Политика конфиденциальности

1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей сервиса 12 Colors (далее — «Сервис»), оператором которого является Индивидуальный предприниматель Жильцов Денис Сергеевич, ИНН 774361887670, ОГРНИП 326774600375440 (далее — «Оператор»).

Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Сервис предназначен для лиц, достигших 18 лет. Мы намеренно не собираем персональные данные детей до 18 лет. Если вам стало известно, что ребёнок предоставил нам свои данные без согласия родителей — сообщите нам на support@12colors.ru, и мы удалим эти данные.

2. Какие данные мы собираем

Мы собираем и обрабатываем следующие категории данных:

• Данные аккаунта: имя, email, номер телефона (если предоставлен провайдером авторизации), аватар — получаемые от провайдера авторизации (Yandex ID / Mail.ru ID). Email используется для формирования электронного чека в соответствии с 54-ФЗ.
• Фотографии: фото лица, загруженные пользователем для анализа цветотипа
• Результаты анализа: определённый цветотип, палитра цветов, рекомендации
• Платёжные данные: информация о транзакциях (обрабатывается ЮKassa, мы не храним данные карт)
• Технические данные: IP-адрес, тип браузера, cookies (см. Cookie-политику)

3. Цели обработки данных

• Предоставление услуг Сервиса (анализ цветотипа)
• Идентификация пользователя при авторизации
• Обработка платежей и формирование электронных чеков
• Хранение результатов анализа в личном кабинете
• Техническая поддержка и коммуникация с пользователем
• Улучшение качества Сервиса на основе агрегированных и обезличенных данных (правовое основание: законный интерес Оператора, ст. 6 ч. 1 п. 7 Федерального закона № 152-ФЗ; фотографии в этих целях не обрабатываются)

4. Хранение данных

Все персональные данные хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями ст. 18 ч. 5 152-ФЗ и 242-ФЗ.

• Фотографии используются только во время анализа и удаляются с серверов Оператора автоматически сразу после завершения обработки. Срок хранения фотографии у обработчика OpenAI — не более 30 дней (см. раздел 6).
• Результаты анализа (карточки, PDF-отчёт, иллюстрации образов) хранятся 6 месяцев с момента создания, после чего удаляются автоматически.
• Данные аккаунта (имя, email, номер телефона, баланс монет) хранятся до удаления аккаунта пользователем.
• Платёжные записи (Payment, Refund) хранятся 5 лет в соответствии с требованиями 402-ФЗ и налогового учёта. Сохраняются даже после удаления аккаунта — это требование закона, не зависящее от воли пользователя.
• Журналы согласий (подтверждения cookie, согласия на обработку ПД) хранятся в течение срока действия аккаунта и не менее 5 лет после его удаления — покрывает срок исковой давности по ГК РФ, служат доказательством законности обработки данных.
• Технические журналы (логи действий) хранятся 30 дней. Обработанные события платёжных вебхуков удаляются через 30 дней; необработанные сохраняются до завершения обработки.
• Псевдонимизированный технический идентификатор — при регистрации через OAuth (Яндекс ID / Mail.ru ID) Оператор сохраняет необратимый хэш (SHA-256) идентификатора аккаунта провайдера авторизации. Хэш не позволяет восстановить персональные данные и не передаётся третьим лицам. Он сохраняется в течение 5 лет после удаления аккаунта исключительно в целях предотвращения мошенничества и защиты законных интересов Оператора в судебных и иных правовых процедурах (правовое основание: ст. 6 ч. 1 п. 7 Федерального закона № 152-ФЗ).

5. Передача данных третьим лицам

Мы передаём данные только в следующих случаях:

• OpenAI: фотография передаётся для анализа через защищённое соединение (HTTPS/TLS). Согласно политике OpenAI, данные API не используются для обучения моделей.
• ЮKassa: для обработки платежей и формирования чеков в соответствии с 54-ФЗ.
• Yandex ID / Mail.ru ID: для авторизации (OAuth 2.0).
• Яндекс (Яндекс Метрика): при наличии вашего согласия на аналитические cookies — IP-адрес, действия на сайте, тип устройства и браузера передаются Яндексу для анализа посещаемости. Данные хранятся на серверах Яндекса в РФ. Вы можете отозвать согласие в любой момент через раздел Управление cookies или в настройках браузера. Подробнее: политика конфиденциальности Яндекса.

Мы не продаём и не передаём персональные данные рекламным сетям или иным третьим лицам.

6. Трансграничная передача данных

При проведении анализа фотография пользователя передаётся в OpenAI (США) через защищённое соединение. Это является трансграничной передачей персональных данных в соответствии со ст. 12 Федерального закона № 152-ФЗ.

Правовым основанием передачи служит явное согласие субъекта персональных данных (ст. 12 ч. 4 152-ФЗ), которое пользователь даёт отдельно — через специальный экран с подробным описанием целей, получателя и мер защиты данных, до начала обработки фото.

• Получатель: OpenAI, LLC (США). Политика конфиденциальности: openai.com/policies/privacy-policy
• Цели передачи (исчерпывающий перечень):
  1. Определение цветотипа, типажа и характеристик внешности: сезон и подсезон по системе 12 Colors, подтон кожи, уровень контраста, яркость, цвет глаз, цвет волос, форма лица (GPT-4o Vision, все тарифы)
  2. Создание персонализированных инфографических карточек с результатами анализа: цветовые палитры, рекомендации по макияжу, подбор украшений, аксессуаров, ароматов, принтов и причёсок (gpt-4.1-mini + gpt-image-2)
  3. Создание fashion-иллюстраций трёх персональных образов (Повседневный, Вечерний, Деловой) с подбором элементов гардероба под цветотип — только при использовании функции «Персональный образ» и при наличии отдельного согласия на эту функцию (gpt-4.1 + gpt-image-2)

  Иные цели не допускаются.

• Обучение моделей: согласно политике OpenAI, данные, переданные через API, не используются для обучения AI-моделей.
• Срок хранения у получателя: в соответствии с политикой OpenAI, данные API-запросов (включая переданные изображения) хранятся на серверах OpenAI не более 30 дней в целях обеспечения безопасности и предотвращения злоупотреблений, после чего удаляются. Данные не используются для обучения моделей (API Usage Policy). Мы не контролируем срок хранения напрямую.

Пользователь вправе отозвать согласие на трансграничную передачу в любой момент — это не требует удаления аккаунта. Способы отзыва:

• В личном кабинете (раздел «Согласия») — кнопка «Отозвать согласие на трансграничную передачу». Отзыв вступает в силу немедленно.
• Направить запрос на support@12colors.ru с темой «Отзыв согласия на трансграничную передачу».

После отзыва проведение новых анализов цветотипа станет недоступным, поскольку услуга технически требует передачи фото в OpenAI. Ранее полученные результаты анализа в личном кабинете сохраняются.

7. Маркетинговые коммуникации

Мы направляем маркетинговые сообщения (информация о новых функциях, акциях, специальных предложениях) только при наличии явного согласия пользователя, полученного отдельно от согласия на обработку персональных данных.

• Согласие на маркетинг не является обязательным для использования Сервиса. Отказ от маркетинговых рассылок не ограничивает доступ к функциям 12 Colors.
• Вы можете в любой момент отозвать согласие на маркетинговые коммуникации через настройки аккаунта или по ссылке отписки в письме.
• Транзакционные сообщения (подтверждение оплаты, статус анализа, уведомления о безопасности) отправляются независимо от согласия на маркетинг, поскольку необходимы для исполнения договора.

В настоящее время маркетинговые рассылки не ведутся. При запуске рассылок мы запросим отдельное согласие через интерфейс Сервиса.

8. Права пользователя

В соответствии со ст. 14, 21 Федерального закона № 152-ФЗ вы имеете право:

• Получить информацию об обрабатываемых персональных данных, целях, правовых основаниях, сроках хранения и источниках их получения
• Потребовать уточнения или исправления неточных данных
• Потребовать удаления персональных данных (см. Удаление данных) — Оператор обязан исполнить запрос в течение 30 дней
• Потребовать ограничения обработки (ст. 21 152-ФЗ): если вы оспариваете точность данных или правомерность обработки, вы вправе потребовать приостановить обработку до урегулирования вопроса
• Отозвать согласие на обработку персональных данных в любое время — отзыв не влияет на законность обработки, осуществлённой до отзыва
• Получить данные в переносимом формате — по запросу мы предоставим выгрузку ваших данных (имя, email, история анализов) в машиночитаемом формате
• Обратиться с жалобой в Роскомнадзор (rkn.gov.ru), если считаете, что ваши права нарушены

Для реализации любого из перечисленных прав обратитесь на support@12colors.ru. Запрос об ознакомлении с обрабатываемыми данными рассматривается в течение 10 рабочих дней (ст. 20 Федерального закона № 152-ФЗ). Требование об уточнении, блокировании или удалении данных — в течение 30 дней (ст. 21 Федерального закона № 152-ФЗ).

Отзыв согласия на обработку персональных данных: вы можете отозвать согласие в любой момент одним из способов:

• Удалить аккаунт через страницу удаления данных — это автоматически отзывает все согласия и инициирует удаление ваших персональных данных.
• Направить письменный запрос на support@12colors.ru с темой «Отзыв согласия на обработку ПД».

Отзыв согласия не влияет на законность обработки, осуществлённой до его отзыва. После отзыва мы прекратим обработку ваших данных, за исключением случаев, когда обработка необходима для исполнения требований законодательства (например, хранение платёжных записей в соответствии с 402-ФЗ).

9. Защита данных

• Шифрование данных при передаче (HTTPS / TLS)
• Фотографии хранятся с UUID-именами (без привязки к имени пользователя)
• Авторизация только через OAuth (без паролей)
• Регулярное резервное копирование базы данных
• Ограничение доступа к персональным данным

10. Автоматизированная обработка и профилирование

Анализ цветотипа выполняется автоматически с использованием искусственного интеллекта без участия человека. Результат (определённый цветотип, палитра, рекомендации) формируется алгоритмически на основе загруженной фотографии.

Результаты носят рекомендательный характер и не влекут юридических последствий для пользователя. Вы вправе не согласиться с результатом и запросить его удаление через страницу удаления данных.

11. Фотография и специальные категории данных

Фотография лица используется исключительно для определения цветотипа (анализ цветовых характеристик: подтон кожи, цвет глаз, цвет волос) и не применяется для биометрической идентификации личности. Фотография не сопоставляется с базами данных лиц. На серверах Оператора фотография не хранится после завершения анализа. Сведения о сроке хранения у обработчика OpenAI приведены в разделе 6.

Правовым основанием обработки фотографии лица является согласие пользователя, полученное при регистрации в Сервисе (ст. 6 ч. 1 п. 1 и ст. 9 152-ФЗ) — пользователь принимает отдельный документ «Согласие на обработку персональных данных», в котором явно указаны состав обрабатываемых данных и цели обработки, включая анализ цветотипа и формирование рекомендаций по стилю. Это согласие действует на весь срок использования Сервиса; повторное согласие при каждой загрузке фотографии не требуется.

Согласие на трансграничную передачу фотографии в OpenAI (США) является самостоятельным и запрашивается однократно через отдельный экран непосредственно перед первым анализом (см. раздел 6). Оба согласия — на обработку и на трансграничную передачу — фиксируются раздельно в журнале согласий.

Согласно разъяснениям Роскомнадзора (письмо от 09.03.2022 № 9267-12/78), фотографии, не используемые для автоматической идентификации личности, не относятся к биометрическим персональным данным по смыслу ст. 11 152-ФЗ. Анализ цветотипа не является биометрической идентификацией. Фотография обрабатывается как обычные персональные данные на основании согласия пользователя (ст. 6 ч. 1 п. 1 и ст. 9 152-ФЗ).

12. Данные обращений в службу поддержки

При обращении в службу поддержки мы обрабатываем: email аккаунта, через который подано обращение, а также содержание обращения и переписки. Данные используются исключительно для рассмотрения обращения и не передаются третьим лицам.

Сроки хранения:

• Закрытые и решённые обращения удаляются автоматически через 30 дней после закрытия.
• Обращения без ответа (статус «Открыто» или «В работе» без активности) — через 90 дней.

Для досрочного удаления данных обратитесь на support@12colors.ru.

13. Регистрация оператора персональных данных

Оператор зарегистрирован в реестре операторов персональных данных Роскомнадзора в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ. Реестр операторов доступен на pd.rkn.gov.ru.

Трансграничная передача персональных данных в OpenAI (США) осуществляется на основании уведомления, зарегистрированного в информационной системе Роскомнадзора, и явного согласия пользователя (ст. 12 ч. 4 Федерального закона № 152-ФЗ).

• Уведомление о трансграничной передаче:№ 100303012, зарегистрировано 01.06.2026.

14. Инциденты безопасности

В случае обнаружения утечки или иного инцидента, затрагивающего персональные данные пользователей, Оператор в соответствии с Федеральным законом № 420-ФЗ от 30.11.2024 и частью 3.1 статьи 21 Федерального закона № 152-ФЗ обязан:

• В течение 24 часов с момента обнаружения инцидента — направить первичное уведомление в Роскомнадзор через портал pd.rkn.gov.ru, содержащее сведения о факте инцидента, предполагаемом масштабе и принятых мерах.
• В течение 72 часов — направить итоговый отчёт в Роскомнадзор с описанием причин, масштаба, перечня затронутых категорий данных и принятых мер по устранению последствий.
• Уведомить пострадавших пользователей по адресу электронной почты, связанному с их аккаунтом, — в срок не позднее 72 часов с момента установления факта инцидента.

По вопросам безопасности и для сообщения об уязвимостях обращайтесь на support@12colors.ru.

15. Изменения в настоящей Политике

Оператор вправе вносить изменения в настоящую Политику. Актуальная версия с датой и номером редакции всегда доступна на данной странице.

Технические и редакционные изменения (уточнение формулировок, исправление ссылок, добавление разъяснений), не затрагивающие состав обрабатываемых данных или цели обработки, вступают в силу с момента публикации. Продолжение использования Сервиса означает принятие таких изменений.

Существенные изменения — затрагивающие перечень обрабатываемых персональных данных или цели их обработки — не вступают в силу автоматически. Такие изменения потребуют нового явного согласия пользователя (ст. 9 Федерального закона № 152-ФЗ). Вы будете уведомлены по адресу электронной почты аккаунта заблаговременно и сможете дать или отказать в новом согласии. До получения согласия обработка данных на новых условиях не производится.

Если вы не согласны с изменениями — вы вправе отозвать согласие и удалить аккаунт через страницу удаления данных.

16. Контакты оператора

Индивидуальный предприниматель Жильцов Денис Сергеевич
ИНН: 774361887670
ОГРНИП: 326774600375440
Адрес: 125008, Россия, г. Москва, проезд Черепановых, д. 32, кв. 38
Email: support@12colors.ru

17. История изменений