This Privacy Policy explains how Liliya Kamarova (“we”, “us”, “the operator”) collects, uses, stores, and protects personal data in connection with PRO-Content: Liliya Kamarova (the “App”, the “Service”) — a platform that automates engagement on Instagram.
The App connects to one or more Instagram Business accounts through Meta's Instagram Graph API and Instagram Messaging API. When a person comments on a post or Reel of a connected account and the comment matches a configured keyword or pattern, the App can automatically (a) send that person a Direct Message (which may contain text and a button linking to a URL) and (b) optionally post a public reply under the comment. Automations are built in a visual workflow editor that chains triggers and action nodes.
For the purposes of the EU General Data Protection Regulation (GDPR) and the UK GDPR, the data controller is:
This policy is published at liliyakamarova.com/PrivacyPolicy.html and is publicly accessible without any login.
This policy covers two distinct categories of data subjects:
This policy applies only to the Instagram automation App. It does not cover unrelated services that the operator may run on separate products.
When an account owner connects an account using Instagram Business Login (OAuth), and during ongoing operation, we receive and store the following from Meta:
user_id, username, account_type, profile_picture_url.)Meta sends us a webhook each time someone comments on a connected account's content (we subscribe only to the comments field). From these webhook events we receive and process:
The complete raw webhook payload as delivered by Meta is stored as a webhook event record. When an automation sends a Direct Message or posts a public reply, the content of that outbound message (its text and any button/link) and Meta's API response are recorded in the workflow execution audit log. We do not maintain a separate long-term archive of commenters' direct-message conversations; commenter data exists only within the webhook event records and the workflow execution logs described in Section 7.
For the account owner / operator we process administrative data needed to run the App: authentication identity used to sign in to the admin area, the automation workflows and their configuration (keywords, message templates, links), and operational records of workflow runs and their state.
Like any web service, our infrastructure processes technical data such as server and application logs, error/diagnostic telemetry, and IP addresses associated with requests. The admin web interface also uses cookies and similar local-storage technologies — see Section 13.
| Data category | Purpose |
|---|---|
| Instagram profile & media | To display the connected account in the admin UI and to let the operator select the posts/Reels that automations apply to. |
| Access token | To authenticate calls to the Instagram Graph API on the account owner's behalf — reading comments, sending Direct Messages, and posting replies. |
| Comment events (text, IGSID, username, media ID) | To detect when a comment matches a configured keyword and to trigger the corresponding automation (send a DM, post a reply). Deduplication prevents acting on the same comment twice. |
| Outbound message content & API responses | To deliver the configured Direct Message / public reply and to keep an execution audit trail for troubleshooting and reliability. |
| Admin / account data | To authenticate the operator, store automation configuration, and run the workflow engine. |
| Technical data (logs, IP, telemetry) | To operate, secure, debug, and monitor the Service. |
We do not sell personal data, and we do not use commenter data for advertising or profiling beyond the keyword-matching needed to run the automation the account owner configured.
Where we rely on legitimate interests, you have the right to object (see Section 9).
We do not sell personal data. We share data only as follows:
These providers act as our processors / sub-processors and are bound to process data only on our instructions, except Meta, which is an independent controller for data processed on its platform.
We keep personal data only for as long as needed for the purpose it was collected. Retention is enforced primarily by automatic time-to-live (TTL) on our database containers.
| Data | Retention |
|---|---|
| Connected Instagram account record (profile fields, encrypted token, cached media) | Kept while the account is connected. On disconnect, the access token is erased immediately and the account is marked Disconnected. 60 days |
| Webhook event records (raw Meta payload, including comment text, commenter IGSID and username) | 30 days, then automatically deleted. |
| Workflow execution audit logs (including outbound DM/reply content and API responses) | 90 days, then automatically deleted. |
| Instagram access token | Long-lived (approximately 60 days); automatically refreshed when within 7 days of expiry. Erased on disconnect. |
| Application logs / diagnostic telemetry (Application Insights) | 90 days |
| Web analytics (Amplitude / Google Tag Manager) | 90 days |
X-Hub-Signature-256 HMAC-SHA256 signature with a constant-time comparison; unsigned or invalid requests are rejected.Subject to applicable law, you have the right to: access the personal data we hold about you; request rectification of inaccurate data; request erasure ("right to be forgotten"); request restriction of processing; object to processing based on legitimate interests; and request data portability. You may also lodge a complaint with your data protection supervisory authority — in our case the Spanish Data Protection Agency (Agencia Española de Protección de Datos, AEPD, www.aepd.es), or the authority in your own country of residence.
To exercise any right, contact us at info@liliyakamarova.com. We will respond within the time limits required by law. Because commenter data we hold is limited and short-lived (see Section 7), the most effective erasure route for a commenter is often the deletion process in Section 10.
An account owner can disconnect a connected Instagram account at any time from the admin interface. On disconnect we immediately erase the stored access token, mark the account Disconnected, and attempt to unsubscribe from Instagram webhooks. Any associated webhook event records and execution logs then expire automatically under the retention periods in Section 7.
To request deletion of personal data — whether you are an account owner or a commenter — email info@liliyakamarova.com. Please include enough information (e.g. the Instagram username) for us to locate the relevant records.
The App implements Meta's required platform callbacks; their URLs are configured in the Meta App Dashboard. Each callback first verifies the cryptographic signature of Meta's signed_request and rejects any request that fails verification.
https://liliyakamarova.com/api/meta/deauthorize. When you remove the App from your Instagram/Facebook settings, Meta sends a signed request to this endpoint. We tear down the connection: the stored access token is erased, the account is marked Disconnected, and webhook subscriptions are removed. Any remaining records then expire automatically under the retention periods in Section 7.https://liliyakamarova.com/api/meta/data-deletion. When you submit a data-deletion request through Meta, Meta sends a signed request to this endpoint. We register your deletion request and return a confirmation code together with a public status URL (of the form https://liliyakamarova.com/api/meta/data-deletion/status/{confirmation_code}) where you can check its status at any time. Personal data associated with your account is removed in line with this policy and the retention periods in Section 7.Our primary data store and core infrastructure are located in the European Union (Azure West Europe). However, some processing necessarily involves transfers outside the European Economic Area (EEA):
Where personal data is transferred outside the EEA, we rely on appropriate safeguards. In particular, transfers to Meta Platforms, Microsoft, and Google take place under the EU–U.S. Data Privacy Framework where those providers are certified; for any other transfer outside the EEA we rely on the European Commission's Standard Contractual Clauses.
The App is not directed to children. It is intended only for users who meet Instagram's own minimum-age requirements and who are at least the age of digital consent in their jurisdiction (generally 16, or 13 where permitted). We do not knowingly collect personal data from children. If you believe a child's data has reached us, contact us and we will delete it.
The App's web interface uses cookies and similar local-storage technologies. A consent banner lets you accept or manage non-essential categories; your choice is stored locally in your browser. Categories are:
We do not use a Meta/Facebook advertising pixel on the App. Analytics and marketing technologies load only with your consent where required by law.
We may update this policy from time to time. When we do, we will revise the "Last updated" date above and, where the change is material, take reasonable steps to notify affected users. Continued use of the App after an update constitutes acceptance of the revised policy.
The App requests the following Meta permissions, each used solely for the stated purpose:
| Permission | Why the App needs it |
|---|---|
instagram_business_basic | To read the connected account's basic profile (user ID, username, account type, profile picture) and recent media, so the operator can identify the account and choose which posts/Reels to automate. |
instagram_business_manage_comments | To receive comment webhooks and read comment data, so the App can detect keyword-matching comments and (optionally) post public replies. |
instagram_business_manage_messages | To send the configured Direct Message (text and/or a button with a link) to the commenter in response to a matching comment. |
We use data obtained through Meta Platforms only as described in this policy. We comply with the Meta Platform Terms and the Meta Developer Policies, including their requirements on data use, retention, deletion, and security. We do not transfer Meta data except to service providers acting on our behalf as permitted by those terms, or as required by law.
Настоящая Политика конфиденциальности объясняет, как Liliya Kamarova («мы», «оператор») собирает, использует, хранит и защищает персональные данные в связи с продуктом PRO-Content: Liliya Kamarova («Приложение», «Сервис») — платформой для автоматизации взаимодействия в Instagram.
Приложение подключается к одному или нескольким бизнес-аккаунтам Instagram через Instagram Graph API и Instagram Messaging API от Meta. Когда пользователь оставляет комментарий под публикацией или Reels подключённого аккаунта и комментарий соответствует заданному ключевому слову или шаблону, Приложение может автоматически (a) отправить этому пользователю личное сообщение (Direct Message), которое может содержать текст и кнопку со ссылкой, и (b) при необходимости опубликовать публичный ответ под комментарием. Автоматизации создаются в визуальном редакторе процессов, который объединяет триггеры и узлы действий в цепочки.
Для целей Общего регламента ЕС по защите данных (GDPR) и UK GDPR оператором данных (контролёром) является:
Эта политика опубликована по адресу liliyakamarova.com/PrivacyPolicy.html и доступна публично без авторизации.
Политика охватывает две различные категории субъектов данных:
Политика применяется только к Приложению для автоматизации Instagram и не охватывает иные, не связанные с ним сервисы оператора.
При подключении аккаунта через Instagram Business Login (OAuth) и в ходе дальнейшей работы мы получаем и храним от Meta следующее:
user_id, username, account_type, profile_picture_url.)Meta отправляет нам вебхук каждый раз, когда кто-то комментирует контент подключённого аккаунта (мы подписаны только на поле comments). Из этих событий мы получаем и обрабатываем:
Полная необработанная нагрузка вебхука в том виде, в каком её передаёт Meta, сохраняется как запись о событии вебхука. Когда автоматизация отправляет личное сообщение или публикует публичный ответ, содержимое исходящего сообщения (его текст и кнопка/ссылка) и ответ API Meta записываются в журнал аудита выполнения процесса. Мы не ведём отдельный долгосрочный архив переписок комментаторов; данные комментаторов существуют только в записях событий вебхуков и журналах выполнения процессов, описанных в разделе 7.
Для владельца аккаунта / оператора мы обрабатываем административные данные, необходимые для работы Приложения: идентификацию для входа в административную панель, процессы автоматизации и их настройки (ключевые слова, шаблоны сообщений, ссылки), а также операционные записи о запусках процессов и их состоянии.
Как и любой веб-сервис, наша инфраструктура обрабатывает технические данные: журналы сервера и приложения, диагностическую телеметрию ошибок и IP-адреса, связанные с запросами. Веб-интерфейс администратора также использует файлы cookie и аналогичные технологии локального хранилища — см. раздел 13.
| Категория данных | Назначение |
|---|---|
| Профиль и медиа Instagram | Для отображения подключённого аккаунта в интерфейсе и выбора публикаций/Reels, к которым применяются автоматизации. |
| Токен доступа | Для аутентификации вызовов Instagram Graph API от имени владельца аккаунта — чтение комментариев, отправка личных сообщений и публикация ответов. |
| События комментариев (текст, IGSID, имя пользователя, ID медиа) | Для определения совпадения комментария с ключевым словом и запуска соответствующей автоматизации (отправка ЛС, публикация ответа). Дедупликация предотвращает повторную обработку одного и того же комментария. |
| Содержимое исходящих сообщений и ответы API | Для доставки настроенного личного сообщения / публичного ответа и ведения журнала аудита для диагностики и надёжности. |
| Административные данные / данные аккаунта | Для аутентификации оператора, хранения настроек автоматизации и работы движка процессов. |
| Технические данные (журналы, IP, телеметрия) | Для эксплуатации, защиты, отладки и мониторинга Сервиса. |
Мы не продаём персональные данные и не используем данные комментаторов для рекламы или профилирования сверх сопоставления с ключевыми словами, необходимого для выполнения автоматизации, настроенной владельцем аккаунта.
Когда мы опираемся на законный интерес, вы вправе возразить против обработки (см. раздел 9).
Мы не продаём персональные данные. Мы передаём данные только в следующих случаях:
Эти провайдеры действуют как наши обработчики / субобработчики и обязаны обрабатывать данные только по нашим инструкциям, за исключением Meta, которая является независимым контролёром данных, обрабатываемых на её платформе.
Мы храним персональные данные только в течение срока, необходимого для цели их сбора. Сроки хранения обеспечиваются преимущественно автоматическим механизмом TTL (time-to-live) на контейнерах базы данных.
| Данные | Срок хранения |
|---|---|
| Запись о подключённом аккаунте Instagram (поля профиля, зашифрованный токен, кэшированные медиа) | Хранится, пока аккаунт подключён. При отключении токен доступа стирается немедленно, а аккаунт помечается как Disconnected. 60 дней |
| Записи событий вебхуков (необработанная нагрузка Meta, включая текст комментария, IGSID и имя комментатора) | 30 дней, затем автоматическое удаление. |
| Журналы аудита выполнения процессов (включая содержимое исходящих ЛС/ответов и ответы API) | 90 дней, затем автоматическое удаление. |
| Токен доступа Instagram | Долгоживущий (около 60 дней); автоматически обновляется в пределах 7 дней до истечения. Стирается при отключении. |
| Журналы приложения / диагностическая телеметрия (Application Insights) | 90 дней |
| Веб-аналитика (Amplitude / Google Tag Manager) | 90 дней |
X-Hub-Signature-256 (HMAC-SHA256) с постоянным временем сравнения; неподписанные или недействительные запросы отклоняются.В соответствии с применимым правом вы имеете право: на доступ к хранимым у нас персональным данным; на исправление неточных данных; на удаление («право быть забытым»); на ограничение обработки; на возражение против обработки на основании законного интереса; на переносимость данных. Вы также вправе подать жалобу в надзорный орган по защите данных — в нашем случае это Испанское агентство по защите данных (Agencia Española de Protección de Datos, AEPD, www.aepd.es), либо в орган страны вашего проживания.
Для реализации любого права свяжитесь с нами по адресу info@liliyakamarova.com. Мы ответим в установленные законом сроки. Поскольку хранимые нами данные комментаторов ограничены и недолговечны (см. раздел 7), наиболее эффективным способом удаления для комментатора часто является процедура из раздела 10.
Владелец аккаунта может в любой момент отключить подключённый аккаунт Instagram через интерфейс администратора. При отключении мы немедленно стираем хранимый токен доступа, помечаем аккаунт как Disconnected и пытаемся отписаться от вебхуков Instagram. Связанные записи событий вебхуков и журналы выполнения затем удаляются автоматически по срокам хранения из раздела 7.
Чтобы запросить удаление персональных данных — будь вы владелец аккаунта или комментатор — напишите на info@liliyakamarova.com. Укажите достаточно сведений (например, имя пользователя в Instagram), чтобы мы могли найти соответствующие записи.
Приложение реализует обязательные колбэки платформы Meta; их URL указываются в Meta App Dashboard. Каждый колбэк сначала проверяет криптографическую подпись параметра signed_request от Meta и отклоняет любой запрос, не прошедший проверку.
https://liliyakamarova.com/api/meta/deauthorize. Когда вы удаляете Приложение в настройках Instagram/Facebook, Meta отправляет подписанный запрос на этот эндпоинт. Мы разрываем подключение: хранимый токен доступа стирается, аккаунт помечается как Disconnected, а подписки на вебхуки удаляются. Оставшиеся записи затем автоматически удаляются по срокам хранения из раздела 7.https://liliyakamarova.com/api/meta/data-deletion. Когда вы подаёте запрос на удаление данных через Meta, Meta отправляет подписанный запрос на этот эндпоинт. Мы регистрируем ваш запрос на удаление и возвращаем код подтверждения вместе с публичным URL статуса (вида https://liliyakamarova.com/api/meta/data-deletion/status/{confirmation_code}), где вы в любой момент можете проверить его состояние. Персональные данные, связанные с вашим аккаунтом, удаляются в соответствии с настоящей политикой и сроками хранения из раздела 7.Наше основное хранилище данных и базовая инфраструктура расположены в Европейском союзе (Azure West Europe). Однако часть обработки неизбежно связана с передачей за пределы Европейской экономической зоны (ЕЭЗ):
При передаче персональных данных за пределы ЕЭЗ мы полагаемся на надлежащие гарантии. В частности, передача данных в Meta Platforms, Microsoft и Google осуществляется в рамках Рамочной программы ЕС–США по конфиденциальности данных (EU–U.S. Data Privacy Framework), если эти поставщики сертифицированы; для любой иной передачи за пределы ЕЭЗ мы полагаемся на Стандартные договорные положения Европейской комиссии.
Приложение не предназначено для детей. Оно рассчитано только на пользователей, соответствующих минимальному возрасту, установленному самим Instagram, и достигших возраста цифрового согласия в своей юрисдикции (как правило, 16 лет или 13 лет, где это допускается). Мы сознательно не собираем персональные данные детей. Если вы полагаете, что к нам попали данные ребёнка, свяжитесь с нами, и мы их удалим.
Веб-интерфейс Приложения использует файлы cookie и аналогичные технологии локального хранилища. Баннер согласия позволяет принять или настроить необязательные категории; ваш выбор сохраняется локально в браузере. Категории:
Мы не используем рекламный пиксель Meta/Facebook в Приложении. Аналитические и маркетинговые технологии загружаются только с вашего согласия, когда это требуется законом.
Мы можем время от времени обновлять эту политику. При этом мы изменим дату «Последнее обновление» выше и, если изменение существенное, предпримем разумные шаги для уведомления затронутых пользователей. Продолжение использования Приложения после обновления означает принятие изменённой политики.
Приложение запрашивает следующие разрешения Meta, каждое из которых используется исключительно в указанной цели:
| Разрешение | Зачем оно нужно Приложению |
|---|---|
instagram_business_basic | Для чтения базового профиля подключённого аккаунта (ID пользователя, имя пользователя, тип аккаунта, фото профиля) и недавних публикаций, чтобы оператор мог идентифицировать аккаунт и выбрать публикации/Reels для автоматизации. |
instagram_business_manage_comments | Для получения вебхуков о комментариях и чтения данных комментариев, чтобы Приложение могло обнаруживать комментарии с ключевыми словами и (по желанию) публиковать публичные ответы. |
instagram_business_manage_messages | Для отправки настроенного личного сообщения (текст и/или кнопка со ссылкой) комментатору в ответ на подходящий комментарий. |
Мы используем данные, полученные через платформы Meta, только так, как описано в этой политике. Мы соблюдаем Условия платформы Meta (Meta Platform Terms) и Политики для разработчиков Meta (Meta Developer Policies), включая их требования к использованию, хранению, удалению и безопасности данных. Мы не передаём данные Meta, кроме как поставщикам услуг, действующим от нашего имени в соответствии с этими условиями, или когда это требуется по закону.