Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и определяет порядок обработки персональных данных Пользователей сервиса «Рецепт.ИИ» (далее — «Сервис»).

1.2. Оператором персональных данных является Индивидуальный предприниматель Кагиров Идрис Ахмадович (ОГРНИП 324774600338577, ИНН 771987363004), далее — «Оператор».

1.3. Политика применяется ко всем персональным данным, которые Оператор может получить от Пользователя в процессе использования Сервиса, размещённого по адресу recipt.hamduh.su и в виде мобильного приложения.

1.4. Использование Сервиса означает согласие Пользователя с настоящей Политикой. Обработка персональных данных осуществляется на основании отдельного Согласия на обработку персональных данных, которое Пользователь предоставляет при регистрации.

2. Состав обрабатываемых персональных данных

2.1. Идентификационные данные:

• номер мобильного телефона;
• адрес электронной почты;
• Telegram-идентификатор (числовой ID), имя пользователя в Telegram — при авторизации через Telegram Mini App;
• имя, отображаемое в профиле (по желанию Пользователя).

2.2. Данные о профилях членов семьи:

• имена членов семьи (могут быть условными — «Мама», «Сын»);
• возрастная категория (при необходимости).

2.3. Специальные категории персональных данных ⚠️

В соответствии со ст. 10 Федерального закона № 152-ФЗ Оператор обрабатывает следующие категории, относящиеся к специальным:

• Сведения о состоянии здоровья — пищевые аллергии (молоко, глютен, орехи, морепродукты, яйца, соя, рыба, цитрусы и иные, указанные Пользователем);
• Диетические предпочтения — тип питания (всеядный, вегетарианский, веганский, халяль, кошер). Оператор подчёркивает, что выбор халяль/кошер рассматривается исключительно как диетическое предпочтение и не используется для определения религиозной принадлежности Пользователя.

Правовое основание обработки специальных категорий: явное письменное согласие Пользователя, оформленное в виде отдельного документа в соответствии со ст. 10 ч. 2 п. 1 152-ФЗ.

Цель обработки: исключительно формирование персонализированных рецептурных рекомендаций.

Меры защиты специальных категорий:

• хранение в отдельной таблице базы данных с разграничением доступа;
• не передаются третьим лицам в персонифицированном виде;
• при использовании в ИИ-сервисах рекомендаций — передаются исключительно в обезличенном виде (см. раздел 8).

2.4. Данные о пользовательской активности:

• список продуктов в виртуальном холодильнике;
• история просмотренных и сохранённых рецептов;
• история приготовленных блюд;
• оценки и рейтинги, выставленные рецептам;
• импортированные Пользователем рецепты.

2.5. Технические данные:

• IP-адрес;
• информация о браузере или мобильном устройстве (модель, операционная система, версия);
• идентификаторы устройств и сессий;
• лог-файлы взаимодействия с Сервисом;
• файлы cookie (подробнее в разделе 12).

2.6. Платёжные данные:

• сведения о Подписке (тариф, даты оплат, статус);
• идентификатор платёжного метода у платёжного провайдера. Оператор не хранит номера банковских карт — они хранятся только у сертифицированного PCI-DSS платёжного провайдера ЮKassa.

2.7. Данные несовершеннолетних:

При добавлении детей в семейные профили обрабатываются только их условные имена и категории питания (аллергии/диета). Прямые идентификационные данные несовершеннолетних (фотографии, точные даты рождения, контактные данные) Оператором не запрашиваются и не обрабатываются.

Для добавления несовершеннолетнего в семейный профиль Пользователь подтверждает наличие у него родительских прав или законного представительства. Подробнее в разделе 13.

3. Цели обработки персональных данных

3.1. Оператор обрабатывает персональные данные Пользователя в следующих целях:

• идентификация и аутентификация Пользователя в Сервисе;
• предоставление функциональности Сервиса в соответствии с публичной офертой;
• персонализация рекомендаций рецептов на основе указанного Пользователем содержимого холодильника, профилей семьи и истории использования;
• оформление и сопровождение Подписки, обработка платежей;
• информационное взаимодействие с Пользователем (уведомления о статусе Подписки, технические уведомления, ответы на обращения);
• анализ использования Сервиса в обезличенной форме для улучшения качества услуг;
• обеспечение информационной безопасности Сервиса;
• выполнение требований законодательства РФ.

4. Правовые основания обработки

• согласие субъекта персональных данных на их обработку (ст. 6 ч. 1 п. 1 152-ФЗ);
• обработка необходима для исполнения договора, стороной которого является субъект персональных данных (ст. 6 ч. 1 п. 5 152-ФЗ);
• обработка необходима для осуществления прав и законных интересов Оператора (ст. 6 ч. 1 п. 7 152-ФЗ);
• для специальных категорий персональных данных — явное письменное согласие субъекта (ст. 10 ч. 2 п. 1 152-ФЗ).

5. Локализация персональных данных

В соответствии с ч. 5 ст. 18 Федерального закона № 152-ФЗ первичная запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации осуществляется с использованием баз данных, расположенных на территории Российской Федерации:

• собственный ЦОД Оператора (г. Москва);
• арендуемый ЦОД на территории РФ — Timeweb Cloud (СПб, ИНН 7842484404) для веб-сервера сайта recipt.hamduh.su.

6. Способы и сроки обработки

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без таковых.

6.2. Срок хранения персональных данных:

• данные активного Аккаунта хранятся в течение всего периода его использования;
• после удаления Аккаунта данные хранятся не более 90 дней (для возможности восстановления), затем удаляются полностью;
• платёжные данные и финансовые документы хранятся в течение сроков, предусмотренных законодательством РФ (5 лет);
• специальные категории данных (аллергии, диетические предпочтения) удаляются вместе с Аккаунтом — без отдельного срока хранения после удаления.

7. Передача данных третьим лицам — обработчикам

7.1. Оператор не продаёт персональные данные Пользователя и не передаёт их третьим лицам в маркетинговых целях.

7.2. Оператор привлекает следующих третьих лиц — обработчиков на территории Российской Федерации:

• ЮKassa (АО «НКО ЮМани», Россия) — обработка платежей, хранение платёжных реквизитов;
• SMS.RU (ООО «СМС-Сервис», Россия) — отправка SMS-сообщений с кодами подтверждения;
• AppMetrica (АО «Яндекс», Россия) — аналитика использования приложения в обезличенной форме (только при наличии согласия Пользователя на использование аналитических cookie);
• Timeweb Cloud (ООО «Таймвэб», Россия) — хостинг веб-серверов сайта;
• RuStore (ООО «Электронные платформы», Россия) — обеспечение распространения мобильного приложения для Android.

Все указанные третьи лица обязаны обеспечивать конфиденциальность и безопасность персональных данных в соответствии с законодательством РФ.

8. Трансграничная передача персональных данных

8.1. DeepSeek (Китайская Народная Республика) — НЕ является передачей персональных данных

Для генерации персонализированных рецептурных рекомендаций Оператор использует сервис DeepSeek API (Hangzhou DeepSeek Artificial Intelligence Co., Ltd., КНР). Данные передаются в обезличенном виде:

• вместо имени Пользователя и членов семьи передаются внутренние идентификаторы (UUID);
• контактные данные (email, телефон) не передаются;
• аллергии передаются в виде нейтральных тегов (например, «gluten-free», «dairy-free») без привязки к личности;
• диетические предпочтения передаются в обобщённой форме без религиозной коннотации.

В соответствии с Приказом Роскомнадзора от 19.06.2025 № 140 правильно обезличенные данные не являются персональными данными, и их трансграничная передача не подпадает под требования ст. 12 152-ФЗ.

8.2. Telegram Messenger LLP (Великобритания)

При использовании Пользователем функции авторизации через Telegram Mini App или получения уведомлений через Telegram-бота осуществляется трансграничная передача персональных данных в Telegram Messenger LLP (Великобритания).

Великобритания включена в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных (Приказ Роскомнадзора от 05.08.2022 № 128). Передача осуществляется на основании уведомления Роскомнадзора в соответствии со ст. 12 Федерального закона № 152-ФЗ.

Категории передаваемых данных: Telegram user_id, имя пользователя в Telegram, сообщения, направляемые Пользователю.

Пользователь вправе отказаться от использования Telegram Mini App и связки с Telegram-ботом — в этом случае его данные в Telegram передаваться не будут.

8.3. Cloudflare, Inc. (США) — DNS-инфраструктура

Cloudflare используется исключительно как поставщик DNS-инфраструктуры для домена recipt.hamduh.su. Режим прокси Cloudflare отключён («серое облако»), в связи с чем пользовательский трафик и персональные данные через серверы Cloudflare не проходят.

Cloudflare имеет доступ только к самому факту DNS-запроса и IP-адресу DNS-резолвера (например, серверов Google, Yandex, провайдеров связи), но не к IP-адресу конечного Пользователя или содержимому его взаимодействия с Сервисом. Передача персональных данных Пользователей в Cloudflare не осуществляется.

8.4. Иная трансграничная передача не осуществляется

Трансграничная передача персональных данных в иные государства, не указанные в настоящем разделе, не осуществляется.

9. Действия при инцидентах безопасности

В соответствии с Федеральным законом № 420-ФЗ от 30.11.2024 при выявлении несанкционированного доступа к персональным данным или иного инцидента безопасности Оператор обязуется:

• В течение 24 часов — уведомить Роскомнадзор через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) или официальный портал Роскомнадзора;
• В течение 72 часов — направить результаты внутреннего расследования в Роскомнадзор;
• В течение 10 рабочих дней — уведомить пострадавших субъектов персональных данных по контактным данным, указанным при регистрации.

10. Права субъекта персональных данных

10.1. Пользователь имеет право:

• получать информацию о своих персональных данных, обрабатываемых Оператором;
• требовать уточнения, блокировки или уничтожения своих персональных данных в случае их неполноты, неточности или незаконного использования;
• отозвать ранее данное согласие на обработку персональных данных (включая отдельное согласие на обработку специальных категорий);
• обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке;
• требовать переноса своих данных в машиночитаемом формате.

10.2. Для реализации указанных прав Пользователь направляет соответствующий запрос на электронный адрес idriskaaa@gmail.com. Срок рассмотрения запроса — не более 30 (тридцати) календарных дней.

11. Безопасность персональных данных

11.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

11.2. Меры защиты включают:

• передачу данных по защищённым каналам связи (HTTPS, TLS 1.2+);
• хранение паролей в виде криптографических хэшей (bcrypt/argon2);
• разграничение доступа сотрудников и подрядчиков к данным по принципу минимальных привилегий;
• регулярное резервное копирование данных;
• мониторинг событий информационной безопасности;
• отдельное хранение специальных категорий персональных данных (аллергии, диетические предпочтения) с дополнительным разграничением доступа;
• обезличивание данных перед передачей в ИИ-сервисы для генерации рекомендаций.

12. Cookies и аналогичные технологии

12.1. Сервис использует cookie-файлы и аналогичные технологии (localStorage, IndexedDB). Cookie разделены на категории:

• Технические (всегда активны) — необходимы для работы сайта: аутентификация, сохранение настроек интерфейса, безопасность. Без них Сервис не сможет функционировать;
• Аналитические (по согласию) — AppMetrica для обезличенной статистики использования. Активируются только после согласия Пользователя через cookie-баннер;
• Функциональные (по согласию) — сохранение пользовательских предпочтений и истории действий для улучшения UX.

12.2. При первом посещении Пользователь видит cookie-баннер с возможностью выбора: «Принять все» или «Только необходимые». Выбор Пользователя сохраняется на устройстве (localStorage) и может быть изменён в настройках браузера.

12.3. Пользователь может отключить cookie в настройках браузера. При этом часть функциональности Сервиса может стать недоступной.

13. Несовершеннолетние

13.1. Сервис не предназначен для самостоятельного использования лицами младше 14 лет.

13.2. При добавлении ребёнка младше 14 лет в семейный профиль Пользователь обязуется:

• иметь родительские права или быть законным представителем ребёнка;
• обрабатывать персональные данные ребёнка от своего имени;
• не передавать ребёнку самостоятельный доступ к Аккаунту.

13.3. Оператор обрабатывает только минимально необходимые данные о несовершеннолетних (условное имя, аллергии, диета) — для целей формирования рекомендаций.

14. Изменение Политики

14.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на сайте Сервиса.

14.2. В случае существенных изменений (расширение состава обрабатываемых данных, появление новых третьих лиц-обработчиков, изменение целей) Оператор уведомляет Пользователей по электронной почте или через push-уведомления в Сервисе не позднее, чем за 14 календарных дней до вступления изменений в силу.

15. Контактная информация

Уполномоченный орган по защите прав субъектов персональных данных: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Сайт: rkn.gov.ru

Связанные документы:

• Согласие на обработку персональных данных (отдельный документ)
• Договор-оферта