Политика обработки персональных данных
Дата вступления в силу: 29 апреля 2026. Версия: 1.0.
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей сервиса WeShot (далее — «Сервис»), доступного на сайте weshot.io, в мобильных приложениях для iOS и Android, а также через любые иные программные продукты, предоставляемые Оператором.
1.2. Оператором персональных данных (далее — «Оператор») является:
Индивидуальный предприниматель Шашков Егор Леонидович ОГРНИП: 321463200046106 ИНН: 461107464616 Адрес для направления почтовой корреспонденции: г. Москва, Скандинавский бульвар, д. 17 Адрес электронной почты для запросов по вопросам обработки персональных данных: support@weshot.io
1.3. Оператор внесён в реестр операторов, осуществляющих обработку персональных данных, под регистрационным номером [Номер записи в реестре РКН — будет проставлен после получения].
1.4. Настоящая Политика разработана в соответствии с:
- Конституцией Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 13.03.2006 № 38-ФЗ «О рекламе»;
- Федеральным законом от 21.07.2014 № 242-ФЗ (требования о локализации персональных данных граждан Российской Федерации);
- Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных»;
- иными нормативными актами Российской Федерации, регулирующими обработку персональных данных.
1.5. Использование Сервиса означает безоговорочное согласие Пользователя с настоящей Политикой и условиями обработки его персональных данных. В случае несогласия с условиями Политики Пользователь должен прекратить использование Сервиса.
1.6. Настоящая Политика применяется ко всем персональным данным Пользователей, обрабатываемым Оператором с использованием средств автоматизации, а также без таких средств, если обработка соответствует характеру действий, совершаемых с персональными данными с использованием средств автоматизации.
1.7. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция Политики размещается на сайте weshot.io/legal/privacy. При существенных изменениях Оператор уведомляет Пользователей через электронную почту, push-уведомления или иные доступные средства связи не менее чем за 10 (десять) календарных дней до вступления изменений в силу.
2. Основные понятия
В настоящей Политике используются следующие термины и определения:
- Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных.
- Оператор — индивидуальный предприниматель Шашков Егор Леонидович, ОГРНИП 321463200046106, организующий и (или) осуществляющий обработку персональных данных.
- Пользователь — физическое лицо, использующее Сервис WeShot путём регистрации (Зарегистрированный пользователь) или без регистрации (Гость).
- Зарегистрированный пользователь — Пользователь, прошедший процедуру регистрации в Сервисе путём подтверждения номера телефона или авторизации через сторонние сервисы (Google, Apple, VK ID).
- Гость — Пользователь, использующий Сервис по приглашению (по ссылке или QR-коду) без создания учётной записи. Гость указывает только своё имя для участия в Альбоме события.
- Альбом события — основной объект Сервиса: совместный фотоальбом конкретного события (свадьбы, дня рождения, путешествия, корпоратива, юбилея, выпускного, концерта, иного события), создаваемый Пользователем и доступный приглашённым Гостям.
- Контент — фотографии, видеоматериалы, текстовые сообщения, реакции, комментарии, голосовые сообщения, опросы и иные материалы, загружаемые Пользователями в Сервис.
- Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность; в Сервисе обрабатываются в виде векторных представлений лиц (face embeddings), полученных путём анализа фотографий.
- Сайт — интернет-сайт по адресу
weshot.ioсо всеми поддоменами. - Приложение — мобильное приложение WeShot для iOS, Android и macOS.
- Третьи лица — юридические или физические лица, не являющиеся Оператором или Пользователем, в том числе обработчики (Processors), действующие по поручению Оператора.
3. Категории субъектов персональных данных
Оператор обрабатывает персональные данные следующих категорий субъектов:
3.1. Зарегистрированные пользователи — лица, создавшие учётную запись в Сервисе путём подтверждения номера телефона или авторизации через сервисы Google, Apple, VK ID.
3.2. Гости — лица, получившие приглашение в Альбом события (по ссылке, QR-коду, SMS, email) и указавшие своё имя для участия.
3.3. Лица, изображённые на фотографиях и видео — субъекты, чьи изображения попадают в Контент, загружаемый Пользователями. Их персональные данные обрабатываются при участии Пользователей, разместивших соответствующий Контент. Оператор обрабатывает биометрические векторы лиц этих субъектов исключительно для функционирования возможностей Сервиса (группировка по людям, поиск конкретного человека на фото).
3.4. Несовершеннолетние — Сервис не предназначен для самостоятельного использования лицами младше 14 лет. Обработка персональных данных несовершеннолетних осуществляется только с письменного согласия их законных представителей. Альбомы типа «Малыш» (newborn / семейные альбомы с детьми) могут создаваться законным представителем ребёнка с подтверждением соответствующего согласия.
4. Цели обработки персональных данных
Оператор обрабатывает персональные данные исключительно в следующих целях:
4.1. Регистрация и авторизация Пользователей в Сервисе, в том числе создание и идентификация учётной записи, восстановление доступа, обеспечение единого входа через сторонние сервисы (Google, Apple, VK ID).
4.2. Предоставление функциональности Сервиса, в том числе создание Альбомов событий, загрузка и хранение фотографий и видеоматериалов, обмен сообщениями в чате Альбома, проведение опросов, обмен реакциями и комментариями.
4.3. Идентификация Гостей при их участии в Альбомах событий по приглашению (только по имени, без обязательной регистрации).
4.4. Группировка фотографий по людям с использованием технологий распознавания лиц для удобства поиска и просмотра Контента (формирование «лиц» или «персон» внутри Альбома).
4.5. Реализация функции «Найти меня в альбоме» — поиск фотографий, на которых изображён сам Пользователь, путём сопоставления векторного представления его лица (полученного из аватара) с лицами на фотографиях Альбома.
4.6. Автоматическая модерация Контента с использованием технологий компьютерного зрения для выявления неприемлемого или ошибочно загруженного Контента (например, скриншотов, документов с персональными данными, изображений запрещённого характера).
4.7. Связь с Пользователями по вопросам функционирования Сервиса, в том числе направление сервисных уведомлений (push-уведомления, электронные письма) о событиях в Альбомах и об изменениях в работе Сервиса.
4.8. Направление маркетинговых и информационных сообщений (рассылок) — только при наличии отдельного, выраженного и оформленного согласия Пользователя в порядке, установленном Федеральным законом «О рекламе».
4.9. Обеспечение безопасности Сервиса, в том числе предотвращение мошенничества, несанкционированного доступа, выявление аномалий в работе учётных записей, реализация мер по защите информации.
4.10. Аналитика и улучшение Сервиса — анализ обезличенной статистики использования (количество созданных Альбомов, количество загрузок, активность Пользователей) для совершенствования функциональности.
4.11. Исполнение требований законодательства Российской Федерации, в том числе предоставление сведений по запросам уполномоченных государственных органов в случаях, предусмотренных законом.
5. Правовые основания обработки персональных данных
Обработка персональных данных Оператором осуществляется на следующих правовых основаниях:
5.1. Согласие субъекта персональных данных на обработку его персональных данных, полученное в форме отдельного электронного документа (для общих категорий ПДн) или в письменной форме (для биометрических персональных данных) — пункт 1 части 1 статьи 6 и часть 1 статьи 11 Федерального закона № 152-ФЗ.
5.2. Исполнение договора, стороной которого является субъект персональных данных, в том числе пользовательского соглашения, размещённого по адресу weshot.io/legal/terms — пункт 5 части 1 статьи 6 Федерального закона № 152-ФЗ.
5.3. Достижение целей, предусмотренных законом — пункт 2 части 1 статьи 6 Федерального закона № 152-ФЗ.
5.4. Осуществление прав и законных интересов Оператора при условии, что не нарушаются права и свободы субъекта персональных данных — пункт 7 части 1 статьи 6 Федерального закона № 152-ФЗ.
5.5. Обработка биометрических персональных данных осуществляется только при наличии отдельного письменного согласия субъекта персональных данных, оформленного в соответствии со статьёй 11 Федерального закона № 152-ФЗ.
6. Перечень обрабатываемых персональных данных
Оператор обрабатывает следующие категории персональных данных:
6.1. Идентификационные и контактные данные
- Номер мобильного телефона (формат E.164);
- Адрес электронной почты;
- Имя и (или) отображаемое имя;
- Город (опционально);
- Идентификатор пользователя (ID), генерируемый Сервисом;
- Идентификатор учётной записи у стороннего сервиса при авторизации через Google, Apple, VK ID.
6.2. Изображения и медиаконтент
- Фотография в качестве аватара пользователя (загружается Пользователем);
- Фотографии и видеоматериалы, загружаемые Пользователями в Альбомы событий;
- Метаданные EXIF фотографий (дата и время съёмки, параметры камеры, при наличии — координаты GPS);
- Голосовые сообщения, голосовые комментарии (при использовании соответствующих функций);
- Текстовые сообщения, комментарии, реакции, ответы в опросах.
6.3. Биометрические персональные данные (специальная категория)
- Векторное представление лица (face embedding), полученное путём математической обработки фотографии аватара Пользователя — вектор размерностью 512 чисел;
- Векторные представления лиц, обнаруженных на фотографиях, загружаемых в Альбомы событий;
- Идентификаторы кластеров лиц (группировка похожих лиц в рамках одного Альбома).
Биометрические персональные данные обрабатываются исключительно на основании отдельного письменного согласия субъекта в соответствии со статьёй 11 Федерального закона № 152-ФЗ.
6.4. Технические и сеансовые данные
- IP-адрес устройства;
- Тип браузера и версия операционной системы (User-Agent);
- Идентификаторы устройства (для push-уведомлений);
- Файлы cookie и аналогичные технологии (см. Политику использования cookies);
- Токены авторизации (access token, refresh token) — хранятся в зашифрованном или хешированном виде;
- Журналы операций (логи запросов к Сервису) — IP, время, тип запроса.
6.5. Данные о геолокации
- Координаты GPS (широта, долгота), получаемые из метаданных EXIF фотографий;
- Координаты GPS, получаемые с устройства Пользователя через стандартные API браузера или операционной системы при наличии разрешения Пользователя;
- Текстовое описание местоположения (например, адрес или название места), полученное путём обратного геокодирования.
6.6. Данные об активности в Сервисе
- Сведения о созданных Альбомах (тип события, дата, название, настройки приватности);
- Сведения о загруженных фотографиях и видеоматериалах (без содержания самих файлов в этом перечне — они отнесены к пункту 6.2);
- Сведения о действиях в чате (отправка сообщений, реакции, лайки, голосование в опросах);
- Сведения об участии в Альбомах в роли организатора, соавтора, гостя.
6.7. Данные, получаемые от сторонних сервисов
- При авторизации через Google, Apple, VK ID — те данные, которые сторонний сервис передаёт Оператору в соответствии с разрешениями, выданными Пользователем (как правило: имя, адрес электронной почты, аватар, идентификатор пользователя у стороннего сервиса).
Оператор не обрабатывает следующие категории персональных данных, относимые законом к специальным: данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, судимости. Если такие сведения попадают в Контент, загружаемый Пользователями (например, в фотографии или текст сообщений), Оператор не извлекает их и не использует целенаправленно.
7. Порядок и условия обработки персональных данных
7.1. Обработка персональных данных осуществляется с соблюдением принципов и условий, установленных статьями 5, 6, 10, 11 Федерального закона № 152-ФЗ.
7.2. Оператор обрабатывает персональные данные следующими способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка осуществляется как с использованием средств автоматизации, так и без них.
7.3. Конфиденциальность. Оператор и его сотрудники, имеющие доступ к персональным данным Пользователей, обязаны обеспечивать конфиденциальность таких данных и не раскрывать их третьим лицам без согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством.
7.4. Хранение. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки. По достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению или обезличиванию.
7.5. Сроки хранения отдельных категорий данных:
| Категория данных | Срок хранения |
|---|---|
| Учётная запись Пользователя (профиль) | До удаления Пользователем + 30 (тридцать) календарных дней (период восстановления), затем — уничтожение |
| Контент в Альбомах (фотографии, видео, сообщения) | До удаления Пользователем или до удаления Альбома; для удалённых Альбомов — резервная копия в течение 30 (тридцати) календарных дней |
| Биометрические векторы лиц (face embeddings) | До удаления соответствующего Контента (аватара или фотографии) или до отзыва согласия на обработку биометрических ПДн |
| SMS-сессии (временные данные подтверждения номера) | 15 (пятнадцать) минут с момента запроса кода |
| Refresh-токены (для повторной авторизации) | 30 (тридцать) календарных дней с момента выдачи; могут быть отозваны Пользователем в любой момент |
| Журналы запросов (IP, User-Agent, время) | 90 (девяносто) календарных дней |
| Резервные копии баз данных | 30 (тридцать) календарных дней |
7.6. Локализация баз персональных данных
В соответствии со статьёй 18 части 5 Федерального закона № 152-ФЗ (введённой Федеральным законом № 242-ФЗ) Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации.
Все основные базы данных Сервиса (PostgreSQL для метаданных, объектное хранилище S3 для фотографий и видео) размещены у российского хостинг-провайдера на территории Российской Федерации.
7.7. Обработка биометрических персональных данных
Биометрические персональные данные обрабатываются только при наличии отдельного письменного согласия Пользователя, оформленного в форме электронного документа в порядке, установленном законодательством Российской Федерации.
Цели обработки биометрических персональных данных:
- идентификация Пользователя на фотографиях для функционирования возможностей Сервиса (группировка лиц, поиск конкретного человека);
- реализация функции «Найти меня в альбоме».
Векторные представления лиц не позволяют восстановить исходное изображение лица и являются результатом математической обработки фотографии. Они хранятся отдельно от исходных фотографий и используются исключительно для сопоставления с другими векторами лиц в рамках Сервиса.
Пользователь вправе в любой момент отозвать согласие на обработку биометрических данных. После отзыва согласия Оператор уничтожает все векторные представления лица Пользователя в течение 10 (десяти) рабочих дней.
8. Передача персональных данных третьим лицам
8.1. Оператор может передавать персональные данные Пользователей следующим категориям третьих лиц исключительно в объёме, необходимом для достижения целей обработки:
8.2. Обработчики (Processors), действующие по поручению Оператора
| Третье лицо | Что передаётся | Цель | Расположение серверов |
|---|---|---|---|
| AIFactory | Фотографии (включая аватары) | Анализ изображения: выделение векторных представлений (CLIP-эмбеддинги, биометрические векторы лиц). Возврат результата Оператору. AIFactory не сохраняет исходные изображения после анализа | Российская Федерация |
| FirstVDS (S3-хранилище) | Фотографии, видеоматериалы, аватары | Хранение медиафайлов | Российская Федерация |
| FirstVDS (PostgreSQL-серверы) | Метаданные, профили, биометрические векторы | Хранение структурированных данных | Российская Федерация |
| Telegram Gateway / SMSAero (SMS-провайдеры) | Номер телефона + одноразовый код | Отправка SMS с кодом подтверждения | Российская Федерация / международный канал доставки SMS |
8.3. Сторонние сервисы при авторизации Пользователя
| Третье лицо | Что передаётся | Цель | Расположение серверов |
|---|---|---|---|
| Google LLC (Google Sign-In) | ID-токен, выданный Пользователю | Подтверждение личности Пользователя | США (трансграничная передача в страну, обеспечивающую адекватную защиту) |
| Apple Inc. (Sign in with Apple) | ID-токен, выданный Пользователю | Подтверждение личности Пользователя | США (трансграничная передача в страну, обеспечивающую адекватную защиту) |
| ООО «В Контакте» (VK ID) | Авторизационный код | Подтверждение личности Пользователя | Российская Федерация |
8.4. Внешние API для функциональности
| Третье лицо | Что передаётся | Цель | Расположение серверов |
|---|---|---|---|
| ООО «Яндекс» (Яндекс.Карты, API геокодирования) | Координаты GPS и поисковые запросы (адреса) | Преобразование координат в текстовые адреса и наоборот | Российская Федерация |
8.5. Оператор обеспечивает заключение с обработчиками соответствующих соглашений (договоров) о неразглашении конфиденциальной информации и о соблюдении требований законодательства о персональных данных. Обработчики обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и Федеральным законом № 152-ФЗ.
8.6. Оператор не передаёт персональные данные Пользователей третьим лицам в коммерческих целях (например, для продажи рекламодателям, для маркетинговых исследований третьих сторон).
8.7. Передача персональных данных в государственные органы осуществляется только в случаях и в порядке, установленном законодательством Российской Федерации.
8.8. Трансграничная передача персональных данных
Оператор осуществляет трансграничную передачу персональных данных в следующих случаях:
- при авторизации Пользователя через Google Sign-In — в США (Google LLC);
- при авторизации Пользователя через Sign in with Apple — в США (Apple Inc.).
США относятся к иностранным государствам, не являющимся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, однако обеспечивают адекватную защиту прав субъектов персональных данных в соответствии с локальным законодательством. Трансграничная передача осуществляется только с согласия Пользователя, выраженного при авторизации через соответствующий сторонний сервис.
В случаях, предусмотренных Приказом Роскомнадзора № 178 от 12.12.2022, Оператор уведомил уполномоченный орган о намерении осуществлять трансграничную передачу персональных данных.
9. Обеспечение безопасности персональных данных
9.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Меры по защите персональных данных включают:
- назначение лица, ответственного за организацию обработки персональных данных;
- разработку и применение локальных актов по вопросам обработки и защиты персональных данных;
- ограничение доступа к персональным данным сотрудников Оператора и обработчиков с использованием системы ролей и разграничения прав;
- использование средств шифрования для защиты данных при передаче (HTTPS / TLS) и при хранении (для определённых категорий — биометрических векторов, токенов авторизации);
- применение средств защиты от несанкционированного доступа, в том числе межсетевых экранов, систем обнаружения вторжений;
- регулярное резервное копирование данных и проверка целостности резервных копий;
- учёт носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства и локальных актов Оператора.
9.3. Уровень защищённости персональных данных в информационных системах Оператора определён в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119.
10. Права субъекта персональных данных
10.1. Пользователь имеет право:
- получать сведения об обработке его персональных данных Оператором (статья 14 Федерального закона № 152-ФЗ);
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;
- отзывать согласие на обработку персональных данных в любое время путём направления соответствующего уведомления на адрес электронной почты support@weshot.io;
- обжаловать действия или бездействие Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке;
- получать копии документов, подтверждающих факт обработки его персональных данных;
- требовать прекращения обработки персональных данных в любой момент.
10.2. Запрос Пользователя должен содержать:
- сведения, подтверждающие участие Пользователя в отношениях с Оператором (номер телефона, адрес электронной почты, идентификатор учётной записи);
- подпись Пользователя (для обращений, направляемых в письменной форме); для электронных запросов — направление с того адреса электронной почты, который связан с учётной записью Пользователя.
10.3. Оператор обязан в течение 30 (тридцати) календарных дней с момента получения запроса Пользователя предоставить ответ или совершить запрашиваемое действие. Если запрос не может быть удовлетворён, Оператор обязан направить Пользователю мотивированный отказ в письменной форме.
10.4. Удаление учётной записи Пользователь может произвести самостоятельно через настройки в Сервисе. После запроса на удаление учётная запись блокируется и удаляется физически в течение 30 (тридцати) календарных дней. В этот период Пользователь может восстановить учётную запись.
10.5. Пользователь имеет право подать жалобу на действия Оператора в:
- Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Адрес: https://rkn.gov.ru.
- Суд — по месту жительства Пользователя или по месту нахождения Оператора.
11. Cookies и аналогичные технологии
11.1. Сервис использует файлы cookie и аналогичные технологии (localStorage, sessionStorage, идентификаторы устройств) для обеспечения функционирования Сервиса, аутентификации Пользователей, сохранения настроек, анализа использования Сервиса.
11.2. Подробное описание используемых cookie размещено в Политике использования cookies по адресу weshot.io/legal/cookies.
11.3. Пользователь может управлять настройками cookie в своём браузере. Отключение cookie может привести к невозможности использования некоторых функций Сервиса (в частности, функции авторизации).
12. Заключительные положения
12.1. Настоящая Политика является общедоступным документом и размещается на сайте Оператора по адресу weshot.io/legal/privacy.
12.2. По всем вопросам, связанным с обработкой персональных данных, Пользователь может обращаться по адресу электронной почты: support@weshot.io.
12.3. В случае противоречия между настоящей Политикой и иными документами, регулирующими отношения между Оператором и Пользователем, применяются положения настоящей Политики, если иное прямо не предусмотрено документом более высокой юридической силы.
12.4. Признание отдельных положений настоящей Политики недействительными не влечёт недействительности остальных положений.
Дата вступления в силу: 29 апреля 2026. Оператор: Индивидуальный предприниматель Шашков Егор Леонидович.