Политика обработки персональных данных

В соответствии с Федеральным законом № 152-ФЗ «О персональных данных»

Конфиденциальность Персональные данные Условия использования Оферта
Дата вступления в силу: 19 марта 2026 г. · Последнее обновление: 19 марта 2026 г.

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению их безопасности в рамках мобильного приложения и веб-сайта «Mera» (далее — «Сервис»).

1.2. Оператор персональных данных: ИП/ООО «____________» (далее — «Оператор»), ОГРН ____________, ИНН ____________, адрес: ____________.

1.3. Политика действует в отношении всех персональных данных, которые Оператор может получить от Пользователя во время использования Сервиса.

2. Основные понятия

  • Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
  • Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без них, с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, блокирование, удаление, уничтожение.
  • Автоматизированная обработка — обработка данных с помощью средств вычислительной техники.
  • Пользователь — физическое лицо, использующее Сервис.

3. Перечень обрабатываемых персональных данных

Оператор обрабатывает следующие категории персональных данных:

Категория Состав данных Цель обработки
Учётные данные Email, хеш пароля, способ регистрации (email/Google/Apple), статус верификации email Регистрация, авторизация, восстановление доступа
Данные профиля Пол, возраст, рост, вес, целевой вес, уровень активности, темп снижения веса, тип диеты, часовой пояс Расчёт персональных целей по КБЖУ (формула Миффлина — Сан-Жеора), персонализация Сервиса
Данные о питании Названия блюд, масса порций, калорийность, БЖУ, комментарии, время приёма пищи, ингредиенты, штрихкоды продуктов Ведение дневника питания, подсчёт калорий, аналитика
Фотографии Изображения еды в формате base64 (до ~7,5 МБ) AI-анализ состава блюда. Изображения не сохраняются после обработки
Данные о весе Записи веса с датами Отслеживание динамики веса, прогнозы
Данные переписки с AI Сообщения пользователя и ответы ассистента Работа AI-ассистента по вопросам питания
Данные устройства Push-токен, платформа (iOS/Android), версия приложения, версия ОС, модель устройства Отправка push-уведомлений, обработка обращений в поддержку
Платёжные данные Идентификатор подписки, план, статус, период, сумма, валюта Управление подпиской и рекуррентными платежами через ЮKassa

4. Принципы обработки

Обработка персональных данных осуществляется на основе следующих принципов:

  • Обработка осуществляется на законной и справедливой основе.
  • Обработка ограничивается достижением конкретных, заранее определённых и законных целей.
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  • Обработке подлежат только те данные, которые отвечают целям их обработки.
  • Содержание и объём обрабатываемых данных соответствуют заявленным целям обработки.
  • При обработке обеспечивается точность, достаточность и актуальность данных.
  • Хранение данных осуществляется не дольше, чем этого требуют цели обработки.

5. Правовые основания обработки

Обработка персональных данных осуществляется на следующих правовых основаниях:

  • Согласие субъекта персональных данных (ст. 6 ч. 1 п. 1 Федерального закона № 152-ФЗ) — предоставляется при регистрации в Сервисе.
  • Исполнение договора, стороной которого является субъект персональных данных (ст. 6 ч. 1 п. 5 Федерального закона № 152-ФЗ) — предоставление функций Сервиса.
  • Исполнение обязанностей, возложенных на Оператора законодательством (ст. 6 ч. 1 п. 2 Федерального закона № 152-ФЗ).

6. Порядок сбора персональных данных

6.1. Персональные данные собираются следующими способами:

  • Прямое предоставление Пользователем при регистрации и заполнении профиля (POST /api/v1/user/register, POST /api/v1/onboarding/).
  • Автоматический сбор при использовании Сервиса (ведение дневника питания, взвешивания, обращения в AI-ассистент).
  • Получение от третьих лиц при OAuth-авторизации через Google или Apple.
  • Получение от платёжного провайдера ЮKassa при обработке платежей.

6.2. Предоставление персональных данных является добровольным. Отказ от предоставления обязательных данных (email) делает невозможным использование Сервиса.

7. Обработка и хранение

7.1. Обработка осуществляется с использованием средств автоматизации.

7.2. Данные хранятся на серверах на территории Российской Федерации.

7.3. Сроки хранения:

  • Данные аккаунта и профиля: до удаления аккаунта Пользователем.
  • Данные о питании и весе: до удаления аккаунта Пользователем.
  • Фотографии еды: не сохраняются после AI-анализа.
  • История чата с AI: до удаления аккаунта Пользователем.
  • Платёжные данные: в течение сроков, установленных законодательством РФ о бухгалтерском учёте.
  • Обращения в поддержку: 3 (три) года с момента обращения.

8. Меры по защите персональных данных

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных:

  • Шифрование паролей (хеширование; пароли не подлежат восстановлению).
  • JWT-авторизация с механизмом обновления токенов (access + refresh).
  • Ограничение частоты запросов (rate limiting) на критических эндпоинтах: регистрация, авторизация, подтверждение email, обновление токенов.
  • Разграничение доступа: пользователь имеет доступ только к собственным данным.
  • HTTPS-шифрование при передаче данных.
  • Верификация вебхуков ЮKassa через JWKS (ES256).

9. Передача персональных данных

9.1. Оператор не передаёт персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством и настоящей Политикой.

9.2. Данные могут быть переданы:

  • ЮKassa (ООО «ЮМани») — для обработки платежей. ЮKassa является сертифицированным оператором по стандарту PCI DSS.
  • Провайдерам AI-моделей — для анализа фотографий и текстовых запросов. Передаются в обезличенном виде без привязки к личности Пользователя.
  • Google LLC / Apple Inc. — в объёме, необходимом для OAuth-авторизации.

9.3. Трансграничная передача осуществляется только в страны, обеспечивающие адекватную защиту прав субъектов персональных данных.

10. Права субъекта персональных данных

Пользователь имеет право:

  • Получить информацию, касающуюся обработки его персональных данных (ст. 14 Федерального закона № 152-ФЗ).
  • Требовать уточнения своих персональных данных (обновление профиля: PUT /api/v1/profile/, смена email: PUT /api/v1/user/change-email).
  • Требовать блокирования или уничтожения персональных данных в случае, если они являются неполными, устаревшими, неточными.
  • Отозвать согласие на обработку персональных данных (удаление аккаунта: DELETE /api/v1/user/delete-account).
  • Обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.

11. Обязанности Оператора

  • Использовать персональные данные исключительно в целях, указанных в настоящей Политике.
  • Обеспечить хранение персональных данных в тайне, не распространять без согласия Пользователя.
  • Принимать меры для обеспечения точности и актуальности персональных данных.
  • Прекратить обработку и уничтожить персональные данные при достижении целей обработки или по требованию Пользователя.

12. Заключительные положения

12.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её публикации на данной странице.

12.2. К настоящей Политике применяется законодательство Российской Федерации.

12.3. По всем вопросам обращайтесь: support@mera.app.