ВозможностиДокументацияЦеныPlaygroundFAQ
Юридическое

Политика конфиденциальности

Последнее обновление: 26 апреля 2026 г.

Версия документа: 1.0

Настоящая Политика конфиденциальности (далее — «Политика») разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о персональных данных»), Федеральным законом от 31.12.2014 № 242-ФЗ (локализация персональных данных), постановлениями Правительства РФ № 1119 (уровни защищённости ПДн) и № 687 (требования к материальным носителям), а также иными нормативными правовыми актами Российской Федерации в области защиты персональных данных.

1. Оператор персональных данных

Оператором персональных данных является индивидуальный предприниматель Юдин Александр Евгеньевич (далее — «Оператор»).

Основной государственный регистрационный номер (ОГРНИП): 325237500240543

Идентификационный номер налогоплательщика (ИНН): 032628977859

Юридический адрес: определяется по месту регистрации ИП

Электронная почта: admin@flow-masters.ru

Telegram: @braincreator89

2. Основные понятия и определения

  • Персональные данныелюбая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Закона о персональных данных).
  • Обработка персональных данныхлюбое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3).
  • Трансграничная передачапередача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу (ст. 3).
  • Информационная система персональных данных (ИСПДн)совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
  • Уничтожение персональных данныхдействия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Состав обрабатываемых персональных данных

Оператор обрабатывает персональные данные, указанные в п. 2.1 Уведомления об обработке персональных данных, направленного в Роскомнадзор:

3.1. Данные, предоставляемые субъектом самостоятельно

  • Фамилия, имя, отчество (при наличии)
  • Адрес электронной почты
  • Номер телефона (при наличии)
  • Наименование организации, должность
  • Идентификатор Telegram (при подключении approval-уведомлений)
  • Пароль (хранится исключительно в хешированном виде с использованием алгоритма bcrypt с рабочим фактором не менее 12)

3.2. Данные, получаемые при использовании сервиса

  • Содержание команд AI-агентов, передаваемых через MCP-шлюз (для целей обеспечения безопасности)
  • Результаты анализа Shield Engine (allow / block / approve)
  • Журналы аудита: временная метка, идентификатор пользователя, тип операции, IP-адрес источника, результат
  • Метрики использования: количество обработанных команд, активные агенты, типы инструментов
  • Данные агентов: тип, версия, hostname операционной системы

3.3. Данные, получаемые автоматически

  • IP-адрес
  • Тип и версия браузера, операционная система (User-Agent)
  • Дата и время запроса, часовой пояс
  • URL-адрес источника перехода (Referer)

3.4. Данные, получаемые от третьих лиц

  • Платёжные данные от банка-эквайрера (ООО «Банк Точка», БИК 044525104) — минимальный набор, необходимый для подтверждения оплаты
  • Данные об успешности/неуспешности платежа, последние 4 цифры номера карты

Оператор не осуществляет обработку биометрических персональных данных, данных о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Обработка специальных категорий персональных данных (ст. 10 Закона) не производится.

4. Цели обработки персональных данных

Обработка персональных данных осуществляется в соответствии с принципами законности, цели обработки (ст. 5 Закона) и осуществляется в следующих целях:

  • Регистрация и авторизациясоздание личного кабинета, идентификация пользователя, восстановление доступа
  • Предоставление сервисамаршрутизация команд AI-агентов, применение политик безопасности, обеспечение approval-workflow
  • Обеспечение безопасностианализ команд, обнаружение угроз, предотвращение несанкционированного доступа, ведение журнала аудита
  • Биллинг и расчётыначисление оплаты, формирование счетов и актов, взаимодействие с платёжными системами
  • Улучшение качества сервисаанализ агрегированных данных об использовании, выявление паттернов, оптимизация производительности
  • Информированиеуведомления об изменениях в сервисе, критических событиях безопасности, обновлениях тарифных планов
  • Исполнение законодательствавыполнение требований законодательства РФ, в том числе налогового и бухгалтерского учёта

5. Правовые основания обработки

Обработка персональных данных осуществляется на следующих основаниях (ст. 6 Закона):

  • Согласие субъекта персональных данных на обработку его персональных данных (ст. 6 п. 1 пп. 1)
  • Исполнение договора, стороной которого является субъект персональных данных (ст. 6 п. 1 пп. 5)
  • Исполнение установленных законодательством РФ обязанностей Оператора (ст. 6 п. 1 пп. 3) — налоговый учёт, бухгалтерская отчётность

6. Порядок получения согласия

Согласие на обработку персональных данных получается в форме электронного документа, подписанного электронной подписью в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ, либо путём совершения субъектом конклюдентных действий, однозначно свидетельствующих о его волеизъявлении (заполнение формы регистрации, нажатие кнопки «Принять» при регистрации).

Согласие является конкретным, информированным и сознательным. В согласии указаны (ст. 9 п. 4 Закона):

  • Наименование и адрес Оператора
  • Цель обработки
  • Перечень персональных данных, на обработку которых даётся согласие
  • Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку (если обработка поручена)
  • Перечень действий с персональными данными
  • Срок, в течение которого действует согласие

7. Локализация персональных данных (242-ФЗ)

В соответствии со статьёй 18 Закона о персональных данных (в ред. Федерального закона от 31.12.2014 № 242-ФЗ) при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации.

Серверы, на которых осуществляется обработка персональных данных, физически расположены в данных центрах на территории Российской Федерации (г. Москва).

База данных PostgreSQL, используемая для хранения персональных данных, развёрнута на сервере с IP-адресом 93.93.207.44, зарегистрированном в юрисдикции Российской Федерации.

8. Трансграничная передача персональных данных

В соответствии со статьёй 12 Закона о персональных данных Оператор уведомляет о следующем:

Оператор НЕ осуществляет трансграничную передачу персональных данных, за исключением случаев, прямо указанных в настоящем разделе. Все основные персональные данные хранятся и обрабатываются исключительно на территории Российской Федерации.

Исключения — трансграничная передача данных

Следующие данные могут передаваться на территорию иностранных государств при использовании соответствующих функций Сервиса:

Telegram Bot API (approval-уведомления)

  • Получатель: Telegram Messenger Inc. (Нидерланды / Великобритания)
  • Передаваемые данные: Telegram ID пользователя, текст уведомления о команде AI-агента (без секретов и credentials)
  • Основание: явное согласие субъекта персональных данных (ст. 12 п. 2 152-ФЗ)
  • Характер: добровольная функция, включаемая пользователем в настройках

GitHub OAuth (авторизация)

  • Получатель: GitHub, Inc. (США)
  • Передаваемые данные: email, имя, аватар — по стандартному OAuth-протоколу
  • Основание: согласие при авторизации через OAuth

Yandex OAuth (авторизация)

  • Получатель: Яндекс (РФ) — трансграничная передача не осуществляется
  • Примечание: серверы Яндекс расположены в РФ

VK ID (авторизация)

  • Получатель: VK Company (РФ) — трансграничная передача не осуществляется
  • Примечание: серверы VK расположены в РФ

Передача данных через Telegram и GitHub осуществляется только при явном действии пользователя (подключение Telegram-бота, авторизация через GitHub). Пользователь может отказаться от использования данных функций в любой момент без ограничения доступа к основным функциям Сервиса.

В случае возникновения необходимости трансграничной передачи персональных данных Оператор обязуется:

  • Убедиться, что иностранное государство, на территорию которого осуществляется передача, обеспечивает адекватную защиту прав субъектов персональных данных (ст. 12 п. 1)
  • Получить письменное согласие субъекта персональных данных на трансграничную передачу (ст. 12 п. 2)
  • Заключить договор с иностранным лицом, содержащий обязательства по обеспечению безопасности персональных данных (ст. 12 п. 2 пп. 2)

Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, определяется уполномоченным органом по защите прав субъектов персональных данных (Роскомнадзор).

9. Меры по обеспечению безопасности персональных данных

Оператор принимает организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ст. 19 Закона), в том числе:

Организационные меры

  • Назначение лица, ответственного за организацию обработки персональных данных
  • Определение актуальных угроз безопасности персональных данных (в соответствии с методикой ФСТЭК России)
  • Разработка локальных нормативных актов в области обработки и защиты персональных данных
  • Ограничение доступа персонала к персональным данным на основе принципа минимальных привилегий
  • Ознакомление работников с положениями законодательства о персональных данных

Технические меры

  • Шифрование данных при передаче: TLS 1.3
  • Шифрование данных при хранении: AES-256-GCM
  • Per-organization шифрование секретов: X25519 + AES-256-GCM
  • Хранение паролей: bcrypt (рабочий фактор ≥ 12)
  • Сетевая защита: файрвол, DDoS-защита, ограничение IP-доступа к базе данных
  • Резервное копирование: автоматическое ежедневное, с шифрованием резервных копий
  • Мониторинг: журналирование всех действий с персональными данными, оповещение о аномалиях
  • E2EE шифрование коммуникации agent ↔ relay

10. Сроки обработки и хранения

Категория данныхСрок храненияОснование
Данные аккаунтаДо удаления аккаунта + 30 днейДоговор
Команды AI-агентов90 календарных днейЦель безопасности
Журналы аудитаСрок действия договора + 3 годаСт. 17 152-ФЗ
Платёжные данные5 лет после операцииНалоговый кодекс РФ
Бухгалтерские документы5 летФЗ-402 «О бухгалтерском учёте»
Агрегированные метрикиБессрочно (обезличенные)Ст. 6 п. 1 пп. 2

По истечении указанных сроков персональные данные уничтожаются в течение 30 рабочих дней, если иное не предусмотрено законодательством Российской Федерации.

11. Передача данных третьим лицам

Оператор не передаёт персональные данные третьим лицам без согласия субъекта, за исключением случаев, установленных законодательством (ст. 6 п. 1 Закона). Передача данных возможна следующим лицам:

  • ООО «Банк Точка»эквайринг платежей: последние 4 цифры карты, статус платежа, сумма. Основание: исполнение договора с субъектом.
  • Telegram Messenger Inc.отправка approval-уведомлений: Telegram ID, текст уведомления. Серверы в Нидерландах/UK — трансграничная передача (ст. 12 152-ФЗ). Основание: явное согласие при подключении Telegram-бота.
  • GitHub, Inc.авторизация через OAuth: email, имя, аватар. Серверы в США — трансграничная передача (ст. 12 152-ФЗ). Основание: согласие при нажатии кнопки авторизации.
  • SIEM-системы заказчикапо явному запросу и настройке пользователя: только журналы аудита (без содержания команд). Основание: согласие субъекта.
  • Уполномоченные государственные органыпо законному требованию, судебному акту или запросу уполномоченного органа. Основание: ст. 6 п. 1 пп. 3 Закона.

При передаче персональных данных Оператор требует от лица, получающего данные, соблюдения конфиденциальности и обеспечения безопасности персональных данных (ст. 6 п. 3 Закона).

12. Права субъекта персональных данных

Субъект персональных данных имеет право (ст. 14–17 Закона):

  • Получить сведения об обработке своих персональных данных: цели, правовые основания, категории данных, сроки хранения
  • Требовать уточнения персональных данных в случае их неполноты или неточности
  • Требовать удаления персональных данных (ст. 17) — при отзыве согласия, при достижении целей обработки, при незаконности обработки
  • Требовать блокирования персональных данных с момента обращения на период проверки
  • Отозвать согласие на обработку персональных данных в любое время путём направления письменного заявления
  • Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке

Для реализации своих прав субъект персональных данных направляет запрос на адрес: admin@flow-masters.ru с темой «Запрос субъекта ПДн». Срок ответа — не более 30 календарных дней с момента получения запроса (ст. 22 п. 1 Закона). Запрос должен содержать:

  • Фамилия, имя, отчество субъекта
  • Номер основного документа, удостоверяющего личность
  • Сведения о подтверждении личности
  • Суть требования

13. Использование файлов cookie

Оператор использует минимальный набор файлов cookie, необходимый для функционирования сервиса:

  • sessionидентификатор авторизованной сессии (httpOnly, Secure, SameSite=Strict)
  • langпредпочтения языка интерфейса
  • csrf_tokenзащита от межсайтовой подделки запросов (CSRF)

Оператор не использует сторонние файлы cookie, аналитические трекеры, пиксели социальных сетей или системы отслеживания. Отключение cookie в браузере может ограничить функциональность сервиса.

14. Особенности self-hosted развёртывания

При использовании self-hosted варианта развёртывания FlowLink все персональные данные хранятся и обрабатываются на инфраструктуре пользователя. В этом случае пользователь самостоятельно выступает Оператором персональных данных в смысле Закона о персональных данных и несёт ответственность за:

  • Подачу уведомления в Роскомнадзор об обработке персональных данных
  • Обеспечение безопасности персональных данных на своей инфраструктуре
  • Соблюдение требований 152-ФЗ и 242-ФЗ (локализация)
  • Получение согласий субъектов персональных данных

15. Персональные данные несовершеннолетних

Сервис не предназначен для использования лицами, не достигшими 18-летнего возраста. Оператор не собирает персональные данные несовершеннолетних осознанно и целенаправленно. В случае обнаружения факта обработки персональных данных лица, не достигшего 18 лет, Оператор обязуется уничтожить такие данные в течение 3 рабочих дней.

16. Уполномоченный орган

Контроль за деятельностью по обработке персональных данных осуществляет уполномоченный орган по защите прав субъектов персональных данных — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):

  • Адрес: 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2
  • Телефон: +7 (495) 987-68-05
  • Электронная почта: rsoc_in@rkn.gov.ru
  • Сайт: rkn.gov.ru

17. Внесение изменений в Политику

Оператор оставляет за собой право вносить изменения в настоящую Политику. При внесении существенных изменений Оператор уведомляет субъектов персональных данных путём размещения обновлённой версии Политики на сайте flowlink.flow-masters.ru/privacy и (при наличии контактных данных) путём направления уведомления на адрес электронной почты субъекта не менее чем за 10 рабочих дней до вступления изменений в силу.

Продолжение использования сервиса после вступления изменений в силу означает согласие субъекта с обновлённой Политикой.

18. Ответственность

Оператор несёт ответственность за соблюдение требований законодательства о персональных данных в соответствии с Кодексом об административных правонарушениях РФ (ст. 13.11, 13.11.1, 13.14) и Уголовным кодексом РФ (ст. 137, 272). Штрафы за нарушение законодательства о персональных данных составляют от 10 000 до 75 000 рублей за каждое нарушение (ФЗ от 07.02.2017 № 13-ФЗ).

19. Контактная информация

По всем вопросам, связанным с обработкой персональных данных, обращайтесь:

Оператор: ИП Юдин Александр Евгеньевич

Email: admin@flow-masters.ru

Telegram: @braincreator89

Срок ответа на запрос: 30 календарных дней (ст. 22 Закона)