Политика конфиденциальности и обработки персональных данных

Дата публикации: 24 апреля 2026 г.

Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») является документом оператора, определяющим политику в отношении обработки персональных данных в порядке, установленном ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Политика определяет порядок обработки и защиты персональных данных пользователей сервиса Nano Banana (далее — «Сервис»), расположенного по адресу nano-banana-site.ru.

Оператором персональных данных (далее — «Оператор») является ИП Шнерсон Сергей Вячеславович (ИНН 166108937866, ОГРНИП 317169000061594).

1. Термины

• Пользователь — дееспособное физическое лицо, достигшее 18 лет, использующее Сервис.
• Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).
• Обработка — любое действие с персональными данными (сбор, запись, хранение, использование, передача, удаление и т.п.).
• Контент Пользователя — изображения, текстовые запросы и иные материалы, загружаемые или создаваемые Пользователем в Сервисе.

2. Какие данные мы собираем

2.1. Данные, которые Пользователь предоставляет самостоятельно:

• адрес электронной почты — при регистрации и для получения одноразовых кодов авторизации;
• загруженные изображения, в том числе содержащие изображения лиц (которые могут являться персональными данными третьих лиц);
• текстовые запросы (промпты) для инструментов с генеративным ИИ.

2.2. Данные, собираемые автоматически:

• IP-адрес Пользователя;
• тип устройства, браузера и операционной системы;
• страницы, которые посещает Пользователь, и действия в Сервисе;
• время и дата визитов;
• источник перехода (referer) и UTM-метки;
• файлы cookie и аналогичные технологии.

2.3. Платёжные данные:

Данные банковских карт обрабатываются платёжной системой ЮKassa (ООО НКО «ЮМани») и не передаются Оператору. Оператор сохраняет только информацию о транзакциях: сумма, дата, статус, идентификатор платежа.

2.4. Категории субъектов персональных данных, чьи данные обрабатывает Оператор:

• Пользователи Сервиса — дееспособные физические лица, прошедшие регистрацию для использования инструментов обработки изображений;
• Третьи лица, изображённые на загружаемых фотографиях — физические лица, чьи изображения загружают Пользователи в Сервис (при этом Пользователь, загрузивший такое изображение, выступает оператором ПДн в отношении третьего лица — см. раздел 10);
• Контрагенты Оператора — физические лица, индивидуальные предприниматели, представители юридических лиц, вступающие с Оператором в договорные или преддоговорные отношения (например, для оплаты услуг).

Специальные категории персональных данных (о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни) и биометрические персональные данные Оператор не запрашивает и целенаправленно не обрабатывает. Изображения лиц, загруженные Пользователями, рассматриваются как обычные персональные данные и обрабатываются исключительно для оказания заказанной услуги, без идентификации, верификации личности или построения биометрического профиля.

3. Цели обработки данных

• Исполнение договора (публичной оферты) — предоставление доступа к Сервису, обработка изображений, списание и пополнение кредитов;
• Авторизация — отправка одноразовых кодов (OTP) на email Пользователя;
• Улучшение Сервиса — анализ использования, выявление ошибок, оптимизация работы инструментов;
• Коммуникация — уведомления о работе Сервиса, изменениях условий Оферты, технических сбоях;
• Безопасность — предотвращение злоупотреблений, мошенничества и несанкционированного доступа;
• Соблюдение закона — выполнение требований законодательства Российской Федерации, включая хранение платёжной документации.

3.7. Принцип минимизации. Оператор обрабатывает загруженные Пользователем изображения и введённые им текстовые запросы исключительно в объёме, необходимом для получения результата, заказанного Пользователем в интерфейсе Сервиса (генерация, редактирование, улучшение, стилизация изображений и т.п.). Изображения и промпты не используются Оператором в маркетинговых, рекламных или статистических целях, требующих идентификации Пользователя.

3.8. Использование для обучения моделей ИИ. Оператор не использует изображения и промпты Пользователя для обучения собственных моделей искусственного интеллекта. Оператор передаёт запросы только тем провайдерам ИИ-моделей, которые по условиям своего использования не применяют передаваемые им данные для обучения моделей на бесплатной основе (в частности, согласно публичной политике OpenRouter и правилам подключённых к нему провайдеров API-запросов).

4. Правовые основания обработки

• Согласие Пользователя, предоставляемое при регистрации и акцепте публичной Оферты (ст. 6 ч. 1 п. 1 152-ФЗ);
• Исполнение договора, стороной которого является Пользователь (ст. 6 ч. 1 п. 5 152-ФЗ);
• Законные интересы Оператора в части улучшения Сервиса и защиты от злоупотреблений (ст. 6 ч. 1 п. 7 152-ФЗ);
• Юридические обязательства — соблюдение требований НК РФ, ФЗ «О бухгалтерском учёте» и иных нормативных актов, обязывающих Оператора хранить документы и сведения о платёжных операциях.

5. Порядок обработки и передача персональных данных третьим лицам

5.0. Оператор осуществляет обработку персональных данных как с использованием средств автоматизации, так и без них, и совершает с ними следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

5.1. Для оказания услуг Оператор передаёт отдельные данные следующим третьим лицам:

• ЮKassa (ООО НКО «ЮМани») — для приёма и обработки платежей. Данные банковских карт обрабатываются исключительно на стороне ЮKassa в соответствии со стандартом PCI DSS и её правилами;
• OpenRouter (OpenRouter, Inc.) и его партнёрские провайдеры ИИ-моделей, включая, но не ограничиваясь: Google LLC (Gemini) и иные модели, доступные через OpenRouter. Передаются текстовые промпты и загруженные изображения в рамках конкретного запроса;
• ООО «РегРу» (reg.ru) — почтовый хостинг, обслуживающий корпоративный домен Оператора;
• ООО «Яндекс Облако» (Yandex Cloud Postbox) — сервис исходящих почтовых рассылок, используется для отправки писем с кодами авторизации и уведомлениями;
• smtp.bz — резервный сервис исходящих почтовых рассылок;
• ООО «ЯНДЕКС» (Яндекс.Метрика) — для сбора обезличенной аналитики посещений;
• Государственные органы Российской Федерации — по законному запросу в соответствии с законодательством РФ.

5.2. Оператор не продаёт персональные данные и не передаёт их третьим лицам в маркетинговых или рекламных целях.

5.3. Трансграничная передача персональных данных.

5.3.1. Часть третьих лиц, к инфраструктуре которых Оператор обращается для обработки запросов Пользователя к моделям искусственного интеллекта, расположены за пределами территории Российской Федерации:

• OpenRouter, Inc. — США;
• Google LLC (модели семейства Gemini и иные, доступные через OpenRouter) — США, с использованием глобальной облачной инфраструктуры Google;
• иные провайдеры ИИ-моделей, подключённых через OpenRouter и действующих на территории государств, не являющихся членами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

5.3.2. В рамках трансграничной передачи этим третьим лицам передаётся следующий состав данных:

• текстовые запросы (промпты), которые Пользователь вводит в инструменты генерации и редактирования;
• изображения, которые Пользователь загружает в Сервис для обработки, в том числе изображения, содержащие лица физических лиц.

5.3.3. Цель трансграничной передачи: техническая обработка запросов Пользователя моделями искусственного интеллекта для получения результата, заказанного Пользователем в Сервисе (генерация, редактирование, улучшение, стилизация изображений и т.п.).

5.3.4. Оператор не передаёт третьим лицам, расположенным за пределами РФ, адрес электронной почты Пользователя, его идентификатор в Сервисе, IP-адрес и иные идентифицирующие Пользователя данные. Вместе с изображением и промптом передаётся только минимальный технический контекст, необходимый для обработки запроса.

5.3.5. Совершая акцепт публичной Оферты и настоящей Политики, а также загружая изображения в инструменты Сервиса, использующие ИИ-модели, Пользователь даёт Оператору информированное согласие на трансграничную передачу указанных в п. 5.3.2 данных третьим лицам, указанным в п. 5.3.1, в объёме и с целью, указанной в п. 5.3.3.

5.3.6. Пользователь вправе отказаться от трансграничной передачи, не используя Сервис. Без согласия на трансграничную передачу AI-генерация изображений недоступна, поскольку использование ИИ-моделей требует обращения к третьим лицам, перечисленным в п. 5.3.1.

6. Хранение и защита данных

6.1. Персональные данные обрабатываются и хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями 152-ФЗ.

6.2. Соединение с Сервисом защищено по протоколу HTTPS с использованием TLS-шифрования.

6.3. Доступ к персональным данным имеют только уполномоченные лица Оператора в объёме, необходимом для исполнения их обязанностей.

6.4. Оператор применяет организационные и технические меры для защиты данных от несанкционированного доступа, изменения, раскрытия или уничтожения.

6.5. Сроки хранения данных:

• данные аккаунта и баланс кредитов — в течение срока существования аккаунта;
• загруженные и сгенерированные изображения — до момента их удаления Пользователем через интерфейс Сервиса (раздел «Мои фото») либо до удаления аккаунта;
• данные о транзакциях — 5 лет с момента совершения операции в соответствии с требованиями законодательства о бухгалтерском учёте;
• логи доступа и технические данные — не более 12 месяцев;
• данные об отозванных согласиях и обращениях — бессрочно, для подтверждения факта отзыва.

6.6. В соответствии с требованиями ст. 7, ч. 2 ст. 18.1, ч. 1 ст. 19 152-ФЗ Оператор соблюдает конфиденциальность персональных данных и применяет правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.

7. Файлы cookie

7.1. Сервис использует cookie и аналогичные технологии для:

• поддержания авторизованной сессии Пользователя (строго необходимые cookie);
• сохранения настроек и предпочтений;
• сбора обезличенной аналитики с помощью Яндекс.Метрики (аналитические cookie).

7.2. Строго необходимые cookie используются без отдельного согласия — без них Сервис не сможет работать (например, авторизация невозможна).

7.3. Аналитические cookie (Яндекс.Метрика) загружаются только после явного согласия Пользователя:

• анонимные посетители видят баннер cookies при первом визите. Аналитика подключается только после нажатия кнопки «Принять»;
• авторизованные Пользователи дают согласие на обработку аналитических cookie, принимая настоящую Политику при регистрации.

7.4. В составе Яндекс.Метрики используется модуль «Вебвизор», который записывает действия Пользователя на странице (движения курсора, клики, скроллы, последовательность переходов) для анализа удобства Сервиса. Чувствительные поля (пароли, платёжные данные) автоматически маскируются и не попадают в запись.

7.5. Пользователь может в любой момент отозвать согласие на аналитические cookie: очистить cookie сайта в настройках браузера, использовать режим инкогнито или написать на info@nano-banana-site.ru для постоянного исключения из аналитики.

7.6. Пользователь также может отключить все cookie в настройках браузера, однако это может повлиять на функциональность Сервиса (в частности, сделать невозможным вход в аккаунт).

8. Права Пользователя

В соответствии с 152-ФЗ Пользователь имеет право:

• получить информацию о хранящихся о нём персональных данных;
• потребовать уточнения, блокирования или удаления своих данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать согласие на обработку персональных данных;
• получить копию данных в машиночитаемом формате;
• обжаловать действия или бездействие Оператора в Роскомнадзоре или в суде.

Для реализации этих прав Пользователь направляет запрос на электронную почту info@nano-banana-site.ru. Оператор обязуется рассмотреть обращение и предоставить ответ в срок не более 30 (тридцати) календарных дней с момента его получения.

Запрос/обращение Пользователя должно содержать:

• адрес электронной почты, использовавшийся при регистрации в Сервисе (для идентификации обращающегося);
• суть обращения: получение информации о хранящихся ПДн, уточнение, блокирование, удаление, отзыв согласия, иное;
• сведения, подтверждающие факт регистрации Пользователя в Сервисе или иное участие субъекта в правоотношениях с Оператором (например, идентификатор последнего платежа, дата создания аккаунта);
• дату составления обращения;
• при отзыве согласия — собственноручную подпись (для письменных обращений) либо электронную подпись (если применимо).

В случае если запрос подаётся представителем Пользователя — дополнительно прилагается документ, подтверждающий полномочия представителя.

9. Согласие на обработку и его отзыв

9.1. Пользователь предоставляет своё согласие на обработку персональных данных, указанных в настоящей Политике, путём совершения действий, недвусмысленно свидетельствующих о таком согласии: регистрация в Сервисе, проставление отметки о согласии с Политикой и Офертой, оплата услуг.

9.2. Согласие предоставляется на весь перечень целей, указанных в разделе 3 настоящей Политики, на срок действия договора (Оферты) и 5 (пять) лет после его прекращения, если иной срок не предусмотрен законодательством.

9.3. Пользователь вправе в любой момент отозвать согласие на обработку персональных данных, направив соответствующее заявление на info@nano-banana-site.ru. Отзыв согласия не затрагивает законности обработки, произведённой до отзыва.

9.4. После отзыва согласия Оператор в срок не более 30 (тридцати) дней прекращает обработку персональных данных и уничтожает их, за исключением данных, обработка которых продолжается на иных законных основаниях (например, данные о транзакциях — для целей налогового и бухгалтерского учёта).

9.5. Условиями прекращения обработки персональных данных Оператором являются:

• достижение целей обработки персональных данных, указанных в разделе 3 настоящей Политики;
• истечение срока действия согласия на обработку персональных данных или его отзыв субъектом персональных данных;
• выявление неправомерной обработки персональных данных, которую невозможно устранить (в этом случае обработка прекращается, а персональные данные уничтожаются в срок не более 10 рабочих дней);
• удаление аккаунта Пользователя в порядке раздела 12 настоящей Политики.

Прекращение обработки и уничтожение персональных данных не распространяется на данные, обработка которых продолжается на иных законных основаниях (в частности, сведения о транзакциях, подлежащие хранению по требованиям НК РФ и ФЗ «О бухгалтерском учёте»).

10. Обработка изображений третьих лиц. Пользователь как оператор

10.1. Сервис позволяет Пользователю загружать любые изображения, включая фотографии, на которых изображено другое физическое лицо (не сам Пользователь). Оператор не имеет технической и правовой возможности проверить, является ли изображённое на фотографии лицо самим Пользователем и получено ли его согласие на обработку.

10.2. Загружая в Сервис изображение третьего лица, Пользователь самостоятельно определяет цели и состав обработки таких персональных данных (выбор инструмента, промпта, повторные обработки), и, в силу ст. 3 Федерального закона № 152-ФЗ, выступает оператором персональных данных в отношении этого лица.

10.3. Пользователь гарантирует, что до загрузки такого изображения он получил от изображённого лица согласие на обработку его персональных данных в объёме, необходимом для работы Сервиса, включая:

• обработку изображения Оператором;
• передачу изображения третьим лицам, указанным в разделе 5 настоящей Политики;
• трансграничную передачу изображения третьим лицам, указанным в п. 5.3.1.

10.4. Оператор и Пользователь, загружающий изображения третьих лиц, признаются лицами, совместно участвующими в обработке персональных данных таких лиц, каждый — в пределах своей фактической роли:

• Пользователь определяет цель обработки (выбор инструмента, промпта) и гарантирует наличие согласия субъекта ПДн;
• Оператор обеспечивает технические и организационные меры защиты данных в пределах собственной инфраструктуры, передачу третьим лицам в соответствии с разделом 5 и режимы хранения в соответствии с разделом 6.

Такое разделение не освобождает Оператора от обязанностей, установленных 152-ФЗ в отношении обработки, осуществляемой на его инфраструктуре.

10.5. Вся ответственность перед третьими лицами, чьи персональные данные были обработаны Сервисом по инициативе Пользователя без их согласия, лежит на Пользователе. В случае предъявления претензий или требований со стороны таких лиц либо со стороны Роскомнадзора и иных государственных органов, Пользователь обязуется самостоятельно урегулировать их, а также возместить Оператору все понесённые в связи с этим расходы, включая юридические расходы и административные штрафы.

11. Возрастные ограничения

Сервис предназначен для лиц, достигших 18 лет. Использование Сервиса лицами младше 18 лет не допускается. Если Оператору становится известно, что данные были предоставлены лицом младше 18 лет, такие данные подлежат удалению.

12. Удаление аккаунта

Пользователь может запросить удаление аккаунта, направив письмо на info@nano-banana-site.ru. При удалении аккаунта:

• все загруженные и сгенерированные изображения удаляются с серверов Оператора в срок до 30 дней;
• неиспользованные кредиты аннулируются без возврата денежных средств, за исключением случаев, предусмотренных разделом 5 Оферты;
• данные о транзакциях сохраняются 5 лет в соответствии с требованиями законодательства о бухгалтерском учёте;
• обезличенные технические логи могут сохраняться в общем порядке (п. 6.5).

13. Изменение Политики

Оператор вправе изменять настоящую Политику. Актуальная редакция всегда доступна по адресу nano-banana-site.ru/politika. О существенных изменениях, затрагивающих объём или цели обработки персональных данных, Оператор уведомляет Пользователя по электронной почте. Продолжение использования Сервиса после публикации новой редакции означает согласие Пользователя с обновлённой Политикой.

14. Контакты Оператора

ИП Шнерсон Сергей Вячеславович
ОГРНИП: 317169000061594
ИНН: 166108937866
Email: info@nano-banana-site.ru

Лицом, ответственным за организацию обработки персональных данных, является сам индивидуальный предприниматель Шнерсон Сергей Вячеславович. Обращения и запросы по вопросам обработки персональных данных направляются на адрес электронной почты info@nano-banana-site.ru.