Политика конфиденциальности сервиса Pulsy

Дата вступления в силу: 17 апреля 2026 г. · Последнее обновление: 17 апреля 2026 г. · Версия: 1.0

НЕ ЯВЛЯЕТСЯ ЮРИДИЧЕСКОЙ КОНСУЛЬТАЦИЕЙ. Документ подготовлен на основе требований Telegram, YouTube API, GDPR и 152-ФЗ. Версия 1.0 от 17 апреля 2026 г. Рекомендуется периодическая проверка документа у практикующего юриста, особенно при существенных изменениях модели обработки данных.

1. Кто мы и как с нами связаться

Оператором персональных данных (далее — «Оператор», «мы», «нас») в сервисе Pulsy является физическое лицо — индивидуальный владелец проекта.

Имя / ФИО: Pulsy (индивидуальный разработчик)
Статус: физическое лицо — индивидуальный разработчик
ИНН / ОГРНИП: не применимо (юридическое лицо не зарегистрировано)
Юрисдикция регистрации: Российская Федерация
Почтовый адрес: Контактный email: support@ytstatchek.site (почтового адреса нет — свяжитесь по e-mail)
Email по вопросам ПД: support@ytstatchek.site
Сайт: https://ytstatchek.site
Представитель в ЕС (ст. 27 GDPR): Не назначен (Pulsy не направляет свои услуги целенаправленно на резидентов ЕЭЗ)

Pulsy — это мини-приложение для Telegram, предназначенное для авторов и владельцев YouTube-каналов. Сервис предоставляет статистику, аналитику и AI-рекомендации на основе данных YouTube. По умолчанию обработкой данных занимается сам Оператор. При привлечении процессоров мы заключаем с ними соглашения и указываем их в разделе 11.

2. Область применения настоящей Политики

Настоящая Политика конфиденциальности описывает, какие персональные данные мы собираем, когда вы используете мини-приложение Pulsy в Telegram (далее — «Сервис»), с какой целью мы их собираем, на каком правовом основании, с кем мы ими делимся и какими правами вы обладаете как субъект персональных данных.

Политика применяется к пользователям по всему миру, с отдельными положениями для пользователей, находящихся на территории Европейской экономической зоны (ЕЭЗ), Великобритании, Швейцарии и Российской Федерации.

3. Основные понятия

В настоящей Политике используются понятия в значениях, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и, применительно к пользователям ЕЭЗ/Великобритании, ст. 4 GDPR:

Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определённому физическому лицу.
Обработка ПД — любое действие (операция) с ПД.
Оператор / Контролёр — лицо, организующее и (или) осуществляющее обработку ПД, определяющее цели и средства обработки.
Процессор — третья сторона, обрабатывающая ПД от имени Оператора.
Субъект ПД — физическое лицо, которому принадлежат ПД.
Трансграничная передача — передача ПД на территорию иностранного государства.

4. Какие данные мы собираем

4.1. Данные Telegram-аккаунта

Telegram user ID (числовой идентификатор);
имя, username, first_name, last_name (если указаны пользователем);
language_code, флаг is_premium;
подписанные initData для проверки подлинности.

4.2. Данные YouTube-канала

Публичные (YouTube Data API v3, без OAuth): ID канала, название, аватар, подписчики, просмотры, метаданные роликов.
YouTube Analytics (только при добровольном OAuth): удержание, CTR, источники трафика, демография, доход, OAuth-токены.

4.3. Технические данные и метаданные

IP-адрес, user-agent, временные метки запросов;
идентификатор сессии мини-приложения;
результаты антифрод- и rate-limit-проверок.

4.4. Данные о взаимодействии с сервисом

История запросов к AI (для лимитов и качества);
выбранный тариф, статус подписки, баланс кредитов;
сообщения в поддержку.

4.5. Платёжные данные

Платежи принимаются исключительно через Telegram Stars. Мы не получаем и не храним данные банковских карт. От Telegram получаем только: telegram_payment_charge_id, сумму в Stars, Telegram user ID, timestamp.

Мы не обрабатываем специальные категории персональных данных (ст. 10 152-ФЗ, ст. 9 GDPR) и не обрабатываем биометрические ПД (ст. 11 152-ФЗ).

5. Цели обработки

Мы обрабатываем ПД в следующих целях (с указанием правового основания по ст. 6 GDPR / ч. 1 ст. 6 152-ФЗ):

#	Цель	Категории данных	Правовое основание
1	Аутентификация и предоставление функций мини-приложения (статистика канала, AI-подсказки)	Данные Telegram, публичные данные YouTube	GDPR ст. 6(1)(b) — договор / 152-ФЗ п. 5 ч. 1 ст. 6
2	Подключение YouTube Analytics через OAuth и показ приватной аналитики	OAuth-токены и данные аналитики	GDPR ст. 6(1)(a) — согласие / 152-ФЗ п. 1 ч. 1 ст. 6
3	Обработка платежей и предоставление платных тарифов / пакетов кредитов	Telegram ID, метаданные платежа	GDPR ст. 6(1)(b) — договор
4	Техническая поддержка	Сообщения в поддержку, Telegram ID	GDPR ст. 6(1)(b) — договор
5	Предотвращение мошенничества, злоупотреблений и обеспечение безопасности	Технические данные, IP, результаты rate-limit	GDPR ст. 6(1)(f) — законный интерес / 152-ФЗ п. 7 ч. 1 ст. 6
6	Улучшение сервиса (обезличенная аналитика)	Обезличенная статистика использования	GDPR ст. 6(1)(f) — законный интерес
7	Соблюдение требований законодательства (ответы на законные запросы, отчётность)	По требованию закона	GDPR ст. 6(1)(c) / 152-ФЗ п. 2 ч. 1 ст. 6
8	Сервисные уведомления (статус подписки, критические сообщения)	Telegram ID	GDPR ст. 6(1)(b) — договор

Мы не используем ПД для автоматизированного принятия решений, порождающих юридические последствия для субъекта (ст. 22 GDPR).

6. Правовые основания

Обработка персональных данных осуществляется на основании ч. 1 ст. 6 152-ФЗ и ст. 6 GDPR, в частности:

п. 1 ч. 1 ст. 6 152-ФЗ / ст. 6(1)(a) GDPR — согласие субъекта ПД (при запуске мини-приложения и подключении OAuth к YouTube Analytics);
п. 5 ч. 1 ст. 6 152-ФЗ / ст. 6(1)(b) GDPR — обработка, необходимая для исполнения договора;
п. 7 ч. 1 ст. 6 152-ФЗ / ст. 6(1)(f) GDPR — законные интересы Оператора или третьих лиц (безопасность, антифрод);
п. 2 ч. 1 ст. 6 152-ФЗ / ст. 6(1)(c) GDPR — обработка в соответствии с законом (ответы на запросы уполномоченных органов);
п. 11 ч. 1 ст. 6 152-ФЗ — обработка общедоступных ПД.

Согласие, предоставленное при первом запуске мини-приложения, распространяется на действия, описанные в настоящей Политике. Согласие может быть отозвано в любой момент (см. раздел 13).

7. Категории субъектов

Сервис ориентирован на:

авторов и владельцев YouTube-каналов, использующих Telegram;
пользователей Telegram старше 18 лет (см. также раздел 18);
представителей службы поддержки и сотрудников Оператора (в рамках трудовых / гражданско-правовых отношений).

Мы не обрабатываем данные третьих лиц (подписчиков YouTube-канала) сверх той минимальной статистики, которую YouTube предоставляет владельцу канала и которая уже является результатом обработки YouTube.

8. Способы обработки

Обработка ПД осуществляется:

Автоматизированным способом — с использованием программных средств, без участия человека (основная часть обработки);
Неавтоматизированным (смешанным) способом — при обработке обращений пользователей в службу поддержки и при ведении необходимой отчётности.

Конкретные действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление), обезличивание, блокирование, удаление, уничтожение ПД. Оператор принимает меры по защите ПД в соответствии со ст. 18.1 и ст. 19 152-ФЗ (см. раздел 16).

9. Сроки хранения

Категория	Срок
Telegram user ID и привязанный канал	До удаления аккаунта + 30 дней
OAuth-токены YouTube Analytics	До отзыва или 90 дней бездействия
История запросов к AI	180 дней
Логи веб-сервера (IP, user-agent)	90 дней
Транзакции Telegram Stars	3 года (отчётность, споры)
Обращения в поддержку	12 месяцев после закрытия
Обезличенная аналитика	Бессрочно

По истечении срока данные уничтожаются или обезличиваются в соответствии с ч. 4 ст. 21 152-ФЗ и принципом ограничения хранения (ст. 5(1)(e) GDPR).

10. Место обработки и трансграничная передача

Основная обработка ведётся на серверах, расположенных в Российской Федерации. Для граждан РФ первичная запись может осуществляться на территории РФ согласно ч. 5 ст. 18 152-ФЗ — да, первичная запись ПД граждан РФ осуществляется на серверах, расположенных на территории Российской Федерации.

Трансграничная передача осуществляется в страны с адекватной защитой или на основании согласия (ст. 12 152-ФЗ / ст. 46, 49 GDPR). Получатели:

Telegram (ОАЭ / Великобритания) — меры защиты: стандартные договорные условия (SCC); альтернативно — ст. 49(1)(b) GDPR; основание по 152-ФЗ: исполнение договора, согласие субъекта.
Google LLC (США) — YouTube Data / Analytics API; меры защиты: EU-US Data Privacy Framework и/или SCC; согласие, исполнение договора.
OpenRouter (США) — AI-инференс; меры защиты: SCC; исполнение договора, законный интерес.
Sentry (США / ЕС) — мониторинг ошибок; меры защиты: SCC и DPF, когда применимо; законный интерес.
Хостинг-провайдер (Российская Федерация) — исполнение договора; меры защиты: размещение в пределах РФ, соглашение об обработке ПД с провайдером.

Перед началом трансграничной передачи Оператор проводит оценку обеспечения иностранным государством защиты прав субъектов ПД в соответствии с ч. 4 ст. 12 152-ФЗ. Вы можете запросить копию действующих мер защиты по адресу support@ytstatchek.site.

11. Процессоры и получатели

Сервис	Роль	Передаваемые данные	Политика
Telegram (FZ-LLC / Messenger Inc.)	Платформа, платежи	Telegram user ID, initData, charge ID	telegram.org/privacy
Google LLC (YouTube API)	Источник данных, OAuth	OAuth-токены, ID канала	policies.google.com
OpenRouter	LLM-инференс	Текст запросов (обезличен по возможности)	openrouter.ai/privacy
Sentry	Мониторинг ошибок	Stack traces, user_id (обезличен)	sentry.io/privacy
Хостинг-провайдер (РФ)	Инфраструктура	Все серверные данные	Соглашение об обработке ПД с провайдером

Мы не продаём персональные данные и не делимся ими с рекламодателями.

12. Платежи через Telegram Stars

Все платежи в Pulsy осуществляются исключительно через Telegram Stars. Оператор не обрабатывает и не хранит данные банковских карт. От Telegram получаем: telegram_payment_charge_id, сумму, Telegram user ID.

12.1. Политика возвратов

Запрос на возврат — через @StarsPayments в течение 21 дня после покупки.
При возврате соответствующие кредиты и/или тариф отзываются в сервисе.
Consumable: возврат, как правило, возможен, если кредиты не использованы.
Subscription: возврат — пропорциональный, по усмотрению Telegram.

13. Права субъектов

В соответствии со ст. 14 152-ФЗ и ст. 15–22 GDPR субъект ПД имеет право:

Получать информацию об обработке своих ПД (право доступа, ст. 15 GDPR).
Требовать уточнения, блокирования, уничтожения ПД (ст. 16, 18 GDPR).
Требовать удаления данных — «право на забвение» (ст. 17 GDPR).
Отзывать согласие на обработку (ч. 2 ст. 9 152-ФЗ, ст. 7(3) GDPR).
Требовать прекращения обработки и возражать против неё (ст. 21 GDPR).
На переносимость данных в структурированном формате (ст. 20 GDPR).
Не подвергаться автоматизированному принятию решений, порождающих юридические последствия (ст. 22 GDPR).
Обжаловать действия Оператора в Роскомнадзоре, ином надзорном органе или в суде (ст. 77 GDPR).
Получать копию своих ПД в читаемом формате.

Оператор обязан ответить на запрос в течение 30 дней (ч. 1 ст. 20 152-ФЗ, ст. 12(3) GDPR). В сложных случаях срок может быть продлён ещё на два месяца с уведомлением субъекта.

14. Как реализовать свои права

Направьте запрос на support@ytstatchek.site с:

ФИО или Telegram user ID;
сутью требования;
способом обратной связи.

Мы можем запросить дополнительные сведения для идентификации. Запросы, как правило, обрабатываются бесплатно; мы вправе взимать разумный сбор или отказать в явно необоснованных / чрезмерных запросах (ст. 12(5) GDPR).

Пользователь также может:

отозвать OAuth-доступ к YouTube на myaccount.google.com/permissions;
удалить аккаунт в Pulsy через команду /delete_me в боте.

15. Ответственное лицо (DPO)

Ответственным за организацию обработки ПД согласно ст. 22.1 152-ФЗ является:

ФИО: Pulsy (индивидуальный разработчик)
Email: support@ytstatchek.site
Телефон: не указан — связь по e-mail: support@ytstatchek.site

Назначение отдельного DPO согласно ст. 37 GDPR не является юридически обязательным, поскольку основная деятельность Pulsy не связана с крупномасштабным мониторингом субъектов и обработкой специальных категорий данных. Оператор выступает единой точкой контакта по вопросам защиты данных.

16. Безопасность данных

В соответствии со ст. 18.1 и 19 152-ФЗ и ст. 32 GDPR применяются правовые, организационные и технические меры защиты:

Шифрование в покое — OAuth-токены YouTube хранятся зашифрованно (Fernet / AES-128-CBC + HMAC-SHA256), ключи хранятся вне базы данных приложения.
Шифрование в канале — TLS 1.2+ на всех публичных эндпоинтах.
Контроль доступа — принцип минимальных привилегий, MFA на админ-аккаунтах, ограниченный SSH/admin-доступ.
Минимизация данных, логирование событий безопасности и их регулярный аудит.
Шифрованные резервные копии с проверкой восстановления.
Rate limiting и антифрод.
Проверка подрядчиков перед привлечением процессоров.

При обнаружении утечки ПД Оператор уведомляет надзорный орган в зависимости от юрисдикции: 72 часа (ЕЭЗ/Великобритания — ст. 33 GDPR) либо 24 часа (Российская Федерация — ч. 3.1 ст. 21 152-ФЗ). Субъекты ПД уведомляются без необоснованной задержки, когда это требуется ст. 34 GDPR.

17. Cookies

Мини-приложение Pulsy работает внутри Telegram и не использует классические cookies. Мы можем использовать localStorage/sessionStorage в Telegram WebView для сохранения языка интерфейса, темы и кеширования сессии. Эти технологии строго необходимы для работы сервиса и не требуют согласия по ePrivacy Directive.

На маркетинговом сайте ytstatchek.site мы используем localStorage только для запоминания выбранного языка. Аналитических cookies нет по умолчанию. При добавлении аналитики мы обновим раздел и добавим баннер согласия — на момент публикации текущей версии Политики аналитические cookies не используются.

18. Данные несовершеннолетних

Сервис предназначен для лиц старше 18 лет (или возраста совершеннолетия по законодательству). Мы не собираем осознанно данные лиц младше 18 лет.

Пользователи ЕЭЗ / Великобритании: мы не полагаемся на согласие несовершеннолетних согласно ст. 8 GDPR; доступ ограничен совершеннолетними.
Пользователи США (COPPA): мы не собираем осознанно данные детей младше 13 лет.

Если нам станет известно, что мы обработали данные несовершеннолетнего без законного основания, такие данные будут удалены в разумно короткий срок. Контакт законного представителя: support@ytstatchek.site.

19. Обновление политики

Актуальная версия публикуется по адресу https://ytstatchek.site/privacy. О существенных изменениях уведомим через Telegram-бот и обновим дату в шапке документа. При необходимости будет запрошено новое согласие.

20. Контактная информация

Email: support@ytstatchek.site
Сайт: https://ytstatchek.site
Почтовый адрес: Контактный email: support@ytstatchek.site (почтового адреса нет — свяжитесь по e-mail)
Представитель в ЕС (если применимо): Не назначен (Pulsy не направляет свои услуги целенаправленно на резидентов ЕЭЗ)
Надзорный орган (РФ): Роскомнадзор, rkn.gov.ru
Надзорные органы (ЕЭЗ): edpb.europa.eu
ICO (Великобритания): ico.org.uk

Конец документа.

Pulsy Privacy Policy

Effective date: April 17, 2026 · Last updated: April 17, 2026 · Version: 1.0

NOT LEGAL ADVICE. Prepared based on Telegram, YouTube API, GDPR and FZ-152 requirements. Version 1.0, effective 17 April 2026. Periodic review by qualified counsel is recommended, particularly on any material change to the data-processing model.

1. Who We Are and How to Contact Us

The data controller (as defined in Art. 4(7) GDPR) and "Operator" under FZ-152 of personal data processed via Pulsy is an individual operator:

Name: Pulsy (Individual Developer)
Status: individual developer (sole trader, no legal entity registered)
Tax ID / Registration number: not applicable (no legal entity registered)
Registered jurisdiction: Russian Federation
Postal address: Contact: support@ytstatchek.site (no postal address — please contact by email)
Email for data protection requests: support@ytstatchek.site
Website: https://ytstatchek.site
EU representative (Art. 27 GDPR): Not appointed (Pulsy does not direct services to EEA residents)

Pulsy is a Telegram mini-app for YouTube creators that delivers channel statistics, analytics, and AI-generated recommendations. By default the Operator performs processing itself; where processors are engaged, they are listed in Section 11.

2. Scope of This Policy

This Privacy Policy explains what personal data we collect when you use the Pulsy Telegram mini-app (the "Service"), why we collect it, what legal basis we rely on, with whom we share it, and the rights you have as a data subject.

This policy applies to users worldwide, with specific provisions for users located in the European Economic Area (EEA), the United Kingdom, Switzerland, and the Russian Federation.

3. Key Definitions

Terms used in this Policy follow Art. 4 GDPR and, for Russian data subjects, FZ-152:

Personal data — any information relating to an identified or identifiable natural person.
Processing — any operation performed on personal data (collection, storage, use, disclosure, erasure, etc.).
Controller / Operator — the entity that determines the purposes and means of processing.
Processor — a third party that processes personal data on behalf of the controller.
Data subject — the natural person to whom the personal data relates.
Cross-border transfer — transfer of personal data to the territory of a foreign state.

4. Categories of Personal Data We Collect

4.1. Telegram account data

Telegram user ID, username, first_name, last_name (if set);
language_code, is_premium flag;
signed initData payload for authentication.

4.2. YouTube channel data

Public data (YouTube Data API v3, no OAuth): channel ID, title, avatar, subscriber count, view count, public video metadata.
YouTube Analytics (voluntary OAuth only): audience retention, CTR, traffic sources, demographics, revenue (where available), OAuth access/refresh tokens.

4.3. Technical data and metadata

IP address, user-agent, request timestamps;
mini-app session identifier;
anti-fraud and rate-limit results.

4.4. Service-interaction data

AI prompt/response history (quota and quality control);
selected plan, subscription status, credit balance;
support messages.

4.5. Payment data

Payments are processed exclusively through Telegram Stars. We do not receive or store payment-card data. We receive only: telegram_payment_charge_id, amount in Stars, Telegram user ID, timestamp.

We do not process special categories of personal data (Art. 9 GDPR, Art. 10 FZ-152) and do not process biometric data (Art. 11 FZ-152).

5. Purposes of Processing

We process personal data under Art. 6 GDPR and Part 1 Art. 6 FZ-152 for the following purposes:

#	Purpose	Categories	Legal basis
1	Authenticate and deliver mini-app features (channel stats, AI suggestions)	Telegram data, YouTube public data	Art. 6(1)(b) GDPR — contract / FZ-152 Art. 6(1)(5)
2	Connect YouTube Analytics via OAuth and show private analytics	OAuth tokens and analytics data	Art. 6(1)(a) GDPR — consent / FZ-152 Art. 6(1)(1)
3	Process payments and deliver paid plans / credit packs	Telegram ID, payment metadata	Art. 6(1)(b) GDPR — contract
4	Provide customer support	Support messages, Telegram ID	Art. 6(1)(b) GDPR — contract
5	Prevent fraud, abuse, and ensure security	Technical data, IP, rate-limit results	Art. 6(1)(f) GDPR — legitimate interest / FZ-152 Art. 6(1)(7)
6	Improve the Service (aggregated analytics)	De-identified usage statistics	Art. 6(1)(f) GDPR — legitimate interest
7	Comply with legal obligations (lawful requests, recordkeeping)	As required by law	Art. 6(1)(c) GDPR / FZ-152 Art. 6(1)(2)
8	Service notifications (billing status, critical messages)	Telegram ID	Art. 6(1)(b) GDPR — contract

We do not carry out solely automated decision-making that produces legal effects concerning you (Art. 22 GDPR).

6. Legal Bases

Processing is carried out on the bases enumerated in Art. 6 GDPR and Part 1 Art. 6 FZ-152, in particular:

Art. 6(1)(a) GDPR / FZ-152 Art. 6(1)(1) — consent of the data subject (on first launch of the mini-app and when connecting OAuth to YouTube Analytics);
Art. 6(1)(b) GDPR / FZ-152 Art. 6(1)(5) — processing necessary for the performance of a contract;
Art. 6(1)(f) GDPR / FZ-152 Art. 6(1)(7) — legitimate interests of the Operator or third parties (security, anti-fraud);
Art. 6(1)(c) GDPR / FZ-152 Art. 6(1)(2) — compliance with legal obligations;
FZ-152 Art. 6(1)(11) — processing of publicly available personal data.

Where we rely on legitimate interest we have performed a balancing test. You may object at any time (Art. 21 GDPR; see Section 13). Consent given on first launch of the mini-app covers the activities described in this Policy and can be withdrawn at any time.

7. Categories of Data Subjects

The Service is directed at:

creators and owners of YouTube channels who use Telegram;
Telegram users 18 years of age or older (see also Section 18);
customer-support representatives and employees of the Operator (under employment / service contracts).

We do not process data of third parties (subscribers of a YouTube channel) beyond the minimum channel-level statistics that YouTube itself provides to a channel owner and that are already the result of YouTube's own processing.

8. Methods of Processing

Personal data is processed:

Automatically — by software means without human intervention (the main part of processing);
Non-automatically (or in mixed mode) — when handling support requests and keeping required records.

The specific operations include: collection, recording, systematisation, accumulation, storage, rectification (updating, modification), extraction, use, transfer (disclosure), anonymisation, blocking, erasure, and destruction of personal data. The Operator applies protective measures in accordance with Art. 18.1 and Art. 19 FZ-152 and Art. 32 GDPR (see Section 16).

9. Retention Periods

Data category	Retention
Telegram user ID and linked channel	Until account deletion + 30-day buffer
YouTube OAuth tokens	Until revocation or 90 days of inactivity
AI prompt/response history	180 days
Web-server logs (IP, user-agent)	90 days
Telegram Stars transaction records	3 years (tax/accounting and disputes)
Support correspondence	12 months after ticket closure
De-identified / aggregated analytics	Indefinite

After the retention period, data is deleted or irreversibly anonymised in line with the storage-limitation principle (Art. 5(1)(e) GDPR) and Part 4 Art. 21 FZ-152.

10. Location and International Transfers

The Service primarily operates on servers located in the Russian Federation. For Russian data subjects, initial recording may be performed on servers located in the Russian Federation in accordance with Part 5 Art. 18 FZ-152 — yes, initial recording of personal data of Russian data subjects is performed on servers located within the territory of the Russian Federation.

Cross-border transfers are carried out to countries providing adequate protection or on the basis of the data subject's consent (Art. 12 FZ-152 / Art. 46, 49 GDPR). Recipients include:

Telegram (UAE / multi-jurisdiction) — safeguards: EU Standard Contractual Clauses; otherwise Art. 49(1)(b) GDPR; FZ-152 basis: performance of contract, consent.
Google LLC (USA) — safeguards: EU-US Data Privacy Framework and/or SCCs; consent, performance of contract.
OpenRouter (USA) — safeguards: SCCs; performance of contract, legitimate interest.
Sentry (USA/EU) — safeguards: SCCs and DPF where applicable; legitimate interest.
Hosting provider (Russian Federation) — located in the Russian Federation; safeguards: data processing agreement with the provider, hosting within the territory of the Russian Federation.

Prior to any cross-border transfer, the Operator assesses whether the receiving country provides adequate protection in line with Part 4 Art. 12 FZ-152. You may request a copy of the safeguards applicable to any specific transfer by emailing support@ytstatchek.site.

11. Recipients and Processors

Recipient	Role	Data shared	Policy
Telegram (FZ-LLC / Messenger Inc.)	Platform, payments	Telegram user ID, initData, charge ID	telegram.org/privacy
Google LLC (YouTube API)	Source of channel data, OAuth	OAuth tokens, channel identifier	policies.google.com/privacy
OpenRouter	LLM inference	Prompt content (de-identified where possible)	openrouter.ai/privacy
Sentry	Error monitoring	Stack traces, anonymized user ID	sentry.io/privacy
Hosting provider (Russian Federation)	Server / DB hosting	All server-side data	Data processing agreement with the provider

We do not sell personal data and do not share it with advertisers.

12. Telegram Stars Payments

All payments for paid plans and credit packs are processed through Telegram Stars. We never see, process, or store payment-card information.

12.1. Refund policy

Refund request via @StarsPayments within 21 days of purchase.
When Telegram approves, we automatically revoke the corresponding entitlements.
Consumable items: refunds typically only if credits remain unused.
Subscription items: refunds may be pro-rated at Telegram's discretion.

13. Your Rights

If you are in the EEA, UK, or Switzerland (we extend these rights to users globally as a matter of company policy):

Right of access (Art. 15 GDPR).
Right to rectification (Art. 16 GDPR).
Right to erasure / "right to be forgotten" (Art. 17 GDPR).
Right to restriction of processing (Art. 18 GDPR).
Right to data portability (Art. 20 GDPR).
Right to object (Art. 21 GDPR).
Right not to be subject to solely automated decisions (Art. 22 GDPR).
Right to withdraw consent (Art. 7(3) GDPR).
Right to lodge a complaint with a supervisory authority (Art. 77 GDPR).

For Russian data subjects, equivalent rights under Art. 14 FZ-152 apply. We respond within 30 days of a verifiable request (Art. 12(3) GDPR / Part 1 Art. 20 FZ-152); in complex cases this period may be extended by up to two months with prior notice.

14. How to Exercise Your Rights

Email support@ytstatchek.site from the email associated with your Telegram account (if any), or include your Telegram user ID. We may ask for additional information to confirm your identity if we have reasonable doubts. Requests are generally free of charge; we may charge a reasonable fee or refuse manifestly unfounded or excessive requests (Art. 12(5) GDPR).

You may also:

revoke YouTube OAuth at myaccount.google.com/permissions;
delete your Pulsy account via the bot command /delete_me.

15. Data Protection Officer

A DPO is not legally mandatory under Art. 37 GDPR because Pulsy's core activities do not involve large-scale monitoring of data subjects or processing of special categories of data at scale. The Operator acts as the single point of contact for all data protection matters:

Name: Pulsy (Individual Developer)
Email: support@ytstatchek.site
Phone: not published — please contact by email: support@ytstatchek.site

For Russian data subjects the individual responsible for personal-data processing under Art. 22.1 FZ-152 is the same contact.

16. Security Measures

In line with Art. 32 GDPR and Art. 18.1 / Art. 19 FZ-152, we apply appropriate technical and organisational measures, including:

Encryption at rest (Fernet / AES-128-CBC + HMAC-SHA256) for YouTube OAuth tokens, with keys held outside the application database.
TLS 1.2+ on all public endpoints and between internal services where applicable.
Principle of least privilege, MFA on administrative accounts, restricted SSH/admin access.
Data minimisation; logging and monitoring of security events.
Encrypted database backups with tested restore procedures.
Rate limiting and anti-abuse controls.
Vendor due diligence before engaging any processor.

In the event of a personal-data breach, the Operator notifies the competent supervisory authority within the timeframe required by the applicable jurisdiction: 72 hours (EEA/UK — Art. 33 GDPR) or 24 hours (Russian Federation — Part 3.1 Art. 21 FZ-152). Affected data subjects are notified without undue delay where required by Art. 34 GDPR.

17. Cookies and Similar Technologies

Pulsy runs inside Telegram and does not set traditional cookies. We use localStorage / sessionStorage inside the Telegram WebView for UI language, theme, and session caching. These are strictly necessary for the functioning of the Service and do not require consent under the ePrivacy Directive.

On the marketing site ytstatchek.site, we use localStorage only for language preference. No analytics cookies by default. Should we add a privacy-friendly analytics tool, we will update this Policy and add a consent banner where required — as of the effective date of this Policy, no analytics cookies are in use.

18. Children's Data

Pulsy is not directed to children. The Service is available only to users who are at least 18 years old (or the age of majority in their jurisdiction).

EEA/UK users: we do not rely on the consent of minors under Art. 8 GDPR; access is restricted to adults.
US users (COPPA): we do not knowingly collect personal information from children under 13.

If we learn that we have processed data of a minor without a lawful basis, we will delete it as soon as reasonably possible. If you are a legal representative and believe your child has provided us with personal data, contact support@ytstatchek.site.

19. Changes to This Policy

The current version is always available at https://ytstatchek.site/privacy. For material changes (new purposes, new categories of data, new processors, new international transfers) we will notify you through the Telegram bot and update the "Last updated" date; where required by law, we will obtain your renewed consent before the change takes effect.

20. Contact Information

Email: support@ytstatchek.site
Website: https://ytstatchek.site
Postal address: Contact: support@ytstatchek.site (no postal address — please contact by email)
EU representative (if applicable): Not appointed (Pulsy does not direct services to EEA residents)
Supervisory authority (Russia): Roskomnadzor, rkn.gov.ru
Supervisory authorities (EEA): edpb.europa.eu
ICO (UK residents): ico.org.uk

End of document.