ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Сервис LoomyClips (loomyclips.com)

Редакция от 24 апреля 2026 г. Версия 1.0

Общие положения
Термины и определения
Сведения об операторе персональных данных
Ответственный за организацию обработки персональных данных
Принципы и цели обработки персональных данных
Правовые основания обработки персональных данных
Категории субъектов персональных данных
Перечень обрабатываемых персональных данных
Обработка лиц в кадре загружаемых видеоматериалов
Источники получения персональных данных
Способы и порядок обработки персональных данных
Передача персональных данных третьим лицам (обработчики по поручению)
Трансграничная передача персональных данных
Локализация персональных данных на территории Российской Федерации
Сроки обработки и хранения персональных данных
Меры по обеспечению безопасности персональных данных
Права субъекта персональных данных
Порядок рассмотрения обращений субъектов персональных данных
Порядок актуализации и изменения настоящей Политики

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение и цель документа

Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок, условия и цели обработки персональных данных физических лиц, осуществляемой индивидуальным предпринимателем Зиновьевым Михаилом Николаевичем (далее — «Оператор») при предоставлении услуг посредством интернет-сервиса LoomyClips, расположенного по адресу: loomyclips.com (далее — «Сервис», «Платформа»).

Настоящая Политика разработана во исполнение требований части 2 статьи 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — «ФЗ-152») и является публичным документом, обязательным к ознакомлению всеми лицами, предоставляющими свои персональные данные Оператору.

Политика распространяется на все процессы обработки персональных данных, осуществляемые Оператором как с использованием средств автоматизации, так и без таковых.

1.2. Применимое право и нормативная база

Обработка персональных данных осуществляется в соответствии со следующими нормативными правовыми актами:

Конституция Российской Федерации, статьи 23 и 24 — гарантия неприкосновенности частной жизни, личной и семейной тайны, тайны переписки, а также запрет сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» в действующей редакции, включая редакцию, внесённую Федеральным законом от 28 февраля 2025 года № 23-ФЗ (в части требований к локализации персональных данных граждан Российской Федерации, вступивших в силу с 01 сентября 2025 года — часть 5 статьи 18 ФЗ-152);
Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 24 июня 2025 года № 156-ФЗ (вступил в силу 01 сентября 2025 года) — в части требования оформлять согласие на обработку персональных данных отдельным самостоятельным документом, не совмещённым с иными соглашениями;
Федеральный закон от 30 ноября 2024 года № 420-ФЗ — в части ужесточения административной ответственности по статье 13.11 КоАП РФ (штрафы до 500 миллионов рублей за утечки персональных данных, вступили в силу с 30 мая 2025 года);
Федеральный закон от 30 ноября 2024 года № 421-ФЗ — в части введения уголовной ответственности по статье 272.1 УК РФ за незаконный оборот персональных данных;
Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказ Роскомнадзора от 24 февраля 2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных»;
Приказ Роскомнадзора № 180 — форма уведомления об обработке персональных данных;
Письмо Роскомнадзора от 01 августа 2024 года № 62450-02-11/77 — позиция регулятора в отношении квалификации биометрических персональных данных: критерием является цель идентификации субъекта, а не сам факт обработки изображения или голоса;
Иные нормативные правовые акты Российской Федерации в области персональных данных, информационной безопасности и защиты прав потребителей.

1.3. Сфера применения Политики

Настоящая Политика применяется к:

пользователям Сервиса loomyclips.com, зарегистрировавшимся через механизм аутентификации Google OAuth;
лицам, обращающимся к Оператору через форму обратной связи, электронную почту или иные каналы коммуникации;
партнёрам, принявшим оферту партнёрской программы LoomyClips;
представителям юридических лиц и индивидуальных предпринимателей, использующих Сервис в своей деятельности.

Использование Сервиса лицами моложе 18 (восемнадцати) лет не допускается. Регистрируясь в Сервисе, пользователь подтверждает, что достиг возраста 18 лет.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

В целях настоящей Политики применяются следующие основные понятия:

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ-152).

Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются Оператором (далее — «Субъект» или «Пользователь»).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В целях настоящей Политики Оператором является ИП Зиновьев Михаил Николаевич.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 ФЗ-152).

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (ст. 11 ФЗ-152). Ключевым признаком биометрических персональных данных является целевое использование сведений для идентификации конкретного лица.

Специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 ФЗ-152).

Согласие на обработку персональных данных — свободное, конкретное, информированное и однозначное волеизъявление субъекта персональных данных на обработку его персональных данных, оформленное в виде самостоятельного документа в соответствии с требованиями ФЗ-156/2025.

Обработчик (лицо, осуществляющее обработку по поручению оператора) — лицо, которое обрабатывает персональные данные по поручению оператора на основании заключённого с ним договора (ч. 3 ст. 6 ФЗ-152).

Политика — настоящая Политика обработки персональных данных.

Сервис, Платформа — интернет-сервис LoomyClips, доступный по адресу loomyclips.com, предоставляющий услуги автоматизированного монтажа и обработки видеоматериалов.

ПЭП (Простая электронная подпись) — электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определённым лицом. В Сервисе используется в форме проставления отметки (чекбокса) при регистрации.

3. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Реквизит	Значение
Наименование	Индивидуальный предприниматель Зиновьев Михаил Николаевич
ОГРНИП	326774600287471
ИНН	770602340640
Адрес регистрации (юридический и почтовый адрес)	119072, Россия, г. Москва, муниципальный округ Якиманка, ул. Серафимовича, д. 2
Адрес для направления корреспонденции	119072, Россия, г. Москва, муниципальный округ Якиманка, ул. Серафимовича, д. 2
Название интернет-сервиса	LoomyClips (Луми Клипы)
Основной домен	loomyclips.com
Адрес электронной почты для официальных обращений	support@loomyclips.com
Телефон	не указан
Система налогообложения	УСН «доходы» 6%; НДС не облагается

Оператор осуществляет обработку персональных данных в рамках деятельности по предоставлению сервиса автоматизированного монтажа видеоматериалов с применением технологий машинного обучения и искусственного интеллекта.

4. ОТВЕТСТВЕННЫЙ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Назначение ответственного

В соответствии со статьёй 22.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» Оператором назначен ответственный за организацию обработки персональных данных.

Ответственным за организацию обработки персональных данных является непосредственно сам Оператор — Зиновьев Михаил Николаевич (ИП, ОГРНИП 326774600287471), что зафиксировано соответствующим приказом.

4.2. Функции ответственного за организацию обработки ПДн

Ответственный за организацию обработки персональных данных исполняет следующие функции в соответствии со статьёй 22.1 ФЗ-152:

Организационные функции:
организует внутренний контроль за соответствием обработки персональных данных требованиям законодательства Российской Федерации;
доводит до сведения работников Оператора (при их наличии) положения законодательства Российской Федерации о персональных данных, требования к защите персональных данных, документы Оператора по вопросам обработки персональных данных;
организует приём и обработку обращений и запросов субъектов персональных данных;
Контрольные функции:
осуществляет контроль за соблюдением законодательства в области персональных данных всеми лицами, получающими доступ к ПДн;
контролирует исполнение поручений по обработке персональных данных, выданных третьим лицам (обработчикам);
проводит периодические внутренние проверки соответствия обработки персональных данных нормам законодательства;
Документационные функции:
разрабатывает, актуализирует и контролирует применение внутренних документов в области персональных данных (Политика, Положение об обработке ПДн, согласия, журналы);
ведёт журнал учёта обращений субъектов персональных данных;
Взаимодействие с регулятором:
взаимодействует с Роскомнадзором по вопросам обработки персональных данных;
подаёт и актуализирует уведомление об обработке персональных данных в Реестре операторов ПДн (pd.rkn.gov.ru).

4.3. Контактные данные ответственного

Обращения субъектов персональных данных к ответственному направляются на адрес электронной почты: support@loomyclips.com или почтовым отправлением по адресу: 119072, Россия, г. Москва, муниципальный округ Якиманка, ул. Серафимовича, д. 2.

5. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Принципы обработки

Оператор при обработке персональных данных руководствуется следующими принципами, установленными статьёй 5 Федерального закона от 27 июля 2006 года № 152-ФЗ:

Законность и справедливость — обработка персональных данных осуществляется исключительно на законных основаниях; Оператор не допускает обработки, противоречащей действующему законодательству;
Ограничение обработки конкретными, заранее определёнными и законными целями — персональные данные обрабатываются исключительно в целях, перечисленных в разделе 5.2 настоящей Политики; обработка, несовместимая с первоначально заявленными целями, не допускается;
Недопущение объединения несовместимых целей — Оператор не допускает объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
Соответствие объёма обрабатываемых данных целям обработки (минимизация) — объём и состав персональных данных соответствуют заявленным целям обработки; Оператор не собирает избыточных данных;
Точность и актуальность — Оператор принимает меры для обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки;
Ограничение хранения — хранение персональных данных осуществляется в форме, допускающей определение субъекта, не дольше, чем этого требуют цели обработки; конкретные сроки хранения установлены в разделе 15 настоящей Политики;
Обеспечение надлежащей защиты — Оператор принимает необходимые правовые, организационные и технические меры по защите персональных данных от несанкционированного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

5.2. Цели обработки персональных данных

Оператор осуществляет обработку персональных данных исключительно в следующих целях:

5.2.1. Заключение и исполнение договора с пользователем

Обработка персональных данных необходима для: - идентификации и аутентификации пользователя при входе в Сервис посредством механизма Google OAuth; - регистрации учётной записи (личного кабинета) в Сервисе; - предоставления доступа к функционалу Сервиса в соответствии с выбранным тарифным планом; - учёта койнов пользователя и операций по их расходованию; - обработки загружаемых видеоматериалов с применением технологий машинного обучения; - предоставления доступа к готовым роликам в личном кабинете пользователя в течение установленного срока хранения; - публикации готовых роликов на платформе YouTube Shorts через механизм OAuth-авторизации пользователя (иные внешние платформы в текущей production-версии не поддерживаются); - формирования и направления электронного фискального чека (в соответствии с Федеральным законом от 22 мая 2003 года № 54-ФЗ «О применении контрольно-кассовой техники»).

5.2.2. Осуществление платёжных операций

Обработка персональных данных необходима для: - приёма платежей от пользователей (физических лиц, ИП, юридических лиц) в счёт оплаты подписки и пакетов койнов; - обработки запросов на возврат денежных средств в соответствии с законодательством; - ведения учёта финансовых операций и хранения документов, необходимых для налоговой отчётности.

5.2.3. Коммуникации и поддержка пользователей

Обработка персональных данных необходима для: - направления пользователю транзакционных уведомлений, связанных с использованием Сервиса (уведомления о завершении обработки видео, об истечении срока хранения роликов, о состоянии подписки); - ответа на обращения и запросы пользователей; - уведомления пользователей об изменениях условий использования Сервиса.

5.2.4. Аналитика и улучшение качества Сервиса

Обработка технических данных (IP-адресов, cookie-идентификаторов, метаданных сессий, данных о действиях в Сервисе) необходима для: - анализа пользовательского поведения в целях улучшения функциональности Сервиса с использованием Яндекс.Метрики (счётчик 108749035); - обеспечения стабильности и надлежащего функционирования Сервиса; - защиты от несанкционированного доступа и автоматизированных атак.

5.2.5. Модерация контента и противодействие злоупотреблениям

Обработка персональных данных необходима для: - проверки соответствия загружаемых пользователями видеоматериалов требованиям Правил использования Сервиса (AUP); - выявления и предотвращения мошеннических действий, искусственной накрутки показателей, иных злоупотреблений.

5.2.6. Партнёрская программа

Обработка персональных данных партнёров (участников реферальной программы) необходима для: - идентификации партнёра и верификации его налогового статуса (самозанятый НПД или ИП); - начисления и выплаты партнёрского вознаграждения через Систему быстрых платежей (СБП); - исполнения требований налогового законодательства в части подтверждения налогового статуса получателя выплат.

5.2.7. Рекламные коммуникации (только при наличии отдельного согласия)

При наличии отдельного добровольного согласия пользователя в соответствии со статьёй 18 Федерального закона от 13 марта 2006 года № 38-ФЗ «О рекламе» — направление рекламных и маркетинговых сообщений о новых функциях, тарифах и специальных предложениях Сервиса.

5.2.8. Обучение алгоритмов (только при наличии отдельного согласия)

При наличии отдельного добровольного согласия пользователя — использование загружаемых видеоматериалов, результатов их обработки и метаданных для обучения и улучшения алгоритмов Сервиса.

6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных осуществляется Оператором на следующих законных основаниях, предусмотренных статьёй 6 Федерального закона от 27 июля 2006 года № 152-ФЗ:

6.1. Исполнение договора с субъектом персональных данных (п. 5 ч. 1 ст. 6 ФЗ-152)

Обработка персональных данных пользователей при регистрации учётной записи, предоставлении доступа к функционалу Сервиса, обработке видеоматериалов и учёте койнов осуществляется в связи с заключением и исполнением договора-оферты, акцептованного пользователем при регистрации в Сервисе. Данное основание не требует отдельного согласия субъекта.

6.2. Согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 и ст. 9 ФЗ-152)

Для следующих целей обработка персональных данных осуществляется исключительно на основании свободного, конкретного, информированного и осознанного согласия субъекта:

Основное согласие на обработку ПДн (ст. 9 ФЗ-152, ФЗ-156/2025) — оформляется при регистрации в виде отдельного самостоятельного документа; включает обработку идентификационных и технических данных для целей исполнения договора, аналитики и коммуникаций;
Согласие на использование материалов для обучения алгоритмов — отдельный чекбокс; по умолчанию не активирован.

6.3. Исполнение обязанностей, возложенных на оператора законодательством Российской Федерации (п. 2 ч. 1 ст. 6 ФЗ-152)

Хранение финансовых и налоговых документов осуществляется во исполнение требований Налогового кодекса Российской Федерации (статья 23 НК РФ — срок хранения документов 5 лет), Федерального закона от 22 мая 2003 года № 54-ФЗ о применении контрольно-кассовой техники.

6.4. Реализация законных интересов оператора (п. 7 ч. 1 ст. 6 ФЗ-152)

Обработка технических данных (IP-адресов, логов, идентификаторов сессий) в целях обеспечения безопасности Сервиса, противодействия мошенничеству и злоупотреблениям осуществляется в интересах Оператора, при условии, что такие интересы не превалируют над правами и свободами субъектов персональных данных.

7. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор обрабатывает персональные данные следующих категорий субъектов:

7.1. Пользователи B2C (физические лица — потребители)

Физические лица, достигшие возраста 18 лет, зарегистрировавшиеся в Сервисе через механизм Google OAuth и использующие Сервис для личных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности. Доступ к Сервису предоставляется только резидентам Российской Федерации.

7.2. Пользователи B2B (представители юридических лиц и ИП)

Физические лица, являющиеся представителями юридических лиц или индивидуальными предпринимателями, использующие Сервис в предпринимательских целях. Данная категория включает уполномоченных представителей корпоративных клиентов (тариф Agency по индивидуальному договору).

7.3. Партнёры (участники реферальной программы)

Физические лица, являющиеся самозанятыми (плательщиками налога на профессиональный доход — НПД) или индивидуальными предпринимателями, принявшие оферту партнёрской программы LoomyClips и осуществляющие привлечение новых пользователей за вознаграждение.

7.4. Авторы обращений

Физические лица, направляющие обращения Оператору (запросы о реализации прав субъекта ПДн, жалобы, уведомления о нарушениях авторских прав и иные обращения) посредством электронной почты или иных каналов коммуникации.

7.5. Лица, попавшие в кадр загружаемых видеоматериалов

Лица, изображение и/или голос которых содержатся в загружаемых пользователями видеоматериалах. В отношении данной категории субъектов применяются специальные правила, подробно описанные в разделе 9 настоящей Политики.

8. ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Идентификационные данные пользователей

При регистрации через механизм Google OAuth Оператор получает от провайдера аутентификации следующие данные:

Данные	Источник	Цель
Адрес электронной почты (email) из учётной записи Google	Google OAuth	Идентификация пользователя, логин, коммуникации
Отображаемое имя из профиля Google (имя и/или фамилия)	Google OAuth	Отображение в интерфейсе личного кабинета
Уникальный идентификатор пользователя (user_id)	Генерируется Сервисом	Привязка данных в ИСПДн

Оператор не запрашивает у Google и не обрабатывает: дату рождения, номер телефона, адрес, содержимое писем, контакты, данные о местоположении или иные сведения из аккаунта Google, помимо указанных выше.

8.2. Технические данные (собираются автоматически)

Данные	Назначение	Срок хранения
IP-адрес устройства	Защита от мошенничества, аналитика, соблюдение ограничений по территории	3 года
User-agent браузера (тип и версия браузера, ОС)	Аналитика, обеспечение совместимости	3 года
Cookie-идентификаторы (сессионные и аналитические)	Управление сессией, аналитика	согласно разделу Политики cookies
Метаданные сессий (время входа, длительность, страницы)	Аналитика, безопасность	3 года
Данные о действиях в Сервисе (клики, просмотры, взаимодействие)	Аналитика (Яндекс.Метрика с Вебвизором)	3 года

8.3. Платёжные данные

Платежи в Сервисе осуществляются исключительно через платёжный шлюз Модульбанк (сервис интернет-эквайринга «Модульпэй»). Оператор не принимает, не хранит и не обрабатывает реквизиты банковских карт пользователей. LoomyClips получает от Модульбанка только: - факт произведённой оплаты (статус транзакции); - маскированные реквизиты платёжного средства (например, последние 4 цифры номера карты); - идентификатор транзакции; - дату и сумму операции.

Полные данные платёжных средств (номер карты, CVV, ПИН-код и т.п.) Оператору не передаются и им не обрабатываются.

8.4. Пользовательский контент (видеоматериалы)

Тип данных	Порядок обработки	Срок хранения
Исходные загружаемые видеофайлы	Обрабатываются на serverless GPU-инфраструктуре; удаляются немедленно после завершения обработки; долгосрочно не хранятся	Не хранятся (немедленное удаление после обработки)
Готовые обработанные ролики	Хранятся в личном кабинете пользователя	6 месяцев с даты генерации, затем автоматическое удаление
Метаданные операций (user_id, временная метка, хэш-сумма файла, длительность видео, количество израсходованных койнов)	Хранятся в журнале операций	3 года
Превью-кадры, фреймы, промежуточные результаты обработки	Не хранятся в лог-файлах и базах данных	Не хранятся

8.5. Данные партнёров

Участники партнёрской программы предоставляют следующие данные:

Данные	Назначение
Фамилия, имя, отчество	Идентификация партнёра, оформление выплат
Номер телефона (для СБП)	Перечисление партнёрского вознаграждения через СБП
Наименование банка	Реквизиты для выплат
ИНН	Подтверждение налогового статуса (НПД или ИП)
Статус НПД / ИП	Верификация права на участие в программе
Реквизиты чеков НПД или УПД	Налоговый и бухгалтерский учёт

8.6. Данные авторов обращений

При поступлении обращений Оператор обрабатывает: адрес электронной почты, имя (если указано), содержание обращения, а также иные данные, которые субъект добровольно включил в текст обращения.

9. ОБРАБОТКА ЛИЦ В КАДРЕ ЗАГРУЖАЕМЫХ ВИДЕОМАТЕРИАЛОВ

9.1. Применяемые методы обработки

В процессе автоматизированного монтажа видеоматериалов Сервис LoomyClips применяет следующие технические методы:

Диаризация голоса (Speaker Diarization) — алгоритмическое разделение звуковой дорожки на сегменты, соответствующие разным говорящим, в целях монтажной разметки видеоряда; используется собственный ASR-модуль Оператора, расположенный на инфраструктуре в Российской Федерации.
Обнаружение активного говорящего (Active Speaker Detection, ASD) — определение того, какой из говорящих в кадре в данный момент произносит речь, для целей автоматического выбора наиболее выгодного ракурса при монтаже.

9.2. Чего Сервис НЕ делает

Сервис LoomyClips не осуществляет следующие виды обработки: - создание биометрических шаблонов (математических векторов) лиц; - хранение биометрических данных (векторов, дескрипторов лица); - идентификацию конкретных физических лиц по изображению или голосу; - сопоставление лиц с какими-либо базами данных; - распознавание лиц для целей верификации личности.

9.3. Правовая квалификация: не является биометрическими ПДн

Применяемые методы диаризации голоса и Active Speaker Detection не являются обработкой биометрических персональных данных по смыслу статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ, поскольку:

биометрические математические векторы лиц и голосов не создаются и не сохраняются;
обработка не направлена на установление личности субъектов персональных данных;
данные методы используются исключительно в технических целях монтажной разметки видеоряда.

Изложенная правовая позиция соответствует позиции Роскомнадзора, выраженной в Письме от 01 августа 2024 года № 62450-02-11/77, согласно которому ключевым критерием отнесения данных к биометрическим персональным данным является именно целевое использование сведений для идентификации конкретного физического лица, а не сам факт обработки изображения или голоса.

Аналогичная позиция подтверждается официальными разъяснениями Роскомнадзора: изображения и голосовые записи относятся к биометрическим ПДн лишь в тех случаях, когда они целенаправленно используются оператором для установления личности.

9.4. Статус данных лиц в кадре

Поскольку Оператор не устанавливает личность лиц, попадающих в кадр загружаемых видеоматериалов, обработка таких данных не квалифицируется как обработка персональных данных лиц в кадре в смысле статьи 11 ФЗ-152. Пользователь, загружающий видеоматериал, несёт самостоятельную ответственность за наличие необходимых прав и разрешений на обработку изображений третьих лиц, зафиксированных в загружаемых материалах, в соответствии с применимым законодательством.

10. ИСТОЧНИКИ ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Непосредственно от субъекта персональных данных

Персональные данные поступают к Оператору непосредственно от самих субъектов следующими способами:

При регистрации через Google OAuth: пользователь авторизует передачу базовых данных профиля Google (email, отображаемое имя) Оператору посредством стандартного протокола OAuth 2.0; объём передаваемых данных определяется запрашиваемыми разрешениями (scopes) и подтверждается самим пользователем в интерфейсе Google;
При заполнении форм в Сервисе: пользователь самостоятельно вводит данные в соответствующие поля (например, при обращении в поддержку);
Автоматически при использовании Сервиса: технические данные (IP-адрес, user-agent, метаданные сессий) собираются автоматически в процессе использования Сервиса и являются неотъемлемой частью работы интернет-сервисов;
При загрузке видеоматериалов: пользователь самостоятельно загружает видеофайлы для обработки;
При обращении к Оператору: данные, содержащиеся в тексте обращения, предоставляются субъектом добровольно.

10.2. Отсутствие сбора данных из третьих источников

Оператор не осуществляет сбор персональных данных из общедоступных источников (социальные сети, открытые реестры и т.п.), не приобретает базы данных у третьих лиц и не получает персональные данные субъектов от иных организаций или физических лиц, за исключением данных, передаваемых провайдером аутентификации Google в рамках механизма OAuth 2.0 при явном согласии самого пользователя.

11. СПОСОБЫ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Способы обработки

Оператор осуществляет обработку персональных данных следующими способами:

Автоматизированная обработка — основной способ; обработка данных осуществляется с использованием средств вычислительной техники (серверов, баз данных, программного обеспечения) без непосредственного участия человека в каждой отдельной операции;
Смешанная обработка (автоматизированная с элементами неавтоматизированной) — применяется при рассмотрении обращений субъектов персональных данных и при модерации контента.

11.2. Виды операций с персональными данными

Оператор вправе совершать с персональными данными следующие операции: - сбор и получение; - запись и систематизация; - накопление и хранение; - уточнение (обновление, изменение); - извлечение и использование; - передача (предоставление) обработчикам по поручению; - обезличивание; - блокирование; - удаление и уничтожение.

11.3. Запрет автоматизированных решений с юридическими последствиями

В соответствии со статьёй 16 Федерального закона от 27 июля 2006 года № 152-ФЗ Оператор не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, исключительно на основании автоматизированной обработки его персональных данных.

Все решения, связанные с правами и интересами субъектов (например, блокирование аккаунта), принимаются с участием сотрудника Оператора после анализа конкретных обстоятельств.

11.4. Распространение персональных данных

Оператор не осуществляет распространение персональных данных субъектов, то есть не раскрывает их неопределённому кругу лиц. Данные пользователей не продаются и не передаются третьим лицам иначе, чем предусмотрено разделом 12 настоящей Политики.

12. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ (ОБРАБОТЧИКИ ПО ПОРУЧЕНИЮ)

12.1. Общие условия передачи

В соответствии с частью 3 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ Оператор вправе поручить обработку персональных данных третьему лицу (обработчику) на основании заключённого договора поручения на обработку персональных данных. При этом:

обработчик обязан соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152;
обработчик вправе обрабатывать персональные данные исключительно в объёме и в целях, указанных Оператором в соответствующем поручении;
Оператор несёт ответственность перед субъектами персональных данных за действия обработчиков.

12.2. Перечень обработчиков персональных данных

12.2.1. Модульбанк (АО КБ «Модульбанк»)

Параметр	Значение
Назначение	Платёжный шлюз (сервис интернет-эквайринга «Модульпэй»), обработка платёжных транзакций, онлайн-касса (формирование фискальных чеков в соответствии с ФЗ-54)
Реквизиты	ИНН 2204000595, ОГРН 1022200525841, лицензия Банка России № 1927 от 25.04.2016
Локация обработки	Российская Федерация
Статус	Обработчик по поручению
Передаваемые данные	Email пользователя (для направления фискального чека), сумма и параметры транзакции
Что НЕ передаётся	Полные данные платёжных карт (обрабатываются Модульбанком самостоятельно как оператором ПДн в соответствии с требованиями PCI DSS и Закона о банковской деятельности)

12.2.2. Яндекс.Метрика (ООО «Яндекс»)

Параметр	Значение
Назначение	Веб-аналитика, анализ пользовательского поведения, функция Вебвизора
Идентификатор счётчика	108749035
Локация обработки	Российская Федерация
Статус	Обработчик по поручению
Передаваемые данные	IP-адрес, данные cookie, user-agent, метаданные страниц, данные о действиях пользователя (клики, прокрутки)
Правовое основание	Согласие пользователя на аналитические cookies

12.2.3. Яндекс CDN (ООО «Яндекс»)

Параметр	Значение
Назначение	Сеть доставки контента (CDN) для ускорения загрузки ресурсов Сервиса
Локация обработки	Российская Федерация
Статус	Обработчик по поручению
Передаваемые данные	IP-адрес, заголовки HTTP-запросов (технические данные)

12.2.4. Яндекс SmartCaptcha (ООО «Яндекс»)

Параметр	Значение
Назначение	Защита форм и действий в Сервисе от автоматизированных атак (ботов)
Локация обработки	Российская Федерация
Статус	Обработчик по поручению
Передаваемые данные	IP-адрес, user-agent, данные о взаимодействии с формой

12.2.5. Selectel (АО «Селектел»)

Параметр	Значение
Назначение	Хостинг инфраструктуры Сервиса, хранение данных в ЦОД
Локация обработки	Российская Федерация (ЦОД в РФ)
Статус	Обработчик по поручению
Передаваемые данные	Все данные, хранимые в ИСПДн Оператора, в части физического размещения на инфраструктуре

12.2.6. Яндекс 360 для бизнеса (ООО «Яндекс»)

Параметр	Значение
Назначение	Отправка транзакционных писем по подписке: уведомление за 24 часа до автосписания, чек об оплате, сообщение о неудачном списании, подтверждение отмены автопродления, уведомление об окончании подписки. Маркетинговые рассылки не направляются.
Локация обработки	Российская Федерация
Статус	Обработчик по поручению (на основании условий оферты Яндекс 360 для бизнеса, акцептованной Оператором)
Передаваемые данные	Email пользователя, имя, технические параметры подписки (план, дата следующего списания, последние 4 цифры карты)
Правовое основание	Исполнение договора с пользователем (п. 5 ч. 1 ст. 6 ФЗ-152); уведомления об автосписании требуются ФЗ-376/2025

12.3. Cloudflare — инфраструктурный сервис без передачи ПДн

Сервис использует Cloudflare (Cloudflare, Inc., США) в качестве инфраструктурного компонента защиты (WAF, DDoS-mitigation). Персональные данные пользователей Cloudflare не передаются: через Cloudflare проходят только технические сетевые заголовки (IP-адреса в рамках штатного протокола TCP/IP), которые являются неотъемлемым атрибутом любого интернет-соединения. Cloudflare не получает доступ к хранимым данным пользователей или их идентификаторам. В связи с изложенным передача данных через Cloudflare не квалифицируется как трансграничная передача персональных данных по смыслу ФЗ-152.

12.4. YouTube Data API — без передачи ПДн пользователей

Сервис использует YouTube Data API (Google LLC, США) для технического получения субтитров видеоматериалов по предоставленным пользователем URL-ссылкам. Персональные данные пользователей LoomyClips YouTube Data API не передаются: к YouTube направляются исключительно URL публичных видео и запросы на получение субтитров. Данная техническая интеграция не квалифицируется как трансграничная передача персональных данных по смыслу ФЗ-152.

13. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Общее правило

Трансграничная передача персональных данных Оператором не осуществляется. Персональные данные пользователей Сервиса LoomyClips не передаются на территорию иностранных государств иностранным органам власти, иностранным физическим или юридическим лицам.

13.2. Обоснование

Инфраструктура хостинга: все компоненты ИСПДн Оператора размещены на мощностях Selectel (АО «Селектел») в дата-центрах на территории Российской Федерации;
Все обработчики ПДн: Модульбанк, Яндекс.Метрика, Яндекс CDN, Яндекс SmartCaptcha, Яндекс 360 для бизнеса — российские организации, обрабатывающие данные на территории РФ;
YouTube Data API: используется исключительно для технических запросов субтитров по URL публичных видео; персональные данные пользователей при этом не передаются (подробнее — раздел 12.4);
Cloudflare: является инфраструктурным сервисом, не получающим доступа к персональным данным пользователей (подробнее — раздел 12.3);
AI API для обработки видео: внутренние компоненты Сервиса используются без трансграничной передачи персональных данных пользователей; алгоритмы обработки применяются к обезличенным техническим данным в рамках serverless-инфраструктуры на территории РФ.

13.3. Уведомление РКН о трансграничной передаче

Трансграничная передача не осуществляется. При использовании YouTube Data API передаются только технические параметры (URL видеоролика), не являющиеся ПДн пользователей LoomyClips. В связи с отсутствием трансграничной передачи персональных данных направление уведомления в Роскомнадзор о намерении осуществлять трансграничную передачу (ст. 12 ФЗ-152) не требуется. В случае возникновения необходимости трансграничной передачи Оператор подаёт уведомление в РКН до начала передачи в соответствии с ч. 3 ст. 12 ФЗ-152 (в ред. ФЗ-23/2025).

13.4. Таблица жизненного цикла данных

Категория данных	Период хранения	Основание	Способ уничтожения
Исходный видеофайл (загруженный пользователем)	Удаляется сразу по завершении обработки	Ст. 5 ч. 4 ФЗ-152	Очистка временного хранилища на изолированных вычислительных мощностях
Производные признаки (временные признаки кадров, метаданные обработки)	Удаляются по завершении обработки, не сохраняются в персонализированном виде	Ст. 5 ч. 4 ФЗ-152	Очистка буфера обработки
Готовый ролик	6 месяцев в личном кабинете, затем удаляется	Исполнение договора (ст. 6 ч. 1 п. 5 ФЗ-152)	Сопровождается уведомлением пользователю
Платёжные метаданные (идентификатор пользователя, сумма, дата, факт оплаты)	5 лет	Налоговая отчётность (ст. 23 НК РФ)	Криптографическое уничтожение
Аккаунт пользователя (профиль, переписка, email)	10 раб. дней с момента запроса на удаление	Ст. 21 ФЗ-152	Криптографическое уничтожение, перезапись
Журналы событий, логи	3 года	Срок исковой давности (ст. 196 ГК РФ)	Безопасное удаление из хранилища

Примечание. Обученные на материалах пользователя модели не содержат персональных данных в персонализированном виде: используются статистические признаки (векторы, эмбеддинги), агрегированные по массивам данных, не позволяющие идентифицировать конкретное физическое лицо.

14. ЛОКАЛИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ТЕРРИТОРИИ РОССИЙСКОЙ ФЕДЕРАЦИИ

14.1. Соблюдение требования локализации

В соответствии с частью 5 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ (в редакции Федерального закона от 28 февраля 2025 года № 23-ФЗ, вступившей в силу с 01 сентября 2025 года) при сборе персональных данных граждан Российской Федерации, в том числе с использованием информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Оператор подтверждает соблюдение указанного требования: все базы данных, содержащие персональные данные пользователей Сервиса, размещены исключительно в дата-центрах, расположенных на территории Российской Федерации (хостинг-провайдер Selectel, АО «Селектел», РФ).

14.2. Доступность к проверке

Сведения о техническом расположении баз данных фиксируются в Уведомлении об обработке персональных данных, направленном Оператором в Роскомнадзор в соответствии с Приказом РКН № 180, и отражены в Реестре операторов персональных данных (pd.rkn.gov.ru).

15. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки (п. 7 ст. 5 ФЗ-152). По истечении установленных сроков персональные данные уничтожаются или обезличиваются.

Категория данных	Срок хранения	Основание
Исходные загружаемые видеофайлы	Немедленное удаление после завершения обработки	Принцип минимизации (ст. 5 ФЗ-152)
Готовые обработанные ролики	6 месяцев с даты генерации, затем автоматическое удаление	Условия оказания услуг (SLA Сервиса)
Метаданные операций (user_id, timestamp, хэш файла, длительность, койны)	3 года с момента создания записи	Обеспечение доказательной базы, учёт
Данные учётной записи (email, имя, user_id)	До удаления учётной записи субъектом, после чего метаданные — ещё 3 года	Исполнение договора; исковая давность (ст. 196 ГК РФ)
Платёжные документы (данные о транзакциях, чеки)	5 лет	Ст. 23 НК РФ (обязанность хранения первичных документов)
Данные партнёров	До прекращения действия партнёрского соглашения + 5 лет	Ст. 23 НК РФ
Логи доступа и технические журналы	3 года	Обеспечение безопасности, выявление нарушений
Данные обращений субъектов ПДн	3 года с момента рассмотрения обращения	Ст. 14 ФЗ-152, обеспечение доказательной базы
Cookie-данные	Согласно Политике cookies (раздел 3 Политики cookies)	Согласие субъекта

15.1. Порядок уничтожения данных

По истечении установленного срока хранения персональные данные: - удаляются из базы данных безвозвратно (с применением средств, исключающих возможность восстановления); - либо обезличиваются таким образом, что становится невозможным идентифицировать субъекта персональных данных.

Факт уничтожения персональных данных фиксируется в соответствующем журнале.

16. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

16.1. Правовая база

Меры по обеспечению безопасности персональных данных принимаются в соответствии со статьёй 19 Федерального закона от 27 июля 2006 года № 152-ФЗ, Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказом ФСТЭК России от 18 февраля 2013 года № 21.

16.2. Определение уровня защищённости ИСПДн

В соответствии с Постановлением Правительства Российской Федерации № 1119 для информационной системы персональных данных Сервиса LoomyClips определён 4-й (четвёртый) уровень защищённости, поскольку:

обрабатываемые персональные данные относятся к иным категориям (не являются специальными или биометрическими);
субъектами являются пользователи Сервиса (не сотрудники Оператора);
актуальные угрозы относятся к 3-му типу (угрозы, не связанные с наличием недекларированных возможностей в прикладном программном обеспечении);
количество субъектов персональных данных

16.3. Организационные меры

Оператором реализованы следующие организационные меры защиты:

Нормативно-правовая документация: разработаны и утверждены Политика обработки персональных данных, Положение об обработке персональных данных, согласия субъектов; изданы соответствующие приказы;
Назначение ответственного: назначен ответственный за организацию обработки персональных данных (ст. 22.1 ФЗ-152);
Журналирование: ведутся Журнал учёта обращений субъектов персональных данных, Журнал инцидентов информационной безопасности;
Обучение и инструктаж: лица, получающие доступ к персональным данным, ознакомлены с требованиями законодательства и внутренними документами Оператора под роспись;
Ограничение доступа: доступ к персональным данным предоставляется исключительно лицам, которым он необходим для выполнения служебных (функциональных) обязанностей; применяется принцип минимальных привилегий;
Контроль за обработчиками: с каждым обработчиком персональных данных заключён договор-поручение на обработку ПДн с указанием конкретного перечня допустимых операций.

16.4. Технические меры

Оператором реализованы следующие технические меры защиты:

Сетевая сегментация: разграничение сетевой инфраструктуры Сервиса на изолированные сегменты; публичные и внутренние компоненты разделены;
Шифрование данных при передаче: все соединения между клиентом и Сервисом осуществляются исключительно по протоколу TLS (версии 1.2 и выше); передача данных по незашифрованным каналам исключена;
Аутентификация: доступ к административным панелям и внутренним системам защищён многофакторной аутентификацией (МФА); прямой доступ к базам данных из публичной сети исключён;
Логирование событий безопасности: ведутся журналы доступа к компонентам ИСПДн; нештатные события фиксируются и анализируются;
Регулярное обновление программного обеспечения: применяются актуальные обновления безопасности для всех компонентов инфраструктуры;
Резервное копирование: производится регулярное резервное копирование данных с целью обеспечения их восстановления в случае аварийных ситуаций;
Защита от DDoS и несанкционированных запросов: применяются средства фильтрации трафика, Яндекс SmartCaptcha для защиты форм.

16.5. Уведомление об инцидентах

В соответствии с требованиями ФЗ-152 (с учётом изменений, внесённых ФЗ-420/2024) в случае выявления инцидента, повлёкшего неправомерную передачу (предоставление, распространение, доступ) персональных данных, Оператор обязан:

в течение 24 часов уведомить Роскомнадзор о произошедшем инциденте;
в течение 72 часов направить в Роскомнадзор результаты внутреннего расследования инцидента.

17. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

17.1. Перечень прав субъекта

В соответствии со статьями 14–17 Федерального закона от 27 июля 2006 года № 152-ФЗ субъект персональных данных обладает следующими правами:

17.1.1. Право на получение информации об обработке персональных данных (ст. 14 ФЗ-152)

Субъект персональных данных вправе получить следующую информацию: - подтверждение факта обработки его персональных данных Оператором; - правовые основания и цели обработки персональных данных; - цели и применяемые Оператором способы обработки персональных данных; - наименование и место нахождения Оператора; - сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона; - обрабатываемые персональные данные, относящиеся к соответствующему субъекту, и источник их получения; - сроки обработки персональных данных, в том числе сроки их хранения; - сведения об осуществлённой или о предполагаемой трансграничной передаче персональных данных; - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора; - иные сведения, предусмотренные ФЗ-152 или другими федеральными законами.

17.1.2. Право на доступ к персональным данным (ст. 14 ФЗ-152)

Субъект персональных данных вправе получить копию персональных данных, которые Оператор обрабатывает в отношении данного субъекта.

17.1.3. Право на уточнение персональных данных (ст. 15 ФЗ-152)

Субъект персональных данных вправе потребовать уточнения (исправления) своих персональных данных в случае, если они являются неполными, устаревшими, неточными или незаконно полученными.

17.1.4. Право на блокирование персональных данных (ст. 15 ФЗ-152)

Субъект персональных данных вправе потребовать временного прекращения обработки его персональных данных (блокирования) в случае выявления их неправомерной обработки или в иных случаях, предусмотренных законом.

17.1.5. Право на удаление (уничтожение) персональных данных (ст. 17 ФЗ-152)

Субъект персональных данных вправе потребовать удаления (уничтожения) своих персональных данных в следующих случаях: - достижение цели обработки или утрата необходимости в её достижении; - истечение срока действия согласия на обработку либо его отзыв (если иное основание для обработки отсутствует); - неправомерность обработки персональных данных.

17.1.6. Право на отзыв согласия (ст. 9 ч. 2 ФЗ-152)

Субъект персональных данных вправе в любой момент отозвать своё согласие на обработку персональных данных.

Порядок отзыва согласия:

Через настройки личного кабинета: субъект может отозвать согласие непосредственно в интерфейсе Сервиса в разделе «Настройки» → «Персональные данные»;
Посредством письменного заявления: путём направления заявления на электронную почту Оператора: support@loomyclips.com с темой письма «Отзыв согласия на обработку персональных данных» или почтовым отправлением по адресу: 119072, Россия, г. Москва, муниципальный округ Якиманка, ул. Серафимовича, д. 2.

Последствия отзыва согласия: в случае отзыва согласия Оператор прекращает обработку персональных данных и уничтожает их в течение 30 (тридцати) дней с момента получения отзыва, если иное не установлено договором, законодательством или иным законным основанием для обработки. При этом Оператор вправе продолжить обработку данных, необходимых для исполнения обязательств по договору (в части уже оплаченного периода), а также для соблюдения требований законодательства (в части хранения финансовых документов).

Важно: отзыв согласия не влечёт автоматического прекращения договора об оказании услуг. Для удаления учётной записи необходимо воспользоваться соответствующей функцией в личном кабинете.

17.1.7. Право на обжалование действий Оператора

Субъект персональных данных вправе обжаловать действия или бездействие Оператора:

В Роскомнадзор (уполномоченный орган по защите прав субъектов ПДн): - Адрес: 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2 - Официальный сайт: www.rkn.gov.ru - Форма обращения: rkn.gov.ru/treatments/ask-question

В судебном порядке: - субъект вправе обратиться в суд с иском о защите своих прав в области персональных данных; - для физических лиц — потребителей: по выбору потребителя в соответствии со статьёй 17 Закона от 07 февраля 1992 года № 2300-1 «О защите прав потребителей».

17.2. Ограничения прав субъекта

Права субъекта персональных данных могут быть ограничены в случаях, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ и иными федеральными законами, в том числе: - при наличии иных законных оснований для обработки помимо согласия (например, при обработке для исполнения договора или исполнения обязательств по законодательству — прекращение обработки по требованию субъекта не производится); - при обработке данных в целях обеспечения безопасности и противодействия мошенничеству.

18. ПОРЯДОК РАССМОТРЕНИЯ ОБРАЩЕНИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

18.1. Способы подачи обращений

Субъект персональных данных вправе направить Оператору обращение (запрос, требование) следующими способами:

По электронной почте: на адрес support@loomyclips.com с темой письма, содержащей суть обращения;
Почтовым отправлением: на адрес 119072, Россия, г. Москва, муниципальный округ Якиманка, ул. Серафимовича, д. 2 (с пометкой «Персональные данные»).

18.2. Требования к обращению

Обращение должно содержать: - фамилию, имя, отчество субъекта персональных данных; - адрес электронной почты (логин в Сервисе) для идентификации; - суть обращения (вид запрашиваемого права или действия); - при необходимости — документы, подтверждающие личность субъекта (в целях предотвращения несанкционированного доступа к данным третьих лиц).

18.3. Сроки рассмотрения

Тип обращения	Срок рассмотрения	Основание
Запрос на предоставление информации об обработке ПДн	10 рабочих дней с момента получения	Ч. 7 ст. 14 ФЗ-152
Требование об уточнении, блокировании или уничтожении ПДн	7 рабочих дней с момента получения (уточнение/блокирование); 30 дней (уничтожение при выявлении неправомерной обработки)	Ст. 15 ФЗ-152
Отзыв согласия на обработку ПДн	Прекращение обработки в течение 30 дней с момента получения	Ст. 9 ч. 2 ФЗ-152
Общие обращения (жалобы, иные запросы)	30 дней с момента получения	Ст. 12 ФЗ от 02.05.2006 № 59-ФЗ

18.4. Идентификация субъекта

В целях обеспечения безопасности и предотвращения несанкционированного доступа к персональным данным третьих лиц Оператор вправе запросить дополнительные сведения для подтверждения личности заявителя.

19. ПОРЯДОК АКТУАЛИЗАЦИИ И ИЗМЕНЕНИЯ НАСТОЯЩЕЙ ПОЛИТИКИ

19.1. Право на внесение изменений

Оператор вправе в одностороннем порядке вносить изменения в настоящую Политику в следующих случаях: - изменение законодательства Российской Федерации в области персональных данных и смежных сферах; - изменение состава обрабатываемых персональных данных или целей обработки; - изменение перечня обработчиков; - иные случаи, требующие актуализации Политики.

19.2. Порядок уведомления субъектов

О существенных изменениях Политики Оператор уведомляет субъектов персональных данных: - путём публикации новой редакции на сайте Сервиса (loomyclips.com) с указанием даты вступления в силу; - путём направления уведомления на адрес электронной почты пользователя не менее чем за 14 (четырнадцать) календарных дней до вступления изменений в силу (при существенных изменениях).

Продолжение использования Сервиса после вступления изменений в силу означает принятие пользователем новой редакции Политики. Если пользователь не согласен с изменениями, он вправе удалить учётную запись до вступления изменений в силу.

19.3. Порядок ознакомления с Политикой

Актуальная версия настоящей Политики постоянно размещена на сайте Сервиса по адресу: loomyclips.com/privacy в свободном доступе.

19.4. Реквизиты настоящей редакции

Параметр	Значение
Дата редакции	__ __ 2026 г.
Версия	1.0
Дата вступления в силу	__ __ 2026 г.
Разработана в соответствии с	ФЗ-152, ФЗ-156/2025, ФЗ-420/2024, ФЗ-421/2024, ФЗ-149, ПП РФ № 1119, Приказ ФСТЭК № 21

Настоящая Политика обработки персональных данных разработана и утверждена ИП Зиновьевым Михаилом Николаевичем (ОГРНИП 326774600287471, ИНН 770602340640).

Редакция от 24 апреля 2026 г. Версия 1.0

PERSONAL DATA PROCESSING POLICY

LoomyClips Service (loomyclips.com)

Revision of April 24, 2026. Version 1.0

General Provisions
Terms and Definitions
Information About the Personal Data Operator
Person Responsible for Organizing the Processing of Personal Data
Principles and Purposes of Personal Data Processing
Legal Grounds for Personal Data Processing
Categories of Personal Data Subjects
List of Personal Data Processed
Processing of Persons Appearing in Uploaded Video Materials
Sources of Personal Data
Methods and Procedure for Processing Personal Data
Transfer of Personal Data to Third Parties (Processors Acting Under Instruction)
Cross-Border Transfer of Personal Data
Localization of Personal Data Within the Territory of the Russian Federation
Periods of Processing and Storage of Personal Data
Measures to Ensure the Security of Personal Data
Rights of the Personal Data Subject
Procedure for Handling Requests from Personal Data Subjects
Procedure for Updating and Amending This Policy

1. GENERAL PROVISIONS

1.1. Purpose and Objective of the Document

This Personal Data Processing Policy (hereinafter the "Policy") defines the procedure, conditions, and purposes for the processing of personal data of individuals carried out by Sole Proprietorship Mikhail N. Zinoviev (IP Zinoviev M.N.) (hereinafter the "Operator") in providing services through the LoomyClips internet service, located at: loomyclips.com (hereinafter the "Service," "Platform").

This Policy has been developed in pursuance of the requirements of Part 2 of Article 18.1 of Federal Law No. 152-FZ "On Personal Data" of July 27, 2006 (hereinafter "FZ-152") and is a public document that all persons providing their personal data to the Operator are required to review.

The Policy applies to all personal data processing operations carried out by the Operator, whether using automation tools or without them.

1.2. Applicable Law and Regulatory Framework

The processing of personal data is carried out in accordance with the following regulatory legal acts:

The Constitution of the Russian Federation, Articles 23 and 24 — guaranteeing the inviolability of private life, personal and family secrets, and the confidentiality of correspondence, as well as prohibiting the collection, storage, use, and dissemination of information about a person's private life without their consent;
Federal Law No. 152-FZ "On Personal Data" of July 27, 2006 as currently in force, including the revision introduced by Federal Law No. 23-FZ of February 28, 2025 (with respect to the requirements for localization of personal data of citizens of the Russian Federation, which entered into force on September 1, 2025 — Part 5 of Article 18 of FZ-152);
Federal Law No. 149-FZ "On Information, Information Technologies, and the Protection of Information" of July 27, 2006;
Federal Law No. 156-FZ of June 24, 2025 (which entered into force on September 1, 2025) — with respect to the requirement that consent to the processing of personal data be executed as a separate standalone document, not combined with other agreements;
Federal Law No. 420-FZ of November 30, 2024 — with respect to the tightening of administrative liability under Article 13.11 of the Code of Administrative Offenses of the Russian Federation (fines of up to 500 million rubles for personal data breaches, which entered into force on May 30, 2025);
Federal Law No. 421-FZ of November 30, 2024 — with respect to the introduction of criminal liability under Article 272.1 of the Criminal Code of the Russian Federation for the unlawful trafficking of personal data;
Decree of the Government of the Russian Federation No. 1119 of November 1, 2012 "On Approval of the Requirements for the Protection of Personal Data During Their Processing in Personal Data Information Systems";
Order of the FSTEC of Russia No. 21 of February 18, 2013 "On Approval of the Composition and Content of Organizational and Technical Measures for Ensuring the Security of Personal Data During Their Processing in Personal Data Information Systems";
Order of Roskomnadzor No. 18 of February 24, 2021 "On Approval of the Requirements for the Content of Consent to the Processing of Personal Data";
Order of Roskomnadzor No. 180 — the form of notification of personal data processing;
Letter of Roskomnadzor No. 62450-02-11/77 of August 1, 2024 — the regulator's position regarding the classification of biometric personal data: the criterion is the purpose of identifying the subject, rather than the mere fact of processing an image or voice;
Other regulatory legal acts of the Russian Federation in the field of personal data, information security, and consumer protection.

1.3. Scope of the Policy

This Policy applies to:

users of the loomyclips.com Service who have registered via the Google OAuth authentication mechanism;
persons contacting the Operator through the feedback form, email, or other communication channels;
partners who have accepted the offer of the LoomyClips partner program;
representatives of legal entities and sole proprietors who use the Service in their activities.

Use of the Service by persons under 18 (eighteen) years of age is not permitted. By registering with the Service, the user confirms that they have reached the age of 18.

2. TERMS AND DEFINITIONS

For the purposes of this Policy, the following key terms apply:

Personal data — any information relating to a directly or indirectly determined or determinable natural person (personal data subject) (Article 3 of FZ-152).

Personal data subject — a natural person whose personal data is processed by the Operator (hereinafter the "Subject" or "User").

Operator — a state body, municipal body, legal entity, or natural person that, alone or jointly with others, organizes and/or carries out the processing of personal data, as well as determines the purposes of personal data processing, the composition of personal data to be processed, and the actions (operations) performed with personal data. For the purposes of this Policy, the Operator is Sole Proprietorship Mikhail N. Zinoviev (IP Zinoviev M.N.).

Processing of personal data — any action (operation) or set of actions (operations) performed with or without the use of automation tools with personal data, including collection, recording, systematization, accumulation, storage, refinement (updating, modification), extraction, use, transfer (dissemination, provision, access), depersonalization, blocking, deletion, and destruction of personal data (Article 3 of FZ-152).

Automated processing of personal data — the processing of personal data using computing equipment.

Dissemination of personal data — actions aimed at disclosing personal data to an indefinite range of persons.

Provision of personal data — actions aimed at disclosing personal data to a specific person or a specific range of persons.

Blocking of personal data — the temporary suspension of personal data processing (except where processing is necessary to refine the personal data).

Destruction of personal data — actions resulting in the impossibility of restoring the content of personal data in a personal data information system and/or actions resulting in the destruction of the physical media on which personal data is stored.

Depersonalization of personal data — actions resulting in the impossibility, without the use of additional information, of determining the attribution of personal data to a specific personal data subject.

Personal data information system (PDIS) — a set of personal data contained in databases together with the information technologies and technical means that ensure their processing.

Cross-border transfer of personal data — the transfer of personal data to the territory of a foreign state to a foreign state authority, a foreign natural person, or a foreign legal entity.

Biometric personal data — information that characterizes the physiological and biological features of a person, on the basis of which their identity can be established, and which is used by the operator to establish the identity of the personal data subject (Article 11 of FZ-152). The key feature of biometric personal data is the targeted use of the information for the identification of a specific person.

Special categories of personal data — personal data concerning racial or ethnic origin, political opinions, religious or philosophical beliefs, state of health, and intimate life (Article 10 of FZ-152).

Consent to the processing of personal data — a free, specific, informed, and unambiguous expression of will by the personal data subject to the processing of their personal data, executed as a standalone document in accordance with the requirements of FZ-156/2025.

Processor (a person carrying out processing under instruction from the operator) — a person who processes personal data under instruction from the operator on the basis of a contract concluded with that operator (Part 3 of Article 6 of FZ-152).

Policy — this Personal Data Processing Policy.

Service, Platform — the LoomyClips internet service, available at loomyclips.com, providing automated video editing and processing services.

SES (Simple Electronic Signature) — an electronic signature that, through the use of codes, passwords, or other means, confirms the fact that the electronic signature was created by a specific person. In the Service, it is used in the form of checking a box (checkbox) upon registration.

3. INFORMATION ABOUT THE PERSONAL DATA OPERATOR

Detail	Value
Name	Sole Proprietor Mikhail N. Zinoviev (IP Zinoviev M.N.)
OGRNIP	326774600287471
INN	770602340640
Registration address (legal and postal address)	2 Serafimovicha St., Yakimanka Municipal District, Moscow, Russia, 119072
Address for correspondence	2 Serafimovicha St., Yakimanka Municipal District, Moscow, Russia, 119072
Name of the internet service	LoomyClips (Лумi Клипы)
Primary domain	loomyclips.com
Email address for official requests	support@loomyclips.com
Telephone	not specified
Taxation system	Simplified Taxation System ("income") 6%; not subject to VAT

The Operator processes personal data within the scope of its activity of providing an automated video editing service using machine learning and artificial intelligence technologies.

4. PERSON RESPONSIBLE FOR ORGANIZING THE PROCESSING OF PERSONAL DATA

4.1. Appointment of the Responsible Person

In accordance with Article 22.1 of Federal Law No. 152-FZ "On Personal Data" of July 27, 2006, the Operator has appointed a person responsible for organizing the processing of personal data.

The person responsible for organizing the processing of personal data is the Operator directly — Mikhail N. Zinoviev (Sole Proprietor, OGRNIP 326774600287471), as recorded by the corresponding order.

4.2. Functions of the Person Responsible for Organizing the Processing of Personal Data

The person responsible for organizing the processing of personal data performs the following functions in accordance with Article 22.1 of FZ-152:

Organizational functions:
organizes internal monitoring of the compliance of personal data processing with the requirements of the legislation of the Russian Federation;
communicates to the Operator's employees (where any exist) the provisions of the legislation of the Russian Federation on personal data, the requirements for the protection of personal data, and the Operator's documents on personal data processing matters;
organizes the receipt and handling of requests and inquiries from personal data subjects;
Control functions:
monitors compliance with personal data legislation by all persons granted access to personal data;
oversees the fulfillment of personal data processing instructions issued to third parties (processors);
conducts periodic internal audits of the compliance of personal data processing with the requirements of the legislation;
Documentation functions:
develops, updates, and monitors the application of internal documents in the field of personal data (the Policy, the Regulation on Personal Data Processing, consents, registers);
maintains a register of requests from personal data subjects;
Interaction with the regulator:
interacts with Roskomnadzor on personal data processing matters;
submits and updates the notification of personal data processing in the Register of Personal Data Operators (pd.rkn.gov.ru).

4.3. Contact Details of the Responsible Person

Requests from personal data subjects to the responsible person shall be sent to the email address: support@loomyclips.com or by postal mail to the address: 2 Serafimovicha St., Yakimanka Municipal District, Moscow, Russia, 119072.

5. PRINCIPLES AND PURPOSES OF PERSONAL DATA PROCESSING

5.1. Principles of Processing

When processing personal data, the Operator is guided by the following principles established by Article 5 of Federal Law No. 152-FZ of July 27, 2006:

Lawfulness and fairness — the processing of personal data is carried out exclusively on lawful grounds; the Operator does not permit processing that contravenes applicable legislation;
Limitation of processing to specific, predetermined, and lawful purposes — personal data is processed exclusively for the purposes listed in Section 5.2 of this Policy; processing incompatible with the purposes originally stated is not permitted;
Prohibition of combining incompatible purposes — the Operator does not permit the merging of databases containing personal data whose processing is carried out for mutually incompatible purposes;
Correspondence of the volume of processed data to the purposes of processing (minimization) — the volume and composition of personal data correspond to the stated purposes of processing; the Operator does not collect excessive data;
Accuracy and currency — the Operator takes measures to ensure the accuracy, sufficiency, and currency of personal data in relation to the purposes of processing;
Limitation of storage — personal data is stored in a form that allows the subject to be identified for no longer than the purposes of processing require; specific storage periods are established in Section 15 of this Policy;
Ensuring appropriate protection — the Operator takes the necessary legal, organizational, and technical measures to protect personal data from unauthorized or accidental access, destruction, modification, blocking, copying, provision, dissemination, as well as from other unlawful actions in relation to personal data.

5.2. Purposes of Personal Data Processing

The Operator processes personal data exclusively for the following purposes:

5.2.1. Conclusion and Performance of the Contract with the User

The processing of personal data is necessary for: - identifying and authenticating the user when logging into the Service via the Google OAuth mechanism; - registering an account (personal cabinet) in the Service; - providing access to the Service's functionality in accordance with the selected tariff plan; - accounting for the user's coins and operations involving their expenditure; - processing uploaded video materials using machine learning technologies; - providing access to completed clips in the user's personal cabinet for the established storage period; - publishing completed clips on the YouTube Shorts platform via the OAuth authorization mechanism of the user (other external platforms are not supported in the current production version); - generating and sending an electronic fiscal receipt (in accordance with Federal Law No. 54-FZ "On the Use of Cash Register Equipment" of May 22, 2003).

5.2.2. Carrying Out Payment Operations

The processing of personal data is necessary for: - accepting payments from users (natural persons, sole proprietors, legal entities) toward payment for subscriptions and coin packages; - processing refund requests in accordance with the legislation; - keeping records of financial operations and storing documents required for tax reporting.

5.2.3. Communications and User Support

The processing of personal data is necessary for: - sending the user transactional notifications related to the use of the Service (notifications of the completion of video processing, of the expiration of the storage period for clips, of subscription status); - responding to user requests and inquiries; - notifying users of changes to the terms of use of the Service.

5.2.4. Analytics and Improvement of Service Quality

The processing of technical data (IP addresses, cookie identifiers, session metadata, data on actions within the Service) is necessary for: - analyzing user behavior in order to improve the Service's functionality using Yandex.Metrica (counter 108749035); - ensuring the stability and proper functioning of the Service; - protecting against unauthorized access and automated attacks.

5.2.5. Content Moderation and Countering Abuse

The processing of personal data is necessary for: - verifying that video materials uploaded by users comply with the requirements of the Service's Acceptable Use Policy (AUP); - detecting and preventing fraudulent activity, artificial inflation of metrics, and other abuses.

5.2.6. Partner Program

The processing of the personal data of partners (participants in the referral program) is necessary for: - identifying the partner and verifying their tax status (self-employed taxpayer under the Professional Income Tax (PIT) regime or sole proprietor); - calculating and paying partner remuneration via the Faster Payments System (FPS); - fulfilling the requirements of tax legislation regarding confirmation of the tax status of the payment recipient.

5.2.7. Advertising Communications (Only With Separate Consent)

Where the user has provided separate voluntary consent in accordance with Article 18 of Federal Law No. 38-FZ "On Advertising" of March 13, 2006 — sending advertising and marketing messages about new features, tariffs, and special offers of the Service.

5.2.8. Training of Algorithms (Only With Separate Consent)

Where the user has provided separate voluntary consent — the use of uploaded video materials, the results of their processing, and metadata to train and improve the Service's algorithms.

6. LEGAL GROUNDS FOR PERSONAL DATA PROCESSING

The processing of personal data is carried out by the Operator on the following lawful grounds provided for by Article 6 of Federal Law No. 152-FZ of July 27, 2006:

6.1. Performance of the Contract With the Personal Data Subject (Clause 5, Part 1, Article 6 of FZ-152)

The processing of users' personal data when registering an account, providing access to the Service's functionality, processing video materials, and accounting for coins is carried out in connection with the conclusion and performance of the offer agreement accepted by the user upon registration with the Service. This ground does not require separate consent from the subject.

6.2. Consent of the Personal Data Subject (Clause 1, Part 1, Article 6 and Article 9 of FZ-152)

For the following purposes, the processing of personal data is carried out exclusively on the basis of the subject's free, specific, informed, and conscious consent:

Primary consent to the processing of personal data (Article 9 of FZ-152, FZ-156/2025) — executed upon registration as a separate standalone document; covers the processing of identification and technical data for the purposes of performing the contract, analytics, and communications;
Consent to the use of materials for training algorithms — a separate checkbox; not activated by default.

6.3. Fulfillment of Obligations Imposed on the Operator by the Legislation of the Russian Federation (Clause 2, Part 1, Article 6 of FZ-152)

The storage of financial and tax documents is carried out in fulfillment of the requirements of the Tax Code of the Russian Federation (Article 23 of the Tax Code — a document storage period of 5 years) and Federal Law No. 54-FZ on the use of cash register equipment of May 22, 2003.

6.4. Realization of the Operator's Legitimate Interests (Clause 7, Part 1, Article 6 of FZ-152)

The processing of technical data (IP addresses, logs, session identifiers) for the purposes of ensuring the security of the Service and countering fraud and abuse is carried out in the Operator's interests, provided that such interests do not override the rights and freedoms of personal data subjects.

7. CATEGORIES OF PERSONAL DATA SUBJECTS

The Operator processes the personal data of the following categories of subjects:

7.1. B2C Users (Natural Persons — Consumers)

Natural persons who have reached the age of 18, have registered with the Service via the Google OAuth mechanism, and use the Service for personal, domestic, and other needs not related to the conduct of business activity. Access to the Service is provided only to residents of the Russian Federation.

7.2. B2B Users (Representatives of Legal Entities and Sole Proprietors)

Natural persons who are representatives of legal entities or sole proprietors and use the Service for business purposes. This category includes authorized representatives of corporate clients (the Agency tariff under an individual contract).

7.3. Partners (Participants in the Referral Program)

Natural persons who are self-employed taxpayers (payers of the Professional Income Tax — PIT) or sole proprietors, who have accepted the offer of the LoomyClips partner program and engage in attracting new users for remuneration.

7.4. Authors of Requests

Natural persons who send requests to the Operator (requests for the exercise of personal data subject rights, complaints, notifications of copyright infringement, and other requests) via email or other communication channels.

7.5. Persons Appearing in Uploaded Video Materials

Persons whose image and/or voice are contained in video materials uploaded by users. Special rules apply to this category of subjects, described in detail in Section 9 of this Policy.

8. LIST OF PERSONAL DATA PROCESSED

8.1. User Identification Data

Upon registration via the Google OAuth mechanism, the Operator receives the following data from the authentication provider:

Data	Source	Purpose
Email address from the Google account	Google OAuth	User identification, login, communications
Display name from the Google profile (first name and/or last name)	Google OAuth	Display in the personal cabinet interface
Unique user identifier (user_id)	Generated by the Service	Linking data in the PDIS

The Operator does not request from Google and does not process: date of birth, telephone number, address, the content of emails, contacts, location data, or other information from the Google account beyond that specified above.

8.2. Technical Data (Collected Automatically)

Data	Purpose	Storage period
Device IP address	Fraud protection, analytics, compliance with territorial restrictions	3 years
Browser user-agent (browser type and version, OS)	Analytics, ensuring compatibility	3 years
Cookie identifiers (session and analytical)	Session management, analytics	per the Cookies Policy section
Session metadata (login time, duration, pages)	Analytics, security	3 years
Data on actions within the Service (clicks, views, interaction)	Analytics (Yandex.Metrica with Webvisor)	3 years

8.3. Payment Data

Payments in the Service are carried out exclusively through the Modulbank payment gateway (the "Modulpay" internet acquiring service). The Operator does not accept, does not store, and does not process the bank card details of users. LoomyClips receives from Modulbank only: - the fact that a payment has been made (the transaction status); - masked payment instrument details (for example, the last 4 digits of the card number); - the transaction identifier; - the date and amount of the operation.

The full details of payment instruments (card number, CVV, PIN, etc.) are not transferred to the Operator and are not processed by it.

8.4. User Content (Video Materials)

Type of data	Processing procedure	Storage period
Original uploaded video files	Processed on serverless GPU infrastructure; deleted immediately upon completion of processing; not stored long-term	Not stored (immediate deletion after processing)
Completed processed clips	Stored in the user's personal cabinet	6 months from the date of generation, then automatic deletion
Operation metadata (user_id, timestamp, file hash, video duration, number of coins spent)	Stored in the operations log	3 years
Preview frames, frames, intermediate processing results	Not stored in log files or databases	Not stored

8.5. Partner Data

Participants in the partner program provide the following data:

Data	Purpose
Last name, first name, patronymic	Partner identification, processing of payments
Telephone number (for FPS)	Transfer of partner remuneration via FPS
Name of the bank	Payment details
INN	Confirmation of tax status (PIT or sole proprietor)
PIT / sole proprietor status	Verification of eligibility to participate in the program
Details of PIT receipts or universal transfer documents (UTD)	Tax and accounting records

8.6. Data of Authors of Requests

Upon receipt of requests, the Operator processes: the email address, the name (if provided), the content of the request, and any other data that the subject voluntarily included in the text of the request.

9. PROCESSING OF PERSONS APPEARING IN UPLOADED VIDEO MATERIALS

9.1. Processing Methods Applied

In the process of the automated editing of video materials, the LoomyClips Service applies the following technical methods:

Speaker Diarization — the algorithmic division of the audio track into segments corresponding to different speakers, for the purposes of editorial markup of the video sequence; the Operator's own ASR module, located on infrastructure in the Russian Federation, is used.
Active Speaker Detection (ASD) — determining which of the speakers in frame is speaking at a given moment, for the purposes of automatically selecting the most advantageous camera angle during editing.

9.2. What the Service Does NOT Do

The LoomyClips Service does not carry out the following types of processing: - creation of biometric templates (mathematical vectors) of faces; - storage of biometric data (vectors, face descriptors); - identification of specific natural persons by image or voice; - matching of faces against any databases; - facial recognition for the purposes of identity verification.

9.3. Legal Classification: Not Biometric Personal Data

The applied methods of voice diarization and Active Speaker Detection do not constitute the processing of biometric personal data within the meaning of Article 11 of Federal Law No. 152-FZ of July 27, 2006, because:

biometric mathematical vectors of faces and voices are not created and not stored;
the processing is not directed at establishing the identity of personal data subjects;
these methods are used exclusively for the technical purposes of editorial markup of the video sequence.

The legal position set out above is consistent with the position of Roskomnadzor expressed in Letter No. 62450-02-11/77 of August 1, 2024, according to which the key criterion for classifying data as biometric personal data is precisely the targeted use of the information for the identification of a specific natural person, rather than the mere fact of processing an image or voice.

The same position is confirmed by official clarifications from Roskomnadzor: images and voice recordings constitute biometric personal data only in those cases where they are deliberately used by the operator to establish identity.

9.4. Status of Data of Persons Appearing in Frame

Since the Operator does not establish the identity of persons appearing in uploaded video materials, the processing of such data is not classified as the processing of personal data of persons appearing in frame within the meaning of Article 11 of FZ-152. The user who uploads a video material bears sole responsibility for having the necessary rights and permissions to process the images of third parties captured in the uploaded materials, in accordance with applicable legislation.

10. SOURCES OF PERSONAL DATA

10.1. Directly From the Personal Data Subject

Personal data reaches the Operator directly from the subjects themselves in the following ways:

Upon registration via Google OAuth: the user authorizes the transfer of basic Google profile data (email, display name) to the Operator via the standard OAuth 2.0 protocol; the volume of data transferred is determined by the requested permissions (scopes) and is confirmed by the user themselves in the Google interface;
When filling out forms in the Service: the user independently enters data into the relevant fields (for example, when contacting support);
Automatically when using the Service: technical data (IP address, user-agent, session metadata) is collected automatically in the course of using the Service and is an integral part of the operation of internet services;
When uploading video materials: the user independently uploads video files for processing;
When contacting the Operator: data contained in the text of the request is provided by the subject voluntarily.

10.2. No Collection of Data From Third-Party Sources

The Operator does not collect personal data from publicly available sources (social networks, open registers, etc.), does not acquire databases from third parties, and does not obtain personal data of subjects from other organizations or individuals, with the exception of data transferred by the Google authentication provider within the OAuth 2.0 mechanism with the explicit consent of the user themselves.

11. METHODS AND PROCEDURE FOR PROCESSING PERSONAL DATA

11.1. Methods of Processing

The Operator processes personal data in the following ways:

Automated processing — the primary method; data is processed using computing equipment (servers, databases, software) without direct human involvement in each individual operation;
Mixed processing (automated with elements of non-automated processing) — applied when handling requests from personal data subjects and when moderating content.

11.2. Types of Operations With Personal Data

The Operator has the right to perform the following operations with personal data: - collection and receipt; - recording and systematization; - accumulation and storage; - refinement (updating, modification); - extraction and use; - transfer (provision) to processors acting under instruction; - depersonalization; - blocking; - deletion and destruction.

11.3. Prohibition of Automated Decisions With Legal Consequences

In accordance with Article 16 of Federal Law No. 152-FZ of July 27, 2006, the Operator does not make decisions giving rise to legal consequences in relation to the personal data subject or otherwise affecting their rights and legitimate interests solely on the basis of automated processing of their personal data.

All decisions related to the rights and interests of subjects (for example, the blocking of an account) are made with the involvement of an employee of the Operator after an analysis of the specific circumstances.

11.4. Dissemination of Personal Data

The Operator does not disseminate the personal data of subjects, that is, it does not disclose them to an indefinite range of persons. Users' data is not sold and is not transferred to third parties otherwise than as provided for in Section 12 of this Policy.

12. TRANSFER OF PERSONAL DATA TO THIRD PARTIES (PROCESSORS ACTING UNDER INSTRUCTION)

12.1. General Conditions of Transfer

In accordance with Part 3 of Article 6 of Federal Law No. 152-FZ of July 27, 2006, the Operator has the right to instruct a third party (processor) to process personal data on the basis of a concluded contract of instruction for the processing of personal data. In doing so:

the processor is obliged to observe the principles and rules for the processing of personal data provided for by FZ-152;
the processor has the right to process personal data exclusively to the extent and for the purposes specified by the Operator in the relevant instruction;
the Operator bears responsibility to personal data subjects for the actions of the processors.

12.2. List of Personal Data Processors

12.2.1. Modulbank (JSC CB "Modulbank")

Parameter	Value
Purpose	Payment gateway (the "Modulpay" internet acquiring service), processing of payment transactions, online cash register (generation of fiscal receipts in accordance with FZ-54)
Details	INN 2204000595, OGRN 1022200525841, Bank of Russia license No. 1927 of April 25, 2016
Processing location	Russian Federation
Status	Processor acting under instruction
Data transferred	User email (for sending the fiscal receipt), transaction amount and parameters
What is NOT transferred	Full payment card details (processed by Modulbank independently as a personal data operator in accordance with the requirements of PCI DSS and the Law on Banking Activity)

12.2.2. Yandex.Metrica (Yandex LLC)

Parameter	Value
Purpose	Web analytics, analysis of user behavior, the Webvisor feature
Counter identifier	108749035
Processing location	Russian Federation
Status	Processor acting under instruction
Data transferred	IP address, cookie data, user-agent, page metadata, data on user actions (clicks, scrolls)
Legal ground	User consent to analytical cookies

12.2.3. Yandex CDN (Yandex LLC)

Parameter	Value
Purpose	Content delivery network (CDN) for accelerating the loading of the Service's resources
Processing location	Russian Federation
Status	Processor acting under instruction
Data transferred	IP address, HTTP request headers (technical data)

12.2.4. Yandex SmartCaptcha (Yandex LLC)

Parameter	Value
Purpose	Protection of forms and actions in the Service against automated attacks (bots)
Processing location	Russian Federation
Status	Processor acting under instruction
Data transferred	IP address, user-agent, data on interaction with the form

12.2.5. Selectel (JSC "Selectel")

Parameter	Value
Purpose	Hosting of the Service's infrastructure, storage of data in a data center
Processing location	Russian Federation (data center in the RF)
Status	Processor acting under instruction
Data transferred	All data stored in the Operator's PDIS, with respect to physical placement on the infrastructure

12.2.6. Yandex 360 for Business (Yandex LLC)

Parameter	Value
Purpose	Sending transactional subscription emails: notification 24 hours before automatic charging, payment receipt, message about a failed charge, confirmation of cancellation of auto-renewal, notification of subscription expiration. Marketing mailings are not sent.
Processing location	Russian Federation
Status	Processor acting under instruction (on the basis of the terms of the Yandex 360 for Business offer accepted by the Operator)
Data transferred	User email, name, technical subscription parameters (plan, next charge date, last 4 digits of the card)
Legal ground	Performance of the contract with the user (Clause 5, Part 1, Article 6 of FZ-152); auto-charge notifications are required by FZ-376/2025

12.3. Cloudflare — an Infrastructure Service Without Transfer of Personal Data

The Service uses Cloudflare (Cloudflare, Inc., USA) as an infrastructure protection component (WAF, DDoS mitigation). Users' personal data is not transferred to Cloudflare: only technical network headers pass through Cloudflare (IP addresses within the standard TCP/IP protocol), which are an integral attribute of any internet connection. Cloudflare does not gain access to users' stored data or their identifiers. In view of the foregoing, the transfer of data through Cloudflare is not classified as a cross-border transfer of personal data within the meaning of FZ-152.

12.4. YouTube Data API — Without Transfer of Users' Personal Data

The Service uses the YouTube Data API (Google LLC, USA) for the technical retrieval of subtitles of video materials by URL links provided by the user. The personal data of LoomyClips users is not transferred to the YouTube Data API: only the URLs of public videos and requests to retrieve subtitles are sent to YouTube. This technical integration is not classified as a cross-border transfer of personal data within the meaning of FZ-152.

13. CROSS-BORDER TRANSFER OF PERSONAL DATA

13.1. General Rule

The Operator does not carry out cross-border transfer of personal data. The personal data of users of the LoomyClips Service is not transferred to the territory of foreign states to foreign authorities, foreign natural persons, or foreign legal entities.

13.2. Rationale

Hosting infrastructure: all components of the Operator's PDIS are located on the facilities of Selectel (JSC "Selectel") in data centers within the territory of the Russian Federation;
All personal data processors: Modulbank, Yandex.Metrica, Yandex CDN, Yandex SmartCaptcha, Yandex 360 for Business — are Russian organizations processing data within the territory of the RF;
YouTube Data API: used exclusively for technical subtitle requests by the URLs of public videos; users' personal data is not transferred in the process (for more details — Section 12.4);
Cloudflare: is an infrastructure service that does not gain access to users' personal data (for more details — Section 12.3);
AI API for video processing: the Service's internal components are used without cross-border transfer of users' personal data; the processing algorithms are applied to depersonalized technical data within serverless infrastructure in the territory of the RF.

13.3. Notification to Roskomnadzor of Cross-Border Transfer

Cross-border transfer is not carried out. When using the YouTube Data API, only technical parameters (the video URL) are transferred, which do not constitute personal data of LoomyClips users. In view of the absence of cross-border transfer of personal data, the submission of a notification to Roskomnadzor of the intention to carry out cross-border transfer (Article 12 of FZ-152) is not required. Should a need for cross-border transfer arise, the Operator shall submit a notification to Roskomnadzor before the start of the transfer in accordance with Part 3 of Article 12 of FZ-152 (as amended by FZ-23/2025).

13.4. Data Lifecycle Table

Category of data	Storage period	Basis	Method of destruction
Original video file (uploaded by the user)	Deleted immediately upon completion of processing	Article 5, Part 4 of FZ-152	Clearing of temporary storage on isolated computing facilities
Derived features (temporal frame features, processing metadata)	Deleted upon completion of processing, not stored in personalized form	Article 5, Part 4 of FZ-152	Clearing of the processing buffer
Completed clip	6 months in the personal cabinet, then deleted	Performance of the contract (Article 6, Part 1, Clause 5 of FZ-152)	Accompanied by notification to the user
Payment metadata (user identifier, amount, date, fact of payment)	5 years	Tax reporting (Article 23 of the Tax Code)	Cryptographic destruction
User account (profile, correspondence, email)	10 business days from the moment of the deletion request	Article 21 of FZ-152	Cryptographic destruction, overwriting
Event logs, logs	3 years	Statute of limitations (Article 196 of the Civil Code)	Secure deletion from storage

Note. Models trained on a user's materials do not contain personal data in personalized form: statistical features (vectors, embeddings) aggregated across data arrays are used, which do not allow a specific natural person to be identified.

14. LOCALIZATION OF PERSONAL DATA WITHIN THE TERRITORY OF THE RUSSIAN FEDERATION

14.1. Compliance With the Localization Requirement

In accordance with Part 5 of Article 18 of Federal Law No. 152-FZ of July 27, 2006 (as amended by Federal Law No. 23-FZ of February 28, 2025, which entered into force on September 1, 2025), when collecting the personal data of citizens of the Russian Federation, including via the "Internet" information and telecommunications network, the operator is obliged to ensure the recording, systematization, accumulation, storage, refinement (updating, modification), and extraction of the personal data of citizens of the Russian Federation using databases located within the territory of the Russian Federation.

The Operator confirms compliance with the said requirement: all databases containing the personal data of the Service's users are located exclusively in data centers situated within the territory of the Russian Federation (hosting provider Selectel, JSC "Selectel," RF).

14.2. Availability for Inspection

Information on the technical location of the databases is recorded in the Notification of Personal Data Processing submitted by the Operator to Roskomnadzor in accordance with Roskomnadzor Order No. 180 and is reflected in the Register of Personal Data Operators (pd.rkn.gov.ru).

15. PERIODS OF PROCESSING AND STORAGE OF PERSONAL DATA

Personal data is stored in a form allowing the personal data subject to be identified for no longer than the purposes of processing require (Clause 7 of Article 5 of FZ-152). Upon expiration of the established periods, personal data is destroyed or depersonalized.

Category of data	Storage period	Basis
Original uploaded video files	Immediate deletion upon completion of processing	Minimization principle (Article 5 of FZ-152)
Completed processed clips	6 months from the date of generation, then automatic deletion	Terms of service provision (the Service's SLA)
Operation metadata (user_id, timestamp, file hash, duration, coins)	3 years from the moment the record is created	Provision of evidentiary basis, record-keeping
Account data (email, name, user_id)	Until the subject deletes the account, after which metadata is kept for an additional 3 years	Performance of the contract; statute of limitations (Article 196 of the Civil Code)
Payment documents (transaction data, receipts)	5 years	Article 23 of the Tax Code (obligation to store primary documents)
Partner data	Until termination of the partner agreement + 5 years	Article 23 of the Tax Code
Access logs and technical journals	3 years	Ensuring security, detecting violations
Data of personal data subject requests	3 years from the moment the request is handled	Article 14 of FZ-152, provision of evidentiary basis
Cookie data	Per the Cookies Policy (Section 3 of the Cookies Policy)	Subject's consent

15.1. Procedure for the Destruction of Data

Upon expiration of the established storage period, personal data is: - irrevocably deleted from the database (using means that exclude the possibility of recovery); - or depersonalized in such a way that it becomes impossible to identify the personal data subject.

The fact of the destruction of personal data is recorded in the corresponding register.

16. MEASURES TO ENSURE THE SECURITY OF PERSONAL DATA

16.1. Legal Framework

Measures to ensure the security of personal data are taken in accordance with Article 19 of Federal Law No. 152-FZ of July 27, 2006, Decree of the Government of the Russian Federation No. 1119 of November 1, 2012 "On Approval of the Requirements for the Protection of Personal Data During Their Processing in Personal Data Information Systems," and Order of the FSTEC of Russia No. 21 of February 18, 2013.

16.2. Determination of the PDIS Protection Level

In accordance with Decree of the Government of the Russian Federation No. 1119, the 4th (fourth) protection level has been determined for the personal data information system of the LoomyClips Service, because:

the personal data processed belongs to other categories (it is not special or biometric);
the subjects are users of the Service (not employees of the Operator);
the relevant threats belong to type 3 (threats not associated with the presence of undeclared capabilities in application software);
the number of personal data subjects

16.3. Organizational Measures

The Operator has implemented the following organizational protection measures:

Regulatory and legal documentation: the Personal Data Processing Policy, the Regulation on Personal Data Processing, and subjects' consents have been developed and approved; the corresponding orders have been issued;
Appointment of a responsible person: a person responsible for organizing the processing of personal data has been appointed (Article 22.1 of FZ-152);
Logging: a Register of Requests from Personal Data Subjects and a Register of Information Security Incidents are maintained;
Training and instruction: persons granted access to personal data have been familiarized with the requirements of the legislation and the Operator's internal documents under signature;
Access restriction: access to personal data is granted exclusively to persons who require it to perform their official (functional) duties; the principle of least privilege is applied;
Control over processors: a contract of instruction for the processing of personal data, specifying the particular list of permissible operations, has been concluded with each personal data processor.

16.4. Technical Measures

The Operator has implemented the following technical protection measures:

Network segmentation: division of the Service's network infrastructure into isolated segments; public and internal components are separated;
Encryption of data in transit: all connections between the client and the Service are carried out exclusively over the TLS protocol (versions 1.2 and higher); the transfer of data over unencrypted channels is excluded;
Authentication: access to administrative panels and internal systems is protected by multi-factor authentication (MFA); direct access to databases from the public network is excluded;
Logging of security events: access logs for the components of the PDIS are maintained; abnormal events are recorded and analyzed;
Regular software updates: current security updates are applied to all components of the infrastructure;
Backup: regular data backups are performed in order to ensure their recovery in the event of emergencies;
Protection against DDoS and unauthorized requests: traffic filtering tools and Yandex SmartCaptcha are used to protect forms.

16.5. Incident Notification

In accordance with the requirements of FZ-152 (taking into account the amendments introduced by FZ-420/2024), in the event of the detection of an incident resulting in the unlawful transfer (provision, dissemination, access) of personal data, the Operator is obliged to:

within 24 hours, notify Roskomnadzor of the incident that occurred;
within 72 hours, send the results of the internal investigation of the incident to Roskomnadzor.

17. RIGHTS OF THE PERSONAL DATA SUBJECT

17.1. List of the Subject's Rights

In accordance with Articles 14–17 of Federal Law No. 152-FZ of July 27, 2006, the personal data subject has the following rights:

17.1.1. Right to Obtain Information About the Processing of Personal Data (Article 14 of FZ-152)

The personal data subject has the right to obtain the following information: - confirmation of the fact that their personal data is being processed by the Operator; - the legal grounds and purposes of personal data processing; - the purposes and the methods of personal data processing applied by the Operator; - the name and location of the Operator; - information about persons (with the exception of the Operator's employees) who have access to personal data or to whom personal data may be disclosed on the basis of a contract with the Operator or on the basis of federal law; - the personal data being processed that relates to the relevant subject, and the source from which it was obtained; - the periods of personal data processing, including the periods of its storage; - information about cross-border transfer of personal data that has been carried out or is intended; - the name or the surname, first name, patronymic, and address of the person carrying out the processing of personal data under instruction from the Operator; - other information provided for by FZ-152 or other federal laws.

17.1.2. Right to Access Personal Data (Article 14 of FZ-152)

The personal data subject has the right to obtain a copy of the personal data that the Operator processes in relation to that subject.

17.1.3. Right to the Refinement of Personal Data (Article 15 of FZ-152)

The personal data subject has the right to demand the refinement (correction) of their personal data where it is incomplete, outdated, inaccurate, or unlawfully obtained.

17.1.4. Right to the Blocking of Personal Data (Article 15 of FZ-152)

The personal data subject has the right to demand the temporary suspension of the processing of their personal data (blocking) where unlawful processing of it is detected or in other cases provided for by law.

17.1.5. Right to the Deletion (Destruction) of Personal Data (Article 17 of FZ-152)

The personal data subject has the right to demand the deletion (destruction) of their personal data in the following cases: - achievement of the purpose of processing or loss of the need to achieve it; - expiration of the validity period of consent to processing or its withdrawal (where no other ground for processing exists); - unlawfulness of the processing of personal data.

17.1.6. Right to Withdraw Consent (Article 9, Part 2 of FZ-152)

The personal data subject has the right to withdraw their consent to the processing of personal data at any time.

Procedure for withdrawing consent:

Through the personal cabinet settings: the subject may withdraw consent directly in the Service interface, in the "Settings" → "Personal Data" section;
By means of a written application: by sending an application to the Operator's email: support@loomyclips.com with the subject line "Withdrawal of consent to the processing of personal data," or by postal mail to the address: 2 Serafimovicha St., Yakimanka Municipal District, Moscow, Russia, 119072.

Consequences of withdrawing consent: in the event of withdrawal of consent, the Operator ceases the processing of personal data and destroys it within 30 (thirty) days from the moment the withdrawal is received, unless otherwise established by the contract, the legislation, or another lawful ground for processing. In doing so, the Operator has the right to continue processing data necessary for the performance of obligations under the contract (with respect to the period already paid for), as well as for compliance with the requirements of the legislation (with respect to the storage of financial documents).

Important: the withdrawal of consent does not entail the automatic termination of the service contract. To delete the account, it is necessary to use the corresponding function in the personal cabinet.

17.1.7. Right to Appeal the Operator's Actions

The personal data subject has the right to appeal the actions or inaction of the Operator:

To Roskomnadzor (the authorized body for the protection of the rights of personal data subjects): - Address: 7 Kitaygorodsky Proezd, Bldg. 2, Moscow, 109074 - Official website: www.rkn.gov.ru - Request form: rkn.gov.ru/treatments/ask-question

Through judicial proceedings: - the subject has the right to apply to a court with a claim for the protection of their rights in the field of personal data; - for natural persons who are consumers: at the consumer's choice, in accordance with Article 17 of Law No. 2300-1 "On the Protection of Consumer Rights" of February 7, 1992.

17.2. Limitations on the Subject's Rights

The rights of the personal data subject may be limited in the cases provided for by Federal Law No. 152-FZ of July 27, 2006 and other federal laws, including: - where lawful grounds for processing exist other than consent (for example, where processing is for the performance of the contract or the fulfillment of obligations under the legislation — cessation of processing at the subject's demand is not carried out); - where data is processed for the purposes of ensuring security and countering fraud.

18. PROCEDURE FOR HANDLING REQUESTS FROM PERSONAL DATA SUBJECTS

18.1. Methods for Submitting Requests

The personal data subject has the right to send a request (inquiry, demand) to the Operator in the following ways:

By email: to the address support@loomyclips.com with a subject line containing the essence of the request;
By postal mail: to the address 2 Serafimovicha St., Yakimanka Municipal District, Moscow, Russia, 119072 (marked "Personal Data").

18.2. Requirements for a Request

A request must contain: - the surname, first name, and patronymic of the personal data subject; - the email address (login in the Service) for identification; - the essence of the request (the type of right or action requested); - where necessary — documents confirming the identity of the subject (in order to prevent unauthorized access to the data of third parties).

18.3. Time Limits for Handling

Type of request	Time limit for handling	Basis
Request for the provision of information about the processing of personal data	10 business days from the moment of receipt	Part 7 of Article 14 of FZ-152
Demand for the refinement, blocking, or destruction of personal data	7 business days from the moment of receipt (refinement/blocking); 30 days (destruction upon detection of unlawful processing)	Article 15 of FZ-152
Withdrawal of consent to the processing of personal data	Cessation of processing within 30 days from the moment of receipt	Article 9, Part 2 of FZ-152
General requests (complaints, other inquiries)	30 days from the moment of receipt	Article 12 of Federal Law No. 59-FZ of May 2, 2006

18.4. Identification of the Subject

In order to ensure security and prevent unauthorized access to the personal data of third parties, the Operator has the right to request additional information to confirm the identity of the applicant.

19. PROCEDURE FOR UPDATING AND AMENDING THIS POLICY

19.1. Right to Make Amendments

The Operator has the right to unilaterally make amendments to this Policy in the following cases: - changes in the legislation of the Russian Federation in the field of personal data and related areas; - changes in the composition of the personal data processed or the purposes of processing; - changes in the list of processors; - other cases requiring the updating of the Policy.

19.2. Procedure for Notifying Subjects

The Operator notifies personal data subjects of material changes to the Policy: - by publishing the new revision on the Service's website (loomyclips.com) with an indication of the effective date; - by sending a notification to the user's email address no less than 14 (fourteen) calendar days before the changes enter into force (in the case of material changes).

Continued use of the Service after the changes enter into force constitutes the user's acceptance of the new revision of the Policy. If the user does not agree with the changes, they have the right to delete their account before the changes enter into force.

19.3. Procedure for Reviewing the Policy

The current version of this Policy is permanently posted on the Service's website at: loomyclips.com/privacy, freely accessible.

19.4. Details of This Revision

Parameter	Value
Date of revision	__ __ 2026
Version	1.0
Effective date	__ __ 2026
Developed in accordance with	FZ-152, FZ-156/2025, FZ-420/2024, FZ-421/2024, FZ-149, Decree of the Government of the RF No. 1119, Order of the FSTEC No. 21

This Personal Data Processing Policy has been developed and approved by Sole Proprietor Mikhail N. Zinoviev (IP Zinoviev M.N.) (OGRNIP 326774600287471, INN 770602340640).

Revision of April 24, 2026. Version 1.0

Политика обработки персональных данныхPrivacy Policy