Политика обработки персональных данных
Дата утверждения: 11 мая 2026 г. Дата вступления в силу: 11 мая 2026 г. Редакция: 2.0
Изменения относительно ред. 1.0 (08.04.2026): добавлен раздел 7.3.1 о специальных категориях персональных данных (health data — дневник прогресса по заиканию, ст.10 ФЗ-152); раздел 12 — уточнён список получателей (FCM, APNs, Sentry, госорганы); раздел 13 — трансграничная передача ограничена push-инфраструктурой Apple/Google (ст.6 ч.1 п.5 ФЗ-152 — техническая необходимость); раздел 14.2 — добавлено шифрование данных при хранении на LUKS2 (aes-xts-plain64), описан технический контур безопасности уровня УЗ-3.
Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «ФЗ-152») и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые оператором персональных данных ИП Козлова Марианна Вадимовна (далее — «Оператор») при использовании мобильного приложения и веб-сервиса «Марианна» (далее — «Сервис»).
1. Общие положения
1.1. Настоящая Политика является общедоступным документом и размещается в сети Интернет по адресу: https://krasivogovorim.ru/legal/personal-data.
1.2. Политика распространяется на все персональные данные, обрабатываемые Оператором с использованием средств автоматизации и без использования таких средств.
1.3. Цели настоящей Политики:
- обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных;
- установление единых требований к обработке персональных данных;
- исполнение обязанностей Оператора, предусмотренных ФЗ-152 и иными нормативными правовыми актами Российской Федерации.
1.4. Политика подлежит обязательному исполнению всеми работниками Оператора, а также иными лицами, получившими доступ к персональным данным.
1.5. В случае противоречия между нормами настоящей Политики и действующего законодательства Российской Федерации применяются нормы законодательства.
2. Термины и определения
В настоящей Политике используются термины в значениях, определённых статьёй 3 ФЗ-152:
- Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
- Оператор — ИП Козлова Марианна Вадимовна, осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без таковых: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
- Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
- Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
- Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
- Блокирование персональных данных — временное прекращение обработки персональных данных.
- Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
- Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
- Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства.
3. Принципы обработки персональных данных
Обработка персональных данных осуществляется Оператором на основе принципов, установленных статьёй 5 ФЗ-152:
3.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.5. Содержание и объём обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
3.6. При обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
3.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Условия обработки персональных данных
4.1. Оператор осуществляет обработку персональных данных при наличии хотя бы одного из условий, предусмотренных статьёй 6 ФЗ-152:
- обработка осуществляется с согласия субъекта персональных данных;
- обработка необходима для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обработка необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
- обработка персональных данных, доступ к которым предоставлен субъектом персональных данных неограниченному кругу лиц.
4.2. Согласие на обработку персональных данных субъект персональных данных даёт в форме, предусмотренной настоящей Политикой и действующим законодательством Российской Федерации (см. документ «Согласие на обработку персональных данных»).
5. Цели обработки персональных данных
Оператор обрабатывает персональные данные в следующих целях:
5.1. Регистрация пользователей в Сервисе и ведение их учётных записей.
5.2. Предоставление функций Сервиса: лента публикаций, групповые чаты, обмен текстовыми, голосовыми и видеосообщениями, комментарии, реакции.
5.3. Аутентификация пользователей и обеспечение безопасности их аккаунтов.
5.4. Ручная верификация аккаунтов администратором Сервиса.
5.5. Направление push-уведомлений и иных сервисных сообщений.
5.6. Модерация контента и обеспечение безопасного пространства общения.
5.7. Ответы на обращения пользователей, реализация их прав как субъектов персональных данных.
5.8. Исполнение требований законодательства Российской Федерации.
5.9. Защита прав и законных интересов Оператора и пользователей.
6. Правовые основания обработки персональных данных
Обработка персональных данных Оператором осуществляется на основании:
- Конституции Российской Федерации;
- Гражданского кодекса Российской Федерации;
- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федерального закона от 21.07.2014 № 242-ФЗ (о локализации баз данных граждан РФ);
- согласий субъектов персональных данных на обработку их персональных данных;
- иных нормативных правовых актов Российской Федерации в области защиты персональных данных.
7. Объём и категории обрабатываемых персональных данных
7.1. Оператор обрабатывает следующие категории персональных данных пользователей Сервиса:
7.1.1. Идентификационные данные
- Имя (псевдоним);
- ФИО (если указано);
- Email;
- Номер мобильного телефона.
7.1.2. Аутентификационные данные
- Хеш пароля (bcrypt; Оператор не имеет доступа к паролю в открытом виде).
7.1.3. Данные профиля
- Аватар;
- Краткая статусная строка.
7.1.4. Контент пользователя
- Текстовые сообщения в чатах и комментарии;
- Голосовые сообщения (Opus/OGG);
- Видеосообщения (H.264);
- Реакции на сообщения и публикации.
7.1.5. Технические данные
- IP-адрес;
- User-Agent;
- Идентификаторы устройства (модель, ОС, версия приложения, имя устройства);
- Push-токены (FCM/APNs);
- Временные метки действий в Сервисе.
7.2. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, а также биометрических персональных данных в автоматическом режиме идентификации.
7.3. Расширенная категория — пользовательский контент о речевых особенностях (ст.10 ФЗ-152). Сервис ориентирован на людей, работающих над улучшением своих речевых навыков в формате peer-support сообщества. В голосовых, видеосообщениях, текстовых сообщениях и иных записях Пользователь по собственному выбору может делиться сведениями о своих речевых особенностях, опыте практики речи и упражнениях.
Такая информация не является медицинскими данными в значении статьи 4 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ», поскольку Оператор не оказывает медицинских услуг (не имеет медицинской лицензии по Постановлению Правительства РФ № 291), а специалист по речи (speech coach) в Сервисе работает в педагогическом контексте Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в РФ».
Тем не менее, в качестве дополнительной меры защиты Оператор относит указанный пользовательский контент к расширенной категории персональных данных в значении части 1 статьи 10 ФЗ-152 и применяет к нему повышенные меры защиты.
7.3.1. Правовое основание обработки расширенной категории. Обработка осуществляется исключительно с письменного согласия субъекта персональных данных, оформленного в форме отдельного электронного документа «Согласие на обработку данных специальной категории», размещённого по адресу https://krasivogovorim.ru/legal/special-category-consent. Согласие запрашивается у Пользователя при первом запуске мобильного приложения после установки версии 1.0.61 и выше. Без полученного согласия отправка сообщений в чатах технически блокируется.
7.3.2. Право на отзыв согласия. Пользователь вправе в любой момент отозвать согласие на обработку расширенной категории через интерфейс приложения (Профиль → Согласия → ст.10 ФЗ-152) либо письменным обращением на kozlovamvcprn@gmail.com. После отзыва Оператор прекращает обработку и в течение 30 (тридцати) дней уничтожает ранее накопленные данные расширенной категории, за исключением случаев, когда сохранение требуется законом.
8. Субъекты персональных данных
Оператор обрабатывает персональные данные следующих категорий субъектов:
8.1. Пользователи Сервиса — физические лица, зарегистрированные в мобильном приложении или веб-сервисе «Марианна».
8.2. Пользователи, обратившиеся с запросом — физические лица, направившие Оператору обращение по вопросам использования Сервиса или реализации прав субъекта персональных данных.
8.3. Сотрудники Оператора (при наличии) — в объёме, необходимом для оформления трудовых отношений, в соответствии с требованиями Трудового кодекса Российской Федерации.
9. Порядок и условия обработки персональных данных
9.1. Обработка персональных данных осуществляется с соблюдением требований ФЗ-152 и принципов, установленных статьёй 5 ФЗ-152.
9.2. Обработка персональных данных осуществляется смешанным способом — автоматизированным с использованием средств вычислительной техники и без использования таких средств, в случаях, когда данные фиксируются на бумажных носителях (обращения пользователей, внутренние документы).
9.3. Оператор не осуществляет распространение персональных данных неограниченному кругу лиц.
9.4. Оператор не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
9.5. Передача персональных данных третьим лицам осуществляется только в случаях:
- наличия согласия субъекта персональных данных;
- необходимости технической работы Сервиса (Google FCM, Apple APNs — только push-токен и тело уведомления);
- в соответствии с требованиями законодательства Российской Федерации по мотивированному запросу уполномоченных органов.
9.6. Оператор ведёт учёт операций обработки персональных данных в электронном виде, включая журналы действий администраторов и системные логи.
10. Актуализация, исправление, удаление и уничтожение персональных данных
10.1. Пользователь имеет право самостоятельно актуализировать часть своих персональных данных через интерфейс Приложения (имя, email, телефон, аватар, статусная строка).
10.2. Для актуализации, блокирования или уничтожения персональных данных, которые не могут быть изменены через интерфейс Приложения, Пользователь направляет обращение на адрес kozlovamvcprn@gmail.com.
10.3. Оператор обязан уничтожить персональные данные:
- в случае достижения цели обработки;
- в случае отзыва субъектом согласия на обработку, если сохранение данных не требуется законом;
- по истечении срока хранения (пункт 15 настоящей Политики);
- в иных случаях, предусмотренных ФЗ-152.
10.4. Уничтожение персональных данных оформляется соответствующим актом и осуществляется способом, исключающим возможность их восстановления.
11. Ответы на запросы субъектов персональных данных
11.1. Оператор рассматривает письменные обращения субъектов персональных данных в течение 30 (тридцати) дней с даты получения обращения, если иной срок не установлен законодательством Российской Федерации.
11.2. Обращение направляется на адрес электронной почты kozlovamvcprn@gmail.com и должно содержать:
- ФИО / имя субъекта персональных данных;
- email или номер телефона, использованные при регистрации;
- содержание требования (получение информации, уточнение, блокирование, уничтожение и т. п.);
- подпись либо электронный идентификатор субъекта.
11.3. Оператор вправе отказать в предоставлении информации только в случаях, прямо предусмотренных законодательством Российской Федерации, с обоснованием причин отказа.
12. Передача персональных данных
12.1. Оператор не передаёт персональные данные третьим лицам, за исключением следующих случаев:
- Google Firebase Cloud Messaging (FCM) — для доставки push-уведомлений на устройства Android. Передаётся только push-токен и тело уведомления.
- Apple Push Notification service (APNs) — для доставки push-уведомлений на устройства iOS. Передаётся только push-токен и тело уведомления.
- Sentry GmbH (краш-аналитика, при наличии) — обезличенный stack trace, версия приложения, OS, модель устройства. Не передаются: email, телефон, имя, содержание сообщений, аудио/видео файлы. При получении DSN — DPA с Sentry GmbH будет оформлен.
- Государственные органы — на основании мотивированных запросов в порядке, установленном законодательством Российской Федерации.
12.2. Передача персональных данных иным лицам, кроме указанных в пункте 12.1 настоящей Политики, не осуществляется.
13. Трансграничная передача персональных данных
13.1. Трансграничная передача персональных данных граждан РФ осуществляется только в рамках доставки push-уведомлений через инфраструктуру Apple и Google в соответствии со статьёй 6 частью 1 пунктом 5 ФЗ-152 (техническая необходимость для исполнения договора об оказании услуг Сервиса).
13.2. Все основные операции с персональными данными (запись, систематизация, накопление, хранение, уточнение, извлечение) осуществляются на серверах, физически расположенных на территории Российской Федерации, в соответствии с частью 5 статьи 18 ФЗ-152 и Федеральным законом от 21.07.2014 № 242-ФЗ. Первичная запись и постоянное хранение производятся в Российской Федерации на выделенном сервере 91.218.113.252 (домен krasivogovorim.ru, дата-центр на территории РФ).
13.3. Случаи трансграничной передачи:
13.3.1. Apple Push Notification service (США/глобальная инфраструктура) — push-токен устройства iOS и тело уведомления передаются в Apple Inc. для доставки push-уведомления конечному устройству Пользователя. Push-сервис используется как глобальная техническая инфраструктура крупного провайдера на основании ст.6 ч.1 п.5 ФЗ-152 (техническая необходимость доставки уведомления как часть исполнения договора оказания услуг Сервиса). Без push-уведомления Сервис не может своевременно информировать Пользователя о новых сообщениях.
13.3.2. Google Firebase Cloud Messaging (США/глобальная инфраструктура) — аналогично п.13.3.1 для устройств Android.
13.4. Иные виды трансграничной передачи Оператором не осуществляются.
14. Меры по обеспечению безопасности персональных данных
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий, в том числе:
14.1. Организационные меры
- назначение лиц, ответственных за обработку и защиту персональных данных;
- разграничение прав доступа на уровне ролей (RBAC): Guest, User, Moderator, Admin;
- ручная верификация аккаунтов пользователей администратором;
- ведение журнала действий администраторов (admin audit log);
- регулярные внутренние аудиты информационной системы персональных данных;
- ознакомление сотрудников с требованиями настоящей Политики и ФЗ-152.
14.2. Технические меры
- шифрование соединений (TLS 1.3) между клиентами и серверами;
- хеширование паролей алгоритмом bcrypt с cost factor не ниже 12;
- хранение JWT-токенов с ограниченным сроком действия (access 15 минут, refresh 30 дней);
- защита от перебора паролей (rate limiting);
- защита от SQL-инъекций (параметризованные запросы, TypeORM);
- санитизация пользовательского ввода (защита от XSS);
- настройка межсетевого экрана (UFW);
- доступ к серверу только по SSH-ключам (парольная аутентификация отключена);
- регулярные резервные копии данных;
- мониторинг систем и журналов ошибок (error log).
14.3. Физические меры
- размещение оборудования в дата-центре на территории Российской Федерации с контролируемым физическим доступом.
15. Сроки хранения персональных данных
15.1. Персональные данные обрабатываются и хранятся в течение срока действия учётной записи Пользователя в Сервисе.
15.2. После удаления учётной записи Пользователя большинство персональных данных уничтожается в срок, не превышающий 30 (тридцати) дней. Отдельные категории данных могут сохраняться в обезличенном виде в течение до 3 (трёх) лет для целей обеспечения безопасности, выполнения требований законодательства и аудита.
15.3. Резервные копии баз данных могут содержать персональные данные в течение срока хранения резервных копий (до 90 дней), после чего подлежат перезаписи или уничтожению.
15.4. Отзыв согласия на обработку персональных данных влечёт прекращение обработки и уничтожение персональных данных Оператором в срок, не превышающий 30 (тридцати) дней, за исключением случаев, когда сохранение данных требуется законодательством Российской Федерации.
16. Заключительные положения
16.1. Настоящая Политика вступает в силу с даты её утверждения Оператором.
16.2. Оператор имеет право вносить изменения в настоящую Политику. Актуальная редакция Политики размещается на сайте https://krasivogovorim.ru/legal/personal-data.
16.3. В случае существенного изменения Политики Оператор уведомляет пользователей Сервиса путём публикации обновлённой версии по указанному выше адресу и (или) иным доступным способом.
16.4. Контроль исполнения требований настоящей Политики возлагается на лицо, ответственное за организацию обработки персональных данных у Оператора.
16.5. Ответственность лиц, имеющих доступ к персональным данным, за неисполнение требований Политики определяется законодательством Российской Федерации и трудовыми/гражданско-правовыми договорами с Оператором.
Оператор персональных данных:
- ИП Козлова Марианна Вадимовна
- ИНН: 771406021222
- ОГРНИП: 325774600379899
- Юридический адрес: 127287, Россия, г. Москва, проезд Петровско-Разумовский, д. 24, корп. 19, кв. 141
- Email: kozlovamvcprn@gmail.com
- Сайт: https://krasivogovorim.ru