Политика конфиденциальности
Дата вступления в силу: 11 мая 2026 г. Последнее обновление: 11 мая 2026 г. Версия документа: 2.0 (защитная редакция: признание спец-категории ПДн)
1. Введение
Настоящая Политика конфиденциальности (далее — «Политика») описывает, как мобильное приложение и веб-сервис «Марианна» (далее — «Приложение», «Сервис») собирает, использует, хранит и защищает персональные данные пользователей.
«Марианна» — это информационная коммуникационная платформа (приложение-сообщество) для людей, работающих над улучшением своих речевых навыков, и сопровождающих их специалистов. Сервис предоставляет доступ к ленте полезных материалов, групповым чатам, обмену голосовыми и видео-сообщениями, а также к немедицинским методическим консультациям специалиста по речи (speech coach), работающего в педагогическом контексте. Подробнее о характере услуги см. раздел «Условия использования», п. 9 («Отказ от медицинских гарантий»).
Используя Приложение, вы подтверждаете, что ознакомились с настоящей Политикой и согласны с обработкой ваших персональных данных на изложенных условиях, в том числе со специальным согласием на обработку расширенной категории персональных данных, к которой Оператор в качестве дополнительной меры защиты относит пользовательский контент о речевых особенностях (см. раздел 6 и отдельный документ «Согласие на обработку специальных категорий персональных данных»).
Настоящая Политика составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «ФЗ-152»), Федерального закона от 21.07.2014 № 242-ФЗ (о локализации баз данных граждан РФ), приказа ФСТЭК России от 18.02.2013 № 21 и иных нормативных правовых актов Российской Федерации в области защиты персональных данных.
2. Оператор персональных данных
Оператором персональных данных, осуществляющим обработку данных пользователей Приложения «Марианна» (статья 22.3 ФЗ-152), является:
- Наименование (ФИО ИП): Индивидуальный предприниматель Козлова Марианна Вадимовна
- ИНН: 771406021222
- ОГРНИП: 325774600379899
- Юридический адрес: 127287, Россия, г. Москва, проезд Петровско-Разумовский, д. 24, корп. 19, кв. 141
- Email для обращений по вопросам персональных данных: kozlovamvcprn@gmail.com
- Сайт: https://krasivogovorim.ru
- Уведомление Роскомнадзора об обработке ПДн: подано (реестр операторов РКН).
Все запросы, связанные с обработкой персональных данных, направляются по указанному адресу электронной почты. Оператор обязуется рассматривать обращения в сроки, установленные законодательством РФ (30 календарных дней).
3. Категории субъектов персональных данных
Оператор обрабатывает персональные данные следующих категорий субъектов:
- Совершеннолетние граждане (18+) — самостоятельные пользователи Приложения.
- Подростки 14–17 лет — допускаются к использованию Сервиса только с письменного согласия одного из родителей или иного законного представителя, направленного Оператору. Без такого согласия учётная запись подростка блокируется и удаляется (см. п. 12).
- Дети младше 14 лет — самостоятельное использование Сервиса запрещено. Регистрация от имени ребёнка может быть осуществлена только законным представителем, который полностью отвечает за такой аккаунт и контент в нём.
- Специалисты-логопеды и администраторы Сервиса — отдельная категория субъектов (внутренние пользователи Оператора).
4. Какие данные мы собираем
Мы собираем только те данные, которые необходимы для работы Сервиса.
4.1. Идентификационные и аутентификационные данные
- Имя (как пользователь желает, чтобы к нему обращались)
- Адрес электронной почты (email) или номер мобильного телефона — в качестве логина
- Пароль (хранится в зашифрованном виде с использованием алгоритма bcrypt, cost ≥ 12)
4.2. Данные профиля
- Аватар (изображение профиля, загружается пользователем по желанию)
- Статусная строка (короткий текст о себе)
4.3. Контент, создаваемый пользователем
- Текстовые сообщения в чатах и комментарии к постам в ленте
- Голосовые сообщения (аудиофайлы в формате Opus/OGG)
- Видео-сообщения («кружочки», формат H.264)
- Фотографии и видеовложения в чате
- Реакции (эмодзи) на сообщения и посты
- Метаданные сообщений: дата отправки, идентификатор канала, статус прочтения
4.4. Технические данные
- IP-адрес при входе в аккаунт
- Информация об устройстве (модель, операционная система, версия приложения, локаль)
- Push-токен для уведомлений (FCM для Android, APNs для iOS)
- Дата и время регистрации, последнего входа, действий в чатах
- Логи действий администраторов и модераторов (audit log)
4.5. Согласия пользователя (отметки о волеизъявлении)
- Факт и дата принятия Условий использования и Политики конфиденциальности
- Факт и дата выдачи Согласия на обработку специальных категорий ПДн (см. п. 6)
4.6. Разрешения устройства (Android/iOS)
Приложение запрашивает следующие разрешения только в момент использования соответствующей функции и только с вашего согласия:
- Камера — для записи видео-сообщений и фотографий, отправляемых в чат. Мы не получаем автоматического доступа к галерее устройства.
- Микрофон — для записи голосовых сообщений и аудио-дорожки видео.
- Уведомления — для доставки push-уведомлений о новых сообщениях и статусе заявки.
- Биометрия (FaceID/TouchID/BiometricPrompt) — опционально для защиты входа. Биометрические данные не покидают устройство и не передаются Оператору.
- Доступ к фото/видео — только при явном выборе файла пользователем (системные пикеры).
Вы можете в любой момент отозвать любое из этих разрешений в настройках операционной системы.
4.7. Данные, которые мы НЕ собираем
- Данные о местоположении (GPS, координаты Wi-Fi/cellular)
- Данные из списка контактов устройства
- Полный список фото- и видео-галереи (доступ только к явно выбранным файлам)
- Рекламные идентификаторы (Advertising ID / IDFA)
- Данные через сторонние SDK поведенческой/маркетинговой аналитики
5. Цели обработки персональных данных
Ваши данные обрабатываются исключительно для следующих явно перечисленных целей:
- Регистрация и аутентификация — создание и защита вашего аккаунта, идентификация при входе.
- Ручная верификация — проверка заявок на регистрацию администратором для обеспечения безопасности сообщества.
- Предоставление функционала Приложения — групповые и личные чаты, лента публикаций, комментарии, реакции, обмен медиаконтентом.
- Консультации со специалистом — обеспечение коммуникации пользователя со специалистом-логопедом в рамках платных и бесплатных каналов Сервиса (обмен сообщениями, голосом, видео).
- Отправка push-уведомлений — о новых сообщениях, постах, статусе вашей заявки, важных системных событиях.
- Аналитика производительности и стабильности — обработка анонимизированных отчётов о сбоях (crash reports) для устранения программных ошибок. Содержание сообщений пользователя в crash reports не передаётся.
- Техническая поддержка — обработка обращений пользователей, решение проблем.
- Обеспечение безопасности — защита от мошенничества, спама, brute-force атак, несанкционированного доступа.
- Модерация контента — предотвращение публикации запрещённого или оскорбительного контента, исполнение Правил поведения.
- Исполнение требований законодательства Российской Федерации — в том числе предоставление информации по официальным запросам уполномоченных органов.
6. Пользовательский контент о речевых особенностях (расширенная категория ст.10 ФЗ-152)
6.1. Характер обрабатываемой информации
Сервис ориентирован на людей, работающих над улучшением своих речевых навыков. В чатах, голосовых и видео-сообщениях, комментариях и иных записях Пользователь по собственному выбору может делиться сведениями о своих речевых особенностях, опыте практики речи и упражнениях.
Такая информация не является медицинскими данными в значении статьи 4 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ», поскольку:
- Оператор не оказывает медицинских услуг и не имеет медицинской лицензии (Постановление Правительства РФ № 291);
- специалист по речи (speech coach) в Сервисе работает в педагогическом контексте в значении Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в РФ»;
- в Сервисе не проводится медицинская диагностика, не назначается лечение и не даётся клиническая оценка состояния Пользователя.
Тем не менее Оператор в качестве дополнительной меры защиты относит указанный пользовательский контент к расширенной категории персональных данных в значении статьи 10 ФЗ-152 и применяет к нему повышенные меры защиты, установленные приказом ФСТЭК России от 18.02.2013 № 21 для уровня защищённости УЗ-3.
6.2. Правовое основание
Обработка осуществляется на основании:
- отдельного письменного согласия субъекта (статья 10 часть 2 пункт 1 ФЗ-152) — оформляется отдельным документом «Согласие на обработку специальных категорий персональных данных», не входящим в состав Условий использования (требование с 01.09.2025);
- исполнения договора на предоставление коммуникационного сервиса (статья 6 часть 1 пункт 5 ФЗ-152).
Согласие может быть отозвано пользователем в любой момент. Отзыв такого согласия равнозначен отзыву согласия на обработку ПДн в целом и влечёт удаление учётной записи и соответствующих сообщений по запросу пользователя.
6.3. Дополнительные меры защиты
- Серверное шифрование at-rest (LUKS-том на дисковой подсистеме сервера; ключи хранятся вне виртуальной машины).
- Доступ к содержимому сообщений только у уполномоченных сотрудников Оператора по принципу минимально необходимых полномочий.
- Журналирование всех действий администраторов и модераторов (audit log).
- Шифрование локального кеша на устройстве пользователя (SQLCipher для Android, Keychain/Data Protection для iOS).
- Запрет передачи такого контента третьим лицам для каких-либо целей, кроме указанных в разделе 8.
7. Правовые основания обработки
Обработка персональных данных осуществляется на следующих правовых основаниях:
- Согласие субъекта персональных данных (статья 6 часть 1 пункт 1 ФЗ-152) — даётся при регистрации.
- Отдельное согласие на обработку специальных категорий ПДн (статья 10 часть 2 пункт 1 ФЗ-152) — даётся отдельным документом.
- Исполнение договора, стороной которого является субъект персональных данных (статья 6 часть 1 пункт 5 ФЗ-152) — для предоставления функционала Сервиса.
- Законные интересы оператора (статья 6 часть 1 пункт 7 ФЗ-152) — обеспечение безопасности, модерация, защита от мошенничества.
- Исполнение требований законодательства РФ (статья 6 часть 1 пункт 2 ФЗ-152).
8. Передача персональных данных и трансграничная передача
Оператор не продаёт и не передаёт ваши персональные данные третьим лицам в маркетинговых целях.
8.1. Локализация по умолчанию
Основная база персональных данных граждан Российской Федерации хранится и обрабатывается на сервере, физически расположенном на территории Российской Федерации (статья 18 часть 5 ФЗ-152; ФЗ № 242-ФЗ).
8.2. Случаи трансграничной передачи отдельных технических сведений
Оператор честно уведомляет, что для обеспечения работы отдельных функций Приложения осуществляется ограниченная трансграничная передача отдельных технических сведений следующим лицам и в следующих юрисдикциях:
| Получатель | Юрисдикция | Что передаётся | Цель | Правовое основание |
|---|---|---|---|---|
| Apple Inc. (APNs) | США | Push-токен устройства iOS, заголовок и текст уведомления | Доставка push-уведомлений | Согласие пользователя, исполнение договора |
| Google LLC (Firebase Cloud Messaging) | США | Push-токен устройства Android, заголовок и текст уведомления | Доставка push-уведомлений | Согласие пользователя, исполнение договора |
| Functional Software, Inc. d/b/a Sentry | США | Технические сведения о сбоях приложения (stack traces, версия ОС/приложения, идентификатор аккаунта в обезличенной форме) без содержимого сообщений пользователя | Обнаружение и устранение программных ошибок | Согласие пользователя при первом запуске |
Оператор уведомил Роскомнадзор о трансграничной передаче персональных данных в указанные юрисдикции в соответствии со статьёй 12 ФЗ-152.
8.3. Государственные органы
В случаях, предусмотренных законодательством Российской Федерации, данные могут быть предоставлены уполномоченным государственным органам по их официальному запросу.
8.4. Чего мы НЕ делаем
- Не используем сторонние рекламные сети.
- Не используем сторонние SDK поведенческой/маркетинговой аналитики (Google Analytics, Яндекс.Метрика, AppMetrica, AppsFlyer, Adjust и т. п.).
- Не передаём содержимое сообщений, голоса, видео третьим лицам, кроме случаев, прямо указанных в п. 8.2 и 8.3.
9. Сроки хранения данных
| Тип данных | Срок хранения |
|---|---|
| Данные профиля и аккаунта | До удаления аккаунта пользователем или прекращения работы Сервиса |
| Сообщения в чатах | До удаления пользователем/администратором; бессрочно в рамках работы Сервиса |
| Медиафайлы (голос, видео, фото, аватары) | До удаления соответствующих сообщений или аккаунта |
| Логи входа и IP-адреса | 12 месяцев для целей безопасности |
| Audit log действий администраторов | 12 месяцев |
| Резервные копии (encrypted backups) | 30 дней с момента создания резервной копии, затем безвозвратно уничтожаются |
Экспорт данных (export.fileUrl) | 7 дней с момента генерации, затем удаляется автоматическим заданием (retention cron) |
| Crash reports | 90 дней |
| Данные удалённого аккаунта | 30 дней (для возможности восстановления), затем безвозвратно удаляются |
После прекращения обработки персональные данные удаляются или обезличиваются.
10. Права субъекта персональных данных
В соответствии со статьёй 14 ФЗ-152 вы имеете все права субъекта персональных данных, в том числе право на доступ, исправление, удаление, отзыв согласия, переносимость данных. Подробное описание прав и порядка их реализации приведено в документе «Права субъекта персональных данных».
Краткое резюме:
- Доступ — получить копию своих данных (функция «Экспорт данных» в профиле или письменный запрос).
- Исправление — потребовать изменения неточных или неполных данных.
- Удаление — потребовать удаления своих данных («право на забвение»).
- Отзыв согласия — в любой момент отозвать согласие на обработку.
- Ограничение обработки — потребовать приостановить обработку.
- Портабельность — запросить экспорт в машиночитаемом формате (JSON).
- Возражение против автоматизированных решений — Оператор таких решений не принимает.
- Обжалование — обратиться с жалобой в Роскомнадзор или в суд.
Срок ответа Оператора на любое обращение — 30 календарных дней. Рассмотрение обращений бесплатное.
11. Меры защиты данных
Оператор применяет правовые, организационные и технические меры, соответствующие уровню защищённости УЗ-3 (приказ ФСТЭК № 21).
11.1. Технические меры
- Шифрование транспорта: TLS 1.2+ для всего трафика между приложением и сервером.
- Хеширование паролей: bcrypt с cost ≥ 12.
- Шифрование at-rest: дисковый том сервера зашифрован с использованием LUKS (LUKS2, AES-XTS-Plain64 512-bit); ключи хранятся вне виртуальной машины и не доступны через консоль провайдера.
- Локальное шифрование на устройстве пользователя: SQLCipher (Android), Data Protection (iOS).
- JWT-авторизация: короткоживущие access-токены (15 мин) + обновляемые refresh-токены (30 дней) с автоматической ротацией.
- Серверы в Российской Федерации: PostgreSQL, MinIO, Redis, backend-сервисы — на серверах в РФ.
- Rate limiting: защита от brute-force и перегрузок.
- UFW firewall + SSH key-only authentication на серверах.
- Изоляция портов: контейнеры открыты только на 127.0.0.1, наружу выставлен только nginx с TLS.
- Валидация входных данных: защита от SQL-инъекций, XSS и распространённых OWASP-атак.
- Резервное копирование: ежедневные encrypted backups, ретенция 30 дней.
11.2. Организационные меры
- Доступ к персональным данным имеет ограниченный круг лиц, определяемый приказом Оператора.
- Ведётся журнал действий администраторов и модераторов (audit log).
- Многофакторная аутентификация для администраторских учётных записей (при технической возможности).
- Регулярное обновление системного ПО и зависимостей.
- Реестр обработки ПДн (статья 18.1 ФЗ-152) ведётся Оператором.
12. Дети и подростки
Приложение не предназначено для самостоятельного использования детьми младше 14 лет.
- 0–13 лет: регистрация может быть совершена только законным представителем (родителем/опекуном); представитель полностью отвечает за такой аккаунт и контент в нём.
- 14–17 лет: регистрация возможна с письменного согласия одного из родителей/иного законного представителя, направленного Оператору на kozlovamvcprn@gmail.com. Без согласия аккаунт блокируется.
- 18+: регистрация без дополнительных согласий третьих лиц.
При обнаружении факта самостоятельной регистрации лица младше 14 лет соответствующие данные удаляются по факту выявления.
13. Cookies и локальное хранилище
13.1. Веб-версия (admin-web и публичные страницы)
- JWT-токены в cookies (httpOnly, secure) — для аутентификации администраторов.
- localStorage — для хранения предпочтений интерфейса (тема, язык).
- Рекламные и аналитические cookies не используются.
13.2. Мобильное приложение
- Secure Storage (Keychain / EncryptedSharedPreferences) — для хранения JWT-токенов и PIN-кода.
- Локальная зашифрованная база данных SQLDelight + SQLCipher — для оффлайн-кеша ленты и сообщений (данные остаются на устройстве пользователя и не передаются третьим лицам).
14. Изменения Политики
Оператор оставляет за собой право вносить изменения в настоящую Политику. При существенных изменениях (в том числе при расширении перечня обрабатываемых данных, целей обработки, получателей трансграничной передачи) пользователи будут уведомлены не позднее чем за 7 календарных дней до вступления изменений в силу:
- Push-уведомлением в приложении.
- По email (если указан).
- Баннером в приложении при следующем входе с обязательной отметкой «Я ознакомился(-ась)».
При несогласии с новой редакцией пользователь вправе удалить аккаунт. Дата вступления изменений в силу и номер версии указываются в начале документа.
15. Контакты
По всем вопросам, связанным с обработкой персональных данных:
- Email: kozlovamvcprn@gmail.com
- Оператор: ИП Козлова Марианна Вадимовна, ИНН 771406021222
- Сайт: https://krasivogovorim.ru
- Страница с Политикой: https://krasivogovorim.ru/legal/privacy
Оператор обязуется ответить на ваше обращение в течение 30 календарных дней с момента его получения.
Настоящая Политика является публичным документом и доступна по постоянной ссылке: https://krasivogovorim.ru/legal/privacy