Политика конфиденциальности
Настоящая Политика описывает, как CuatroTaro / CuatroRunes («Сервис», «Мы») собирает, использует и защищает персональные данные согласно Федеральному закону № 152-ФЗ и Регламенту ЕС 2016/679 (GDPR).
1. Оператор данных
Оператором персональных данных является CuatroTaro / CuatroRunes. По вопросам защиты данных: privacy@cuatrotarot.org.
По GDPR мы являемся оператором данных для пользователей из ЕЭЗ. Назначение DPO не требуется: обработка не подпадает под обязательные категории ст. 37 GDPR.
2. Данные, которые мы собираем
| Категория | Данные | Источник |
|---|---|---|
| Идентификатор | Telegram ID (числовой) | Автоматически при старте бота |
| Имя | first_name из профиля Telegram | Автоматически |
| Язык | language_code (ru / en) | Автоматически; изменяется через /language |
| История раскладов | Карты, позиции, текст интерпретации | По запросу пользователя |
| Натальные данные | Дата, время, место рождения | Только при явном вводе (Premium) |
| Платёжные данные | Email, ID транзакции | При оформлении подписки |
| Аккаунт TikTok | open_id, union_id, display name, avatar URL | Через TikTok OAuth — при добровольном подключении аккаунта |
| Токены TikTok | Токен доступа, токен обновления | Через TikTok OAuth — для выполнения публикаций по запросу пользователя |
| Технические логи | IP-адрес, User-Agent | Безопасность и антифрод |
Мы не собираем номера платёжных карт, паспортные данные, геолокацию в реальном времени или биометрические данные.
3. Правовые основания (GDPR ст. 6)
| Цель | Правовое основание |
|---|---|
| Подписка, персонализация, история | Ст. 6(1)(b) — исполнение договора |
| Натальные данные | Ст. 6(1)(a) — явное согласие в момент ввода |
| Аутентификация TikTok и публикация контента по запросу | Ст. 6(1)(b) — исполнение договора; Ст. 6(1)(a) — согласие через OAuth-экран TikTok |
| Платежи, налоговые обязательства | Ст. 6(1)(c) — юридическое обязательство |
| Безопасность, антифрод | Ст. 6(1)(f) — законный интерес |
| Анонимная аналитика | Ст. 6(1)(f) — законный интерес (без повторной идентификации) |
4. Цели обработки
- ·Предоставление персонализированных раскладов в рамках тарифа.
- ·Астрологические расчёты (Swiss Ephemeris) при наличии натальных данных.
- ·Управление подпиской: лимиты, история платежей, возвраты.
- ·Аутентификация через TikTok и выполнение публикаций / загрузок черновиков по явному запросу пользователя.
- ·Безопасность: защита от спама, ограничение запросов.
- ·Улучшение сервиса на основе агрегированных анонимных метрик.
5. Данные сторонних платформ (TikTok)
Сервис предлагает необязательную интеграцию с TikTok. Подключение аккаунта TikTok возможно только через официальный OAuth-экран TikTok и требует явного действия пользователя.
Получаемые данные
При подключении аккаунта TikTok мы получаем через TikTok API следующие данные в пределах запрошенных разрешений:
- ·Идентификаторы: open_id и union_id — уникальные идентификаторы вашего TikTok-аккаунта в рамках нашего приложения.
- ·Публичный профиль: display name (отображаемое имя), avatar URL — в рамках разрешения user.info.basic.
- ·Токены: access token и refresh token — для выполнения публикаций и загрузок черновиков по вашему запросу в рамках разрешений video.publish и video.upload.
Правовые основания
- ·GDPR ст. 6(1)(b) — исполнение договора: аутентификация и выполнение запрошенных пользователем действий (публикация, загрузка черновика).
- ·GDPR ст. 6(1)(a) — согласие: предоставляется пользователем при подключении аккаунта через OAuth-экран TikTok.
Цели и ограничения использования
- ·Данные TikTok используются исключительно для аутентификации и публикации / загрузки контента по явному запросу пользователя.
- ·Контент публикуется или загружается как черновик ТОЛЬКО по явному действию пользователя — никогда автоматически.
- ·Данные TikTok не продаются, не передаются третьим лицам, не используются для рекламы или профилирования.
Сроки хранения
Данные профиля TikTok и токены хранятся только пока интеграция активна. После отключения интеграции или по запросу пользователя данные удаляются в течение 30 дней.
Отзыв доступа
Вы можете отключить интеграцию в любой момент двумя способами:
- ·В TikTok: Профиль → Настройки → Безопасность → Приложения и разрешения → удалить CuatroTaro.
- ·По email: privacy@cuatrotarot.org — мы удалим данные в течение 30 дней.
6. Сроки хранения
| Данные | Срок | Основание |
|---|---|---|
| Профиль, история раскладов | До удаления через /forget_me | Договор |
| Натальные данные | До удаления; хранятся в зашифрованном виде | Согласие (отзывается через /forget_me) |
| Данные профиля TikTok и токены | Пока интеграция активна; удаляются в течение 30 дней после отключения или по запросу | Договор / Согласие |
| Платёжные записи | 5 лет с даты транзакции | Налоговые обязательства |
| Технические логи | 90 дней, затем автоудаление | Безопасность |
7. Безопасность
- ·Шифрование натальных данных AES-256 в состоянии покоя.
- ·TLS 1.3 для всех подключений.
- ·Доступ к базе данных только через VPN, только авторизованным сервисам.
- ·Платёжные данные обрабатываются провайдерами на инфраструктуре PCI DSS — на наши серверы не поступают.
8. Ваши права
- ·Доступ (ст. 15): Запросить данные — ответ в течение 30 дней.
- ·Исправление (ст. 16): Имя/язык — через Telegram; натальные данные — по запросу.
- ·Удаление (ст. 17): /forget_me в боте — полное удаление в течение 24 часов.
- ·Переносимость (ст. 20): Экспорт в JSON по запросу в течение 30 дней.
- ·Возражение (ст. 21): Право возражать против обработки на основе законного интереса.
10. Контакты и жалобы
Email: privacy@cuatrotarot.org — ответ в течение 30 дней.
Надзорные органы:
- ·Россия — Роскомнадзор: rkn.gov.ru
- ·ЕС — члены EDPB: edpb.europa.eu