Политика обработки персональных данных

Версия 1.0 | Веб-сервис AnalyzAI (analyzai.ru)

Дата вступления в силу: 05 апреля 2026 г.

1. Общие положения

1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей веб-сервиса AnalyzAI (далее — «Сервис»).
2. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), Постановлением Правительства РФ от 01.11.2012 № 1119, Приказом ФСТЭК России от 18.02.2013 № 21 и иными нормативными правовыми актами.
3. Политика является общедоступным документом, определяющим принципы и условия обработки персональных данных Оператором.
4. Актуальная версия Политики размещена по адресу https://analyzai.ru/data-processing-policy.
5. Действие настоящей Политики распространяется на все процессы обработки персональных данных, осуществляемые с использованием средств автоматизации и без таковых.

2. Сведения об Операторе

Оператор	Захаров Антон Юрьевич, физическое лицо
Контактный email	support@analyzai.ru
Адрес сервиса	https://analyzai.ru
Место хранения данных	Yandex Cloud, Российская Федерация

3. Категории субъектов персональных данных

Оператор обрабатывает персональные данные следующих категорий субъектов:

• Пользователи Сервиса — дееспособные физические лица, достигшие 18 лет, зарегистрированные в Сервисе и/или использующие его функциональные возможности.
• Члены семьи Пользователей — лица, данные которых Пользователь загружает через функцию семейных профилей с их согласия.

4. Категории обрабатываемых персональных данных

4.1. Обычные персональные данные

Данные	Обязательность	Источник
Адрес электронной почты (email)	Обязательно	Указывается при регистрации
Хеш пароля (bcrypt)	Обязательно	Создаётся при регистрации
Пол	Опционально	Указывается в профиле
Возраст / дата рождения	Опционально	Указывается в профиле
IP-адрес	Автоматически	Фиксируется при обращении к серверу
User-Agent	Автоматически	Фиксируется при обращении к серверу
Сессионные cookie	Автоматически	Устанавливаются при авторизации
Журнал действий	Автоматически	Фиксируется при работе в Сервисе

4.2. Специальные категории персональных данных (данные о здоровье)

Данные	Источник
Файлы результатов лабораторных анализов (PDF, фотографии)	Загружаются Пользователем
Распознанные показатели (биомаркеры): названия, значения, единицы, референсы	Формируются автоматически (OCR + алгоритмы)
Статусы отклонений показателей	Формируются автоматически
Информационно-справочные отчёты	Формируются автоматически
Текстовые пояснения YandexGPT	Генерируются нейросетью
Данные динамики показателей	Рассчитываются автоматически
Данные семейных профилей (анализы членов семьи)	Загружаются Пользователем

4.3. Что НЕ обрабатывается

• ФИО
• Номер телефона
• Паспортные данные, СНИЛС, ИНН
• Данные банковских карт и платёжных средств
• Биометрические данные
• Данные геолокации
• Данные из социальных сетей

5. Цели обработки персональных данных

1. Регистрация Пользователя, создание учётной записи, аутентификация и авторизация.
2. Предоставление доступа к функциям Личного кабинета.
3. Распознавание загруженных результатов лабораторных анализов (OCR).
4. Формирование информационно-справочных отчётов с сопоставлением показателей и референсных норм (с учётом пола и возраста).
5. Хранение истории анализов, динамики показателей, семейных профилей.
6. Отправка служебных уведомлений (подтверждение регистрации, восстановление пароля, уведомления о готовности отчёта).
7. Обеспечение безопасности Сервиса, предотвращение несанкционированного доступа и злоупотреблений.
8. Обработка обращений Пользователей (техническая поддержка).

6. Правовые основания обработки

Категория данных	Правовое основание	Норма закона
Обычные ПД (email, хеш пароля)	Исполнение договора-оферты (Пользовательского соглашения), стороной которого является субъект	ст. 6, ч. 1, п. 5 152-ФЗ
Профильные данные (пол, возраст)	Согласие субъекта персональных данных	ст. 6, ч. 1, п. 1 152-ФЗ
Данные о здоровье (анализы, биомаркеры, отчёты)	Явное письменное согласие субъекта на обработку специальных категорий ПД	ст. 10, ч. 2, п. 1 152-ФЗ
Технические данные (IP, UA, журнал)	Законный интерес оператора по обеспечению безопасности	ст. 6, ч. 1, п. 7 152-ФЗ
Все категории (по запросу органов)	Исполнение обязанностей, предусмотренных законодательством	ст. 6, ч. 1, п. 2 152-ФЗ

7. Способы обработки персональных данных

Обработка персональных данных осуществляется с использованием средств автоматизации, а именно:

1. Сбор — получение данных при регистрации, заполнении профиля, загрузке файлов, автоматическая фиксация технических данных.
2. Распознавание (OCR) — извлечение текста из загруженных PDF и изображений с использованием Yandex Vision OCR.
3. Алгоритмический анализ — парсинг распознанного текста, извлечение биомаркеров, сопоставление с референсными нормами, формирование структурированных данных.
4. Генерация пояснений — передача распознанных показателей (без привязки к личности) в YandexGPT для формирования текстовых пояснений.
5. Формирование отчёта — генерация HTML-отчёта с таблицей показателей, статусами и пояснениями.
6. Хранение — запись данных в базу PostgreSQL на серверах Yandex Cloud (территория РФ).
7. Использование — предоставление данных Пользователю через Личный кабинет (история, динамика, экспорт).
8. Удаление — безвозвратное удаление данных при удалении аккаунта, отзыве согласия или по истечении сроков хранения.

8. Сроки обработки и хранения

Категория данных	Срок хранения	Условия прекращения обработки
Учётные данные (email, хеш пароля)	Весь срок существования аккаунта	Удаление аккаунта пользователем; отзыв согласия на обработку ПД
Профильные данные (пол, возраст)	Весь срок существования аккаунта	Удаление аккаунта; изменение/удаление данных пользователем
Данные о здоровье (файлы, биомаркеры, отчёты)	Весь срок существования аккаунта	Удаление аккаунта; отзыв согласия на обработку данных о здоровье; удаление конкретного анализа
Технические данные (IP, UA, журнал)	12 месяцев	Автоматическое удаление по истечении срока
Записи о согласиях	3 года после отзыва/удаления	Автоматическое удаление по истечении срока

9. Порядок уничтожения персональных данных

1. При удалении учётной записи Пользователем все персональные данные (включая данные о здоровье) подлежат безвозвратному уничтожению в срок не более 30 (тридцати) календарных дней.
2. При отзыве согласия на обработку данных о здоровье все данные специальной категории (файлы анализов, биомаркеры, отчёты, история, динамика, семейные профили) удаляются в срок не более 30 (тридцати) календарных дней. Учётная запись и обычные ПД сохраняются.
3. Уничтожение осуществляется путём удаления записей из базы данных и связанных файлов из файлового хранилища без возможности восстановления.
4. Факт уничтожения фиксируется в журнале с указанием даты, объёма уничтоженных данных и основания уничтожения.

10. Передача персональных данных третьим лицам и обработка по поручению оператора

ООО «Яндекс.Облако» осуществляет обработку персональных данных Пользователей по поручению Оператора в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ. Условия такой обработки определяются договором на оказание услуг облачной платформы Yandex Cloud, который включает обязательства по обеспечению конфиденциальности и безопасности персональных данных.

Получатель	Передаваемые данные	Цель передачи	Основание
Yandex Vision OCR	Изображения страниц анализов	Оптическое распознавание текста	Поручение оператора ПД (ч. 3 ст. 6 № 152-ФЗ), договор на оказание услуг облачной платформы
YandexGPT	Показатели (без привязки к личности)	Генерация текстовых пояснений	Поручение оператора ПД (ч. 3 ст. 6 № 152-ФЗ), договор на оказание услуг облачной платформы
Yandex Cloud (хостинг)	Все данные Сервиса	Хранение и обработка данных	Поручение оператора ПД (ч. 3 ст. 6 № 152-ФЗ), договор на оказание услуг облачной платформы
Yandex Cloud (SMTP)	Email, содержание уведомлений	Отправка служебных email	Поручение оператора ПД (ч. 3 ст. 6 № 152-ФЗ), договор на оказание услуг облачной платформы

Оператор несёт ответственность перед субъектом персональных данных за действия ООО «Яндекс.Облако» в соответствии с ч. 5 ст. 6 № 152-ФЗ.

По запросу уполномоченных государственных органов данные могут быть предоставлены в порядке, предусмотренном законодательством РФ (ст. 6, ч. 1, п. 2 152-ФЗ).

Трансграничная передача персональных данных не осуществляется. Все сервисы-получатели расположены на территории Российской Федерации.

11. Перечень лиц, имеющих доступ к персональным данным

Доступ к персональным данным пользователей имеет исключительно Оператор — Захаров Антон Юрьевич. Сервис управляется единолично.

Иные физические лица доступа к персональным данным не имеют.

12. Меры безопасности

12.1. Организационные меры

• Определение ответственного за обработку ПД (Оператор является единственным ответственным лицом).
• Разработка и публикация локальных актов по обработке ПД (настоящая Политика, Политика конфиденциальности, формы согласий).
• Ограничение доступа к ПД: единоличный доступ Оператора.
• Регулярная проверка актуальности документов и соответствия процедур требованиям законодательства.
• Журналирование всех действий с ПД (согласия, доступы, удаления).

12.2. Технические меры

• Шифрование всего трафика между пользователем и сервером (HTTPS / TLS).
• Хранение паролей в виде необратимого хеша (bcrypt).
• Защита от CSRF-атак (токены в формах).
• Ограничение частоты запросов (rate limiting) для защиты от подбора паролей и DDoS.
• Аутентификация при доступе к административной панели.
• Резервное копирование базы данных.
• Размещение на защищённой платформе Yandex Cloud с соблюдением стандартов безопасности.
• Использование исключительно сессионных cookie (без аналитических и трекинговых).

13. Права субъекта персональных данных

В соответствии со ст. 14 и 15 152-ФЗ субъект персональных данных имеет право:

1. Получить информацию об обработке своих ПД, включая сведения об Операторе, целях обработки, составе данных, сроках хранения, источниках получения.
2. Потребовать уточнения, блокирования или уничтожения ПД, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3. Отозвать согласие на обработку ПД.
4. Потребовать от Оператора прекращения обработки ПД.
5. Обжаловать действия или бездействие Оператора в Роскомнадзор или в суд.
6. Экспортировать свои данные из Сервиса.
7. Удалить свою учётную запись и все связанные данные.

Для реализации своих прав субъект направляет обращение на адрес support@analyzai.ru. Срок рассмотрения обращения — не более 10 (десяти) рабочих дней.

Последствия отзыва согласия:

• При отзыве согласия на обработку обычных ПД — использование Сервиса становится невозможным, учётная запись подлежит удалению.
• При отзыве согласия на обработку данных о здоровье — все данные специальной категории удаляются, функция загрузки анализов блокируется, учётная запись сохраняется.

14. Порядок реагирования на инциденты

1. В случае обнаружения факта несанкционированного доступа к персональным данным, их утечки, уничтожения или иного неправомерного воздействия (далее — «инцидент»), Оператор обязуется:
   • принять меры к локализации инцидента и минимизации его последствий;
   • уведомить Роскомнадзор в соответствии с установленным порядком;
   • уведомить затронутых субъектов ПД в разумные сроки;
   • провести внутреннее расследование и принять меры к предотвращению повторения инцидента.

15. Ответственный за обработку персональных данных

Ответственным за организацию обработки персональных данных является Оператор — Захаров Антон Юрьевич.

Контактный адрес: support@analyzai.ru

16. Порядок внесения изменений

1. Оператор вправе в одностороннем порядке вносить изменения в настоящую Политику.
2. О существенных изменениях Оператор уведомляет Пользователей не позднее чем за 7 (семь) календарных дней до вступления изменений в силу путём размещения уведомления в Личном кабинете и/или отправки email.
3. Новая редакция Политики вступает в силу с момента её размещения по адресу https://analyzai.ru/data-processing-policy, если иное не указано в новой редакции.
4. Продолжение использования Сервиса после вступления в силу новой редакции означает согласие Пользователя с изменениями.
5. Предыдущие редакции Политики доступны по запросу Пользователя.

17. Заключительные положения

1. Настоящая Политика действует бессрочно до замены новой редакцией.
2. Политика распространяется на все персональные данные, обрабатываемые Оператором в рамках функционирования Сервиса.
3. В случае противоречия между настоящей Политикой и законодательством РФ применяются нормы законодательства.
4. По вопросам, не урегулированным настоящей Политикой, стороны руководствуются законодательством Российской Федерации.

Связанные документы:

• Пользовательское соглашение
• Политика конфиденциальности
• Согласие на обработку персональных данных
• Согласие на обработку данных о состоянии здоровья