Privacy Policy

PRO-Content: Liliya Kamarova — Instagram engagement automation

Effective date: 2026-06-03

Last updated: 2026-06-03

English Русский

Contents
  1. Introduction & who we are
  2. Scope — who this policy applies to
  3. Data we collect
  4. How we use the data
  5. Legal basis for processing
  6. Data sharing and disclosure
  7. Data retention
  8. Data security
  9. Your rights
  10. Data deletion
  11. International data transfers
  12. Children's privacy
  13. Cookies and tracking
  14. Changes to this policy
  15. Meta Platform compliance
  16. Contact information

1. Introduction & who we are

This Privacy Policy explains how Liliya Kamarova (“we”, “us”, “the operator”) collects, uses, stores, and protects personal data in connection with PRO-Content: Liliya Kamarova (the “App”, the “Service”) — a platform that automates engagement on Instagram.

The App connects to one or more Instagram Business accounts through Meta's Instagram Graph API and Instagram Messaging API. When a person comments on a post or Reel of a connected account and the comment matches a configured keyword or pattern, the App can automatically (a) send that person a Direct Message (which may contain text and a button linking to a URL) and (b) optionally post a public reply under the comment. Automations are built in a visual workflow editor that chains triggers and action nodes.

For the purposes of the EU General Data Protection Regulation (GDPR) and the UK GDPR, the data controller is:

Liliya Kamarova
calle Brezos, 3, Fuengirola, Spain, 29640
Email: info@liliyakamarova.com
Data Protection Officer (if appointed): not appointed

This policy is published at liliyakamarova.com/PrivacyPolicy.html and is publicly accessible without any login.

2. Scope — who this policy applies to

This policy covers two distinct categories of data subjects:

  1. Account owners — the person who connects an Instagram Business account to the App and configures automations. At the current stage the App is operated by its owner for their own Instagram account(s) (single-operator). The wording below ("the operator", "connected accounts") remains accurate as the product grows to allow other creators to connect their own accounts.
  2. Third-party Instagram users ("commenters") — people who comment on the content of a connected account and may, as a result, receive an automated Direct Message and/or see a public reply. We process limited data about these users in order to deliver the automation the account owner has configured. We do not control these users' relationship with Instagram/Meta; we act on data Meta delivers to us through webhooks and the Graph API.

This policy applies only to the Instagram automation App. It does not cover unrelated services that the operator may run on separate products.

3. Data we collect

3a. Data from connected Instagram accounts (via Meta APIs)

When an account owner connects an account using Instagram Business Login (OAuth), and during ongoing operation, we receive and store the following from Meta:

3b. Data about third-party commenters

Meta sends us a webhook each time someone comments on a connected account's content (we subscribe only to the comments field). From these webhook events we receive and process:

The complete raw webhook payload as delivered by Meta is stored as a webhook event record. When an automation sends a Direct Message or posts a public reply, the content of that outbound message (its text and any button/link) and Meta's API response are recorded in the workflow execution audit log. We do not maintain a separate long-term archive of commenters' direct-message conversations; commenter data exists only within the webhook event records and the workflow execution logs described in Section 7.

3c. Account / platform data (login, settings)

For the account owner / operator we process administrative data needed to run the App: authentication identity used to sign in to the admin area, the automation workflows and their configuration (keywords, message templates, links), and operational records of workflow runs and their state.

3d. Technical data (logs, IP, cookies)

Like any web service, our infrastructure processes technical data such as server and application logs, error/diagnostic telemetry, and IP addresses associated with requests. The admin web interface also uses cookies and similar local-storage technologies — see Section 13.

4. How we use the data

Data categoryPurpose
Instagram profile & mediaTo display the connected account in the admin UI and to let the operator select the posts/Reels that automations apply to.
Access tokenTo authenticate calls to the Instagram Graph API on the account owner's behalf — reading comments, sending Direct Messages, and posting replies.
Comment events (text, IGSID, username, media ID)To detect when a comment matches a configured keyword and to trigger the corresponding automation (send a DM, post a reply). Deduplication prevents acting on the same comment twice.
Outbound message content & API responsesTo deliver the configured Direct Message / public reply and to keep an execution audit trail for troubleshooting and reliability.
Admin / account dataTo authenticate the operator, store automation configuration, and run the workflow engine.
Technical data (logs, IP, telemetry)To operate, secure, debug, and monitor the Service.

We do not sell personal data, and we do not use commenter data for advertising or profiling beyond the keyword-matching needed to run the automation the account owner configured.

5. Legal basis for processing (GDPR)

Where we rely on legitimate interests, you have the right to object (see Section 9).

6. Data sharing and disclosure

We do not sell personal data. We share data only as follows:

These providers act as our processors / sub-processors and are bound to process data only on our instructions, except Meta, which is an independent controller for data processed on its platform.

7. Data retention

We keep personal data only for as long as needed for the purpose it was collected. Retention is enforced primarily by automatic time-to-live (TTL) on our database containers.

DataRetention
Connected Instagram account record (profile fields, encrypted token, cached media)Kept while the account is connected. On disconnect, the access token is erased immediately and the account is marked Disconnected. 60 days
Webhook event records (raw Meta payload, including comment text, commenter IGSID and username)30 days, then automatically deleted.
Workflow execution audit logs (including outbound DM/reply content and API responses)90 days, then automatically deleted.
Instagram access tokenLong-lived (approximately 60 days); automatically refreshed when within 7 days of expiry. Erased on disconnect.
Application logs / diagnostic telemetry (Application Insights)90 days
Web analytics (Amplitude / Google Tag Manager)90 days

8. Data security

9. Your rights

Subject to applicable law, you have the right to: access the personal data we hold about you; request rectification of inaccurate data; request erasure ("right to be forgotten"); request restriction of processing; object to processing based on legitimate interests; and request data portability. You may also lodge a complaint with your data protection supervisory authority — in our case the Spanish Data Protection Agency (Agencia Española de Protección de Datos, AEPD, www.aepd.es), or the authority in your own country of residence.

To exercise any right, contact us at info@liliyakamarova.com. We will respond within the time limits required by law. Because commenter data we hold is limited and short-lived (see Section 7), the most effective erasure route for a commenter is often the deletion process in Section 10.

10. Data deletion

Manual deletion

An account owner can disconnect a connected Instagram account at any time from the admin interface. On disconnect we immediately erase the stored access token, mark the account Disconnected, and attempt to unsubscribe from Instagram webhooks. Any associated webhook event records and execution logs then expire automatically under the retention periods in Section 7.

To request deletion of personal data — whether you are an account owner or a commenter — email info@liliyakamarova.com. Please include enough information (e.g. the Instagram username) for us to locate the relevant records.

Meta deauthorize & data deletion callbacks

The App implements Meta's required platform callbacks; their URLs are configured in the Meta App Dashboard. Each callback first verifies the cryptographic signature of Meta's signed_request and rejects any request that fails verification.

11. International data transfers

Our primary data store and core infrastructure are located in the European Union (Azure West Europe). However, some processing necessarily involves transfers outside the European Economic Area (EEA):

Where personal data is transferred outside the EEA, we rely on appropriate safeguards. In particular, transfers to Meta Platforms, Microsoft, and Google take place under the EU–U.S. Data Privacy Framework where those providers are certified; for any other transfer outside the EEA we rely on the European Commission's Standard Contractual Clauses.

12. Children's privacy

The App is not directed to children. It is intended only for users who meet Instagram's own minimum-age requirements and who are at least the age of digital consent in their jurisdiction (generally 16, or 13 where permitted). We do not knowingly collect personal data from children. If you believe a child's data has reached us, contact us and we will delete it.

13. Cookies and tracking

The App's web interface uses cookies and similar local-storage technologies. A consent banner lets you accept or manage non-essential categories; your choice is stored locally in your browser. Categories are:

We do not use a Meta/Facebook advertising pixel on the App. Analytics and marketing technologies load only with your consent where required by law.

14. Changes to this policy

We may update this policy from time to time. When we do, we will revise the "Last updated" date above and, where the change is material, take reasonable steps to notify affected users. Continued use of the App after an update constitutes acceptance of the revised policy.

15. Meta Platform compliance

The App requests the following Meta permissions, each used solely for the stated purpose:

PermissionWhy the App needs it
instagram_business_basicTo read the connected account's basic profile (user ID, username, account type, profile picture) and recent media, so the operator can identify the account and choose which posts/Reels to automate.
instagram_business_manage_commentsTo receive comment webhooks and read comment data, so the App can detect keyword-matching comments and (optionally) post public replies.
instagram_business_manage_messagesTo send the configured Direct Message (text and/or a button with a link) to the commenter in response to a matching comment.

We use data obtained through Meta Platforms only as described in this policy. We comply with the Meta Platform Terms and the Meta Developer Policies, including their requirements on data use, retention, deletion, and security. We do not transfer Meta data except to service providers acting on our behalf as permitted by those terms, or as required by law.

16. Contact information

Liliya Kamarova
calle Brezos 3, Fuengirola, Spain, 29640
Privacy enquiries & data requests: info@liliyakamarova.com
Data Protection Officer (if appointed): not appointed

Политика конфиденциальности

PRO-Content: Liliya Kamarova — автоматизация взаимодействия в Instagram

Дата вступления в силу: 2026-06-03

Последнее обновление: 2026-06-03

English Русский

Содержание
  1. Введение и кто мы
  2. Область действия — к кому применяется политика
  3. Какие данные мы собираем
  4. Как мы используем данные
  5. Правовые основания обработки
  6. Передача и раскрытие данных
  7. Сроки хранения данных
  8. Безопасность данных
  9. Ваши права
  10. Удаление данных
  11. Международная передача данных
  12. Конфиденциальность детей
  13. Файлы cookie и отслеживание
  14. Изменения в политике
  15. Соответствие требованиям платформы Meta
  16. Контактная информация

1. Введение и кто мы

Настоящая Политика конфиденциальности объясняет, как Liliya Kamarova («мы», «оператор») собирает, использует, хранит и защищает персональные данные в связи с продуктом PRO-Content: Liliya Kamarova («Приложение», «Сервис») — платформой для автоматизации взаимодействия в Instagram.

Приложение подключается к одному или нескольким бизнес-аккаунтам Instagram через Instagram Graph API и Instagram Messaging API от Meta. Когда пользователь оставляет комментарий под публикацией или Reels подключённого аккаунта и комментарий соответствует заданному ключевому слову или шаблону, Приложение может автоматически (a) отправить этому пользователю личное сообщение (Direct Message), которое может содержать текст и кнопку со ссылкой, и (b) при необходимости опубликовать публичный ответ под комментарием. Автоматизации создаются в визуальном редакторе процессов, который объединяет триггеры и узлы действий в цепочки.

Для целей Общего регламента ЕС по защите данных (GDPR) и UK GDPR оператором данных (контролёром) является:

Liliya Kamarova
calle Brezos 3, Fuengirola, Spain, 29640
Эл. почта: info@liliyakamarova.com
Ответственный за защиту данных (если назначен): not appointed

Эта политика опубликована по адресу liliyakamarova.com/PrivacyPolicy.html и доступна публично без авторизации.

2. Область действия — к кому применяется политика

Политика охватывает две различные категории субъектов данных:

  1. Владельцы аккаунтов — лицо, которое подключает бизнес-аккаунт Instagram к Приложению и настраивает автоматизации. На текущем этапе Приложение эксплуатируется его владельцем для собственного аккаунта (аккаунтов) Instagram (один оператор). Формулировки ниже («оператор», «подключённые аккаунты») останутся корректными по мере развития продукта, когда другие авторы смогут подключать собственные аккаунты.
  2. Сторонние пользователи Instagram («комментаторы») — люди, которые оставляют комментарии под контентом подключённого аккаунта и в результате могут получить автоматическое личное сообщение и/или увидеть публичный ответ. Мы обрабатываем ограниченный набор данных об этих пользователях, чтобы выполнить автоматизацию, настроенную владельцем аккаунта. Мы не управляем отношениями этих пользователей с Instagram/Meta; мы действуем на основе данных, которые Meta передаёт нам через вебхуки и Graph API.

Политика применяется только к Приложению для автоматизации Instagram и не охватывает иные, не связанные с ним сервисы оператора.

3. Какие данные мы собираем

3a. Данные из подключённых аккаунтов Instagram (через API Meta)

При подключении аккаунта через Instagram Business Login (OAuth) и в ходе дальнейшей работы мы получаем и храним от Meta следующее:

3b. Данные о сторонних комментаторах

Meta отправляет нам вебхук каждый раз, когда кто-то комментирует контент подключённого аккаунта (мы подписаны только на поле comments). Из этих событий мы получаем и обрабатываем:

Полная необработанная нагрузка вебхука в том виде, в каком её передаёт Meta, сохраняется как запись о событии вебхука. Когда автоматизация отправляет личное сообщение или публикует публичный ответ, содержимое исходящего сообщения (его текст и кнопка/ссылка) и ответ API Meta записываются в журнал аудита выполнения процесса. Мы не ведём отдельный долгосрочный архив переписок комментаторов; данные комментаторов существуют только в записях событий вебхуков и журналах выполнения процессов, описанных в разделе 7.

3c. Данные аккаунта / платформы (вход, настройки)

Для владельца аккаунта / оператора мы обрабатываем административные данные, необходимые для работы Приложения: идентификацию для входа в административную панель, процессы автоматизации и их настройки (ключевые слова, шаблоны сообщений, ссылки), а также операционные записи о запусках процессов и их состоянии.

3d. Технические данные (журналы, IP, cookie)

Как и любой веб-сервис, наша инфраструктура обрабатывает технические данные: журналы сервера и приложения, диагностическую телеметрию ошибок и IP-адреса, связанные с запросами. Веб-интерфейс администратора также использует файлы cookie и аналогичные технологии локального хранилища — см. раздел 13.

4. Как мы используем данные

Категория данныхНазначение
Профиль и медиа InstagramДля отображения подключённого аккаунта в интерфейсе и выбора публикаций/Reels, к которым применяются автоматизации.
Токен доступаДля аутентификации вызовов Instagram Graph API от имени владельца аккаунта — чтение комментариев, отправка личных сообщений и публикация ответов.
События комментариев (текст, IGSID, имя пользователя, ID медиа)Для определения совпадения комментария с ключевым словом и запуска соответствующей автоматизации (отправка ЛС, публикация ответа). Дедупликация предотвращает повторную обработку одного и того же комментария.
Содержимое исходящих сообщений и ответы APIДля доставки настроенного личного сообщения / публичного ответа и ведения журнала аудита для диагностики и надёжности.
Административные данные / данные аккаунтаДля аутентификации оператора, хранения настроек автоматизации и работы движка процессов.
Технические данные (журналы, IP, телеметрия)Для эксплуатации, защиты, отладки и мониторинга Сервиса.

Мы не продаём персональные данные и не используем данные комментаторов для рекламы или профилирования сверх сопоставления с ключевыми словами, необходимого для выполнения автоматизации, настроенной владельцем аккаунта.

5. Правовые основания обработки (GDPR)

Когда мы опираемся на законный интерес, вы вправе возразить против обработки (см. раздел 9).

6. Передача и раскрытие данных

Мы не продаём персональные данные. Мы передаём данные только в следующих случаях:

Эти провайдеры действуют как наши обработчики / субобработчики и обязаны обрабатывать данные только по нашим инструкциям, за исключением Meta, которая является независимым контролёром данных, обрабатываемых на её платформе.

7. Сроки хранения данных

Мы храним персональные данные только в течение срока, необходимого для цели их сбора. Сроки хранения обеспечиваются преимущественно автоматическим механизмом TTL (time-to-live) на контейнерах базы данных.

ДанныеСрок хранения
Запись о подключённом аккаунте Instagram (поля профиля, зашифрованный токен, кэшированные медиа)Хранится, пока аккаунт подключён. При отключении токен доступа стирается немедленно, а аккаунт помечается как Disconnected. 60 дней
Записи событий вебхуков (необработанная нагрузка Meta, включая текст комментария, IGSID и имя комментатора)30 дней, затем автоматическое удаление.
Журналы аудита выполнения процессов (включая содержимое исходящих ЛС/ответов и ответы API)90 дней, затем автоматическое удаление.
Токен доступа InstagramДолгоживущий (около 60 дней); автоматически обновляется в пределах 7 дней до истечения. Стирается при отключении.
Журналы приложения / диагностическая телеметрия (Application Insights)90 дней
Веб-аналитика (Amplitude / Google Tag Manager)90 дней

8. Безопасность данных

9. Ваши права

В соответствии с применимым правом вы имеете право: на доступ к хранимым у нас персональным данным; на исправление неточных данных; на удаление («право быть забытым»); на ограничение обработки; на возражение против обработки на основании законного интереса; на переносимость данных. Вы также вправе подать жалобу в надзорный орган по защите данных — в нашем случае это Испанское агентство по защите данных (Agencia Española de Protección de Datos, AEPD, www.aepd.es), либо в орган страны вашего проживания.

Для реализации любого права свяжитесь с нами по адресу info@liliyakamarova.com. Мы ответим в установленные законом сроки. Поскольку хранимые нами данные комментаторов ограничены и недолговечны (см. раздел 7), наиболее эффективным способом удаления для комментатора часто является процедура из раздела 10.

10. Удаление данных

Удаление по запросу

Владелец аккаунта может в любой момент отключить подключённый аккаунт Instagram через интерфейс администратора. При отключении мы немедленно стираем хранимый токен доступа, помечаем аккаунт как Disconnected и пытаемся отписаться от вебхуков Instagram. Связанные записи событий вебхуков и журналы выполнения затем удаляются автоматически по срокам хранения из раздела 7.

Чтобы запросить удаление персональных данных — будь вы владелец аккаунта или комментатор — напишите на info@liliyakamarova.com. Укажите достаточно сведений (например, имя пользователя в Instagram), чтобы мы могли найти соответствующие записи.

Колбэки Meta для деавторизации и удаления данных

Приложение реализует обязательные колбэки платформы Meta; их URL указываются в Meta App Dashboard. Каждый колбэк сначала проверяет криптографическую подпись параметра signed_request от Meta и отклоняет любой запрос, не прошедший проверку.

11. Международная передача данных

Наше основное хранилище данных и базовая инфраструктура расположены в Европейском союзе (Azure West Europe). Однако часть обработки неизбежно связана с передачей за пределы Европейской экономической зоны (ЕЭЗ):

При передаче персональных данных за пределы ЕЭЗ мы полагаемся на надлежащие гарантии. В частности, передача данных в Meta Platforms, Microsoft и Google осуществляется в рамках Рамочной программы ЕС–США по конфиденциальности данных (EU–U.S. Data Privacy Framework), если эти поставщики сертифицированы; для любой иной передачи за пределы ЕЭЗ мы полагаемся на Стандартные договорные положения Европейской комиссии.

12. Конфиденциальность детей

Приложение не предназначено для детей. Оно рассчитано только на пользователей, соответствующих минимальному возрасту, установленному самим Instagram, и достигших возраста цифрового согласия в своей юрисдикции (как правило, 16 лет или 13 лет, где это допускается). Мы сознательно не собираем персональные данные детей. Если вы полагаете, что к нам попали данные ребёнка, свяжитесь с нами, и мы их удалим.

13. Файлы cookie и отслеживание

Веб-интерфейс Приложения использует файлы cookie и аналогичные технологии локального хранилища. Баннер согласия позволяет принять или настроить необязательные категории; ваш выбор сохраняется локально в браузере. Категории:

Мы не используем рекламный пиксель Meta/Facebook в Приложении. Аналитические и маркетинговые технологии загружаются только с вашего согласия, когда это требуется законом.

14. Изменения в политике

Мы можем время от времени обновлять эту политику. При этом мы изменим дату «Последнее обновление» выше и, если изменение существенное, предпримем разумные шаги для уведомления затронутых пользователей. Продолжение использования Приложения после обновления означает принятие изменённой политики.

15. Соответствие требованиям платформы Meta

Приложение запрашивает следующие разрешения Meta, каждое из которых используется исключительно в указанной цели:

РазрешениеЗачем оно нужно Приложению
instagram_business_basicДля чтения базового профиля подключённого аккаунта (ID пользователя, имя пользователя, тип аккаунта, фото профиля) и недавних публикаций, чтобы оператор мог идентифицировать аккаунт и выбрать публикации/Reels для автоматизации.
instagram_business_manage_commentsДля получения вебхуков о комментариях и чтения данных комментариев, чтобы Приложение могло обнаруживать комментарии с ключевыми словами и (по желанию) публиковать публичные ответы.
instagram_business_manage_messagesДля отправки настроенного личного сообщения (текст и/или кнопка со ссылкой) комментатору в ответ на подходящий комментарий.

Мы используем данные, полученные через платформы Meta, только так, как описано в этой политике. Мы соблюдаем Условия платформы Meta (Meta Platform Terms) и Политики для разработчиков Meta (Meta Developer Policies), включая их требования к использованию, хранению, удалению и безопасности данных. Мы не передаём данные Meta, кроме как поставщикам услуг, действующим от нашего имени в соответствии с этими условиями, или когда это требуется по закону.

16. Контактная информация

Liliya Kamarova
calle Brezos 3, Fuengirola, Spain, 29640
Вопросы конфиденциальности и запросы по данным: info@liliyakamarova.com
Ответственный за защиту данных (если назначен): не назначен