← Вернуться

Политика обработки персональных данных

Политика конфиденциальности Alto AI Platform

Редакция от 21 июня 2026 г.

1. Общие положения

Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон») и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые Обществом с ограниченной ответственностью «АЛЬТО ЭЙАЙ» (далее — «Оператор») при использовании программно-аппаратного комплекса Alto AI Platform (далее — «Платформа», «Сервис»), доступного по адресу platform.alto-ai.ru и сопутствующих поддоменах.

Политика публикуется для ознакомления субъектов ПДн с порядком и условиями обработки их персональных данных. Обработка ПДн Пользователей осуществляется на правовых основаниях, указанных в разделе 9 Политики; для обработки, необходимой для заключения и исполнения договора с Пользователем, отдельное согласие не требуется (п. 5 ч. 1 ст. 6 Закона).

Действие Политики распространяется на все персональные данные, получаемые и обрабатываемые Оператором с применением средств автоматизации и без таковых.

2. Реквизиты Оператора

  • Наименование: Общество с ограниченной ответственностью «АЛЬТО ЭЙАЙ» (ООО «АЛЬТО ЭЙАЙ»)
  • ИНН: 7743485157
  • КПП: 774301001
  • ОГРН: 1267700076863
  • Юридический адрес: город Москва, внутригородская территория муниципальный округ Сокол, улица Новопесчаная, дом 19, корпус 2, помещение 19П
  • Генеральный директор: Татаринов Алексей Юрьевич
  • Адрес электронной почты для запросов субъектов ПДн: info@alto-ai.ru
  • Ответственный за организацию обработки персональных данных назначен внутренним приказом Оператора. Контакт для запросов — указанный выше адрес электронной почты.
  • Регистрация в реестре операторов ПДн Роскомнадзора: регистрационный номер 77-26-557119.

3. Термины

  • Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
  • Пользователь — физическое лицо, использующее Сервис от своего имени или от имени организации-Клиента (сотрудник, администратор аккаунта).
  • Клиент — юридическое лицо, индивидуальный предприниматель или физическое лицо, заключившее с Оператором договор на использование Сервиса.
  • Абонент — третье физическое лицо, с которым посредством Сервиса осуществляется голосовая телефонная коммуникация по инициативе Клиента (исходящие звонки) или по его собственной инициативе (входящие звонки).
  • Обработка по поручению — обработка ПДн Абонентов, осуществляемая Оператором в соответствии с ч. 3 ст. 6 Закона по поручению Клиента, выступающего самостоятельным оператором ПДн Абонентов.

4. Роли Оператора

Оператор выступает в двух ролях:

  • Самостоятельным оператором в отношении ПДн Пользователей Сервиса (сотрудников и представителей Клиентов), а также ПДн посетителей сайта.
  • Оператором, действующим по поручению Клиента (ч. 3 ст. 6 Закона), в отношении ПДн Абонентов, обрабатываемых в ходе телефонных коммуникаций. Сервис представляет собой программный голосовой автоматизированный агент («робот»), подключаемый к телефонной инфраструктуре Клиента (SIP-транк Клиента или его оператора связи) и осуществляющий звонки от имени и в интересах Клиента. Самостоятельным оператором ПДн Абонентов является Клиент. Клиент самостоятельно обеспечивает наличие правовых оснований обработки ПДн Абонентов, информирование Абонентов о записи разговора и получение необходимых согласий. Поручение на обработку оформляется договором с Клиентом и/или Условиями использования Сервиса.

5. Разделение ответственности между Оператором и Клиентом

При обработке ПДн Абонентов в роли процессора Оператор действует строго в пределах поручения Клиента. Клиент, предоставляющий Оператору данные третьих лиц (в том числе посредством API, загрузки списков контактов для обзвона, интеграций с CRM, передачи переменных сценариев), обязуется:

  • иметь правовое основание для обработки таких ПДн в значении ст. 6 Закона, включая, при необходимости, согласие соответствующих субъектов;
  • надлежащим образом проинформировать Абонентов об обработке их ПДн, в том числе о факте записи разговоров;
  • обеспечивать достоверность и актуальность передаваемых сведений;
  • соблюдать ограничения, предусмотренные законодательством о связи и о рекламе (в том числе требования ст. 18 Федерального закона «О рекламе» о согласии абонента на массовые рекламные звонки и сообщения);
  • самостоятельно нести ответственность за содержание сообщений, направляемых посредством Сервиса, и за соответствие такого содержания требованиям законодательства Российской Федерации.

Клиент, передавший Оператору сведения о третьих лицах без надлежащих правовых оснований, самостоятельно несёт ответственность перед такими лицами и Оператором за неисполнение указанных обязательств. Оператор не обязан проверять достоверность сведений и наличие необходимых согласий, если иное прямо не предусмотрено законом.

Оператор не несёт ответственности за информацию, передаваемую Пользователем или Клиентом самостоятельно третьим сторонам по ссылкам, размещённым в Сервисе или за его пределами.

6. Категории субъектов и состав ПДн

6.1. Пользователи Сервиса

  • фамилия, имя;
  • адрес электронной почты;
  • номер телефона (если предоставлен);
  • часовой пояс, язык интерфейса;
  • хешированный пароль, токены сессий, второй фактор аутентификации;
  • идентификаторы сессии, IP-адрес, User-Agent, технические журналы доступа;
  • история действий в личном кабинете, аудит-логи.

6.2. Абоненты (обработка по поручению Клиента)

  • номер телефона (формат E.164);
  • аудиозапись телефонного разговора;
  • текстовая расшифровка (транскрипт) разговора;
  • метаданные звонка: дата, время, длительность, направление, статус;
  • иные данные, передаваемые Клиентом Оператору об Абоненте (например, через API или при загрузке списка контактов для обзвона: имя, сегмент, переменные сценария и т. п.), а также данные, добровольно сообщаемые самим Абонентом в ходе разговора.

Запись голоса осуществляется исключительно в целях контроля качества коммуникаций, обучения сотрудников Клиента и совершенствования работы Сервиса. Оператор не использует голосовые характеристики Абонента для его идентификации или аутентификации, не строит на их основе биометрических шаблонов и не сопоставляет их с какими-либо иными физическими лицами. В связи с этим обрабатываемые голосовые данные не относятся к биометрическим персональным данным в значении ст. 11 Закона.

6.3. Контактные лица Клиентов и платёжные данные

  • ФИО, должность, контактная информация представителя Клиента;
  • реквизиты для выставления счетов;
  • идентификатор (токен) платёжной карты, выдаваемый платёжным провайдером. Полные реквизиты банковских карт Оператором не запрашиваются и не хранятся.

6.4. Особые категории ПДн

Обработка специальных категорий персональных данных (раса, национальность, политические взгляды, состояние здоровья и т. п.) и биометрических персональных данных Оператором не осуществляется.

7. Цели обработки

  • предоставление доступа к Сервису и его функциональности;
  • идентификация и аутентификация Пользователей;
  • заключение и исполнение договора с Клиентом, выставление счетов и взаиморасчёты;
  • оказание технической поддержки и информирование Пользователей о работе Сервиса;
  • осуществление голосовых коммуникаций между Клиентом и Абонентами с использованием технологий искусственного интеллекта;
  • контроль качества коммуникаций, обучение сотрудников Клиента, аналитика и совершенствование Сервиса;
  • обеспечение информационной безопасности, выявление и предотвращение злоупотреблений и мошенничества;
  • исполнение обязательств, предусмотренных законодательством Российской Федерации (налоговое, бухгалтерское, законодательство о связи и о ПДн).

8. Принципы обработки персональных данных

Обработка ПДн Оператором осуществляется в соответствии со ст. 5 Закона на основе следующих принципов:

  • законность и справедливость обработки;
  • ограничение обработки достижением конкретных, заранее определённых и законных целей;
  • недопустимость объединения баз данных, обработка которых осуществляется в несовместимых между собой целях;
  • обработка только тех ПДн, которые отвечают целям обработки;
  • соответствие содержания и объёма обрабатываемых ПДн заявленным целям, недопустимость избыточности;
  • обеспечение точности, достаточности и актуальности ПДн;
  • хранение ПДн в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки;
  • уничтожение или обезличивание ПДн по достижении целей обработки или утрате необходимости в достижении этих целей;
  • обработка ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

9. Правовые основания и условия обработки

Правовыми основаниями обработки ПДн являются:

  • п. 5 ч. 1 ст. 6 Закона — заключение и исполнение договора, стороной которого является субъект, либо договора, заключаемого по инициативе субъекта (основное основание обработки ПДн Пользователей: регистрация, доступ к Сервису, биллинг, поддержка);
  • п. 1 ч. 1 ст. 6 Закона — согласие субъекта (для целей, не обусловленных договором: маркетинговые рассылки, опциональная аналитика);
  • ч. 3 ст. 6 Закона — поручение Клиента (для ПДн Абонентов);
  • п. 7 ч. 1 ст. 6 Закона — осуществление законных интересов Оператора, Клиента или третьих лиц при условии ненарушения прав и свобод субъекта (информационная безопасность, контроль качества коммуникаций, противодействие злоупотреблениям);
  • п. 2 ч. 1 ст. 6 Закона — исполнение обязанностей, предусмотренных законодательством Российской Федерации;
  • федеральные законы и иные нормативные правовые акты, регулирующие деятельность Оператора (Гражданский кодекс РФ, Налоговый кодекс РФ, законодательство о связи).

Обработка ПДн Пользователя без отдельного согласия допускается в случаях, предусмотренных ч. 1 ст. 6 Закона, в частности когда она необходима:

  • для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект;
  • для исполнения обязанностей, возложенных на Оператора законодательством;
  • для осуществления прав и законных интересов Оператора или третьих лиц при условии ненарушения прав и свобод субъекта;
  • в иных случаях, прямо предусмотренных Законом.

10. Способы обработки

Обработка ПДн осуществляется смешанным способом — с использованием средств автоматизации и без таковых — и включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

Хранение ПДн в электронной форме осуществляется в базах данных, расположенных на территории Российской Федерации (Timeweb Cloud, ЦОД на территории РФ), с соблюдением требования ч. 5 ст. 18 Закона о первичной записи ПДн граждан РФ в базы, расположенные на территории РФ.

11. Сроки обработки, хранения и уничтожения

  • учётные данные Пользователей — на протяжении действия учётной записи и 5 лет после её удаления (для целей бухгалтерского и налогового учёта);
  • аудиозаписи разговоров Абонентов — не более 6 (шести) месяцев с даты звонка, после чего автоматически удаляются;
  • текстовые транскрипты разговоров и иные данные Абонентов, переданные Клиентом или сообщённые Абонентом в ходе разговора, — в течение срока действия договора с Клиентом и до момента их удаления Клиентом через интерфейс Сервиса либо по запросу;
  • метаданные звонков и аналитические агрегаты — в детализированном виде в течение срока действия договора с Клиентом, далее в обезличенной форме без ограничения срока;
  • системные журналы (логи доступа, ошибок) — до 90 дней;
  • финансовые документы и связанные с ними ПДн — 5 лет в соответствии с НК РФ;
  • cookie-идентификаторы — в соответствии с настройками браузера Пользователя, но не дольше 12 месяцев.

По истечении сроков ПДн уничтожаются либо обезличиваются. Клиент может в любой момент инициировать досрочное удаление записей и транскриптов через интерфейс Сервиса либо обращением в службу поддержки.

Уничтожение ПДн в электронных информационных системах осуществляется методами безвозвратного «стирания» данных и остаточной информации с электронных и магнитных носителей, в том числе с использованием специализированных программных средств. Материальные носители, содержащие ПДн, при необходимости уничтожаются способом, исключающим возможность восстановления записанных на них сведений (физическое разрушение, перезапись с подтверждением). Факт уничтожения оформляется в порядке, предусмотренном требованиями законодательства Российской Федерации.

12. Передача третьим лицам

ПДн могут передаваться следующим категориям получателей исключительно в объёме, необходимом для достижения целей, указанных в разделе 7:

  • Клиентам — в отношении данных Абонентов, обработка которых осуществляется по поручению соответствующего Клиента;
  • Поставщикам облачной инфраструктуры и хостинга — для размещения серверов, баз данных, хранилищ файлов и резервных копий;
  • Платёжным сервисам — для приёма и обработки платежей и возвратов;
  • Поставщикам услуг электронной почты и уведомлений — для отправки сервисных и транзакционных сообщений Пользователям;
  • Поставщикам услуг распознавания и синтеза речи, моделей искусственного интеллекта (LLM) — для обеспечения работы голосового агента и обработки текстов и аудио;
  • Сервисам мониторинга, журналирования ошибок и продуктовой аналитики — для контроля стабильности и улучшения Сервиса;
  • Государственным органам — в случаях, прямо предусмотренных законодательством Российской Федерации, на основании мотивированных запросов.

Передача третьим лицам осуществляется в минимально необходимом объёме на основании договоров, предусматривающих соблюдение получателем требований законодательства о персональных данных и конфиденциальности. Актуальный перечень привлекаемых лиц предоставляется субъекту по письменному запросу на адрес info@alto-ai.ru.

13. Меры защиты

Оператор принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий, в том числе:

  • назначение ответственного за организацию обработки ПДн;
  • издание локальных актов, регламентирующих обработку ПДн;
  • применение средств защиты информации, прошедших оценку соответствия;
  • шифрование данных при передаче (TLS) и шифрование чувствительных данных при хранении (включая AES-256-GCM для секретов SIP-транков);
  • хеширование паролей, многофакторная аутентификация, разграничение прав доступа по ролям (RBAC);
  • хранение секретов в централизованной системе управления секретами;
  • журналирование событий безопасности и аудит доступа;
  • регулярное резервное копирование и контроль целостности.

Доступ сотрудников Оператора к ПДн ограничен и предоставляется исключительно тем работникам, которым он необходим для исполнения трудовых обязанностей. Сотрудники, получившие доступ, обязаны соблюдать режим конфиденциальности ПДн в соответствии с внутренними локальными актами Оператора и подписанными соглашениями о неразглашении.

14. Реагирование на инциденты безопасности

В соответствии с ч. 3.1 ст. 19 Закона при выявлении неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлёкшей нарушение прав субъектов, Оператор:

  • в течение 24 часов с момента выявления инцидента уведомляет уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) о произошедшем инциденте, его предполагаемых причинах, предполагаемом вреде, нанесённом правам субъектов, и принятых мерах по устранению последствий, а также сведения о лице, уполномоченном на взаимодействие с Роскомнадзором;
  • в течение 72 часов с момента выявления инцидента уведомляет уполномоченный орган о результатах внутреннего расследования и предоставляет, при наличии, сведения о лицах, действия которых стали причиной инцидента.

Оператор поддерживает порядок реагирования на инциденты, обеспечивающий выявление, регистрацию, локализацию и устранение угроз безопасности ПДн в установленные законодательством сроки.

15. Права субъекта ПДн

Субъект ПДн имеет право:

  • получать информацию, касающуюся обработки его ПДн;
  • требовать уточнения, блокирования или уничтожения ПДн в случае их неполноты, неточности, неактуальности, незаконности обработки или достижения цели обработки;
  • отзывать согласие на обработку ПДн;
  • обжаловать действия или бездействие Оператора в Роскомнадзоре или в судебном порядке.

Запросы направляются в письменной форме на адрес электронной почты info@alto-ai.ru либо по почтовому адресу Оператора. Запрос должен содержать сведения, подтверждающие участие субъекта в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, а также подпись субъекта или его представителя. Срок ответа — 10 рабочих дней (ст. 14 и 20 Закона).

Запросы Абонентов в отношении ПДн, обрабатываемых по поручению Клиента, направляются Клиенту как самостоятельному оператору. Оператор окажет Клиенту разумное содействие в исполнении таких запросов.

При получении от субъекта или его представителя сведений, указывающих на неточность ПДн, Оператор осуществляет блокирование соответствующих ПДн с момента получения такого обращения на период проверки, если такое блокирование не нарушает права и законные интересы субъекта или третьих лиц. При подтверждении факта неточности Оператор уточняет ПДн в течение 7 (семи) рабочих дней со дня представления подтверждающих сведений и снимает блокирование.

При выявлении неправомерной обработки ПДн Оператор прекращает такую обработку и уничтожает соответствующие ПДн в срок, не превышающий 10 (десяти) рабочих дней с даты выявления, если иное не предусмотрено Законом.

16. Cookie и аналогичные технологии

Сервис использует строго необходимые файлы cookie (для аутентификации и обеспечения работы интерфейса), а также — на основании согласия Пользователя — аналитические cookie и события (в настоящее время — PostHog) для статистического анализа использования и улучшения продукта, и инструменты мониторинга ошибок (Sentry) для диагностики сбоев.

Пользователь может управлять cookie через настройки своего браузера. Отключение строго необходимых cookie может привести к невозможности использования отдельных функций Сервиса.

17. Несовершеннолетние

Сервис не предназначен для использования лицами, не достигшими 18 лет. Оператор не осуществляет сознательный сбор ПДн таких лиц. При выявлении факта обработки ПДн несовершеннолетнего без согласия законного представителя соответствующие данные подлежат немедленному удалению.

18. Изменения Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция размещается по адресу platform.alto-ai.ru/privacy. Дата последней редакции указана в начале документа. Существенные изменения дополнительно доводятся до сведения Пользователей по адресу электронной почты, указанному при регистрации.

19. Контакты

  • Электронная почта: info@alto-ai.ru
  • Почтовый адрес: 125252, город Москва, улица Новопесчаная, дом 19, корпус 2, помещение 19П
← Вернуться