Политика конфиденциальности
Последнее обновление: 1 июня 2026
1. Общие положения
Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, обработки, хранения и защиты персональных данных пользователей SaaS-платформы Tutum Business (tutum.business).
Оператор персональных данных — ИП Чангылов Данияр Сапарбекович, ИНН: 20111199501384, адрес: Кыргызская Республика, г. Бишкек, Первомайский р-н, ул. Орозбекова, дом 2/2, кв. 60 (далее — «Оператор»).
Используя Платформу, вы даете согласие на обработку ваших персональных данных в соответствии с настоящей Политикой.
2. Роли в обработке данных
Платформа имеет двойственную правовую конструкцию:
— В отношении данных аккаунтов бизнес-клиентов (зарегистрированных пользователей Платформы) — данных регистрации, биллинга, действий в админ-панели — Оператор выступает контролером (controller).
— В отношении данных конечных клиентов пользователей (покупателей, которые пишут бизнесу в WhatsApp, Instagram Direct, Telegram, или комментируют посты в Instagram) — Оператор выступает обработчиком (processor) по поручению пользователя Платформы. Контролером таких данных является сам пользователь Платформы (магазин), который подключил соответствующий канал и определяет цели обработки переписки со своими покупателями.
Это разграничение существенно для определения объема прав и обязанностей сторон, а также для требований платформ-партнеров (Meta Platforms).
3. Какие данные мы собираем
Мы собираем следующие категории данных:
Данные пользователя Платформы (бизнес-клиента): имя, фамилия, адрес электронной почты, номер телефона, название и данные компании/магазина, платежная информация.
Данные о взаимодействии с Платформой: журнал действий, настройки аккаунта, загруженные каталоги товаров, история операций в админ-панели.
Технические данные: IP-адрес, тип браузера и устройства, данные файлов cookie, статистика использования сервиса.
Данные конечных клиентов пользователя (покупателей): номера телефонов в формате E.164, имена и идентификаторы профилей в мессенджерах, содержание сообщений и комментариев, медиа-файлы (изображения, аудио, видео), история заказов, цитируемые сообщения (reply), эмодзи-реакции.
Данные, получаемые через интеграции с Meta Platforms (см. раздел 5), — только в тех объемах, которые необходимы для функционирования подключенных каналов.
4. Цели обработки данных
Мы обрабатываем персональные данные для следующих целей:
— предоставление и поддержка сервисов Платформы;
— обеспечение работы AI-ассистентов (обработка каталогов, формирование ответов клиентам, индексация знаний для семантического поиска);
— прием, обработка и доставка сообщений в WhatsApp Business, Instagram Direct, Telegram;
— прием и обработка комментариев под постами Instagram, автоматические публичные ответы и приватные сообщения в Direct в соответствии с правилами автоответов, настроенными пользователем Платформы;
— публикация контента (постов, Stories, Reels) в Instagram-аккаунт пользователя Платформы по его поручению из админ-панели;
— обработка заказов и управление кассовыми операциями;
— улучшение качества сервиса и разработка новых функций (без объединения данных, полученных от Meta, с данными третьих лиц без явного согласия);
— выставление счетов и обработка платежей;
— коммуникация с пользователем Платформы по вопросам сервиса;
— выполнение требований законодательства Кыргызской Республики, а также правил платформ-партнеров (Meta Platform Terms, WhatsApp Business Messaging Policy, WhatsApp Commerce Policy, Instagram Platform Policy).
5. Интеграции с Meta Platforms (WhatsApp Business и Instagram)
Платформа предоставляет интеграции с продуктами Meta Platforms для обеспечения коммерческой переписки бизнеса с его клиентами. Подключение осуществляется самим пользователем Платформы (бизнесом) в рамках стандартных авторизационных процессов Meta и требует наличия у пользователя прав администратора соответствующих бизнес-активов.
5.1. WhatsApp Business Cloud API. Подключение производится через процедуру Embedded Signup от Meta. Запрашиваемые разрешения: whatsapp_business_management, whatsapp_business_messaging, business_management. Получаемые и обрабатываемые данные: номера телефонов конечных клиентов в формате E.164, имена профилей WhatsApp, входящие и исходящие сообщения (текст, изображения, аудио/голосовые, видео, документы, стикеры, реакции, ответы на сообщения), идентификаторы сообщений (wamid), статусы доставки и причины ошибок (для отображения в интерфейсе оператора), идентификаторы WhatsApp Business Account (WABA ID) и номеров (phone_number_id), шаблоны сообщений (templates) и их статусы модерации.
5.2. Instagram (Instagram Login для бизнеса). Подключение производится через Instagram Login (graph.instagram.com), а не через личный аккаунт Facebook. Запрашиваемые разрешения: instagram_business_basic, instagram_business_manage_messages, instagram_business_manage_comments, instagram_business_content_publish. Получаемые и обрабатываемые данные: идентификаторы Instagram-аккаунта бизнеса (IGID), имена пользователей (handles) и публичные метаданные профилей собеседников, содержание сообщений в Instagram Direct и комментариев под постами, медиа-файлы, идентификаторы постов и комментариев, метаданные публикуемых через Платформу постов/Stories/Reels.
5.3. Comments и автоматизация. Если пользователь Платформы создает правила автоответа на комментарии под своими постами, Платформа обрабатывает входящие комментарии, сопоставляет их с заданными правилами (ключевыми словами) и от имени пользователя Платформы публикует ответный комментарий и/или отправляет приватное сообщение автору комментария через Instagram Private Replies API. Содержание автоответов определяется исключительно пользователем Платформы; Оператор не модерирует и не редактирует тексты автоответов и не несет ответственности за их содержание.
5.4. Использование данных Meta. Данные, получаемые от Meta Platforms через указанные API, используются Оператором исключительно для целей, описанных в разделе 4, и в строгом соответствии с Meta Platform Terms и Developer Policies. Оператор не продает данные Meta, не передает их рекламным сетям и брокерам данных, не использует их для построения профилей вне контекста бизнес-аккаунта пользователя Платформы и не объединяет их с данными третьих сторон без явного правового основания.
5.5. Хранение токенов доступа. Токены доступа Meta хранятся в зашифрованном виде на уровне базы данных. После отключения интеграции пользователем или отзыва разрешений со стороны Meta токены аннулируются.
6. Обработка AI-моделями
Для функционирования AI-ассистентов содержание сообщений и иной контекст диалога передается провайдерам больших языковых моделей (LLM), выбранным пользователем Платформы в настройках магазина. Поддерживаемые провайдеры: OpenAI (США), Anthropic (США), Google (Gemini) (США).
Для семантического поиска по каталогу товаров и базе знаний (RAG) тексты товаров, описаний и запросов клиентов передаются провайдеру эмбеддингов: Voyage AI (США). Векторные представления хранятся на наших серверах в PostgreSQL/pgvector.
При использовании голосовых сообщений их аудио-фрагменты могут передаваться поставщикам сервиса распознавания речи (ElevenLabs Scribe и/или иным провайдерам, указанным в настройках Платформы).
Передача данных AI-провайдерам осуществляется по защищенному каналу (TLS) и регулируется соответствующими политиками конфиденциальности и условиями обработки данных этих провайдеров. Оператор выбирает провайдеров, которые в своих соглашениях обязуются не использовать передаваемые данные для обучения собственных моделей по умолчанию (либо такая опция отключена в настройках API).
7. Передача данных третьим лицам и трансграничная передача
Мы не продаем и не передаем ваши персональные данные третьим лицам в маркетинговых целях.
Данные могут передаваться следующим категориям получателей (суб-операторам) исключительно для предоставления сервисов Платформы:
— Meta Platforms, Inc. (США/Ирландия) — для работы WhatsApp Business Cloud API и Instagram Business API;
— Telegram FZ-LLC (ОАЭ) — для работы Telegram Bot API;
— OpenAI (США), Anthropic (США), Google LLC / Google Ireland Ltd (США/ЕС) — провайдеры LLM, по выбору пользователя Платформы;
— Voyage AI (США) — провайдер векторных эмбеддингов;
— ElevenLabs (США) — распознавание речи (если применимо);
— Cloudflare, Inc. (США) — CDN, защита от DDoS, проксирование трафика;
— Хостинг-провайдер, на инфраструктуре которого размещены серверы Платформы (включая базу данных PostgreSQL и Redis);
— Платежные системы и эквайеры — для обработки платежей по подпискам.
Трансграничная передача данных в указанные юрисдикции осуществляется на основании необходимости исполнения договора между Оператором и пользователем Платформы и/или его поручения как контролера данных конечных клиентов. Оператор выбирает суб-операторов, обеспечивающих адекватный уровень защиты данных, и заключает с ними соглашения, содержащие условия конфиденциальности и обработки данных.
Актуальный перечень суб-операторов может обновляться. О существенных изменениях состава суб-операторов Оператор уведомляет пользователей через Платформу или по электронной почте.
8. Хранение и защита данных
Данные хранятся на защищенных серверах с применением следующих мер безопасности:
— шифрование данных при передаче (TLS/SSL);
— шифрование чувствительных данных, включая токены доступа Meta и Telegram, на уровне приложения и базы данных;
— разграничение доступа на уровне приложения и базы данных, изоляция данных арендаторов (multi-tenant) по идентификатору магазина;
— регулярное резервное копирование;
— мониторинг безопасности, ограничение частоты запросов (rate limiting) и журналирование доступа.
Сроки хранения:
— данные аккаунта пользователя Платформы — в течение срока действия аккаунта и 90 (девяноста) дней после его удаления, если иное не предусмотрено законодательством;
— сообщения и комментарии, полученные через интеграции Meta, — в течение срока действия подключения и до момента отключения интеграции либо поступления запроса на удаление;
— токены доступа Meta — до отключения интеграции пользователем или отзыва со стороны Meta, после чего токены аннулируются;
— записи о запросах на удаление данных (data deletion requests) — не менее 90 дней с момента завершения, как того требует Meta для публичной страницы статуса.
9. Удаление данных и обратные вызовы Meta
Оператор реализует механизмы удаления данных, требуемые Meta Platform Terms:
— Обратный вызов отзыва разрешения (Deauthorize Callback): POST https://api.tutum.business/api/v1/webhooks/meta/deauthorize. При получении вызова от Meta о том, что пользователь отозвал разрешения приложения, Оператор немедленно прекращает использование соответствующих токенов и помечает подключение как отозванное.
— Запрос на удаление данных (Data Deletion Request Callback): POST https://api.tutum.business/api/v1/webhooks/meta/data-deletion. По получении подписанного запроса Оператор регистрирует его, удаляет соответствующие данные конечного пользователя из активных хранилищ и возвращает Meta URL страницы статуса удаления вида https://api.tutum.business/api/v1/data-deletion/status/{confirmation_code} с уникальным кодом подтверждения.
Конечный пользователь Meta также может запросить удаление своих данных напрямую через инструкцию: https://tutum.business/data-deletion (страница инструкции и контактного канала).
Пользователь Платформы (бизнес) может в любое время отключить интеграцию в админ-панели; это приводит к аннулированию токенов и прекращению приема новых данных через канал. Удаление ранее полученных сообщений и комментариев производится по дополнительному запросу пользователя Платформы либо при удалении аккаунта.
10. Данные конечных клиентов пользователей Платформы
В рамках предоставления сервисов Платформы Оператор обрабатывает данные конечных клиентов пользователей Платформы (покупателей, обращающихся в бизнес через мессенджеры и комментарии Instagram).
Пользователь Платформы выступает контролером данных своих клиентов и обязуется:
— иметь правовое основание для обработки данных своих клиентов (включая получение необходимых согласий, в частности на сообщения в WhatsApp в соответствии с opt-in требованиями WhatsApp Business Messaging Policy);
— своевременно реагировать на запросы своих клиентов о доступе, исправлении и удалении данных, направляя при необходимости соответствующие поручения Оператору;
— не использовать Платформу для рассылки спама, мошеннического или иного запрещенного контента.
Оператор обрабатывает такие данные исключительно по поручению пользователя Платформы и в целях предоставления сервисов, описанных в настоящей Политике.
11. Файлы cookie
Платформа использует файлы cookie и аналогичные технологии для обеспечения корректной работы сервиса (аутентификация, сохранение выбранной локали и настроек интерфейса) и сбора аналитических данных об использовании. Вы можете отключить cookie в настройках браузера, однако это может повлиять на функциональность Платформы.
12. Дети
Платформа является B2B-сервисом, предназначенным для предпринимателей и юридических лиц. Платформа не предназначена для использования детьми и не собирает осознанно персональные данные несовершеннолетних. Если вам стало известно, что Платформа получила данные ребенка без надлежащего согласия, сообщите об этом по адресу support@tutum.business.
13. Ваши права
В соответствии с законодательством Кыргызской Республики, а также применимыми международными стандартами защиты данных (в частности, GDPR для пользователей из ЕЭП/Великобритании, если такие пользователи имеются), вы имеете право:
— получить информацию о ваших персональных данных, обрабатываемых Оператором;
— потребовать исправления неточных данных;
— потребовать удаления ваших персональных данных;
— ограничить или возразить против обработки;
— отозвать согласие на обработку данных;
— получить копию ваших данных в машиночитаемом формате (переносимость);
— подать жалобу в компетентный надзорный орган по защите данных.
Для реализации указанных прав направьте запрос на support@tutum.business. Мы обработаем ваш запрос в течение 30 (тридцати) дней. Если запрос касается данных, обработка которых ведется Оператором в роли processor по поручению пользователя Платформы (магазина), мы перенаправим запрос соответствующему контролеру.
14. Инциденты безопасности
В случае инцидента, повлекшего нарушение конфиденциальности, целостности или доступности персональных данных, Оператор уведомляет затронутых пользователей Платформы без необоснованной задержки и, если применимо, соответствующие надзорные органы и платформы-партнеры в установленные ими сроки.
15. Изменения политики
Мы вправе обновлять настоящую Политику. О существенных изменениях мы уведомим вас по электронной почте или через Платформу не менее чем за 14 (четырнадцать) дней до вступления изменений в силу. Актуальная версия Политики всегда доступна на данной странице.
16. Контактная информация
По вопросам обработки персональных данных обращайтесь:
ИП Чангылов Данияр Сапарбекович
ИНН: 20111199501384
Адрес: Кыргызская Республика, г. Бишкек, Первомайский р-н, ул. Орозбекова, дом 2/2, кв. 60
Email: support@tutum.business
Телефон: +996 708 440 114
Запросы по правам субъектов данных и инцидентам безопасности: support@tutum.business.