Tavora

Политика конфиденциальности

Как мы обрабатываем данные, касающиеся Вас.

На этой странице разъясняется, какие данные мы собираем, когда Вы используете Tavora, для каких целей мы их используем и как Вы можете осуществлять свои права. Документ составлен в соответствии с Регламентом (ЕС) 2016/679 (GDPR).

Последнее обновление:

1Введение

Tavora («Бот») — это Telegram-бот для управления сообществами, предложениями, голосованиями и совместными задачами. Настоящая Политика конфиденциальности описывает, какие данные мы собираем, как мы их используем и как мы их защищаем.

Используя Бота, Вы принимаете практики, описанные в настоящей Политике.

2Контролёр данных

Tavora Systems
Эл. почта: tavorasystems@gmail.com

3Собираемые данные

3.1 Идентификационные данные Telegram

Когда Вы взаимодействуете с Ботом, мы автоматически собираем:

  • Telegram User ID — уникальный числовой идентификатор
  • Имя пользователя Telegram — публичное имя пользователя
  • Временные метки — дата и время первого и последнего взаимодействия

Эти данные необходимы для функционирования Бота и автоматически предоставляются Telegram при каждом взаимодействии.

3.2 Контент, создаваемый пользователем

  • Предложения: заголовок, описание, тип, вложения (фотографии, видео, документы)
  • Голоса: тип голоса (за/против), связанный с Вашим User ID
  • Комментарии: текст комментариев к предложениям и голосованиям
  • Задачи: заголовок, описание, заметки, чек-лист, вложения
  • Заметки к задачам: текст заметок (публичных или приватных)

Чтобы сохранить исходное форматирование, которое Вы вводите (полужирный, курсив, ссылки, анимированные эмодзи Telegram Premium), мы также храним «обогащённую» HTML-версию Вашего контента — наряду с обычным текстом. Анимированные эмодзи Telegram Premium сохраняются как числовой идентификатор (custom emoji ID), а не как изображение.

3.3 Данные сообществ

  • Роль и принадлежность к сообществам (участник, администратор, основатель)
  • Персональные разрешения, назначенные внутри каждого сообщества
  • Заявки на вступление в сообщества с ручным одобрением
  • Бан на уровне сообщества — пользователи, заблокированные в конкретном сообществе, регистрируются с User ID, автором бана и временной меткой
  • Запросы на передачу прав владельца — когда основатель передаёт сообщество другому пользователю, мы регистрируем два задействованных User ID и статус запроса
  • Язык публикации сообщества — язык, выбранный основателем для сообщений, публикуемых в группах (карточки предложений, голосования, задачи, объявления). Это настройка сообщества, а не личная

3.4 Пользовательские настройки

  • Личный язык — определяется автоматически при первом запуске на основе языкового кода Вашего Telegram (например, it, en) и используется для интерфейса. Вы можете изменить его в любой момент в Настройках Бота
  • Часовой пояс — если задан вручную, для отправки напоминаний. Сохраняется в виде строки часового пояса (например, Europe/Rome) и в виде смещения в минутах
  • Настройки уведомлений — предпочтения уведомлений по сообществам
  • Статус блокировки Бота — если Вы блокируете Бота в Telegram, мы регистрируем это событие (дату и последнюю ошибку отправки), чтобы не пытаться напрасно с Вами связаться. Мы автоматически снимаем флаг, если Вы возобновляете взаимодействие

3.5 Данные групп Telegram

Когда Бот добавляется в группу, мы сохраняем:

  • ID группы и её название
  • Присутствие пользователей в группе (только ID и имя пользователя — для проверки членства в целях политики отправки предложений)

3.6 Технические данные и журнал аудита

  • История событий задач — мы регистрируем, кто создал, изменил, завершил или удалил задачу (журнал аудита)
  • Цифровая подпись — экспортируемые PDF-файлы содержат хэш SHA-256 содержимого для проверки его целостности. Хэш является публичным и не содержит конфиденциальных данных
  • Временные данные мастеров — сессии заполнения (создание предложений/задач) сохраняются временно, чтобы Вы могли продолжить их после перезапуска Бота, и автоматически удаляются после 24 часов бездействия
  • Вложения в сообщениях об ошибках и отзывах — когда Вы отправляете нам сообщение через функцию «Обратная связь» Бота, любые приложенные файлы (фотографии, видео, документы) сохраняются как ссылка Telegram (file_id) вместе с сообщением соответствующей служебной группы, чтобы мы могли просматривать их во время работы над обращением. Эти ссылки автоматически удаляются примерно через 30 дней

3.7 Данные, связанные с пожертвованиями

Бот предлагает возможность поддержать проект посредством пожертвований в Telegram Stars. Когда Вы делаете пожертвование, мы регистрируем:

  • User ID и имя пользователя Telegram жертвователя
  • Имя (first_name) Telegram жертвователя — используется исключительно для того, чтобы публично поблагодарить Вас в официальном канале (если Вы согласны), либо для отображения значка жертвователя
  • Сумму пожертвования в Stars
  • ID транзакции (charge_id), возвращаемый Telegram, полезен для возможных возвратов или споров
  • Дату и время пожертвования

Мы не получаем и не храним реквизиты Вашего платёжного средства (карты, счёта и т. п.): транзакция полностью выполняется внутри Telegram Stars. См. также Политику конфиденциальности Telegram.

3.8 Внутренняя продуктовая аналитика (бета-этап)

На бета-этапе работы Бота мы регистрируем агрегированные события начальной активации пользователей — например, когда Вы видите кнопку «Создайте Ваше первое сообщество», нажимаете ли Вы её и завершаете ли создание Вашего первого сообщества. Мы делаем это, чтобы понять, что нужно улучшить в продукте.

Эти события связаны с Вашим User ID и временной меткой, остаются внутри команды Tavora, никогда не передаются третьим лицам и не используются для профилирования или рекламы, и будут удалены по завершении бета-этапа. Вы можете запросить их досрочное удаление по электронной почте (см. раздел 9).

3.9 Данные, связанные с Tavora AI (диалоговый ассистент)

Tavora включает ИИ-ассистента, который отвечает на вопросы участников на основе материалов, загруженных в Библиотеку сообщества, и базовых знаний Tavora. Когда Вы взаимодействуете с Tavora AI, мы собираем следующие данные:

  • История переписки (память) — задаваемые Вами вопросы и ответы AI в личном чате с ботом сохраняются, чтобы обеспечить согласованные ответы на протяжении нескольких реплик («помните, о чём я спрашивал?»). Память является постоянной до тех пор, пока Вы не очистите её вручную (см. раздел 9) или не пройдёт 30 дней полного бездействия с этим AI. Каждая память изолирована по паре (пользователь, сообщество)
  • Синтетический профиль пользователя для ИИ — автоматическое резюме Вашего стиля взаимодействия (макс. 200 символов), формируемое еженедельно для калибровки тона ассистента. Обновляется в агрегированном виде, никогда не используется для идентификации или коммерческого профилирования Вас
  • Резюме истории переписки — когда память превышает ~20 ходов, более старые ходы сжимаются в резюме (~300 символов), сохраняемое вместо оригинальных ходов. 10 наиболее свежих ходов сохраняются в неизменном виде
  • Счётчики использования — количество заданных вопросов в скользящих окнах (24ч на пользователя, 7 дней на сообщество), для применения описанных в боте ограничений использования. Они не содержат текста вопросов
  • Кэш ответов — публичные вопросы к глобальному Tavora AI (меню /start) связываются с ответом через числовой embedding для предоставления мгновенных ответов на похожие вопросы. Кэш никогда не содержит идентифицируемых персональных данных, кроме самого вопроса

В групповых чатах с /ask НИКАКАЯ память не сохраняется: каждый вопрос в группе изолирован — из соображений конфиденциальности. Публичные ответы остаются независимыми.

3.10 Автоматическая модерация Инструкций ИИ

Когда основатель или администратор сообщества сохраняет Инструкцию ИИ (правило поведения, которому должен следовать ассистент), текст инструкции отправляется провайдеру модели ИИ (см. раздел 7.3) для автоматической проверки безопасности. Если инструкция нарушает политики использования (оскорбления, prompt-injection, незаконная деятельность), она помечается как «проигнорирована», и ИИ её не применяет. Пользователь видит примечание ИИ, объясняющее причину.

Провайдеру отправляется только текст инструкции — никакие другие персональные данные администратора или участников сообщества не передаются.

3.11 Данные, которые НЕ собираются

Бот не собирает:

  • Фамилию, адрес электронной почты, номер телефона
  • Фотографию профиля или биографические данные
  • Данные геолокации или GPS
  • Личные сообщения вне переписки с Ботом
  • Данные из других приложений или сервисов
  • Историю просмотров, файлы cookie или данные устройства
  • Платёжные реквизиты (банковские карты, банковские счета, IBAN)

Примечание: first name Telegram может быть сохранён только для жертвователей (см. 3.7). Для всех остальных пользователей мы регистрируем исключительно числовой User ID и имя пользователя Telegram (см. 3.1).

4Как мы используем данные

Собранные данные используются исключительно для:

  • Функционирования Бота — управления предложениями, голосованиями, задачами и сообществами
  • Отображения — показа авторов, голосов и комментариев участникам сообщества
  • Уведомлений — отправки напоминаний, обновлений по задачам и результатов голосований
  • Экспорта — формирования PDF-отчётов о деятельности сообщества (по запросу администраторов)
  • Модерации — управления банами, разрешениями и ролями внутри сообществ
  • Tavora AI — ответов на вопросы участников на основе материалов Библиотеки + памяти переписки для сохранения согласованности между ходами одного и того же лица

Данные не используются для:

  • Коммерческого или рекламного профилирования
  • Продажи третьим лицам
  • Поведенческого анализа или маркетинга

5Видимость данных

Что видят другие участники сообщества

  • Предложения: Ваше имя пользователя в качестве автора видно всем участникам
  • Голоса: Ваш голос и имя пользователя видны управляющим сообщества (через команду /votes)
  • Комментарии: Ваши комментарии видны участникам группы, в которой они опубликованы
  • Задачи: назначения и публичные заметки видны участникам сообщества
  • Приватные заметки: видны только Вам, а также администраторам и исполнителям задачи

Что НЕ является видимым

  • Ваши приватные взаимодействия с Ботом (личные сообщения)
  • Предложения, которые Вы скрыли в своём личном представлении

6Хранение данных

  • Данные хранятся в течение всего срока использования Бота и сообщества
  • Удаление сообщества: когда основатель удаляет сообщество, участники удаляются немедленно, а сообщество помечается как «ожидающее удаления» (мягкое удаление с временной меткой). Связанные данные (предложения, голоса, задачи) хранятся в течение 10 дней, в течение которых можно запросить их восстановление по электронной почте. По истечении срока сообщество и все связанные с ним данные удаляются окончательно и автоматически
  • Временные сессии мастеров: сессии заполнения (создание предложений/задач) автоматически удаляются после 24 часов бездействия
  • Вложения обратной связи: вложения сообщений, отправленных через функцию «Обратная связь», автоматически удаляются примерно через 30 дней
  • Орфанные предложения: предложения, находящиеся в ожидающем статусе более 7 дней, автоматически финализируются
  • Глобальный бан: в случае бана Ваш User ID и имя пользователя сохраняются в списке банов
  • Блокировка Бота: если Вы блокируете Бота в Telegram, мы регистрируем это событие и статус блокировки. Ваши данные остаются в базе данных, но Вы больше не будете получать сообщений от Бота
  • События бета-аналитики: события онбординга (раздел 3.8) будут удалены или анонимизированы по завершении бета-этапа Бота
  • Память Tavora AI: ходы переписки с ИИ-ассистентом (личный чат) хранятся до тех пор, пока Вы не очистите их вручную кнопкой «🧹 Сбросить память» (см. раздел 9) или не пройдёт 30 дней полного бездействия с этим ИИ. В группах (/ask) память не сохраняется
  • Синтетический профиль пользователя ИИ: обновляется еженедельно, заменяется самой последней версией. Удаляется при сбросе памяти или при удалении учётной записи
  • Кэш глобальных ответов ИИ: сохраняется до тех пор, пока не изменятся базовые материалы. Автоматически инвалидируется при изменениях knowledge base

7Сторонние сервисы

7.1 Telegram

Бот работает исключительно через API Telegram. Все сообщения, файлы и взаимодействия проходят через серверы Telegram в соответствии с их Политикой конфиденциальности.

Вложения (фотографии, видео, документы) не сохраняются на наших серверах — сохраняется только ссылка (file_id), предоставленная Telegram. Сами файлы остаются на серверах Telegram.

7.2 База данных

Данные хранятся в базе данных PostgreSQL, управляемой в частном порядке. Мы не используем сторонние облачные сервисы для хранения данных.

7.3 Anthropic (Tavora AI)

Для ответов Tavora AI (диалогового ассистента) Бот использует Anthropic (anthropic.com) — провайдера языковой модели Claude. Когда пользователь задаёт вопрос AI, провайдеру передаются исключительно:

  • Текст текущего вопроса
  • Предыдущие ходы переписки (в личном чате), чтобы обеспечить согласованность ответа — см. раздел 3.9
  • Релевантные фрагменты материалов Библиотеки сообщества (только те, что отмечены ИИ=Да командой)
  • Инструкции ИИ команды сообщества (правила поведения, см. 3.10)

Anthropic не использует полученные данные для обучения моделей (стандартная клаузула API), хранит их не более 30 дней в целях безопасности и затем удаляет. См. Политику конфиденциальности Anthropic и Data Processing Addendum.

НЕ передаются Anthropic: Ваш Telegram User ID, имя пользователя, персональные данные, данные других сообществ, переписки с другими пользователями. Сообщество изолировано, и Anthropic не знает, кто Вы.

Векторные embeddings: вычисление embeddings (числового представления текстов для retrieval) выполняется локально на сервере Бота с помощью открытой модели multilingual-e5-large. Никакие данные embeddings не передаются третьим лицам.

7.4 Никаких других сторонних сервисов

Помимо Telegram (7.1) и Anthropic (7.3), Бот не опирается на:

  • Сторонние сервисы аналитики или отслеживания (Google Analytics, Mixpanel, Amplitude и т. д.)
  • Файлы cookie или пиксели отслеживания
  • Рекламные сервисы
  • Внешние API, помимо Telegram

Для прозрачности: единственное отслеживание, которое мы выполняем, — это внутреннее и агрегированное, описанное в разделе 3.8 (продуктовая аналитика на бета-этапе).

8Безопасность данных

Мы применяем следующие меры безопасности:

  • Параметризованные запросы — защита от SQL-инъекций
  • Шифрование диска — данные в состоянии покоя защищены посредством encryption at rest
  • Защищённое соединение — зашифрованные коммуникации между Ботом и базой данных
  • Безопасное журналирование — токены аутентификации и конфиденциальные данные не записываются в журналы
  • Ограничения против злоупотреблений — rate limiting на создание предложений, задач и взаимодействий
  • Валидация ввода — все пользовательские входные данные валидируются и обрезаются до безопасной максимальной длины
  • Ограниченный доступ — только администраторы Бота имеют прямой доступ к базе данных
  • Цифровая подпись — экспортируемые PDF-документы подписываются с использованием SHA-256 для гарантии их целостности

9Ваши права

9.1 Право на доступ

Вы можете запросить, какие данные о Вас мы храним, связавшись с нами по электронной почте.

9.2 Право на удаление

Вы можете запросить полное удаление Ваших данных. Бот располагает встроенной функцией GDPR. Удаление влечёт за собой:

  • Удаление: учётной записи пользователя, членств в сообществах, ролей, банов, заявок на доступ, запросов на передачу прав
  • Удаление сообществ, основателем которых Вы являетесь (включая все связанные данные)
  • Анонимизацию: созданных предложений, отданных голосов, комментариев, созданных/назначенных задач, заметок, событий, шаблонов

Созданный контент (тексты предложений, комментарии, заметки к задачам) анонимизируется, но сохраняется, поскольку является достоянием сообщества. Агрегированные подсчёты голосов остаются неизменными, однако личность голосовавшего удаляется.

9.3 Право на исправление

Ваше имя пользователя Telegram автоматически обновляется в Боте, когда Вы изменяете его в Telegram.

9.4 Право на переносимость

Вы можете экспортировать данные Ваших сообществ через функции экспорта PDF/ZIP, доступные в Боте (предложения, задачи, голосования).

9.5 Право на возражение

  • Вы можете покинуть любое сообщество в любой момент через меню Бота
  • Вы можете заблокировать Бота, чтобы прервать любые коммуникации
  • Вы можете скрыть Ваши предложения из личного представления

9.6 Право на удаление памяти с Tavora AI

Вы можете самостоятельно удалить память Вашей переписки с Tavora AI в любой момент, не обращаясь по электронной почте:

  • Tavora AI сообщества (приватный): откройте сообщество → нажмите 🤖 Tavora AI → кнопка 🧹 Сбросить память (N) всегда видна (N = количество сохранённых обменов)
  • Глобальный Tavora AI (меню /start): нажмите ⚙️ Настройки → кнопка 🧹 Сбросить память Tavora AI (N)

Сброс немедленно удаляет: все ходы переписки, синтетический профиль пользователя ИИ и возможное резюме истории. Операция необратима и требует явного подтверждения. Любая память также автоматически удаляется после 30 дней полного бездействия.

Чтобы воспользоваться остальными правами (доступ, полное удаление, исправление), направьте письмо на адрес tavorasystems@gmail.com, указав Ваш Telegram User ID.

10Несовершеннолетние

Бот не предназначен для несовершеннолетних младше 16 лет. Мы не собираем сознательно данные несовершеннолетних. Если родитель или опекун считает, что несовершеннолетний предоставил персональные данные, он может связаться с администратором для их удаления.

11Изменения Политики конфиденциальности

Мы оставляем за собой право обновлять настоящую Политику конфиденциальности. В случае существенных изменений пользователи будут проинформированы посредством сообщения в Боте. Дата последнего обновления указана в верхней части настоящей страницы.

12Контакты

По вопросам, запросам на доступ или удаление данных пишите на:

Укажите Ваш Telegram User ID в обращении, чтобы мы могли идентифицировать Ваши данные.

13Данные формы поддержки

Когда Вы заполняете форму поддержки на лендинге (/support/), мы собираем данные, которые Вы добровольно предоставляете для обработки Вашего сообщения.

Что мы собираем

  • Тип (ошибка или предложение), заголовок (макс. 120 символов) и описание (макс. 4000 символов)
  • Email отправителя (для ответа)
  • Опциональные вложения (макс. 3 файла, 4 МБ всего; принимаемые типы: JPG, PNG, WebP, GIF, MP4, WebM, MOV, PDF, TXT)
  • Язык страницы и хеш IP (SHA-256 с солью), используемый только для rate-limiting и диагностических логов, никогда в открытом виде

Правовое основание и цель

Мы обрабатываем эти данные на основании Вашего явного согласия (ст. 6.1.a GDPR — обязательная галочка в форме) и для исполнения услуги, запрошенной субъектом данных (ст. 6.1.b GDPR — для ответа Вам). Без явного согласия форма не отправляется.

Субподрядчики

Письма доставляются в наш почтовый ящик tavorasystems@gmail.com через Resend Inc. (США), провайдера транзакционных email, отвечающего стандарту EU-US Data Privacy Framework. Resend обрабатывает данные как процессор от нашего имени по Data Processing Agreement.

Анти-бот проверка осуществляется Cloudflare Turnstile (Cloudflare Inc., США) — не использует постоянные cookies и кросс-сайт трекинг.

Хранение

Полученные письма хранятся в нашем Gmail-ящике в течение времени, необходимого для обработки сообщения, и в любом случае не более 24 месяцев — для целей аудита. Диагностические логи Vercel Function (хеш IP, страна, результат) хранятся 7 дней и не содержат персональных данных в открытом виде.

Ваши права

Вы можете запросить доступ, исправление, удаление, ограничение, переносимость или возражение, написав на tavorasystems@gmail.com (см. также раздел 9 — «Ваши права»). Вы можете отозвать согласие в любой момент; отзыв не влияет на законность обработки, осуществлённой до отзыва.

Передача за пределы ЕС: Resend и Cloudflare имеют серверы в США. Передача основана на Data Privacy Framework и Стандартных договорных положениях, где применимо.

Настоящая Политика конфиденциальности соответствует Регламенту (ЕС) 2016/679 (GDPR) и применяется ко всем пользователям Бота Tavora в Telegram.