персональные данные исключительно для целей, указанных Оператором.

---

8. МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных в соответствии с требованиями законодательства Российской Федерации.

8.1. Технические меры защиты:
- Шифрование данных при передаче: использование протоколов HTTPS/TLS для защиты данных при передаче через интернет;
- Хеширование паролей: пароли хранятся в хешированном виде с использованием современных криптографических алгоритмов (bcrypt, Argon2);
- Ограничение доступа: принцип минимальных привилегий — доступ к персональным данным имеют только уполномоченные лица;
- Межсетевые экраны (firewalls): защита серверов от несанкционированного доступа;
- Системы обнаружения вторжений: мониторинг активности для выявления попыток несанкционированного доступа;
- Регулярные обновления: своевременная установка обновлений безопасности для программного обеспечения.

8.2. Организационные меры защиты:
- Регулярное резервное копирование: создание резервных копий данных для предотвращения потери информации;
- Аудит доступа: ведение журналов доступа к персональным данным;
- Политики безопасности: внутренние регламенты по обработке и защите персональных данных;
- Обучение персонала: инструктаж лиц, имеющих доступ к персональным данным, о требованиях законодательства и мерах защиты.

8.3. Локальная обработка геолокации:
- IP-адрес используется для определения примерной геолокации пользователя (страна, город) исключительно локально на сервере Оператора с использованием базы данных MaxMind GeoLite2;
- Данные о геолокации не передаются третьим лицам;
- Используются для отображения актуальной информации и соблюдения законодательных требований.

8.4. Реагирование на инциденты безопасности:

В случае утечки, несанкционированного доступа или иного инцидента с персональными данными Оператор обязуется:

1. Уведомить Роскомнадзор:
• В течение 24 часов с момента обнаружения инцидента
• Через систему уведомлений на сайте https://rkn.gov.ru
• В соответствии с требованиями ч. 3.1 ст. 21 Федерального закона № 152-ФЗ

1.1. Направить повторное уведомление в Роскомнадзор:
• В течение 72 часов с момента завершения расследования инцидента
• С указанием:
- Причин возникновения инцидента
- Принятых мер по устранению последствий
- Мер по предотвращению аналогичных инцидентов в будущем

2. Уведомить затронутых пользователей:
• В течение 72 часов с момента обнаружения инцидента
• По электронной почте с описанием:
- Что произошло и когда обнаружен инцидент
- Какие категории персональных данных затронуты
- Какие меры приняты для устранения последствий
- Рекомендации пользователю (например, смена пароля)
- Контакты для обращений по инциденту

3. Принять меры по устранению последствий:
• Незамедлительно закрыть выявленную уязвимость
• Провести расследование причин инцидента
• Усилить меры защиты для предотвращения повторения
• Предоставить пользователям помощь (например, инструкции по защите учётной записи)

4. Провести документирование:
• Составить внутренний отчёт об инциденте
• Зафиксировать предпринятые действия
• Внедрить корректирующие меры

5. Мониторинг инцидентов безопасности:

Оператор осуществляет постоянный мониторинг систем для своевременного обнаружения инцидентов:
- Автоматический анализ журналов доступа
- Системы обнаружения вторжений (IDS/IPS)
- Мониторинг целостности файлов
- Оповещения об аномальной активности

Факт обнаружения инцидента фиксируется автоматически в журнале событий безопасности с отметкой даты и времени.

Пользователь вправе обратиться к Оператору за дополнительной информацией об инциденте по адресу: hello@hedyos.com

---

9. СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Основные сроки:

9.1.1. Персональные данные обрабатываются в течение срока действия учетной записи пользователя.

9.1.2. После удаления учётной записи:

Данные для налоговой отчётности (информация о транзакциях, счетах):
5 лет с момента совершения операции (ст. 23 Налогового кодекса РФ)

Данные для бухгалтерского учёта:
5 лет после отчётного года (ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ "О бухгалтерском учёте")

Все остальные персональные данные (email, хеш пароля, Hardware ID, настройки):
90 календарных дней с момента удаления учётной записи (для разрешения возможных споров и предотвращения мошенничества)

Синхронизированные тексты транскрипций:
Удаляются немедленно при удалении учётной записи (в течение 24 часов)

9.1.3. Уничтожение данных:
По истечении указанных сроков персональные данные подлежат безвозвратному уничтожению, если иное не предусмотрено применимым законодательством РФ.

9.2. Право на удаление:
Пользователь имеет право в любой момент запросить удаление своих персональных данных, направив соответствующее требование на адрес: hello@hedyos.com

При удалении персональных данных по запросу пользователя:
- Данные удаляются в течение 30 (тридцати) календарных дней с момента получения запроса;
- За исключением данных, хранение которых требуется законодательством РФ (информация о транзакциях для налоговой отчетности — 5 лет).

---

10. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» (статья 14) пользователь имеет следующие права:

10.1. Право на получение информации:
Пользователь имеет право получать информацию, касающуюся обработки его персональных данных, включая:
- Подтверждение факта обработки персональных данных Оператором;
- Правовые основания и цели обработки;
- Применяемые Оператором способы обработки;
- Наименование и местонахождение Оператора;
- Сведения о лицах, которым могут быть раскрыты персональные данные;
- Сроки обработки персональных данных;
- Порядок осуществления прав субъекта персональных данных.

10.2. Право на уточнение, блокирование или уничтожение:
Пользователь имеет право требовать:
- Уточнения своих персональных данных, если они являются неполными, устаревшими, неточными;
- Блокирования персональных данных, если они обрабатываются незаконно или являются неточными;
- Уничтожения персональных данных, если они обрабатываются без законных оснований или не являются необходимыми для заявленных целей обработки, за исключением случаев, когда обработка персональных данных необходима для исполнения обязанностей Оператора, предусмотренных применимым законодательством Российской Федерации.

10.3. Право на отзыв согласия:
Пользователь имеет право в любой момент отозвать свое согласие на обработку персональных данных, направив соответствующее уведомление на адрес: hello@hedyos.com

Отзыв согласия не влияет на законность обработки персональных данных, осуществленной до момента отзыва.

При отзыве согласия доступ к Сервису будет прекращён, так как обработка персональных данных необходима для предоставления функциональности Сервиса.

10.4. Право на обжалование:
Пользователь имеет право обжаловать действия или бездействие Оператора:
- В Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);
- В судебном порядке.

Контакты Роскомнадзора: https://rkn.gov.ru

10.5. Порядок реализации прав:
Для реализации своих прав пользователь направляет письменный запрос на адрес электронной почты: hello@hedyos.com

Оператор обязан предоставить ответ на запрос в течение 30 (тридцати) календарных дней с момента получения запроса.

10.6. ПРАВО НА ПОЛУЧЕНИЕ ДАННЫХ В СТРУКТУРИРОВАННОМ ФОРМАТЕ (портируемость данных)

10.6.1. Пользователь имеет право запросить предоставление:
- Своих персональных данных (email, настройки, история подписок)
- Созданного контента (тексты транскрипций)

в структурированном, широко используемом машиночитаемом формате (JSON или CSV по выбору пользователя).

10.6.2. Запрос направляется на адрес: hello@hedyos.com с темой "Запрос экспорта данных".

10.6.3. Оператор обязан предоставить данные в течение 30 календарных дней с момента получения запроса.

10.6.4. Данные предоставляются в виде защищённой ссылки для скачивания, действующей 7 дней с момента отправки.

10.7. ПРАВО НА ОТКАЗ ОТ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ

10.7.1. В случае если Оператор применяет автоматизированную обработку персональных данных для принятия решений, порождающих юридические последствия для пользователя или иным образом затрагивающих его права и законные интересы (например, автоматическая блокировка учётной записи при подозрении на мошенничество), пользователь имеет право:

• Получить разъяснения логики принятого решения
• Выразить свою точку зрения
• Оспорить решение
• Потребовать ручной проверки решения уполномоченным сотрудником Оператора

10.7.2. Запрос на ручную проверку направляется на адрес: hello@hedyos.com

10.7.3. Оператор обязан рассмотреть запрос и предоставить мотивированный ответ в течение 7 рабочих дней.

10.8. РАСПРЕДЕЛЕНИЕ ОТВЕТСТВЕННОСТИ

10.8.1. Ответственность за персональные данные пользователей Сервиса:

В отношении персональных данных пользователей Сервиса (email, пароли, Hardware ID, информация о подписке — см. раздел 2.1.1):

Оператор несёт полную ответственность за:
- Обеспечение безопасности и конфиденциальности данных
- Соблюдение требований Федерального закона № 152-ФЗ
- Законность обработки данных

В случае причинения вреда субъекту персональных данных вследствие нарушения Оператором требований законодательства о персональных данных, субъект имеет право на возмещение убытков и компенсацию морального вреда в судебном порядке в соответствии со статьёй 17 Федерального закона № 152-ФЗ.

10.8.2. Распределение ответственности при обработке контента третьих лиц:

В отношении персональных данных третьих лиц, которые могут содержаться в тексте транскрипции (см. раздел 2.1.2):

Пользователь (как оператор ПД третьих лиц) несёт ответственность за:
- Наличие законных оснований для обработки (согласия или иные основания по ст. 6, 12 152-ФЗ)
- Информирование третьих лиц о передаче данных обработчикам
- Соблюдение прав субъектов ПД (доступ, исправление, удаление)
- Получение согласий на трансграничную передачу данных (если используются сервисы за пределами РФ) или наличие иных законных оснований

HedyOS (как обработчик по поручению) несёт ответственность за:
- Обеспечение безопасности данных при обработке и хранении
- Соблюдение инструкций пользователя по обработке
- Выбор надёжных субобработчиков и контроль их действий
- Уведомление об инцидентах безопасности

Если пользователь не имел права обрабатывать ПД, но HedyOS обработал данные в соответствии с поручением и не знал о нарушении, ответственность несёт пользователь (ч. 3 ст. 6 152-ФЗ).

Если HedyOS нарушил требования безопасности или обработал данные не в соответствии с поручением, ответственность несёт HedyOS.

10.8.3. Ограничения ответственности Оператора:

Оператор НЕ НЕСЁТ ответственности за:

Действия сторонних сервисов:
- Сервисов распознавания речи, выбранных пользователем и используемых через собственный API-ключ пользователя
- Сервисов машинного перевода текста (в части их действий как субобработчиков)
- Платёжных систем и обработку платежей
- Хостинг-провайдеров (за исключением случаев, когда нарушение произошло по вине Оператора при выборе или контроле обработчика)

Пользователь самостоятельно выбирает сторонние сервисы (в частности, сервисы распознавания речи) и несёт ответственность за соблюдение их условий использования и политик конфиденциальности.

Обработку персональных данных третьих лиц пользователем:

Оператор не несёт ответственности за:
- Отсутствие у Пользователя законных оснований для обработки персональных данных третьих лиц, содержащихся в тексте транскрипции
- Нарушение Пользователем требований Федерального закона № 152-ФЗ в отношении персональных данных третьих лиц
- Претензии третьих лиц, чьи персональные данные обрабатываются Пользователем без надлежащих согласий или иных законных оснований
- Трансграничную передачу персональных данных третьих лиц без необходимых согласий (ответственность несёт Пользователь как оператор этих данных)

Пользователь является оператором персональных данных третьих лиц, содержащихся в тексте транскрипции, и несёт самостоятельную ответственность за законность их обработки (см. разделы 6.2 и 6.3).

Содержание контента:

Оператор не контролирует и не модерирует содержание текстов транскрипций и не несёт ответственности за:
- Нарушение авторских прав, смежных прав или иных прав интеллектуальной собственности, содержащееся в транскрибированном контенте
- Клеветнические, оскорбительные, дискриминационные или иные противоправные материалы в тексте транскрипций
- Разглашение коммерческой тайны, служебной информации или конфиденциальной информации третьих лиц
- Нарушение требований законодательства о рекламе, защите прав потребителей или иного применимого законодательства

Пользователь самостоятельно несёт ответственность за содержание создаваемых транскрипций.

Форс-мажор и обстоятельства непреодолимой силы:

Оператор не несёт ответственности за невозможность исполнения обязательств или ненадлежащее исполнение обязательств вследствие обстоятельств непреодолимой силы:
- Сбои в работе интернет-провайдеров, магистральных каналов связи
- DDoS-атаки, действия хакеров и иные кибератаки (при условии соблюдения Оператором разумных мер защиты информации)
- Изменения законодательства Российской Федерации, делающие невозможным или затрудняющие исполнение обязательств
- Решения, предписания или требования государственных органов о блокировке, ограничении доступа или прекращении работы Сервиса
- Стихийные бедствия, пожары, наводнения, техногенные катастрофы
- Военные действия, террористические акты, забастовки, народные волнения

Действия пользователя:

Оператор не несёт ответственности за:
- Убытки, возникшие вследствие неправомерных действий пользователя или нарушения пользователем условий настоящей Политики или Пользовательского соглашения
- Убытки, возникшие в результате несанкционированного доступа третьих лиц к учётной записи пользователя по причине неосторожного хранения пользователем своего пароля
- Утрату данных вследствие неиспользования пользователем функции синхронизации или резервного копирования

---

11. ИСПОЛЬЗОВАНИЕ COOKIES И АНАЛИТИКИ

11.1. Что такое cookies:
Cookies — это небольшие текстовые файлы, которые сохраняются на устройстве пользователя при посещении веб-сайта и используются для улучшения работы Сервиса.

11.2. Цели использования cookies:
- Обеспечение авторизации пользователя и сохранение сеанса работы;
- Запоминание настроек и предпочтений пользователя;
- Анализ использования Сервиса для улучшения функциональности;
- Обеспечение безопасности (защита от мошенничества, CSRF-атак).

11.3. Типы используемых cookies:
- Необходимые cookies: требуются для работы Сервиса (авторизация, сессии);
- Функциональные cookies: сохраняют настройки пользователя;
- Аналитические cookies: используются для анализа использования Сервиса (анонимная статистика).

11.4. Управление cookies:
Пользователь может управлять настройками cookies через настройки своего браузера:
- Блокировать все cookies;
- Удалять cookies после закрытия браузера;
- Получать уведомления перед сохранением cookies.

Обратите внимание: отключение cookies может ограничить функциональность Сервиса.

11.5. Аналитика:
Оператор может использовать инструменты аналитики (например, анонимные метрики использования) для улучшения Сервиса. Такие инструменты не собирают персональные данные и работают в анонимном режиме.

---

12. ХРАНЕНИЕ ДАННЫХ НА ТЕРРИТОРИИ РОССИЙСКОЙ ФЕДЕРАЦИИ

В соответствии с частью 5 статьи 18 Федерального закона № 152-ФЗ «О персональных данных»:

12.1. Персональные данные граждан Российской Федерации обрабатываются и хранятся на серверах, физически расположенных на территории Российской Федерации.

12.2. Передача данных:

12.2.1. Персональные данные пользователей (email, пароли, Hardware ID):
Персональные данные пользователей обрабатываются и хранятся ИСКЛЮЧИТЕЛЬНО на серверах, физически расположенных на территории Российской Федерации.

Персональные данные граждан РФ НЕ ПЕРЕДАЮТСЯ за пределы Российской Федерации, за исключением случаев, прямо предусмотренных настоящей Политикой (см. п. 12.2.3).

12.2.2. Аудиофайлы для транскрипции:
Оператор НЕ ОСУЩЕСТВЛЯЕТ трансграничную передачу аудиофайлов пользователей.

Аудиофайлы передаются пользователем САМОСТОЯТЕЛЬНО напрямую в выбранный им сторонний сервис распознавания речи с использованием собственного API-ключа пользователя (см. раздел 6.1). Оператор не является стороной в этой передаче и не несёт ответственности за обработку аудиоданных сторонними сервисами.

12.2.3. Контент, который может содержать персональные данные третьих лиц:

Правовая квалификация:

Оператор выступает в качестве обработчика контента, который может содержать персональные данные третьих лиц, на основании договора (Публичной оферты и Приложения № 1) с Пользователем в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ.

Оператором таких персональных данных (если они содержатся в контенте) является Пользователь Сервиса.

Обработка данных:

При использовании функций синхронизации, публичных ссылок или автоматического перевода контент обрабатывается:
- На серверах Оператора (территория РФ)
- С передачей сторонним сервисам перевода (могут быть расположены за пределами РФ) — ТОЛЬКО для функции автоматического перевода

Трансграничная передача:

Оператор осуществляет трансграничную передачу контента, который может содержать персональные данные, по поручению Пользователя на основании договора между Оператором и Пользователем (ч. 3 ст. 6, ч. 1 ст. 12 Федерального закона № 152-ФЗ).

Ответственность за наличие законных оснований для трансграничной передачи (согласие субъектов ПД или иные основания, предусмотренные ст. 12 152-ФЗ) несёт Пользователь как оператор этих персональных данных (см. разделы 6.2 и 6.3).

Местонахождение серверов обработки:
- Серверы Оператора: Российская Федерация
- Сервисы машинного перевода: актуальный список стран доступен в настройках приложения или по запросу: hello@hedyos.com

12.2.4. Минимальные данные для платёжных операций:

При обработке платежей минимально необходимые данные (email, информация о транзакции) могут передаваться платёжным системам, которые могут осуществлять трансграничную передачу для проведения платёжных операций (см. раздел 7.2.1).

Такая передача осуществляется на основании вашего согласия, выраженного путём подтверждения платежа, и необходимости исполнения договора.

---

13. ИЗМЕНЕНИЯ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ

13.1. Право внесения изменений:
Оператор имеет право вносить изменения в настоящую Политику в любое время в одностороннем порядке.

13.2. Публикация новой редакции:
Новая редакция Политики публикуется на Сайте по адресу: https://hedyos.com/privacy с указанием:
- Номера версии;
- Даты последнего обновления;
- Краткого описания основных изменений (при существенных изменениях).

13.3. Уведомление пользователей о существенных изменениях:
При внесении существенных изменений (новые цели обработки, новые категории получателей персональных данных, изменение порядка хранения или защиты данных) Оператор уведомляет пользователей одним из следующих способов:
- Всплывающее уведомление при входе в Сервис с предложением ознакомиться с обновленной Политикой;
- Уведомление по электронной почте (для зарегистрированных пользователей);
- Уведомление в десктопном приложении.

13.4. Согласие с изменениями:
При получении уведомления о существенных изменениях пользователь должен:
- Ознакомиться с новой редакцией Политики; И
- Подтвердить согласие с обновленной Политикой путем нажатия кнопки «Я согласен» во всплывающем окне; ИЛИ
- Отказаться от согласия, что приведет к прекращению возможности использования Сервиса.

13.5. Незначительные изменения:
Изменения технического, редакционного или уточняющего характера (исправление опечаток, уточнение формулировок без изменения смысла) вступают в силу на следующий день после публикации на Сайте без дополнительного уведомления пользователей.

13.6. Дата вступления в силу:
- Незначительные изменения вступают в силу с момента публикации на Сайте;
- Существенные изменения вступают в силу с момента принятия пользователем обновленной Политики (подтверждения согласия через всплывающее окно или уведомление в приложении).

13.7. Если пользователь не согласен с изменениями:
Если вы не согласны с новой редакцией Политики, вы обязаны:
- Прекратить использование Сервиса; И
- Удалить свою учетную запись через настройки профиля или направив запрос на адрес: hello@hedyos.com

---

14. КОНТАКТНАЯ ИНФОРМАЦИЯ

По вопросам, связанным с обработкой персональных данных, вы можете обратиться к Оператору:

Индивидуальный предприниматель Болдырев Андрей Павлович

• Email: hello@hedyos.com
• Веб-сайт: https://hedyos.com

Для обращений по вопросам защиты персональных данных:
- Email: hello@hedyos.com

Орган по защите прав субъектов персональных данных:
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
Официальный сайт: https://rkn.gov.ru

---

Актуальная версия Политики всегда доступна на странице:
https://hedyos.com/privacy