MarbSocial
||
Регистрация

Политика конфиденциальности

Действует с: 17 апреля 2026 года

1. Введение

MarbSocial — платформа для управления социальными сетями и AI-генерации контента (далее «Сервис», «мы», «наш»). Эта Политика описывает, какие персональные данные мы собираем при использовании сайта marbsocial.com и приложения, как мы их используем, кому передаём и какие у вас есть права.

Используя Сервис, вы соглашаетесь с условиями этой Политики. Если вы не согласны — пожалуйста, прекратите использование Сервиса.

Контролёр данных: команда MarbSocial. Контакт по вопросам конфиденциальности: privacy@marbsocial.com.

2. Какие данные мы собираем

2.1 Регистрационные данные

  • Имя и фамилия
  • Email-адрес
  • Название организации
  • Хеш пароля (мы не храним пароль в открытом виде)
  • IP-адрес и user-agent при регистрации и входе

2.2 Профильные данные

  • Аватар (если загрузили)
  • Часовой пояс и язык интерфейса
  • Роль в организации (owner / admin / editor / viewer)
  • Настройки уведомлений

2.3 Данные подключённых социальных аккаунтов

См. раздел 4 ниже — отдельно о токенах и контенте соцсетей.

2.4 Контент, который вы создаёте

  • Тексты публикаций и черновиков
  • Загруженные изображения, видео и файлы
  • Промпты к AI и сгенерированные результаты
  • Расписание публикаций, метки, категории
  • Комментарии и ответы (если используете Inbox)

2.5 Технические данные

  • IP-адрес
  • Тип устройства, браузера, ОС
  • Логи действий (какие endpoints вызывали, когда, с каким результатом)
  • ID сессии и cookies
  • Метрики производительности (время загрузки страниц, ошибки клиента)

2.6 Платёжные данные

Если вы оплачиваете подписку — реквизиты карты обрабатываются нашим платёжным провайдером (NOWPayments / Stripe в зависимости от региона). Мы не храним полные номера карт, CVV или PIN. Мы видим: последние 4 цифры карты, срок действия, страну выпуска, статус транзакции.

3. Как мы используем данные

Мы используем ваши данные строго для следующих целей:

  • Предоставление и поддержка работы Сервиса (создание аккаунта, аутентификация, публикация)
  • Выполнение действий, которые вы инициировали (публикация в соцсети, генерация AI-контента, отправка писем)
  • Биллинг и управление подписками
  • Безопасность: предотвращение мошенничества, brute-force атак, fraud-detection
  • Соответствие требованиям законодательства (налоги, ответы на запросы регуляторов)
  • Улучшение продукта (анонимизированная аналитика поведения, A/B-тесты)
  • Информирование о существенных изменениях Сервиса (обязательные уведомления)
  • Маркетинговые рассылки — только если вы дали явное согласие; вы можете отказаться в любой момент

Правовые основания обработки (GDPR ст. 6): исполнение договора (когда вы пользуетесь Сервисом), законные интересы (безопасность, улучшение продукта), согласие (маркетинг, опциональные cookies), требования закона (налоговая отчётность).

4. Доступы к соцсетям и контенту

Когда вы подключаете социальный аккаунт (Instagram, VK, TikTok, Telegram, YouTube, LinkedIn, Threads, Facebook), мы получаем от платформы access token — ключ, позволяющий публиковать от вашего имени и читать данные согласно scopes, которые вы подтвердили.

Что мы храним

  • Сам access token и refresh token (зашифрованы в базе данных)
  • ID аккаунта на платформе, имя, аватар, handle
  • Список разрешений (scopes), которые вы выдали
  • Срок действия токена

Что мы делаем с этими данными

  • Публикуем посты, которые вы запланировали или попросили опубликовать вручную
  • Загружаем медиа (фото, видео) на платформы для публикации
  • Получаем статистику ваших постов (impressions, лайки, комментарии) для аналитики
  • Получаем входящие комментарии и сообщения (если используете Inbox)
  • Не публикуем ничего без вашего явного действия (создание поста / расписание)

Что мы НЕ делаем

  • Не продаём токены и не передаём их третьим лицам
  • Не используем токены для рекламы или маркетинга
  • Не публикуем за вас без явного действия с вашей стороны
  • Не читаем ваши приватные сообщения сверх того, что необходимо для работы Inbox

Вы можете отозвать доступ в любой момент через Settings → Connected Accounts → Disconnect, или непосредственно через настройки соответствующей соцсети. После отзыва мы удаляем токены в течение 24 часов.

5. С кем мы делимся данными

Мы передаём данные третьим сторонам строго по необходимости:

ПолучательКакие данныеЗачем
Соцсети (Meta, ByteDance, VK, Google, LinkedIn)Контент публикаций, метаданныеПубликация по вашему запросу
Email-провайдер (Resend)Email, имя, текст письмаОтправка системных писем
Платёжный провайдер (NOWPayments / Stripe)Email, сумма, реквизиты картыОбработка платежей
Хостинг (AWS EC2, ECR — Frankfurt)Все данные приложенияРазмещение Сервиса
CDN/Security (Cloudflare)IP, заголовки запросов, контентЗащита от атак, ускорение загрузки
AI-провайдеры (см. раздел 6)Промпты, тексты для генерацииГенерация контента по вашему запросу
Регуляторы и правоохранителиПо законному запросуСоответствие закону

Мы НЕ продаём ваши персональные данные третьим лицам.

6. AI-обработка контента

MarbSocial использует генеративные модели для AI-фич: ассистент, генерация постов, картинок, видео, переводов, ответов на комментарии.

Кто обрабатывает

  • Google Gemini (Google Cloud, регион EU) — текст, картинки
  • Anthropic Claude (через Anthropic API) — текст
  • Moonshot Kimi — альтернативная текстовая модель

Что отправляется в AI

  • Промпт, который вы вводите
  • Контекст текущего поста или треда (если активна функция «использовать контекст»)
  • Ваш язык и базовые предпочтения по тону

Что НЕ отправляется в AI

  • Ваш email, пароль, платёжные данные
  • Социальные токены
  • Содержимое чужих аккаунтов и приватных сообщений сверх того, что вы явно вставили в промпт

У всех AI-провайдеров с которыми мы работаем подписаны DPA (Data Processing Agreement) и соблюдается принцип zero-retention — провайдеры не используют ваши промпты для дообучения моделей.

7. Cookies и аналитика

Мы используем cookies трёх типов:

  • Необходимые (сессия, CSRF-токен, тема оформления, язык) — отключить нельзя, без них Сервис не работает
  • Аналитические (внутренние счётчики поведения для улучшения UX) — данные анонимизированы, можно отключить через Privacy Settings
  • Маркетинговые — мы их пока не используем; если введём — будем спрашивать согласие через cookie-баннер

Управление cookies: Settings → Privacy & Data → Cookies.

8. Срок хранения данных

Тип данныхСрок хранения
Аккаунт пользователяДо удаления аккаунта
Контент публикацийДо удаления вами или удаления аккаунта
Социальные токеныДо отключения аккаунта или удаления, не более срока действия токена
Логи безопасности90 дней
Логи доступа (audit log)180 дней
Резервные копии БД30 дней rolling backup
Платёжные записи7 лет (требование налогового законодательства)

После удаления аккаунта мы удаляем ваши данные в течение 30 дней, кроме данных, которые обязаны хранить по закону (платёжная история).

9. Безопасность

Меры защиты:

  • HTTPS с TLS 1.2+ для всего трафика
  • Authenticated Origin Pulls — origin-сервер доступен только через Cloudflare
  • Шифрование социальных токенов в БД (AES-256)
  • Хеширование паролей через bcrypt
  • Двухфакторная аутентификация (2FA) для всех пользователей
  • Rate limiting и WAF на уровне CDN (Cloudflare)
  • Регулярные security-аудиты и зависимости-сканирование
  • Принцип минимальных привилегий: каждый компонент имеет доступ только к нужным данным

Ни одна система не может быть на 100% защищена. В случае обнаружения утечки мы уведомим затронутых пользователей в течение 72 часов в соответствии с GDPR ст. 33–34.

10. Ваши права (GDPR / CCPA)

Если вы находитесь в ЕС, EEA, UK, Швейцарии или Калифорнии — у вас есть следующие права:

  • Доступ — узнать, какие ваши данные мы храним
  • Исправление — обновить неверные данные
  • Удаление («право быть забытым») — стереть свой аккаунт и связанные данные
  • Ограничение обработки — заморозить обработку
  • Переносимость — получить свои данные в машиночитаемом виде (JSON / CSV)
  • Возражение — отказаться от обработки на основании законных интересов
  • Отзыв согласия — для маркетинга и опциональных cookies
  • Жалоба регулятору — в надзорный орган вашей страны (например, UODO в Польше)

Большинство запросов можно выполнить самостоятельно через Settings → Privacy & Data. Для остальных пишите на privacy@marbsocial.com — отвечаем в течение 30 дней.

11. Международные передачи данных

Серверы Сервиса находятся в Frankfurt, Germany (AWS eu-central-1). Некоторые третьи стороны могут обрабатывать данные за пределами EEA:

  • Anthropic, OpenAI — США (Standard Contractual Clauses, EU-US Data Privacy Framework)
  • Cloudflare — глобально (SCCs, Data Privacy Framework)
  • Соцсети — каждая по своей политике

12. Дети

Сервис не предназначен для пользователей младше 16 лет. Мы намеренно не собираем данные о детях. Если вы родитель и узнали, что ваш ребёнок зарегистрировался — пишите нам, мы удалим аккаунт и связанные данные.

13. Изменения политики

Мы можем обновлять эту Политику. О существенных изменениях уведомим email-рассылкой и баннером в приложении не менее чем за 14 дней до вступления в силу. Мелкие правки (опечатки, уточнения формулировок) публикуем без уведомления, фиксируя дату в начале документа.

14. Контакты

По вопросам конфиденциальности: privacy@marbsocial.com
Общие вопросы: contact@marbsocial.com
Операционный адрес: Warsaw, Poland