Политика конфиденциальности — SBM Laser Help
1. О данной политике
Эта Политика конфиденциальности описывает, как S&A Servicos Digitais e Consultoria LTDA («мы», «нас», «наш») собирает, использует, передаёт и защищает персональные данные при использовании вами мобильного приложения SBM Laser Help, Telegram-бота SBM Laser Help и связанного портала подписки на https://sbmlaser.com/subscribe/ (совместно — «Сервис»).
Эта политика относится исключительно к Сервису. Для общего просмотра публичного сайта sbmlaser.com (главная, блог, страницы продуктов) продолжает действовать наша общая Политика конфиденциальности на https://sbmlaser.com/privacy-policy/.
В случае противоречия в отношении Сервиса применяется данная политика.
2. Кто является контролёром данных
Контролёр данных, ответственный за обработку персональных данных в Сервисе:
- Юридическое лицо: S&A Servicos Digitais e Consultoria LTDA
- CNPJ: 52.430.234/0001-72
- Юридический адрес: Rua Heloisa Rojo Machado, 111, Apt 2102, Morro das Pedras, Florianópolis – SC, CEP 88066-066, Brazil
- Контакт по вопросам конфиденциальности: [email protected]
В соответствии с Lei Geral de Proteção de Dados (LGPD) Бразилии, наш Encarregado pelo Tratamento de Dados Pessoais (ответственный за обработку данных) доступен по тому же адресу электронной почты.
3. Какие персональные данные мы собираем
3.1 Информация, которую вы предоставляете
- Идентификатор Telegram (числовой user ID и, при наличии, публичный username) — необходим для входа в систему и привязки подписки между приложением и ботом
- Адрес электронной почты — опционально, для восстановления доступа и транзакционных уведомлений
- Тариф подписки и статус — назначается автоматически на основании активного платежа
3.2 Информация, собираемая автоматически
- IP-адрес — записывается нашим бэкендом для безопасности, защиты от злоупотреблений, ограничения частоты запросов и приблизительной геолокации (на уровне страны, для целей налогообложения через Paddle)
- Язык устройства — для отображения приложения и бота на предпочитаемом языке
- Версия приложения, версия ОС, модель устройства (только мобильное приложение) — для совместимости и поддержки
- События использования — какие функции вы используете и когда, в агрегированной форме, для улучшения продукта
3.3 Контент, который вы отправляете
- Запросы по параметрам резки — текст на естественном языке с описанием того, что вы ищете
- Описания дефектов — текст с описанием наблюдаемых дефектов резки
- Фотографии дефектов — изображения образцов резки, загружаемые для AI-диагностики
Этот контент передаётся нашему AI-субпроцессору (Anthropic) для обработки. См. раздел 5.
3.4 Платёжная информация
Мы не собираем, не видим и не храним данные банковских карт, номера счетов или какие-либо банковские реквизиты. Все платежи обрабатываются Paddle.com Inc. («Paddle»), нашим Merchant of Record. Paddle обрабатывает платёжные отношения в соответствии со своей собственной Политикой конфиденциальности: https://www.paddle.com/legal/privacy.
От Paddle мы получаем только:
— Статус и тариф подписки
— Email для выставления счёта (для отправки уведомлений о сервисе)
— Страну и валюту биллинга (для соблюдения налогового законодательства)
— Анонимизированный идентификатор транзакции
Мы не получаем номер вашей карты, CVC, срок действия или банковские реквизиты.
4. Как мы используем персональные данные
Мы обрабатываем персональные данные для следующих целей и на следующих правовых основаниях:
| Цель | Правовое основание (GDPR) | Правовое основание (LGPD) |
|---|---|---|
| Предоставление Сервиса по подписке (вход, доступ к премиум-функциям) | Исполнение договора — ст. 6(1)(b) | Execução de contrato — Art. 7, V |
| Обработка AI-запросов (поиск параметров, диагностика дефектов) | Исполнение договора + ваше явное согласие в момент использования | Execução de contrato + consentimento — Art. 7, I |
| Биллинг, приём платежей и управление подпиской | Исполнение договора (через Paddle) | Execução de contrato |
| Предотвращение мошенничества, злоупотреблений, ограничение частоты запросов | Законный интерес — ст. 6(1)(f) | Legítimo interesse — Art. 7, IX |
| Ответы на запросы поддержки | Законный интерес | Legítimo interesse |
| Отправка транзакционных писем (квитанции, уведомления об истечении) | Исполнение договора | Execução de contrato |
| Соблюдение налоговых, бухгалтерских и иных юридических обязательств | Юридическая обязанность — ст. 6(1)(c) | Cumprimento de obrigação legal — Art. 7, II |
| Улучшение и развитие новых функций (в агрегированной, анонимизированной форме) | Законный интерес | Legítimo interesse |
Мы не используем ваши персональные данные для прямого маркетинга без вашего отдельного, добровольно данного согласия.
5. Субпроцессоры и третьи стороны
Для работы Сервиса мы передаём строго необходимые персональные данные следующим субпроцессорам:
5.1 Paddle.com Inc. — обработка платежей (Merchant of Record)
- Передаваемые данные: платёжная информация, биллинговый адрес, страна, история транзакций, переписка для квитанций
- Локация: Великобритания, Европейский союз, США
- Назначение: Paddle действует как юридический продавец подписки. Принимает платежи, рассчитывает и перечисляет налоги (НДС, sales tax, ICMS, ISS, PIS/COFINS по применимости), предотвращает платёжное мошенничество, выставляет квитанции
- Политика конфиденциальности: https://www.paddle.com/legal/privacy
5.2 Anthropic, PBC — AI-обработка (Claude API и Claude Vision)
- Передаваемые данные: текст ваших AI-запросов, описания дефектов, изображения, загружаемые для диагностики
- Локация: США
- Назначение: интерпретация запросов на естественном языке, поиск по базе знаний параметров, анализ фотографий дефектов с использованием языковых и vision-моделей Claude
- Хранение: по нашему соглашению с Anthropic, ваши данные не используются для обучения моделей. Anthropic хранит API-данные до 30 дней для проверки на безопасность, после чего они удаляются.
- Политика конфиденциальности: https://www.anthropic.com/privacy
5.3 Cloudflare, Inc. — CDN, безопасность, edge-сеть
- Передаваемые данные: IP-адрес, метаданные запросов, телеметрия безопасности
- Локация: глобальная edge-сеть, включая США и ЕС
- Назначение: доставка контента, терминирование SSL/TLS, защита от DDoS, защита от ботов, web application firewall
- Политика конфиденциальности: https://www.cloudflare.com/privacypolicy/
5.4 IONOS Cloud GmbH — хостинг серверов
- Передаваемые данные: все данные бэкенда хранятся на инфраструктуре IONOS (зашифрованы в покое и при передаче)
- Локация: Германия
- Назначение: размещение наших серверов приложения, базы данных PostgreSQL, AI-кэша
- Политика конфиденциальности: https://www.ionos.com/terms-gtc/privacy-policy
5.5 Telegram Messenger LLP — доставка сообщений бота
- Передаваемые данные: при использовании нашего Telegram-бота ваши сообщения, вложения и метаданные проходят через инфраструктуру Telegram
- Локация: глобальная
- Назначение: доставка сообщений бота и приём вашего ввода
- Политика конфиденциальности: https://telegram.org/privacy
5.6 Иные получатели
Мы также можем передавать персональные данные:
— Профессиональным консультантам (юристам, бухгалтерам, аудиторам) на условиях конфиденциальности
— Государственным органам — при законном требовании (судебное решение, регуляторный запрос)
— Правопреемнику — в случае слияния, поглощения или продажи активов с эквивалентной защитой
Мы не продаём персональные данные третьим лицам. Мы не передаём персональные данные для cross-context behavioral advertising.
6. Международная передача персональных данных
Некоторые субпроцессоры расположены за пределами Бразилии и Европейской экономической зоны (ЕЭЗ):
- США — Anthropic, Paddle (часть операций), Cloudflare
- Германия — IONOS
- Глобально — edge-сеть Cloudflare, Telegram
Для передачи из ЕЭЗ, Великобритании или Швейцарии мы полагаемся на стандартные договорные положения (SCCs) в соответствии со ст. 46(2)(c) GDPR, дополненные дополнительными гарантиями там, где это требуется (шифрование, контроль доступа, договорные ограничения на доступ государственных органов).
Для передачи из Бразилии мы полагаемся на правовые основания ст. 33 LGPD, включая:
— Конкретное согласие в момент использования AI-функций
— Договорные гарантии, эквивалентные бразильским стандартам
— Необходимость для исполнения договора с вами
Вы можете запросить копию соответствующего механизма передачи, написав на [email protected].
7. Хранение данных
Мы храним персональные данные только в течение времени, необходимого для целей, указанных в разделе 4:
| Тип данных | Период хранения |
|---|---|
| Telegram ID и запись о подписке | На время активности аккаунта + 30 дней после отмены или последнего входа |
| Email-адрес (если предоставлен) | На время активности аккаунта + 30 дней |
| Текст AI-запросов (в кэше нашего бэкенда) | До 30 дней |
| Фотографии дефектов (в кэше нашего бэкенда) | До 30 дней |
| Логи безопасности бэкенда (IP, метаданные запросов) | 30-90 дней |
| Переписка поддержки | До 24 месяцев |
| Платёжные и налоговые записи (хранятся у Paddle) | 7 лет (по применимому бразильскому и европейскому налоговому законодательству) |
После этих периодов данные удаляются или необратимо анонимизируются.
8. Безопасность
Мы защищаем персональные данные техническими и организационными мерами:
- Шифрование TLS 1.2+ при передаче (HTTPS на всех endpoint’ах)
- Шифрование в покое на хостинговой инфраструктуре (IONOS)
- Контроль доступа — только авторизованные инженеры могут получить доступ к продакшен-системам по принципу необходимости
- Аудит-логирование доступа к персональным данным
- Регулярные обновления ПО и установка патчей безопасности
- Безопасное управление секретами — учётные данные не встраиваются в исходный код
Несмотря на наши усилия, ни один способ передачи или хранения не является на 100% безопасным. В случае инцидента, затрагивающего ваши персональные данные, мы уведомим компетентные надзорные органы (ANPD в Бразилии, надзорные DPA в ЕЭЗ) в течение 72 часов, если это требуется по закону, и уведомим вас без неоправданной задержки, если инцидент с высокой вероятностью повлечёт высокий риск для ваших прав.
9. Ваши права
9.1 По GDPR (ЕЭЗ, Великобритания, Швейцария)
Вы имеете право:
— Доступ (ст. 15) — получить копию персональных данных, которые мы храним о вас
— Исправление (ст. 16) — исправить неточные или неполные данные
— Удаление / право быть забытым (ст. 17) — запросить удаление ваших данных, с учётом законных исключений
— Ограничение обработки (ст. 18) — ограничить обработку ваших данных на время рассмотрения запроса
— Переносимость данных (ст. 20) — получить ваши данные в структурированном, общеупотребимом, машиночитаемом формате
— Возражение (ст. 21) — возразить против обработки на основании законного интереса
— Отзыв согласия в любое время, без влияния на законность обработки до отзыва
— Не подвергаться решению, основанному исключительно на автоматизированной обработке с существенными правовыми последствиями (ст. 22)
9.2 По LGPD (Бразилия)
В соответствии со ст. 18 LGPD вы имеете право:
— Подтвердить факт обработки данных
— Получить доступ к своим данным
— Исправить неполные, неточные или устаревшие данные
— Анонимизировать, заблокировать или удалить ненужные, избыточные данные или данные, обработанные в нарушение LGPD
— Перенести данные другому поставщику услуг или продуктов
— Удалить персональные данные, обработанные с вашего согласия (с исключениями ст. 16 LGPD)
— Получить информацию о государственных и частных организациях, с которыми мы делимся вашими данными
— Получить информацию о возможности не давать согласие и о последствиях
— Отозвать согласие
9.3 Как реализовать ваши права
Отправьте запрос на [email protected] с темой «Data subject request — [ваше действие]». Включите:
— Telegram username и/или email-адрес, связанный с вашим аккаунтом, чтобы мы могли вас идентифицировать
— Чёткое описание вашего запроса
— Любую подтверждающую информацию (даты, скриншоты), если это уместно
Мы ответим в течение:
— 30 дней (с возможностью продления на 60 дней для сложных запросов) — по GDPR
— 15 дней — по LGPD
Если вы считаете, что мы неправильно обращаемся с вашими данными, вы имеете право подать жалобу:
— ANPD — Autoridade Nacional de Proteção de Dados, Бразилия — https://www.gov.br/anpd/
— Местному надзорному органу — для резидентов ЕЭЗ / Великобритании / Швейцарии
10. Конфиденциальность детей
Сервис предназначен для профессионального использования взрослыми, работающими с промышленным оборудованием для лазерной резки. Мы намеренно не собираем персональные данные у детей младше:
— 16 лет (ЕС/ЕЭЗ, если только страна-член не установила меньший возраст в диапазоне 13-16)
— 13 лет (в других регионах)
Если вы считаете, что ребёнок предоставил нам персональные данные, свяжитесь с [email protected], и мы оперативно их удалим.
11. Автоматизированное принятие решений и AI
Сервис использует AI-модели Anthropic Claude для предоставления:
— AI-поиска параметров (предложения параметров резки на основе запросов на естественном языке)
— AI-диагностики дефектов (анализ фотографий дефектов и предложения причин / способов устранения)
Эти выдачи являются только предложениями, предназначенными в качестве справочной информации. Оператор должен проверять и валидировать каждое предложение перед применением на промышленном оборудовании.
У вас всегда есть право:
— Запросить проверку человеком любого автоматизированного предложения (написав в поддержку [email protected])
— Отклонить предложение и продолжить работу со статическим справочным контентом Сервиса
— Полностью отказаться от AI-функций (написав в поддержку для отключения AI на вашем аккаунте)
Мы не используем автоматизированное принятие решений для биллинга, приостановки аккаунта или любых решений с существенными правовыми или иными значимыми последствиями для вас.
12. Cookies и аналогичные технологии
Мобильное приложение и Telegram-бот не используют cookies. Они используют только локально хранимые токены аутентификации и языковые настройки на вашем устройстве.
Web-портал подписки на https://sbmlaser.com/subscribe/ использует cookies для:
— Управления сессией (строго необходимо)
— Анонимизированной аналитики (с вашего согласия)
— Хранения самой настройки cookie consent
Подробности и опции согласия — в нашей cookie-политике на https://sbmlaser.com/cookies/ (или нажмите «Управление cookies» в footer любой страницы).
13. Изменения в данной политике
Мы можем обновлять эту политику время от времени, чтобы отразить изменения в наших практиках или законодательных требованиях. Существенные изменения будут сообщены:
— Уведомлением в приложении
— По email на адрес вашего аккаунта (если предоставлен)
— Обновлением «Дата вступления в силу» в начале страницы
Несущественные изменения (уточнения, исправления опечаток) вступают в силу с момента публикации. Рекомендуем периодически просматривать эту политику.
14. Контакт
По вопросам конфиденциальности, запросам или жалобам:
- Email: [email protected]
- Почтовый адрес: S&A Servicos Digitais e Consultoria LTDA, Rua Heloisa Rojo Machado, 111, Apt 2102, Morro das Pedras, Florianópolis – SC, CEP 88066-066, Brazil
Для общей поддержки: [email protected].
Для запросов на возврат: [email protected] (см. также нашу Политику возврата).
