152-ФЗ · GDPR Art. 13/14 Редакция от 1 июня 2025 г.

Политика конфиденциальности

Настоящая Политика описывает, как CuatroTaro / CuatroRunes обрабатывает персональные данные в соответствии с Федеральным законом РФ № 152-ФЗ «О персональных данных» и Регламентом (ЕС) 2016/679 (GDPR).

1. Оператор персональных данных

Оператором является CuatroTaro / CuatroRunes. Контакт по вопросам персональных данных: privacy@cuatrotaro.com.

По GDPR Мы являемся контролёром данных (data controller) для пользователей из ЕЭЗ. DPO не назначается: обработка не относится к обязательным категориям ст. 37 GDPR.

2. Данные, которые мы собираем

Категория	Данные	Основание
Идентификатор	Telegram ID (числовой)	Автоматически при старте бота
Имя	first_name из профиля Telegram	Автоматически
Язык	language_code (ru / en)	Автоматически; меняется через /language
История раскладов	Карты, позиции, текст интерпретации	По запросу пользователя
Натальные данные	Дата, время и место рождения	Только при явном вводе (Premium)
Платёжные данные	Email, ID транзакции	При оформлении подписки
Технические логи	IP-адрес, User-Agent	Безопасность и антифрод

Мы не собираем номера платёжных карт, паспортные данные, геолокацию в реальном времени или биометрию.

3. Правовые основания обработки (GDPR Art. 6)

Цель	Основание
Подписка, персонализация, история	Ст. 6(1)(b) — исполнение договора
Натальные данные	Ст. 6(1)(a) — явное согласие при вводе
Платежи, налоговые обязательства	Ст. 6(1)(c) — правовое обязательство
Безопасность, антифрод	Ст. 6(1)(f) — законный интерес
Анонимная аналитика улучшений	Ст. 6(1)(f) — законный интерес (без реидентификации)

Для пользователей РФ: обработка — на основании ст. 6 152-ФЗ (согласие через акцепт оферты и исполнение договора).

4. Цели обработки

Предоставление персонализированных раскладов в рамках тарифа.
Астрологические расчёты (Swiss Ephemeris) при наличии натальных данных.
Управление подпиской: лимиты, история платежей, возвраты.
Безопасность: защита от спама, rate limiting.
Улучшение сервиса на основе агрегированных анонимных метрик.

Мы не используем данные для рекламного таргетинга и не продаём их третьим лицам.

5. Сроки хранения

Данные	Срок	Основание
Профиль, история раскладов	До удаления через `/forget_me`	Договор
Натальные данные	До удаления; хранятся зашифровано	Согласие (отзывается через /forget_me)
Платёжные записи	5 лет с даты транзакции	Налоговые обязательства РФ и ЕС
Технические логи	90 дней, затем автоудаление	Безопасность

6. Третьи лица

Получатель	Страна	Передаваемые данные	Цель
Telegram Messenger Inc.	ОАЭ / США	Telegram ID, сообщения API	Доставка ответов
Anthropic PBC	США	Текст запроса (без ID и имени)	ИИ-интерпретация
ЮKassa (YooMoney)	РФ	Email, сумма, ID заказа	Платежи (РФ)
CryptoBot	Гибралтар	ID транзакции, сумма	Крипто-платежи
Sentry	США	Технические ошибки (без персональных данных)	Мониторинг

Мы не продаём персональные данные рекламным сетям или брокерам данных.

7. Трансграничная передача данных

Anthropic PBC и Sentry расположены в США. Передача осуществляется на основании Стандартных договорных положений (SCC) согласно Решению Европейской комиссии (EU) 2021/914 от 04.06.2021. Копии SCC доступны по запросу на privacy@cuatrotaro.com (GDPR Art. 49).

В соответствии с ч. 5 ст. 18 152-ФЗ персональные данные граждан РФ первично записываются на серверах, соответствующих требованиям законодательства РФ.

8. Безопасность

AES-256 шифрование натальных данных at-rest.
TLS 1.3 для всех соединений.
Доступ к БД — только через VPN, только авторизованные сервисы.
Платёжные данные обрабатываются провайдером на PCI DSS инфраструктуре — не касаются наших серверов.

При утечке данных, затрагивающей пользователей ЕЭЗ, Мы уведомим надзорный орган в течение 72 часов (GDPR Art. 33) и пострадавших пользователей без неоправданной задержки (Art. 34).

9. Права субъекта данных

Доступ (Art. 15 / ст. 14 152-ФЗ): запрос данных — ответ в течение 30 дней.
Исправление (Art. 16): имя/язык — через Telegram; натальные данные — по запросу.
Удаление (Art. 17 / ст. 21 152-ФЗ): /forget_me в боте — полное удаление за 24 ч.
Ограничение (Art. 18): письменный запрос на privacy@cuatrotaro.com.
Переносимость (Art. 20): выгрузка в JSON по запросу за 30 дней.
Возражение (Art. 21): право возразить против обработки на основании законного интереса; Мы обязаны прекратить, если не докажем принудительных оснований.

10. Автоматизированное принятие решений (GDPR Art. 22)

ИИ-интерпретации не являются автоматизированными решениями по ст. 22 GDPR: они не влекут юридических последствий, не затрагивают кредитный рейтинг или страховую оценку. Пользователь явно инициирует каждый запрос и самостоятельно решает, как к нему относиться. Профилирование для рекламных целей отсутствует.

11. Cookies

Используются только технически необходимые cookies: session (HttpOnly, Secure, SameSite=Strict), locale (365 дней), csrf_token (сессионный). Рекламные и аналитические cookies отсутствуют. Аналитика — Plausible Analytics (без cookies, GDPR-нативная). Эти cookies не требуют отдельного согласия (Директива 2002/58/EC, ст. 5(3)).

12. Несовершеннолетние

Сервис предназначен для лиц от 16 лет (ст. 8 GDPR; в ряде стран ЕС — от 13 лет с согласия родителей). Для РФ — от 14 лет при согласии законного представителя. При обнаружении аккаунта несовершеннолетнего без согласия — блокировка и удаление данных.

13. Контакты и подача жалоб

Email: privacy@cuatrotaro.com — ответ в течение 30 дней.

Надзорные органы

Россия — Роскомнадзор: rkn.gov.ru
ЕС (все органы): edpb.europa.eu
Германия — BfDI: bfdi.bund.de
Франция — CNIL: cnil.fr

152-FZ · GDPR Art. 13/14 Effective 1 June 2025

Privacy Policy

This Privacy Policy describes how CuatroTaro / CuatroRunes ("Service", "We") collects, uses and protects personal data under Russian Federal Law No. 152-FZ and EU Regulation 2016/679 (GDPR).

1. Data Controller

The data controller is CuatroTaro / CuatroRunes. Privacy contact: privacy@cuatrotaro.com.

Under GDPR We act as data controller for EEA users. No DPO is appointed as processing does not fall under the mandatory categories of Art. 37 GDPR.

2. Data We Collect

Category	Data	Source
Identifier	Telegram ID (numeric)	Auto on bot start
Name	first_name from Telegram	Auto; editable in Telegram
Language	language_code (ru / en)	Auto; changeable via /language
Reading history	Cards, positions, interpretation text	On user request
Natal data	Date, time and place of birth	Explicit input only (Premium)
Payment data	Email, transaction ID	On subscription purchase
Technical logs	IP address, User-Agent	Security & anti-fraud

We do not collect payment card numbers, passport data, real-time geolocation or biometrics.

3. Legal Bases for Processing (GDPR Art. 6)

Purpose	Legal basis
Subscription, personalisation, reading history	Art. 6(1)(b) — contract performance
Natal data	Art. 6(1)(a) — explicit consent at input
Payment processing, tax obligations	Art. 6(1)(c) — legal obligation
Security, anti-fraud	Art. 6(1)(f) — legitimate interests
Anonymised improvement analytics	Art. 6(1)(f) — legitimate interests (no re-identification)

4. Purposes of Processing

Delivering personalised readings within the chosen subscription tier.
Astrological calculations (Swiss Ephemeris) when natal data is provided.
Subscription management: tier limits, payment history, refunds.
Security: spam protection, rate limiting.
Service improvement based on aggregated anonymised metrics.

We do not use data for advertising targeting and do not sell it to third parties.

5. Retention Periods

Data	Retention	Basis
Profile, reading history	Until deletion via `/forget_me`	Contract
Natal data	Until deletion; stored encrypted	Consent (withdrawn via /forget_me)
Payment records	5 years from transaction date	Tax obligations (RU & EU)
Technical logs	90 days, then auto-deleted	Security

6. Third-Party Transfers

Recipient	Country	Data	Purpose
Telegram Messenger Inc.	UAE / USA	Telegram ID, API messages	Bot delivery
Anthropic PBC	USA	Query text (no ID or name)	AI interpretation
YooKassa (YooMoney)	Russia	Email, amount, order ID	Card payments (RU)
CryptoBot	Gibraltar	Transaction ID, amount	Crypto payments
Sentry	USA	Technical errors (no personal data)	Error monitoring

We do not sell personal data to advertising networks or data brokers.

7. International Data Transfers

Anthropic PBC and Sentry are located in the USA. Transfers are governed by Standard Contractual Clauses (SCC) under European Commission Implementing Decision (EU) 2021/914 of 4 June 2021. Copies available on request at privacy@cuatrotaro.com (GDPR Art. 49).

8. Security

AES-256 encryption of natal data at rest.
TLS 1.3 for all connections.
Database access only through VPN, only authorised services.
Payment data processed by the provider on PCI DSS infrastructure — never touches our servers.

In the event of a data breach affecting EEA users, We will notify the supervisory authority within 72 hours (GDPR Art. 33) and affected users without undue delay where there is high risk (Art. 34).

9. Your Rights (GDPR Chapter III)

Access (Art. 15): request your data — response within 30 days.
Rectification (Art. 16): name/language via Telegram; natal data on request.
Erasure (Art. 17): /forget_me command — full deletion within 24 h.
Restriction (Art. 18): written request to privacy@cuatrotaro.com.
Portability (Art. 20): JSON export within 30 days on request.
Object (Art. 21): right to object to processing based on legitimate interests; We must cease unless compelling grounds are demonstrated.

Contact: privacy@cuatrotaro.com

10. Automated Decision-Making (GDPR Art. 22)

AI interpretations do not constitute automated decisions under Art. 22 GDPR: they produce no legal effects, do not affect credit ratings or insurance assessments, and each request is explicitly initiated by the user. No advertising profiling is carried out.

11. Cookies

Only strictly necessary cookies: session (HttpOnly, Secure, SameSite=Strict), locale (365 days), csrf_token (session). No advertising or analytics cookies. Analytics via Plausible Analytics — cookieless, GDPR-native. These cookies do not require separate consent (ePrivacy Directive 2002/58/EC Art. 5(3)).

12. Minors

The Service is intended for users aged 16+ (GDPR Art. 8; some EU states allow 13 with parental consent). Underage accounts discovered without appropriate consent will be blocked and their data deleted.

13. Contact & Complaints

Email: privacy@cuatrotaro.com — response within 30 days.

Supervisory authorities

Russia — Roskomnadzor: rkn.gov.ru
EU (all national authorities): edpb.europa.eu
Germany — BfDI: bfdi.bund.de
France — CNIL: cnil.fr
Ireland — DPC: dataprotection.ie

Changes to this Policy take effect upon publication. Revision date is shown in the header.