Политика конфиденциальности

Последнее обновление: 3 мая 2026 г.

Настоящая Политика конфиденциальности описывает, какие персональные данные собирает Penguin 3D AI, для каких целей, как мы их используем и передаём, а также какие у вас есть права. Политика распространяется на наш сайт, сервисы аккаунта и связанные продукты.

1. Оператор персональных данных

Penguin 3D AI («мы», «нас», «наш») является оператором персональных данных, обрабатываемых в рамках настоящей политики. По вопросам и запросам, связанным с конфиденциальностью, обращайтесь на privacy@penguin3d.ai. С учётом нашего текущего масштаба и характера обработки мы не обязаны назначать сотрудника по защите данных (DPO) согласно ст. 37 GDPR; указанный выше контакт по вопросам конфиденциальности выступает точкой связи по вопросам защиты данных.

2. Какие данные мы собираем

Мы собираем: (а) данные аккаунта — email, хеш пароля, имя, предпочтения языка и темы, роль; (б) транзакционные данные — историю покупок, статус подписки, идентификаторы заказов и частичные платёжные метаданные, возвращаемые нашим Merchant of Record (полные номера карт мы никогда не получаем и не храним); (в) контентные данные — коллекции, содержимое корзины, скачанные модели, заявки на индивидуальные проекты; (г) переписку — обращения в поддержку и подтверждения по email; (д) технические данные — IP-адрес, сведения о браузере и устройстве, отметки времени логов, реферер; (е) cookie и локальное хранилище — токены аутентификации, cookie локали и темы, сохранение корзины.

3. Цели обработки

Мы используем персональные данные для: (а) создания и защиты аккаунта и аутентификации сессий; (б) предоставления платформы и 3D-моделей, которые вы скачиваете или к которым подписаны; (в) обработки платежей, продлений и возвратов; (г) отправки транзакционных писем (подтверждение аккаунта, сброс пароля, чеки); (д) клиентской поддержки; (е) предотвращения мошенничества, злоупотреблений и несанкционированного доступа; (ж) исполнения юридических обязательств и обеспечения соблюдения наших Условий; (з) улучшения и отладки сервиса через агрегированную аналитику.

4. Правовые основания (GDPR / 152-ФЗ)

Когда применяется GDPR, мы опираемся на: исполнение договора (аккаунт, покупки, загрузки); законные интересы (безопасность, противодействие мошенничеству, улучшение сервиса); согласие (необязательные cookie, маркетинговые рассылки при наличии); юридическую обязанность (налоговый и бухгалтерский учёт, законные запросы). Для пользователей в Российской Федерации обработка осуществляется в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» и на предусмотренных им основаниях.

5. Передача данных и обработчики

Мы передаём персональные данные следующим третьим лицам на основании письменных соглашений: (а) Lemon Squeezy — наш Merchant of Record (MoR). Lemon Squeezy осуществляет приём платежей, биллинг, сбор и перечисление налога с продаж/НДС, предотвращение мошенничества и обработку возвратов. В отношении платёжных, налоговых и антифрод-данных, обрабатываемых для собственных обязательств MoR, Lemon Squeezy выступает самостоятельным оператором; в отношении передаваемых нами данных о заказе — нашим обработчиком. Lemon Squeezy использует Stripe в качестве субобработчика для обработки карточных платежей. Политика конфиденциальности Lemon Squeezy доступна на lemonsqueezy.com/privacy, а DPA — на lemonsqueezy.com/dpa. (б) Resend — доставка транзакционных писем (обработчик). (в) Cloudflare R2 — хранение и доставка файлов (обработчик). (г) Хостинг-провайдер MongoDB (обработчик). С каждым из перечисленных, где это требуется, заключены соглашения об обработке данных (DPA) в соответствии со ст. 28 GDPR. Также мы можем раскрывать данные, когда этого требует закон, постановление суда или необходимость защиты прав, безопасности или собственности пользователей или общества.

6. Cookie и аналогичные технологии

Мы используем строго необходимые cookie и локальное хранилище для токенов аутентификации, выбора локали, темы и сохранения корзины. Без них платформа не может функционировать. Мы не используем сторонние рекламные cookie. Если в будущем мы добавим аналитические или маркетинговые cookie, мы предварительно запросим согласие через cookie-баннер.

7. Сроки хранения

Мы храним персональные данные только в течение срока, необходимого для указанных выше целей и исполнения юридических обязательств. Конкретные сроки по категориям данных: • Профиль аккаунта (email, имя, предпочтения): до удаления аккаунта плюс 30-дневный льготный период, затем анонимизация. • Токены аутентификации: refresh-токены до 30 дней с момента выпуска или до отзыва; access-токены — короткоживущие. • Транзакционные записи (заказы, счета, история подписок): 7 лет в соответствии с налоговым и бухгалтерским законодательством. • Биллинговые данные подписки: срок действия подписки плюс 7 лет. • Переписка с поддержкой: 3 года с момента последнего обращения. • Серверные журналы доступа и безопасности: до 90 дней. • Резервные копии: ротируются и полностью перезаписываются в течение 35 дней.

8. Ваши права

В соответствии с применимым законодательством вы имеете право: получить доступ к своим персональным данным; запросить их исправление или удаление; возразить против определённых видов обработки или ограничить их; отозвать согласие, если обработка основана на согласии; получить свои данные в переносимом формате; подать жалобу в уполномоченный орган по защите данных. Для реализации этих прав напишите на privacy@penguin3d.ai. Перед ответом нам может потребоваться подтвердить вашу личность.

9. Маркетинговые рассылки

Мы отправляем транзакционные письма (подтверждение аккаунта, сброс пароля, чеки, уведомления о безопасности) на основании исполнения договора — отказаться от них при активном аккаунте нельзя. Любые маркетинговые сообщения, если будут введены в будущем, отправляются только с вашего предварительного согласия и содержат ссылку для отписки в один клик в каждом письме. Отписка от маркетинга не влияет на транзакционные письма.

10. Безопасность

Мы применяем общепринятые меры защиты: шифрование при передаче (HTTPS/TLS), хеширование паролей, JWT-токены доступа и ротируемые refresh-токены, ролевой контроль доступа, ограничение частоты запросов, изолированные учётные данные хранилища. Ни один способ передачи или хранения не является абсолютно защищённым; мы не можем гарантировать абсолютную безопасность. В случае инцидента с персональными данными, который может повлечь риск для ваших прав и свобод, мы уведомим компетентный надзорный орган в течение 72 часов с момента, когда нам стало известно об инциденте (ст. 33 GDPR), и сообщим затронутым пользователям без неоправданных задержек, если инцидент относится к высокорисковым (ст. 34) или этого требует Федеральный закон № 152-ФЗ.

11. Международная передача данных

Наши обработчики могут хранить и обрабатывать данные за пределами вашей страны, в том числе в США и в Европейской экономической зоне. При необходимости такие передачи регулируются стандартными договорными положениями или эквивалентными мерами, одобренными соответствующими органами.

12. Резиденты Калифорнии (CCPA / CPRA)

Если вы являетесь резидентом штата Калифорния, Закон о защите конфиденциальности потребителей Калифорнии (CCPA) с поправками CPRA предоставляет вам дополнительные права. • Отсутствие продажи и передачи. Мы не продаём персональные данные и не передаём их для кросс-контекстной поведенческой рекламы в значении, определённом CCPA/CPRA. Поскольку продажа и передача данных не осуществляются, сигналы отказа от продажи/передачи (включая Global Privacy Control) к нашей обработке не применяются. • Отсутствие автоматизированного принятия решений. Мы не используем технологии автоматизированного принятия решений, влекущие правовые или аналогично значимые последствия для вас. • Чувствительные персональные данные. Мы не используем и не раскрываем чувствительные персональные данные для целей, выходящих за рамки разрешённых ст. 1798.121 Гражданского кодекса Калифорнии. • Недискриминация. Мы не откажем в обслуживании, не установим иные цены и не снизим качество услуг из-за реализации вами прав на конфиденциальность. • Уполномоченные представители. Запросы можно подавать через уполномоченного представителя; нам может потребоваться верификация. • Shine the Light (ст. 1798.83 ГК Калифорнии). Резиденты Калифорнии вправе запросить сведения о раскрытии персональных данных третьим лицам в их прямых маркетинговых целях — за предшествующий календарный год таких раскрытий нами не производилось.

13. Резиденты Российской Федерации (152-ФЗ)

Если вы находитесь в Российской Федерации, обработка ваших персональных данных регулируется Федеральным законом № 152-ФЗ «О персональных данных» и подзаконными актами. • Трансграничная передача. Наши базы данных в настоящее время расположены за пределами Российской Федерации. В соответствии со ст. 12 152-ФЗ обработка персональных данных граждан Российской Федерации осуществляется на основании прямого, информированного, письменного согласия субъекта на трансграничную передачу, которое вы предоставляете при регистрации. Согласие может быть отозвано в любое время путём обращения на privacy@penguin3d.ai; в этом случае ваш аккаунт будет закрыт, а персональные данные удалены в сроки хранения, указанные в настоящей политике. • Ваши права. Вы можете запросить доступ к своим персональным данным, их уточнение, блокирование или уничтожение, а также отозвать согласие в любое время, написав на privacy@penguin3d.ai. • Надзорный орган. Вы также вправе подать жалобу в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). • Уведомление об инцидентах. Мы уведомим Роскомнадзор и затронутых пользователей о любом инциденте, связанном с неправомерной передачей персональных данных, в сроки, установленные 152-ФЗ с учётом изменений.

14. Дети

Платформа не предназначена для лиц младше 16 лет, и мы сознательно не собираем персональные данные несовершеннолетних. Создавая аккаунт, вы подтверждаете, что вам исполнилось 16 лет. Если вам известно, что лицо младше 16 лет передало нам персональные данные, напишите на privacy@penguin3d.ai — мы удалим их без неоправданной задержки.

15. Изменения политики

Мы можем обновлять настоящую Политику конфиденциальности, чтобы отразить изменения в наших практиках, сервисах или требованиях законодательства. Обновления публикуются на этой странице с новой датой редакции. О существенных изменениях мы сообщим по email или внутренним уведомлением, когда это уместно.

16. Контакты

По вопросам конфиденциальности, запросам субъектов персональных данных и жалобам пишите на privacy@penguin3d.ai. Мы стремимся ответить в течение 30 дней, как того требуют GDPR и Федеральный закон № 152-ФЗ.