Политика конфиденциальности
Версия 1.0 · Действует с 28 апреля 2026 года · Последнее обновление: 28 апреля 2026
Настоящая Политика составлена в соответствии с Федеральным законом РФ № 152-ФЗ «О персональных данных», а в части обработки данных пользователей из Европейского Союза — с General Data Protection Regulation (GDPR, Regulation EU 2016/679). Документ публично размещён в Сервисе и применяется ко всем пользователям сайта
neuroscan.me и его поддоменов.
1. Термины
Сервис, NeuroScan, Мы — программно-аппаратный комплекс, доступный по адресу neuroscan.me и поддоменам, оператором которого выступает ИП Занин Андрей Сергеевич.
Пользователь, Вы — любое физическое лицо, использующее Сервис, в том числе путём посещения сайта или загрузки фотографии для анализа.
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому Пользователю (ст. 3 № 152-ФЗ; art. 4 GDPR).
Обработка — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
Подрядчики (третьи лица) — независимые организации, привлечённые Оператором для технической поддержки Сервиса (хостинг, AI-обработка, аналитика, прием платежей).
2. Оператор персональных данных
Оператором, осуществляющим обработку персональных данных, является:
- ИП Занин Андрей Сергеевич
- ИНН: 212303696544
- ОГРНИП: 324210000048947
- Регистрация в реестре операторов персональных данных Роскомнадзора: в процессе подачи уведомления
- Адрес для корреспонденции: предоставляется по запросу на e-mail.
- Контактный e-mail: andrei.darkez@gmail.com
- Тема для запросов по приватности: «Privacy»
3. Какие данные мы собираем
Мы собираем минимально необходимый объём данных. Подробный перечень:
3.1. Данные, предоставляемые Вами добровольно
- Фотография лица — загружается через интерфейс Сервиса для целей AI-анализа.
- Голос «за» или «против» по результату анализа — анонимная обратная связь.
3.2. Данные, собираемые автоматически
- Анонимный идентификатор устройства (UID) — случайная строка из 32 символов, хранимая в cookie и localStorage Вашего браузера. Не позволяет идентифицировать Вас как личность.
- IP-адрес — сохраняется только в виде криптографического хеша (SHA-256, обрезанный до 16 символов). Восстановить исходный IP по хешу невозможно.
- Цифровой отпечаток браузера (fingerprint) — рассчитывается клиентской частью на базе характеристик устройства (canvas, WebGL, разрешение экрана, часовой пояс, user-agent), сохраняется на сервере только в виде хеша.
- Технические данные браузера: версия браузера и ОС, язык интерфейса, реферер, временные метки запросов.
- Страна по IP — определяется через сервис Cloudflare, используется для автоматического выбора языка интерфейса. Не сохраняется.
- События в интерфейсе — клики, переключения языка, открытия paywall, попытки оплаты — собираются через Mixpanel (см. раздел 7).
3.3. Что мы НЕ собираем
- Не собираем ФИО, дату рождения, паспортные данные, ИНН, СНИЛС.
- Не собираем номера телефонов и адреса электронной почты (если Вы сами не пишете нам).
- Не собираем биометрические данные в смысле № 152-ФЗ — фото обрабатывается обезличенно и не используется для идентификации личности.
- Не собираем медицинскую информацию, сведения о здоровье, политических взглядах, религии, сексуальной ориентации.
- Не получаем доступ к контактам, файлам, камере или микрофону без Вашего явного действия (загрузка фото инициируется только Вами).
4. Цели и правовые основания обработки
| Цель | Категория данных | Правовое основание |
|---|
| Предоставление AI-анализа лица | Фото, UID | Согласие пользователя (ст. 6 ч. 1 п. 1 № 152-ФЗ; art. 6(1)(a), 9(2)(a) GDPR) |
| Учёт баланса анализов | UID, баланс | Исполнение договора (art. 6(1)(b) GDPR) |
| Защита от автоматизированных злоупотреблений | Хеш IP, хеш fingerprint | Законный интерес Оператора (art. 6(1)(f) GDPR) |
| Аналитика продукта | События UI, обезличенные технические данные | Законный интерес |
| Обработка платежей | Платёжные реквизиты у платёжного провайдера | Исполнение договора |
| Соблюдение требований законодательства | Логи, бухгалтерские данные | Юридическая обязанность |
5. Обработка фотографий — особый раздел
Фотографии лица, которые Вы загружаете — наиболее чувствительный тип данных. Поэтому мы фиксируем особый порядок:
- Передача в AI: фото в base64 отправляется в API xAI (Grok Vision) — наш технологический подрядчик. Это происходит в момент Вашего нажатия на кнопку «Проанализировать».
- Не сохраняется на нашем сервере: после получения ответа от xAI и отображения результата Вам в браузере, фото удаляется из оперативной памяти и НЕ записывается в постоянное хранилище NeuroScan.
- Не используется для обучения: мы не используем загруженные фото для обучения каких-либо моделей машинного обучения. У xAI применяются собственные политики обработки — см. Privacy Policy xAI.
- Не передаётся третьим лицам кроме xAI.
- Не публикуется в Сервисе — только Вы видите свою фотографию в момент её загрузки.
- Не используется для идентификации — мы не ведём базу лиц, не сопоставляем фото с реальными людьми, не строим биометрические шаблоны для идентификации.
6. Cookie и идентификаторы устройства
Сервис использует только строго необходимые cookie:
- ns_uid — анонимный идентификатор пользователя. Срок: 2 года. Назначение: связать Ваши анализы с Вашим балансом токенов. SameSite=Lax.
- ns_lang — выбранный Вами язык интерфейса (RU/EN). Срок: бессрочно. Назначение: запомнить Ваш выбор.
- localStorage NeuroScan — дублирует UID и fingerprint в локальном хранилище браузера для устойчивости к очистке cookie.
Маркетинговые, рекламные и трекинговые cookie третьих лиц мы не устанавливаем. Cloudflare может ставить технические cookie для защиты от ботов (cf_clearance), они не используются нами для отслеживания.
7. Аналитика и Mixpanel
Мы используем сервис Mixpanel Inc. (США) для продуктовой аналитики. Mixpanel получает:
- Ваш UID (анонимный идентификатор);
- Технические данные браузера (тип устройства, ОС, страна, язык);
- События взаимодействия с интерфейсом (какие кнопки нажаты, какой результат показан, ошибки).
Mixpanel НЕ получает Ваши фотографии и содержимое анализа. Сессии могут записываться (Session Replay) с маскировкой чувствительных полей. Подробнее: Mixpanel Privacy Policy.
Если Вы хотите отказаться от аналитики — напишите нам, и мы вручную добавим Ваш UID в исключения.
8. Платежные данные
Платежи (после внедрения функционала) обрабатываются через лицензированных платёжных провайдеров:
- ЮKassa (для платежей в рублях) — ООО НКО «ЮMoney», российский платёжный провайдер.
- Paddle (для платежей в валюте) — Paddle.com Market Limited, реселлер для международных платежей.
NeuroScan не получает и не хранит номера банковских карт, CVC-коды, реквизиты счетов. Эти данные обрабатываются исключительно платёжным провайдером по стандартам PCI DSS. Мы получаем только: статус платежа (успех/отказ), идентификатор транзакции, сумму, валюту, дату.
9. Передача данных третьим лицам
Мы привлекаем следующих обработчиков (data processors):
| Подрядчик | Назначение | Какие данные получает | Юрисдикция |
|---|
| xAI Corp. | AI-обработка фото | Фото, текст промпта | США |
| Mixpanel Inc. | Продуктовая аналитика | UID, события UI | США |
| Cloudflare Inc. | CDN, DDoS-защита, антибот Turnstile | IP, тех. заголовки | США / глобально |
| Railway Corp. | Хостинг приложения | Все запросы к серверу | США |
| ООО НКО «ЮMoney» | Прием платежей в RUB | Платёжные данные | РФ |
| Paddle.com Market Ltd. | Прием международных платежей | Платёжные данные | Великобритания / ЕС |
Передача государственным органам осуществляется только в случаях, прямо предусмотренных законом (запрос правоохранительных органов в установленном порядке).
10. Трансграничная передача данных
Часть подрядчиков расположена за пределами Российской Федерации. Передача персональных данных в иностранные юрисдикции осуществляется на основании Вашего согласия (ст. 12 № 152-ФЗ) и при наличии у получателя адекватного уровня защиты или стандартных договорных условий (Standard Contractual Clauses) для пользователей из ЕС.
Перечень государств — США, Великобритания, страны ЕС.
11. Сроки хранения
| Данные | Срок хранения |
|---|
| Фотографии | Не сохраняются (передаются в AI и удаляются) |
| UID, баланс анализов, история покупок | До запроса на удаление либо 3 года с момента последней активности |
| Хеши IP / fingerprint | До 12 месяцев (анти-фрод) |
| Логи серверов | До 6 месяцев |
| Бухгалтерские данные по платежам | 5 лет (требование НК РФ) |
| Аналитические события Mixpanel | До 24 месяцев |
12. Меры защиты информации
- Шифрование канала связи: HTTPS/TLS 1.3 на всём пути от Вашего браузера до сервера.
- Изоляция инфраструктуры: контейнеризация на Railway, отдельные среды dev/prod.
- Хеширование чувствительных идентификаторов (IP, fingerprint) — невозможно восстановить исходные значения.
- Принцип минимизации: собираем только то, что нужно для работы Сервиса.
- Cloudflare WAF и Turnstile для защиты от автоматизированных атак.
- Доступ к административной панели Сервиса — только у Оператора, по двухфакторной аутентификации.
- Регулярное обновление зависимостей и реакция на security-advisories.
13. Права субъекта персональных данных
В соответствии с № 152-ФЗ и GDPR Вы имеете следующие права:
- Право на доступ — получить информацию о том, какие данные мы обрабатываем.
- Право на исправление — потребовать исправить неточные данные.
- Право на удаление («право быть забытым») — потребовать удалить все Ваши данные.
- Право на ограничение обработки — приостановить использование данных.
- Право на переносимость данных — получить копию своих данных в машиночитаемом формате.
- Право возразить против обработки по основанию законного интереса.
- Право отозвать согласие в любой момент. Отзыв не влияет на законность обработки до момента отзыва.
- Право на жалобу в надзорный орган — Роскомнадзор (РФ), DPA соответствующей страны (ЕС).
14. Порядок реализации прав
Чтобы воспользоваться любым из перечисленных прав, направьте письменный запрос на e-mail andrei.darkez@gmail.com с темой «Privacy». В запросе укажите:
- Какое право Вы хотите реализовать;
- Ваш UID (можно посмотреть в DevTools браузера → Application → Cookies → ns_uid) — это поможет нам найти Ваши данные;
- Способ обратной связи.
Мы ответим в срок не более 30 календарных дней (для пользователей ЕС — в срок до одного месяца с возможностью продления на два месяца при сложности запроса, art. 12(3) GDPR).
15. Дети и возрастные ограничения
Сервис не предназначен для лиц младше 16 лет. Используя Сервис, Вы подтверждаете, что Вам исполнилось 16 лет либо что Вы пользуетесь им с согласия законного представителя.
Если нам станет известно, что мы непреднамеренно обработали данные лица младше 16 лет — мы немедленно удалим эти данные.
16. Согласие на обработку
Вы даёте согласие на обработку персональных данных в момент:
- Загрузки фотографии для анализа (явное действие — клик по кнопке);
- Использования Сервиса (продолжение использования после ознакомления с настоящей Политикой).
Согласие даётся на срок до его отзыва. Отозвать согласие можно в любой момент через e-mail (см. раздел 14).
17. Маркетинг и рассылки
На дату публикации Политики мы не ведём маркетинговые рассылки, не передаём контактные данные рекламным сетям, не используем UID для таргетированной рекламы вне Сервиса.
Если в будущем мы запустим рассылку — она будет требовать отдельного явного opt-in (галочка с подтверждением).
18. Запрос на удаление аккаунта и данных
Удалить все свои данные Вы можете двумя способами:
- Самостоятельно: очистите cookie и localStorage сайта в настройках браузера. Это удалит Ваш UID; новые посещения будут с чистого листа. Хеш IP/fingerprint удалится автоматически по истечении 12 месяцев.
- По запросу: напишите на andrei.darkez@gmail.com с темой «Delete my data» и укажите UID. Мы удалим все Ваши данные на серверах NeuroScan в течение 30 дней и подтвердим это письмом.
После удаления данные восстановлению не подлежат.
19. Инциденты безопасности
В случае утечки персональных данных, способной создать высокий риск для прав и свобод субъекта, мы:
- уведомим Роскомнадзор в срок до 24 часов с момента обнаружения (требование № 152-ФЗ);
- уведомим затронутых пользователей по доступным каналам в срок до 72 часов;
- опубликуем информацию об инциденте на этой странице.
20. Применимое право и подсудность
Настоящая Политика регулируется законодательством Российской Федерации. Споры между Вами и Оператором рассматриваются в суде по месту регистрации Оператора, если иное не предусмотрено императивными нормами законодательства Вашей страны проживания.
Для пользователей из ЕС применяются также положения GDPR. Жалобы можно направлять в надзорный орган страны Вашего проживания.
21. Изменения Политики
Мы можем обновлять Политику. Существенные изменения публикуются на этой странице с увеличением номера версии и обновлением даты «Действует с». Продолжая использовать Сервис после публикации новой версии, Вы соглашаетесь с её условиями.
История версий: 1.0 (28.04.2026) — первая публикация.
22. Контакты
ИП Занин Андрей Сергеевич
E-mail для запросов по приватности: andrei.darkez@gmail.com
Тема письма: «Privacy» / «Delete my data» / «GDPR request».
Мы отвечаем на каждый запрос в течение 30 календарных дней.
Privacy Policy
Version 1.0 · Effective from April 28, 2026 · Last updated: April 28, 2026
This Policy is drafted in compliance with Federal Law No. 152-FZ "On Personal Data" of the Russian Federation and, with respect to users from the European Union, with the General Data Protection Regulation (GDPR, Regulation EU 2016/679). The document is publicly available within the Service and applies to all users of
neuroscan.me and its subdomains.
1. Definitions
Service, NeuroScan, We — the software and infrastructure available at neuroscan.me and its subdomains, operated by sole proprietor Andrei Sergeevich Zanin.
User, You — any individual using the Service, including by visiting the website or uploading a photo for analysis.
Personal data — any information relating to a directly or indirectly identifiable User (Art. 4 GDPR; Art. 3 of FZ-152).
Processing — any operation on personal data: collection, recording, organisation, storage, adaptation, retrieval, use, disclosure, transmission, restriction, erasure, destruction.
Sub-processors (third parties) — independent organisations engaged by the Controller for technical Service support (hosting, AI processing, analytics, payment acceptance).
2. Data controller
The data controller is:
- Andrei Sergeevich Zanin (sole proprietor / IE)
- Correspondence address: provided upon request via e-mail.
- Contact e-mail: andrei.darkez@gmail.com
- Subject line for privacy requests: "Privacy"
3. Data we collect
We collect the minimum data necessary. Detailed list:
3.1. Data you provide voluntarily
- Face photo — uploaded via the Service interface for AI analysis.
- Vote (yes / no) on the analysis result — anonymous feedback.
3.2. Data collected automatically
- Anonymous device identifier (UID) — random 32-character string stored in your browser cookie and localStorage. Does not identify you as an individual.
- IP address — stored only as a cryptographic hash (SHA-256, truncated to 16 chars). The original IP cannot be recovered from the hash.
- Browser fingerprint — computed client-side from device characteristics (canvas, WebGL, screen resolution, timezone, user-agent), stored on the server only as a hash.
- Browser technical data: browser and OS version, interface language, referrer, request timestamps.
- Country by IP — determined via Cloudflare, used for automatic UI language selection. Not stored.
- UI events — clicks, language switches, paywall views, payment attempts — collected via Mixpanel (see section 7).
3.3. What we do NOT collect
- We do not collect full name, date of birth, passport, tax IDs, social security numbers.
- We do not collect phone numbers or e-mail addresses (unless you write to us yourself).
- We do not collect biometric data within the meaning of Art. 9 GDPR — photos are processed in a non-identifying manner and are not used for personal identification.
- We do not collect health data, political opinions, religion, sexual orientation.
- We do not access your contacts, files, camera or microphone without your explicit action (photo upload is initiated only by you).
4. Purposes and legal bases
| Purpose | Data category | Legal basis |
|---|
| Providing AI face analysis | Photo, UID | Consent (Art. 6(1)(a), 9(2)(a) GDPR) |
| Tracking analysis balance | UID, balance | Performance of contract (Art. 6(1)(b) GDPR) |
| Anti-fraud / abuse prevention | Hashed IP, hashed fingerprint | Legitimate interest (Art. 6(1)(f) GDPR) |
| Product analytics | UI events, anonymised technical data | Legitimate interest |
| Payment processing | Payment details handled by provider | Performance of contract |
| Legal compliance | Logs, accounting data | Legal obligation |
5. Photo processing — special section
Face photos you upload are the most sensitive data category. Therefore we apply specific rules:
- Transfer to AI: the photo is sent in base64 to the xAI (Grok Vision) API — our technology sub-processor. This happens at the moment you click "Analyse".
- Not stored on our servers: after the AI response is received and shown in your browser, the photo is removed from RAM and is NOT persisted to NeuroScan storage.
- Not used for training: we do not use uploaded photos for training any machine-learning models. xAI applies its own data-handling policies — see xAI Privacy Policy.
- Not shared with third parties other than xAI.
- Not published in the Service — only you see your photo at the moment of upload.
- Not used for identification — we do not maintain a face database, do not match photos to real people, do not build biometric templates for identification.
6. Cookies and device identifiers
The Service uses only strictly necessary cookies:
- ns_uid — anonymous user identifier. Term: 2 years. Purpose: bind your analyses to your token balance. SameSite=Lax.
- ns_lang — your chosen interface language (RU/EN). Term: indefinite. Purpose: remember your choice.
- localStorage NeuroScan — mirrors UID and fingerprint in browser local storage for resilience to cookie clearing.
We do not set marketing, advertising, or third-party tracking cookies. Cloudflare may set technical cookies for bot protection (cf_clearance), which we do not use for tracking.
7. Analytics and Mixpanel
We use Mixpanel Inc. (USA) for product analytics. Mixpanel receives:
- Your UID (anonymous identifier);
- Browser technical data (device type, OS, country, language);
- UI interaction events (which buttons clicked, which result shown, errors).
Mixpanel does NOT receive your photos or analysis content. Sessions may be recorded (Session Replay) with sensitive fields masked. More: Mixpanel Privacy Policy.
If you wish to opt out of analytics, e-mail us and we will manually add your UID to the exclusion list.
8. Payment data
Payments (once enabled) are processed by licensed payment providers:
- YooKassa (RUB payments) — Russian payment provider.
- Paddle (international payments) — Paddle.com Market Limited, merchant of record.
NeuroScan does not receive or store credit card numbers, CVCs, or bank account details. This data is handled exclusively by the payment provider per PCI DSS standards. We receive only: payment status (success/fail), transaction ID, amount, currency, date.
9. Third parties
We engage the following sub-processors:
| Sub-processor | Purpose | Data received | Jurisdiction |
|---|
| xAI Corp. | AI photo processing | Photo, prompt | USA |
| Mixpanel Inc. | Product analytics | UID, UI events | USA |
| Cloudflare Inc. | CDN, DDoS, Turnstile bot protection | IP, technical headers | USA / global |
| Railway Corp. | Application hosting | All server requests | USA |
| YooMoney NBCO LLC | RUB payment acceptance | Payment data | Russia |
| Paddle.com Market Ltd. | International payment acceptance | Payment data | UK / EU |
Disclosure to government authorities occurs only when explicitly required by applicable law (lawful request from law enforcement).
10. International data transfers
Some sub-processors are located outside the Russian Federation and the EU. Personal data transfers to foreign jurisdictions are based on your consent (Art. 12 of FZ-152) and, for EU users, are protected by Standard Contractual Clauses or equivalent safeguards under Chapter V GDPR.
List of countries: USA, United Kingdom, EU member states.
11. Retention periods
| Data | Retention period |
|---|
| Photos | Not stored (passed to AI then erased) |
| UID, balance, purchase history | Until deletion request or 3 years from last activity |
| Hashed IP / fingerprint | Up to 12 months (anti-fraud) |
| Server logs | Up to 6 months |
| Payment accounting records | 5 years (tax law requirement) |
| Mixpanel analytics events | Up to 24 months |
12. Security measures
- HTTPS/TLS 1.3 encryption end-to-end from your browser to our server.
- Infrastructure isolation: containerised on Railway, separate dev / prod environments.
- Hashing of sensitive identifiers (IP, fingerprint) — original values cannot be recovered.
- Data minimisation principle: we collect only what is needed for the Service.
- Cloudflare WAF and Turnstile for protection against automated attacks.
- Admin panel access — restricted to the Controller, two-factor authentication.
- Regular dependency updates and response to security advisories.
13. Your rights
Under FZ-152 and GDPR you have the following rights:
- Right of access — get information about what data we process.
- Right to rectification — request correction of inaccurate data.
- Right to erasure ("right to be forgotten") — request deletion of all your data.
- Right to restriction — pause data use.
- Right to data portability — receive your data in a machine-readable format.
- Right to object to processing on legitimate-interest grounds.
- Right to withdraw consent at any time. Withdrawal does not affect the lawfulness of prior processing.
- Right to lodge a complaint with a supervisory authority — Roskomnadzor (Russia) or your country's DPA (EU).
14. How to exercise your rights
To exercise any of the above rights, send a written request to andrei.darkez@gmail.com with subject "Privacy". Specify:
- Which right you wish to exercise;
- Your UID (visible in your browser DevTools → Application → Cookies → ns_uid) — helps us locate your data;
- How you'd like us to respond.
We respond within 30 calendar days (for EU users — within one month, extendable to two months for complex requests, Art. 12(3) GDPR).
15. Children and age limits
The Service is not intended for individuals under 16 years of age. By using the Service you confirm that you are at least 16 or that you use it with the consent of a legal guardian.
If we learn that we inadvertently processed data of a person under 16, we will erase it immediately.
16. Consent
You provide consent to data processing at the moment of:
- Uploading a photo for analysis (explicit action — clicking the button);
- Using the Service (continued use after acquaintance with this Policy).
Consent is granted until withdrawn. You may withdraw consent at any time via e-mail (see section 14).
17. Marketing
As of the publication date of this Policy we do not run marketing campaigns, do not share contact data with ad networks, and do not use UID for targeted advertising outside the Service.
If we ever launch a newsletter, it will require a separate explicit opt-in.
18. Account and data deletion
You can delete all your data in two ways:
- Self-service: clear cookies and localStorage for the site in your browser settings. This removes your UID; subsequent visits start fresh. Hashed IP/fingerprint are deleted automatically after 12 months.
- Upon request: e-mail andrei.darkez@gmail.com with subject "Delete my data" and your UID. We will erase all your data on NeuroScan servers within 30 days and confirm by reply.
Deletion is irreversible.
19. Security incidents
In the event of a personal data breach likely to result in a high risk to the rights and freedoms of the data subject, we will:
- notify Roskomnadzor within 24 hours of detection (FZ-152 requirement);
- notify affected users within 72 hours via available channels;
- publish information about the incident on this page.
20. Governing law and jurisdiction
This Policy is governed by the laws of the Russian Federation. Disputes between you and the Controller are heard in the court at the Controller's registration place, unless mandatory provisions of your country of residence specify otherwise.
For EU users GDPR provisions also apply. Complaints may be filed with the supervisory authority of your country of residence.
21. Policy changes
We may update this Policy. Material changes are published on this page with a version number bump and an updated "Effective from" date. By continuing to use the Service after a new version is published, you accept its terms.
Version history: 1.0 (April 28, 2026) — initial publication.
22. Contact
Andrei Sergeevich Zanin (sole proprietor / IE)
E-mail for privacy requests: andrei.darkez@gmail.com
Subject line: "Privacy" / "Delete my data" / "GDPR request".
We respond to every request within 30 calendar days.