Политика конфиденциальности dyur

Настоящая Политика конфиденциальности (далее — «Политика») описывает порядок сбора, использования, хранения и защиты персональных данных пользователей мессенджера dyur (далее — «Приложение», «Сервис»).

Политика разработана в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006, Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также рекомендациями App Store Review Guidelines Apple Inc.

Используя Приложение, вы подтверждаете, что ознакомились с данной Политикой и даёте согласие на обработку персональных данных в описанном объёме и на описанных условиях.

Оператором персональных данных в соответствии с 152-ФЗ является:

Оператор обеспечивает соответствие обработки персональных данных требованиям законодательства Российской Федерации и принимает необходимые организационные и технические меры для их защиты.

Данные, предоставляемые при регистрации

• Номер телефона или адрес электронной почты — для создания и верификации аккаунта
• Имя пользователя (никнейм) — отображается в профиле и переписке
• Аватар (фото профиля) — загружается добровольно, не является обязательным
• Дата рождения — для проверки возраста (обязательно для пользователей от 13 лет)

Технические данные, собираемые автоматически

• IP-адрес — для защиты от несанкционированного доступа
• Идентификатор устройства (Device ID) — для управления сессиями
• Версия операционной системы и модель устройства — для технической поддержки
• Версия приложения — для диагностики ошибок и совместимости
• Временные метки действий — время отправки сообщений (метаданные доставки)

Данные, которые мы не собираем

• Содержимое сообщений, голосовых записей и видеокружков — они зашифрованы
• Геолокация — не запрашивается и не используется
• Контакты телефонной книги — не синхронизируются без явного разрешения
• Данные о поведении вне приложения
• Биометрические данные
• Данные банковских карт и платёжная информация

Персональные данные обрабатываются исключительно в следующих целях:

Обработка данных в иных целях, не указанных выше, не производится без получения отдельного согласия пользователя.

В соответствии со статьёй 6 Федерального закона № 152-ФЗ обработка персональных данных осуществляется на следующих основаниях:

1. Согласие субъекта персональных данных — выражается при регистрации путём принятия настоящей Политики (ст. 6, ч. 1, п. 1 152-ФЗ)
2. Исполнение договора — обработка необходима для предоставления функционала Сервиса, на использование которого пользователь зарегистрировался (ст. 6, ч. 1, п. 5 152-ФЗ)
3. Законный интерес — обеспечение безопасности, предотвращение мошенничества, диагностика неполадок (ст. 6, ч. 1, п. 5 152-ФЗ)
4. Исполнение обязанностей, предусмотренных законодательством РФ — передача данных по требованию уполномоченных государственных органов (ст. 6, ч. 1, п. 2 152-ФЗ)

Защита данных обеспечивается комплексом технических и организационных мер:

• Сквозное шифрование (E2EE) — сообщения шифруются на устройстве отправителя и расшифровываются только на устройстве получателя. Ни серверы dyur, ни сотрудники не имеют доступа к содержимому переписки
• TLS 1.3 — все соединения между устройством и сервером защищены актуальной версией протокола безопасности
• Хранение паролей — пароли хранятся в виде хэша с использованием bcrypt. Исходный пароль никогда не сохраняется
• Двухфакторная аутентификация (2FA) — доступна как дополнительный уровень защиты аккаунта
• Ключи шифрования — хранятся исключительно на устройствах пользователей, не передаются на сервер
• Серверная инфраструктура — размещена на защищённых серверах с ограниченным физическим и сетевым доступом
• Аудит доступа — ведётся журнал доступа к инфраструктуре с автоматическим оповещением об аномалиях
• Обновления безопасности — серверное ПО обновляется при выходе патчей безопасности

Данные хранятся на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями статьи 18 Федерального закона № 152-ФЗ о локализации персональных данных граждан РФ.

Мы не продаём, не передаём в аренду и не раскрываем персональные данные пользователей третьим лицам в коммерческих целях.

Допустимые случаи раскрытия

• По требованию закона — в случае официального запроса от уполномоченных государственных органов РФ в установленном законом порядке
• Технические подрядчики — сервисы хостинга и инфраструктуры, действующие как обработчики данных на основании договора с соблюдением требований 152-ФЗ
• Защита прав — в случае нарушения пользователем Условий использования или причинения вреда третьим лицам

В соответствии со статьёй 12 Федерального закона № 152-ФЗ трансграничная передача персональных данных граждан Российской Федерации осуществляется только в страны, обеспечивающие адекватную защиту прав субъектов персональных данных, либо при наличии согласия субъекта.

Основное хранение данных осуществляется на серверах на территории РФ. При использовании облачных сервисов резервного копирования, размещённых за рубежом, такая передача осуществляется только при наличии правовых оснований и надлежащей договорной защиты.

Пользователь вправе отозвать согласие на трансграничную передачу, направив обращение через канал @support.

В соответствии с Федеральным законом № 152-ФЗ вы имеете следующие права:

1. Право на доступ — получить подтверждение факта обработки и копию своих персональных данных (ст. 14)
2. Право на исправление — потребовать уточнения неточных или неполных данных (ст. 14)
3. Право на удаление — потребовать удаления данных при отсутствии законных оснований для дальнейшей обработки (ст. 14)
4. Право на ограничение обработки — потребовать приостановления обработки данных в случаях, предусмотренных законом
5. Право на отзыв согласия — отозвать ранее данное согласие в любой момент (ст. 9)
6. Право на обжалование — обратиться с жалобой в Роскомнадзор (rkn.gov.ru) при нарушении прав субъекта данных
7. Право на переносимость — получить данные в структурированном, машиночитаемом формате

Для реализации любого из перечисленных прав направьте обращение в канал @support с темой «Персональные данные». Срок рассмотрения — 30 дней с момента получения запроса.

Сервис предназначен для пользователей в возрасте 13 лет и старше. Регистрация детей до 13 лет запрещена в соответствии с требованиями COPPA (США) и App Store Guidelines.

Пользователи в возрасте от 13 до 18 лет вправе использовать Сервис с согласия родителей или законных представителей. Принимая настоящую Политику, пользователь подтверждает соответствие возрастным требованиям.

Если нам станет известно, что персональные данные были получены от ребёнка до 13 лет без согласия родителей, такой аккаунт будет незамедлительно заблокирован, а данные — удалены.

Родители или законные представители могут обратиться в @support для удаления аккаунта несовершеннолетнего.

Мобильное приложение не использует файлы cookies. Для хранения данных сессии применяются защищённые локальные хранилища устройства (Keychain на iOS, Keystore на Android).

Веб-версия использует исключительно технически необходимые сессионные cookies, без которых невозможна работа Сервиса. Рекламные, отслеживающие и аналитические cookies не применяются.

Мы не используем

• Сторонние аналитические системы (Google Analytics, Яндекс.Метрика и аналоги)
• Пиксели отслеживания (Facebook Pixel и аналоги)
• Рекламные сети и системы ретаргетинга
• Кросс-сайтовое отслеживание поведения пользователей

Мы оставляем за собой право вносить изменения в настоящую Политику. При внесении существенных изменений:

• Публикуется уведомление в официальном канале @dyur не менее чем за 30 дней до вступления изменений в силу
• Пользователи получают push-уведомление в приложении
• Дата «Последнего обновления» в начале документа изменяется
• При существенном изменении целей или объёма обработки — запрашивается повторное согласие

Продолжение использования Сервиса после вступления изменений в силу означает согласие с обновлённой редакцией. Архив предыдущих версий доступен по запросу через @support.

Для обращений к оператору

• Внутри приложения: канал @support · тема «Персональные данные»
• Email: privacy@dyur.app
• Срок ответа: до 30 рабочих дней

Для жалоб в надзорный орган

• Роскомнадзор (РФ): rkn.gov.ru — по вопросам нарушения законодательства о персональных данных

Настоящая Политика регулируется и толкуется в соответствии с законодательством Российской Федерации, включая:

• Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006
• Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006
• Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах»
• Приказ ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности»

Все споры, возникающие в связи с настоящей Политикой, разрешаются в соответствии с действующим законодательством РФ.

Регистрируясь в Сервисе dyur, нажимая кнопку «Зарегистрироваться» или «Войти», пользователь:

1. Подтверждает, что ознакомился с настоящей Политикой и принимает её в полном объёме
2. Даёт согласие на обработку персональных данных в объёме и на условиях, установленных Политикой
3. Подтверждает, что достиг возраста 13 лет (для 13–18 лет — что имеет согласие родителей/опекунов)
4. Соглашается с тем, что данная Политика является неотъемлемой частью Условий использования Сервиса

Согласие является добровольным. Пользователь вправе в любой момент отозвать согласие, удалив аккаунт через настройки приложения или обратившись в @support.