Политика конфиденциальности

Последнее обновление: 1 июня 2026

1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, обработки, хранения и защиты персональных данных пользователей SaaS-платформы Tutum Business (tutum.business).

Оператор персональных данных — ИП Чангылов Данияр Сапарбекович, ИНН: 20111199501384, адрес: Кыргызская Республика, г. Бишкек, Первомайский р-н, ул. Орозбекова, дом 2/2, кв. 60 (далее — «Оператор»).

Используя Платформу, вы даете согласие на обработку ваших персональных данных в соответствии с настоящей Политикой.

2. Роли в обработке данных

Платформа имеет двойственную правовую конструкцию:

— В отношении данных аккаунтов бизнес-клиентов (зарегистрированных пользователей Платформы) — данных регистрации, биллинга, действий в админ-панели — Оператор выступает контролером (controller).

— В отношении данных конечных клиентов пользователей (покупателей, которые пишут бизнесу в WhatsApp, Instagram Direct, Telegram, или комментируют посты в Instagram) — Оператор выступает обработчиком (processor) по поручению пользователя Платформы. Контролером таких данных является сам пользователь Платформы (магазин), который подключил соответствующий канал и определяет цели обработки переписки со своими покупателями.

Это разграничение существенно для определения объема прав и обязанностей сторон, а также для требований платформ-партнеров (Meta Platforms).

3. Какие данные мы собираем

Мы собираем следующие категории данных:

Данные пользователя Платформы (бизнес-клиента): имя, фамилия, адрес электронной почты, номер телефона, название и данные компании/магазина, платежная информация.

Данные о взаимодействии с Платформой: журнал действий, настройки аккаунта, загруженные каталоги товаров, история операций в админ-панели.

Технические данные: IP-адрес, тип браузера и устройства, данные файлов cookie, статистика использования сервиса.

Данные конечных клиентов пользователя (покупателей): номера телефонов в формате E.164, имена и идентификаторы профилей в мессенджерах, содержание сообщений и комментариев, медиа-файлы (изображения, аудио, видео), история заказов, цитируемые сообщения (reply), эмодзи-реакции.

Данные, получаемые через интеграции с Meta Platforms (см. раздел 5), — только в тех объемах, которые необходимы для функционирования подключенных каналов.

4. Цели обработки данных

Мы обрабатываем персональные данные для следующих целей:

— предоставление и поддержка сервисов Платформы;

— обеспечение работы AI-ассистентов (обработка каталогов, формирование ответов клиентам, индексация знаний для семантического поиска);

— прием, обработка и доставка сообщений в WhatsApp Business, Instagram Direct, Telegram;

— прием и обработка комментариев под постами Instagram, автоматические публичные ответы и приватные сообщения в Direct в соответствии с правилами автоответов, настроенными пользователем Платформы;

— публикация контента (постов, Stories, Reels) в Instagram-аккаунт пользователя Платформы по его поручению из админ-панели;

— обработка заказов и управление кассовыми операциями;

— улучшение качества сервиса и разработка новых функций (без объединения данных, полученных от Meta, с данными третьих лиц без явного согласия);

— выставление счетов и обработка платежей;

— коммуникация с пользователем Платформы по вопросам сервиса;

— выполнение требований законодательства Кыргызской Республики, а также правил платформ-партнеров (Meta Platform Terms, WhatsApp Business Messaging Policy, WhatsApp Commerce Policy, Instagram Platform Policy).

5. Интеграции с Meta Platforms (WhatsApp Business и Instagram)

Платформа предоставляет интеграции с продуктами Meta Platforms для обеспечения коммерческой переписки бизнеса с его клиентами. Подключение осуществляется самим пользователем Платформы (бизнесом) в рамках стандартных авторизационных процессов Meta и требует наличия у пользователя прав администратора соответствующих бизнес-активов.

5.1. WhatsApp Business Cloud API. Подключение производится через процедуру Embedded Signup от Meta. Запрашиваемые разрешения: whatsapp_business_management, whatsapp_business_messaging, business_management. Получаемые и обрабатываемые данные: номера телефонов конечных клиентов в формате E.164, имена профилей WhatsApp, входящие и исходящие сообщения (текст, изображения, аудио/голосовые, видео, документы, стикеры, реакции, ответы на сообщения), идентификаторы сообщений (wamid), статусы доставки и причины ошибок (для отображения в интерфейсе оператора), идентификаторы WhatsApp Business Account (WABA ID) и номеров (phone_number_id), шаблоны сообщений (templates) и их статусы модерации.

5.2. Instagram (Instagram Login для бизнеса). Подключение производится через Instagram Login (graph.instagram.com), а не через личный аккаунт Facebook. Запрашиваемые разрешения: instagram_business_basic, instagram_business_manage_messages, instagram_business_manage_comments, instagram_business_content_publish. Получаемые и обрабатываемые данные: идентификаторы Instagram-аккаунта бизнеса (IGID), имена пользователей (handles) и публичные метаданные профилей собеседников, содержание сообщений в Instagram Direct и комментариев под постами, медиа-файлы, идентификаторы постов и комментариев, метаданные публикуемых через Платформу постов/Stories/Reels.

5.3. Comments и автоматизация. Если пользователь Платформы создает правила автоответа на комментарии под своими постами, Платформа обрабатывает входящие комментарии, сопоставляет их с заданными правилами (ключевыми словами) и от имени пользователя Платформы публикует ответный комментарий и/или отправляет приватное сообщение автору комментария через Instagram Private Replies API. Содержание автоответов определяется исключительно пользователем Платформы; Оператор не модерирует и не редактирует тексты автоответов и не несет ответственности за их содержание.

5.4. Использование данных Meta. Данные, получаемые от Meta Platforms через указанные API, используются Оператором исключительно для целей, описанных в разделе 4, и в строгом соответствии с Meta Platform Terms и Developer Policies. Оператор не продает данные Meta, не передает их рекламным сетям и брокерам данных, не использует их для построения профилей вне контекста бизнес-аккаунта пользователя Платформы и не объединяет их с данными третьих сторон без явного правового основания.

5.5. Хранение токенов доступа. Токены доступа Meta хранятся в зашифрованном виде на уровне базы данных. После отключения интеграции пользователем или отзыва разрешений со стороны Meta токены аннулируются.

6. Обработка AI-моделями

Для функционирования AI-ассистентов содержание сообщений и иной контекст диалога передается провайдерам больших языковых моделей (LLM), выбранным пользователем Платформы в настройках магазина. Поддерживаемые провайдеры: OpenAI (США), Anthropic (США), Google (Gemini) (США).

Для семантического поиска по каталогу товаров и базе знаний (RAG) тексты товаров, описаний и запросов клиентов передаются провайдеру эмбеддингов: Voyage AI (США). Векторные представления хранятся на наших серверах в PostgreSQL/pgvector.

При использовании голосовых сообщений их аудио-фрагменты могут передаваться поставщикам сервиса распознавания речи (ElevenLabs Scribe и/или иным провайдерам, указанным в настройках Платформы).

Передача данных AI-провайдерам осуществляется по защищенному каналу (TLS) и регулируется соответствующими политиками конфиденциальности и условиями обработки данных этих провайдеров. Оператор выбирает провайдеров, которые в своих соглашениях обязуются не использовать передаваемые данные для обучения собственных моделей по умолчанию (либо такая опция отключена в настройках API).

7. Передача данных третьим лицам и трансграничная передача

Мы не продаем и не передаем ваши персональные данные третьим лицам в маркетинговых целях.

Данные могут передаваться следующим категориям получателей (суб-операторам) исключительно для предоставления сервисов Платформы:

— Meta Platforms, Inc. (США/Ирландия) — для работы WhatsApp Business Cloud API и Instagram Business API;

— Telegram FZ-LLC (ОАЭ) — для работы Telegram Bot API;

— OpenAI (США), Anthropic (США), Google LLC / Google Ireland Ltd (США/ЕС) — провайдеры LLM, по выбору пользователя Платформы;

— Voyage AI (США) — провайдер векторных эмбеддингов;

— ElevenLabs (США) — распознавание речи (если применимо);

— Cloudflare, Inc. (США) — CDN, защита от DDoS, проксирование трафика;

— Хостинг-провайдер, на инфраструктуре которого размещены серверы Платформы (включая базу данных PostgreSQL и Redis);

— Платежные системы и эквайеры — для обработки платежей по подпискам.

Трансграничная передача данных в указанные юрисдикции осуществляется на основании необходимости исполнения договора между Оператором и пользователем Платформы и/или его поручения как контролера данных конечных клиентов. Оператор выбирает суб-операторов, обеспечивающих адекватный уровень защиты данных, и заключает с ними соглашения, содержащие условия конфиденциальности и обработки данных.

Актуальный перечень суб-операторов может обновляться. О существенных изменениях состава суб-операторов Оператор уведомляет пользователей через Платформу или по электронной почте.

8. Хранение и защита данных

Данные хранятся на защищенных серверах с применением следующих мер безопасности:

— шифрование данных при передаче (TLS/SSL);

— шифрование чувствительных данных, включая токены доступа Meta и Telegram, на уровне приложения и базы данных;

— разграничение доступа на уровне приложения и базы данных, изоляция данных арендаторов (multi-tenant) по идентификатору магазина;

— регулярное резервное копирование;

— мониторинг безопасности, ограничение частоты запросов (rate limiting) и журналирование доступа.

Сроки хранения:

— данные аккаунта пользователя Платформы — в течение срока действия аккаунта и 90 (девяноста) дней после его удаления, если иное не предусмотрено законодательством;

— сообщения и комментарии, полученные через интеграции Meta, — в течение срока действия подключения и до момента отключения интеграции либо поступления запроса на удаление;

— токены доступа Meta — до отключения интеграции пользователем или отзыва со стороны Meta, после чего токены аннулируются;

— записи о запросах на удаление данных (data deletion requests) — не менее 90 дней с момента завершения, как того требует Meta для публичной страницы статуса.

9. Удаление данных и обратные вызовы Meta

Оператор реализует механизмы удаления данных, требуемые Meta Platform Terms:

— Обратный вызов отзыва разрешения (Deauthorize Callback): POST https://api.tutum.business/api/v1/webhooks/meta/deauthorize. При получении вызова от Meta о том, что пользователь отозвал разрешения приложения, Оператор немедленно прекращает использование соответствующих токенов и помечает подключение как отозванное.

— Запрос на удаление данных (Data Deletion Request Callback): POST https://api.tutum.business/api/v1/webhooks/meta/data-deletion. По получении подписанного запроса Оператор регистрирует его, удаляет соответствующие данные конечного пользователя из активных хранилищ и возвращает Meta URL страницы статуса удаления вида https://api.tutum.business/api/v1/data-deletion/status/{confirmation_code} с уникальным кодом подтверждения.

Конечный пользователь Meta также может запросить удаление своих данных напрямую через инструкцию: https://tutum.business/data-deletion (страница инструкции и контактного канала).

Пользователь Платформы (бизнес) может в любое время отключить интеграцию в админ-панели; это приводит к аннулированию токенов и прекращению приема новых данных через канал. Удаление ранее полученных сообщений и комментариев производится по дополнительному запросу пользователя Платформы либо при удалении аккаунта.

10. Данные конечных клиентов пользователей Платформы

В рамках предоставления сервисов Платформы Оператор обрабатывает данные конечных клиентов пользователей Платформы (покупателей, обращающихся в бизнес через мессенджеры и комментарии Instagram).

Пользователь Платформы выступает контролером данных своих клиентов и обязуется:

— иметь правовое основание для обработки данных своих клиентов (включая получение необходимых согласий, в частности на сообщения в WhatsApp в соответствии с opt-in требованиями WhatsApp Business Messaging Policy);

— своевременно реагировать на запросы своих клиентов о доступе, исправлении и удалении данных, направляя при необходимости соответствующие поручения Оператору;

— не использовать Платформу для рассылки спама, мошеннического или иного запрещенного контента.

Оператор обрабатывает такие данные исключительно по поручению пользователя Платформы и в целях предоставления сервисов, описанных в настоящей Политике.

11. Файлы cookie

Платформа использует файлы cookie и аналогичные технологии для обеспечения корректной работы сервиса (аутентификация, сохранение выбранной локали и настроек интерфейса) и сбора аналитических данных об использовании. Вы можете отключить cookie в настройках браузера, однако это может повлиять на функциональность Платформы.

12. Дети

Платформа является B2B-сервисом, предназначенным для предпринимателей и юридических лиц. Платформа не предназначена для использования детьми и не собирает осознанно персональные данные несовершеннолетних. Если вам стало известно, что Платформа получила данные ребенка без надлежащего согласия, сообщите об этом по адресу support@tutum.business.

13. Ваши права

В соответствии с законодательством Кыргызской Республики, а также применимыми международными стандартами защиты данных (в частности, GDPR для пользователей из ЕЭП/Великобритании, если такие пользователи имеются), вы имеете право:

— получить информацию о ваших персональных данных, обрабатываемых Оператором;

— потребовать исправления неточных данных;

— потребовать удаления ваших персональных данных;

— ограничить или возразить против обработки;

— отозвать согласие на обработку данных;

— получить копию ваших данных в машиночитаемом формате (переносимость);

— подать жалобу в компетентный надзорный орган по защите данных.

Для реализации указанных прав направьте запрос на support@tutum.business. Мы обработаем ваш запрос в течение 30 (тридцати) дней. Если запрос касается данных, обработка которых ведется Оператором в роли processor по поручению пользователя Платформы (магазина), мы перенаправим запрос соответствующему контролеру.

14. Инциденты безопасности

В случае инцидента, повлекшего нарушение конфиденциальности, целостности или доступности персональных данных, Оператор уведомляет затронутых пользователей Платформы без необоснованной задержки и, если применимо, соответствующие надзорные органы и платформы-партнеры в установленные ими сроки.

15. Изменения политики

Мы вправе обновлять настоящую Политику. О существенных изменениях мы уведомим вас по электронной почте или через Платформу не менее чем за 14 (четырнадцать) дней до вступления изменений в силу. Актуальная версия Политики всегда доступна на данной странице.

16. Контактная информация

По вопросам обработки персональных данных обращайтесь:

ИП Чангылов Данияр Сапарбекович

ИНН: 20111199501384

Адрес: Кыргызская Республика, г. Бишкек, Первомайский р-н, ул. Орозбекова, дом 2/2, кв. 60

Email: support@tutum.business

Телефон: +996 708 440 114

Запросы по правам субъектов данных и инцидентам безопасности: support@tutum.business.