QCO

Политика конфиденциальности

Последнее обновление: 2026-05-21

1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые Оператором.

Оператор: Индивидуальный предприниматель Агарунов Октай Мардахаевич.
ОГРНИП: 324774600502388.
ИНН: 711707303399.
Адрес: г. Москва, Российская Федерация.
Контактный email для обращений субъектов ПДн: info@qco.me

Настоящая Политика распространяется на сайт qco.me, приложение app.qco.me и иные домены платформы QCO (далее совместно — «Сервис»). Согласие на обработку персональных данных оформляется пользователем отдельной отметкой при регистрации в Сервисе; настоящая Политика информирует пользователя об условиях, целях и порядке такой обработки.

Возрастное ограничение. Сервис предназначен для лиц, достигших 18 лет и обладающих полной дееспособностью. Регистрируясь, пользователь подтверждает своё совершеннолетие и дееспособность. Оператор не осуществляет осознанный сбор персональных данных несовершеннолетних. Если Оператору станет известно, что данные предоставлены несовершеннолетним без согласия законных представителей, такие данные будут удалены.

2. Состав обрабатываемых данных

Оператор обрабатывает следующие персональные данные:

  • Регистрационные данные: email, пароль (хранится в захешированном виде), отображаемое имя, телефон (опционально).
  • Загруженный пользователем контент: фотографии и видео товаров, reference-изображения и видео для AI-генерации, логотип магазина, баннеры, обложки категорий.
  • Сгенерированный AI-контент: изображения и видео, созданные нейросетями по запросу пользователя.
  • Данные о магазине: название, описание, slug, контакты (Telegram, телефон, email, мессенджеры), маркетплейс-ссылки.
  • Данные о товарах: название, описание, цены, варианты, складские остатки, категории.
  • Данные о заявках покупателей: имя, контакты, сообщение, состав корзины — поступают через формы на витрине от покупателей и обрабатываются для передачи продавцу.
  • Платёжные данные: сумма, номер платежа в Т-Банк, email чека, данные о подписке (тариф, период, даты списаний). Для автоматического продления подписки платёжный сервис сохраняет токен-идентификатор привязанной карты — он не содержит реквизитов карты и пригоден только для списаний в нашем Сервисе. Реквизиты банковских карт мы НЕ храним — они обрабатываются непосредственно платёжным сервисом Т-Банк.
  • Технические данные: IP-адрес (в захешированном виде), User-Agent, тип устройства, статистика просмотров страниц, referer.
  • Cookies: технически необходимые для аутентификации и сохранения настроек (язык, состояние корзины, реф-код).
  • Журнал действий: история генераций, история транзакций токенов, лог авторизаций, лог отправленных email/Telegram уведомлений.

3. Цели обработки

  • предоставление функций Сервиса (регистрация, личный кабинет, создание магазина, AI-генерация контента, приём заявок);
  • выполнение договорных обязательств (учёт токенов, обработка платежей, выпуск чеков по 54-ФЗ);
  • отправка транзакционных уведомлений (подтверждение оплаты, новые заявки, готовность AI-генераций);
  • обеспечение безопасности Сервиса (защита от ботов, fraud-detection, rate-limiting);
  • обработка обращений пользователей и техническая поддержка;
  • анализ использования Сервиса и улучшение его работы — в обезличенном виде (веб-аналитика, см. раздел 13);
  • исполнение требований законодательства РФ (хранение чеков, ответы на запросы уполномоченных органов).

4. Правовые основания обработки

  • согласие субъекта ПДн (ст. 6 ч. 1 п. 1 152-ФЗ) — даётся при регистрации в Сервисе;
  • исполнение договора (Пользовательского соглашения) с субъектом ПДн (ст. 6 ч. 1 п. 5 152-ФЗ);
  • исполнение обязанностей, возложенных законодательством РФ (54-ФЗ — выпуск чеков, налоговая отчётность);
  • достижение целей, предусмотренных международным договором РФ или законом (ст. 6 ч. 1 п. 2 152-ФЗ).

5. Специальные категории персональных данных

Оператор не обрабатывает специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости).

Загружаемые пользователем фотографии и видео могут содержать изображения физических лиц. Оператор обрабатывает такие материалы исключительно как пользовательский контент для оказания услуг (хранение, отображение на витрине, передача для нейросетевой обработки) и не использует их для установления личности. Биометрическая идентификация, распознавание лиц и иная обработка биометрических персональных данных в значении ст. 11 152-ФЗ Сервисом не осуществляется. Ответственность за наличие согласия изображённых лиц несёт пользователь, загрузивший материал (см. Соглашение о работе с AI).

Загружая материалы с изображениями физических лиц, пользователь гарантирует, что получил от изображённых лиц согласие на использование их изображений в значении ст. 152.1 ГК РФ — включая обработку нейросетями и публикацию результата на витрине магазина. Оператор вправе удалить материалы при поступлении обоснованных возражений изображённого лица.

6. Хранение данных и локализация

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с требованием 242-ФЗ.

Базы данных и медиафайлы размещаются у поставщика облачной инфраструктуры в дата-центрах на территории Российской Федерации. Поставщик инфраструктуры предоставляет вычислительные мощности и хранилище и не получает самостоятельного доступа к содержимому; обработка персональных данных осуществляется Оператором.

7. Сроки хранения

  • Профиль пользователя и контент магазина: до удаления учётной записи по запросу пользователя.
  • Загруженные изображения и видео: до удаления пользователем или удаления учётной записи.
  • Сгенерированный AI-контент: до удаления пользователем; неиспользуемые orphan-загрузки автоматически удаляются через 30 дней.
  • Журнал транзакций токенов и платежей: в течение срока, установленного законодательством РФ о бухгалтерском и налоговом учёте (не менее 5 лет с момента совершения операции).
  • Технические логи (IP, события безопасности): не более 1 года.
  • Чеки 54-ФЗ хранятся в течение сроков, установленных налоговым законодательством РФ.

8. Передача третьим лицам

Оператор может поручать обработку персональных данных следующим категориям получателей строго в объёме, необходимом для оказания услуг, и только на основании договоров, обязывающих получателя соблюдать конфиденциальность и требования законодательства о персональных данных:

  • Технический подрядчик нейросетевой обработки. Для функций AI-генерации фото, видео и AI-карточек загруженные пользователем изображения, reference-материалы и текстовые промпты передаются техническому подрядчику, осуществляющему обработку с использованием нейросетевых моделей. Регистрационные и контактные данные (email, имя, телефон) при этом не передаются. Передача осуществляется с согласия пользователя, выражаемого каждым запуском функции AI-генерации. Возможность трансграничной передачи описана в разделе 9.
  • Платёжный сервис. При оплате токенов лицензированному платёжному сервису (банку-эквайеру) передаются: сумма платежа, номер заказа, адрес электронной почты для выставления кассового чека. Реквизиты банковских карт обрабатываются непосредственно платёжным сервисом — Оператор их не получает и не хранит.
  • Поставщик облачной инфраструктуры. Базы данных и медиафайлы размещаются у поставщика облачной инфраструктуры в дата-центрах на территории Российской Федерации. Поставщик предоставляет вычислительные мощности и хранилище и не получает самостоятельного доступа к содержимому.
  • Сервис мессенджер-уведомлений. Для отправки уведомлений о новых заявках и функций импорта товаров используется программный интерфейс мессенджера. Передаются: идентификатор чата подписчика и текст уведомления. Привязка мессенджера выполняется пользователем добровольно; передача может являться трансграничной (см. раздел 9).
  • Уполномоченные государственные органы РФ — при получении соответствующего запроса в порядке, установленном законодательством Российской Федерации.

Данные покупателей. В отношении персональных данных покупателей, поступающих через формы заявок на витринах магазинов, Оператор действует как лицо, осуществляющее обработку по поручению пользователя-продавца (ст. 6 ч. 3 152-ФЗ); оператором этих данных является сам продавец. Форма заявки содержит уведомление покупателя об обработке его данных и ссылку на настоящую Политику.

Оператор не продаёт персональные данные и не передаёт их третьим лицам в маркетинговых или рекламных целях.

9. Трансграничная передача данных

Отдельные функции Сервиса (в первую очередь AI-генерация и мессенджер-уведомления) технологически могут предполагать передачу части данных техническим подрядчикам, инфраструктура которых расположена за пределами Российской Федерации. Такая передача является трансграничной в значении ст. 12 152-ФЗ.

При трансграничной передаче передаётся минимально необходимый объём данных: для AI-генерации — только сам загруженный материал и текст промпта; для уведомлений — идентификатор чата и текст сообщения. Регистрационные и платёжные данные за пределы Российской Федерации не передаются.

Согласие на трансграничную передачу персональных данных оформляется отдельно — посредством проставления отметки при первом запуске соответствующей функции. В согласии указываются категории передаваемых данных, цель передачи и иностранные государства, на территорию которых осуществляется передача. Без такого согласия функции, предполагающие трансграничную передачу, недоступны; пользователь вправе ими не пользоваться.

До начала осуществления трансграничной передачи Оператор направляет в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных (ч. 3 ст. 12 152-ФЗ). Передача в иностранные государства, не обеспечивающие адекватную защиту прав субъектов персональных данных, осуществляется только после получения от получателя сведений о принимаемых им мерах защиты и при наличии оснований, предусмотренных ч. 5 ст. 12 152-ФЗ.

10. Хранение и доступность контента

Загруженные пользователем изображения и видео, а также сгенерированный AI-контент, хранятся в облачном объектном хранилище и доступны через прямые URL-адреса по технологии CDN. URL содержат невозможные к подбору случайные идентификаторы (UUID), каталог хранилища не индексируется и не поддерживает просмотр списка файлов.

Доступ к файлам осуществляется по прямой ссылке без индивидуальной авторизации каждого запроса — это обусловлено технологическими требованиями (CDN, обработка нейросетями, отображение на публичной витрине магазина). Защита непубличного медиаконтента обеспечивается совокупностью мер: случайные неперебираемые идентификаторы в URL, отключённый листинг хранилища, передача по защищённому протоколу TLS, ограниченный срок жизни неиспользуемых файлов. Доступ к ссылке имеет только сам пользователь или те, кому он её явно передал.

Контент, опубликованный на витрине магазина пользователя (фото товаров, баннер, логотип), является публичным по своей природе и доступен любому посетителю витрины.

11. Права субъекта персональных данных

В соответствии со ст. 14 152-ФЗ субъект ПДн имеет право:

  • получать информацию об обработке своих ПДн;
  • требовать уточнения, блокирования или уничтожения своих ПДн в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отозвать согласие на обработку ПДн в любой момент (повлечёт удаление учётной записи и связанных данных, за исключением данных подлежащих обязательному хранению по закону);
  • обжаловать действия или бездействие Оператора в Роскомнадзоре или в судебном порядке.

Как реализовать свои права:

  • Самостоятельно через личный кабинет: настройки профиля позволяют редактировать данные и удалить учётную запись (раздел «Аккаунт»).
  • По email на адрес info@qco.me с указанием сведений, позволяющих идентифицировать субъекта персональных данных (ФИО и email учётной записи). Оператор вправе запросить дополнительные сведения для подтверждения личности заявителя. Ответ — в течение 30 календарных дней с момента получения запроса.

12. Меры защиты

Оператор предпринимает правовые, организационные и технические меры защиты персональных данных, в том числе:

  • шифрование передачи данных по протоколу HTTPS (TLS);
  • хранение паролей пользователей исключительно в виде необратимых криптографических хешей;
  • ограничение доступа к базам данных (сетевые правила, ключевая аутентификация);
  • разграничение прав доступа и журналирование действий администраторов;
  • защита от автоматизированных атак и злоупотреблений (ограничение частоты запросов, антибот-фильтры);
  • регулярное резервное копирование и контроль целостности резервных копий;
  • заключение с привлекаемыми подрядчиками договоров, обязывающих их соблюдать конфиденциальность.

13. Cookies и веб-аналитика

Технически необходимые cookies. Сервис использует cookies, необходимые для аутентификации, сохранения сессии, языковых настроек и состояния корзины. Без них Сервис не может функционировать.

Веб-аналитика. Для понимания того, как используется Сервис, и улучшения его работы Оператор применяет сервис веб-аналитики посещаемости. Он собирает обезличенную статистику: просмотры страниц, источники переходов, тип устройства и браузера, примерный регион, действия на страницах. Аналитика может включать запись обезличенных сессий взаимодействия со страницей в технических целях (выявление ошибок интерфейса). Собранные данные используются в агрегированном виде и не применяются для установления личности.

Пользователь вправе ограничить сбор аналитических данных средствами своего браузера (отключение cookies, режим «Не отслеживать», блокировщики). На работу технически необходимых функций это не влияет. Рекламные cookies и передача данных рекламным сетям Сервисом не осуществляются.

14. Уведомление об инцидентах

В случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор уведомляет Роскомнадзор в порядке и в сроки, установленные ч. 3.1 ст. 21 152-ФЗ (в течение 24 часов — об инциденте, в течение 72 часов — о результатах внутреннего расследования). При необходимости Оператор информирует затронутых пользователей доступными способами связи.

15. Изменения политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная версия публикуется по адресу qco.me/privacy. При существенных изменениях зарегистрированным пользователям дополнительно направляется email-уведомление. Продолжение использования Сервиса после публикации изменений означает согласие с новой редакцией.

16. Регистрация в качестве оператора ПДн

Оператор подаёт в Роскомнадзор уведомление об обработке персональных данных и включается в Реестр операторов, осуществляющих обработку персональных данных. До начала трансграничной передачи персональных данных Оператор дополнительно направляет в Роскомнадзор уведомление о намерении осуществлять такую передачу.

Дата вступления в силу: 21 мая 2026 г.

Политика конфиденциальности — QCO · QCO