Политика конфиденциальности

1. Общие положения

Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей мобильного приложения Mediary (далее — «Приложение»). Mediary — мобильное приложение для хранения медицинских документов, учёта лекарств и ведения семейных профилей здоровья.

Используя Приложение, вы подтверждаете, что ознакомились с настоящей Политикой и согласны с её условиями, а также даёте явное согласие на обработку специальных категорий персональных данных (сведений о состоянии здоровья) в объёме, необходимом для предоставления функционала Приложения.

2. Какие данные мы собираем

Мы собираем и обрабатываем следующие категории данных:

• Данные аккаунта: адрес электронной почты, имя пользователя, идентификатор Apple ID или Google ID при входе через соответствующие провайдеры.
• Профили членов семьи: имена, даты рождения, фотографии (по вашему усмотрению).
• Медицинские записи и вложения: изображения, PDF-файлы, видео, голосовые записи, тексты — всё, что вы загружаете в Приложение.
• Данные о лекарствах: названия препаратов, дозировки, расписания приёма, история приёмов и пропусков.
• Настройки уведомлений: предпочитаемое время напоминаний, идентификатор push-токена устройства (APNs).
• Подписка: идентификатор анонимного пользователя RevenueCat, статус подписки. Платёжные данные (номер карты и т. п.) Mediary не получает и не хранит — обработка происходит на стороне App Store.
• Технические данные: модель устройства, версия iOS, версия Приложения, язык интерфейса, обезличенные данные о сбоях и производительности.
• Журналы модерации: метаданные событий модерации контента (без сохранения самих изображений на сервере) — см. раздел 4.

3. Цели обработки и правовые основания

Персональные данные обрабатываются в следующих целях:

• Предоставление функционала Приложения (хранение записей, синхронизация, поиск).
• Учёт лекарств и отправка напоминаний о приёме.
• Аутентификация пользователя и обеспечение безопасности аккаунта.
• Подключение и продление подписки на платный тариф.
• Техническая поддержка, диагностика и устранение сбоев.
• Улучшение качества OCR-распознавания (анонимизированные исправления — см. раздел 4).
• Соблюдение применимых требований законодательства.

Правовые основания: ваше согласие (ст. 6 и ст. 9 Федерального закона № 152-ФЗ «О персональных данных»), исполнение договора (использование Приложения) и законные интересы оператора (безопасность сервиса).

4. Обработка на устройстве

Часть обработки выполняется локально на вашем устройстве и не передаётся на серверы:

• OCR-распознавание (Apple Vision): текст из изображений и PDF извлекается на устройстве для автоматического заполнения полей записи.
• Модерация контента (NSFWDetector / CoreML): при добавлении изображения локальная модель оценивает его на предмет подозрительного содержимого. Если порог превышен, отображается предупреждение, а на сервер передаются только метаданные события (тип решения пользователя), но не само изображение.
• Локальный кэш (GRDB / SQLite): данные хранятся в зашифрованном виде на устройстве для работы офлайн.

Если вы исправляете автоматически распознанное название записи, фрагмент OCR-текста (до 2000 символов, без вложения) может быть отправлен на сервер для обучения паттернов распознавания. Такие события связаны с вашим аккаунтом и удаляются вместе с ним. На основе массива событий автоматически формируются обезличенные паттерны распознавания — они не содержат вашего идентификатора и используются для улучшения качества OCR у всех пользователей.

5. Push-уведомления

Напоминания о приёме лекарств отправляются двумя способами:

• Локально: через системный планировщик iOS (UNUserNotificationCenter), без участия наших серверов.
• Через сервер: резервные напоминания через Apple Push Notification service (APNs). Для этого мы храним push-токен вашего устройства и расписание приёмов на нашем сервере.

Вы можете в любой момент отключить уведомления в настройках Приложения или в системных настройках iOS. При отключении мы перестанем отправлять server-side push, но запланированные локальные напоминания продолжат работать до вашей следующей синхронизации.

6. Третьи стороны и субпроцессоры

Для работы сервиса мы используем доверенных партнёров. Они обрабатывают данные исключительно по нашему поручению и не используют их в собственных целях:

• Apple Inc. Аутентификация (Sign in with Apple), доставка push-уведомлений (APNs), обработка платежей по подписке (App Store / StoreKit).
• Supabase (self-hosted) Хранение записей, файлов и пользовательских данных. Серверы развёрнуты на инфраструктуре, контролируемой оператором.
• RevenueCat, Inc. Управление статусом подписки и определение прав доступа к платным функциям. Получает обезличенный идентификатор пользователя.
• Google LLC Только при выборе входа через Google: подтверждение email и идентификатора пользователя.

7. Защита данных

Мы применяем следующие меры защиты:

• Шифрование при передаче (TLS 1.2 и выше).
• Шифрование на стороне сервера (хранилище и резервные копии).
• Row Level Security (RLS) на уровне базы данных — пользователь имеет доступ только к собственным данным.
• Биометрическая защита входа в Приложение (Face ID / Touch ID, опционально).
• Регулярные резервные копии и мониторинг подозрительной активности.
• Принцип минимизации: мы не запрашиваем данные, не нужные для работы функции.

Несмотря на принимаемые меры, ни один способ передачи и хранения данных не может быть на 100% защищён. Мы рекомендуем не передавать пароль третьим лицам и включить блокировку устройства.

8. Хранение и сроки удаления

Сроки хранения данных:

• Активный аккаунт: данные хранятся в течение всего периода использования Приложения.
• После запроса на удаление аккаунта: мы запускаем процедуру удаления с льготным периодом 7 дней, в течение которых вы можете отменить запрос. По истечении 7 дней данные удаляются безвозвратно.
• При удалении аккаунта безвозвратно удаляются: учётные данные, медицинские записи и вложения, профили членов семьи, лекарства и история приёмов, push-токены устройств, журналы уведомлений, события распознавания OCR, журналы модерации, статус подписки в нашей базе данных. Связанные таблицы очищаются каскадно по внешним ключам.
• Резервные копии: хранятся в соответствии с политикой хостинг-инфраструктуры. Ваши данные могут оставаться в зашифрованных резервных копиях вплоть до их плановой ротации, после чего безвозвратно удаляются.
• Платёжная информация: хранится App Store и RevenueCat в соответствии с политиками этих сервисов; Mediary её не получает и не хранит.
• Анонимизированные паттерны OCR-распознавания: после улучшения системы извлечённые из исправлений шаблоны (без вашего идентификатора) могут храниться неопределённый срок, поскольку используются всеми пользователями (см. раздел 4).

Если у вас остались вопросы о сроках хранения конкретной категории данных — напишите на support@prkv.dev.

9. Данные несовершеннолетних

Приложение не предназначено для самостоятельного использования лицами младше 14 лет. Мы не собираем данные несовершеннолетних в качестве основного пользователя.

Функция «семейные профили» позволяет родителям или законным представителям вести медицинскую историю своих несовершеннолетних детей. В этом случае:

• Ответственность за загрузку данных ребёнка несёт родитель / законный представитель.
• Подтверждая создание профиля несовершеннолетнего, родитель даёт согласие на обработку его данных в порядке, предусмотренном настоящей Политикой.
• По достижении ребёнком совершеннолетия право управления данными переходит к нему — он может потребовать передачу или удаление данных.

10. Ваши права

В соответствии с законодательством Российской Федерации (152-ФЗ) и применимыми нормами международного права (GDPR — для пользователей из ЕЭЗ) вы имеете право:

• Получить подтверждение факта обработки данных и их копию.
• Требовать уточнения, исправления или дополнения данных.
• Требовать удаления данных («право на забвение»).
• Возражать против обработки или ограничивать её.
• Запрашивать переносимость данных в машиночитаемом формате.
• Отозвать согласие на обработку в любой момент.
• Подать жалобу в надзорный орган (в РФ — Роскомнадзор).

Запросы по реализации прав направляйте на support@prkv.dev. Мы отвечаем в срок, не превышающий 30 дней с момента получения запроса.

11. Удаление аккаунта

Удалить аккаунт и все связанные с ним данные можно самостоятельно: Настройки → Аккаунт → Удалить аккаунт. После подтверждения создаётся запрос на удаление, который выполняется на сервере через 7 дней. В течение этого периода вы можете войти в Приложение и отменить запрос — аккаунт будет восстановлен в полном объёме.

12. Трансграничная передача

При использовании Apple, Google и RevenueCat обработка может происходить на серверах за пределами Российской Федерации. Эти компании сертифицированы по применимым международным стандартам защиты данных.

Основная инфраструктура Mediary (база данных и хранилище файлов) развёрнута на собственных серверах оператора с шифрованием на стороне сервера.

13. Изменения политики

Мы оставляем за собой право обновлять Политику. Существенные изменения сопровождаются уведомлением в Приложении и/или письмом на адрес электронной почты, привязанный к аккаунту, не позднее чем за 14 дней до вступления в силу.

Дата последнего обновления указана в начале документа. Продолжая использовать Приложение после внесения изменений, вы подтверждаете согласие с обновлённой Политикой.