Политика обработки персональных данных

Версия prod-v1.0 (consent_version=prod-v1.0) · ред. 2026-05-26 (уточнение § 5 и § 8 — обработка данных при расставании пары; основание обработки не изменилось, повторное согласие не требуется) · действует с момента публичного запуска dvoe.pro · 152-ФЗ §9 ч. 6.

1. Какие данные собираем

• Telegram-идентификатор (user id, имя, username, language_code) — из подписанного Telegram initData.
• Контент пары: списки покупок, подписки, бюджет, планы, рецепты — то, что вы вводите вручную.
• Технические данные: IP, тип устройства, ошибки — анонимизированно, для отладки.

2. Зачем собираем

• Аутентификация через Telegram.
• Синхронизация общего пространства между двумя участниками пары.
• Push-уведомления о смене статуса элементов списка / подписки.
• Защита от злоупотреблений (rate-limit, мониторинг).

3. Где храним

Все персональные данные граждан РФ обрабатываются и хранятся на серверах в РФ (Yandex Cloud, регион ru-central1). Резервные копии — там же, на 14 дней. Аудит-логи действий с ПД (вход, экспорт, удаление, изменение состава пары) храним 3 года (1095 дней) в соответствии со ст. 22 152-ФЗ — в выделенном S3-бакете dvoe-prod-audit-logs с жизненным циклом автоматического истечения, изолированном от dev-контура.

Третьим лицам передаём данные только в минимально необходимом объёме: Telegram — как канал доставки уведомлений.

4. Явное согласие на обработку ПД (152-ФЗ ст. 9)

Перед первым входом в сервис вы видите экран приветствия с краткой выжимкой из настоящей Политики и явной кнопкой «Принять». Нажатие этой кнопки фиксируется в системе как явное согласие на обработку персональных данных в соответствии с ч. 1 ст. 9 Федерального закона № 152-ФЗ. Согласие записывается в таблицу consent_records со штампом времени (UTC), consent_version='prod-v1.0' и привязкой к вашему Telegram-идентификатору. Контур обработки — prod (живой контур dvoe.pro), изолированный от dev-контура.

Если вы не нажали «Принять» — согласие не зафиксировано, и любая обработка ПД, кроме минимальной аутентификации Telegram WebApp, не производится. Окно согласия удерживается до получения явного opt-in (инвариант: не существует «отклонённого без согласия» состояния — либо вы согласились и продолжаете, либо вы вышли).

Согласие можно отозвать в любой момент через приложение (Настройки → Удалить аккаунт) или Telegram-бота (команда /delete_my_data). Отзыв согласия равнозначен полному удалению аккаунта и связанного контента (см. § 5).

5. Ваши права (152-ФЗ ст. 14, ст. 16)

• Экспорт — выгрузка всех ваших данных в JSON-архив, до 3 рабочих дней. Через приложение: Настройки → «Скачать архив (152-ФЗ)». Готовый архив приходит ссылкой в чат с ботом на 24 часа.
• Удаление — полное стирание вашего аккаунта и связанного контента, до 7 рабочих дней. Через приложение: Настройки → Удалить аккаунт. При удалении живые связи с аккаунтом партнёра разрываются; у партнёра остаётся его независимая копия общих данных со снимком вашего имени в атрибуции (см. § 8).
• Отзыв согласия — равнозначен удалению аккаунта (см. выше).

Эти же действия доступны через Telegram-бота. Откройте чат с @getdvoe_bot и отправьте команду:

• /export_my_data — получить архив с вашими данными.
• /delete_my_data — удалить аккаунт и связанный контент.

6. Безопасность

Передача — только по HTTPS (TLS 1.3). Авторизация — JWT с коротким временем жизни (15 минут access-токен, HttpOnly refresh-cookie). Пароли мы не храним — авторизация через Telegram. Кросс-контурная изоляция: запросы от prod-бэкенда не видят строки с contour='dev' и наоборот (DSR-эндпоинты возвращают 404 на чужой контур без раскрытия существования записи).

7. Двойное согласие на «честные цены»

Опциональная функция «честные цены» (подсказки реальной стоимости подписок с учётом частоты использования) включается только по двойному opt-in: каждый участник пары даёт явное согласие в Настройках. Без согласия функция не запускается и данные о потреблении не агрегируются.

8. После расставания пары

При роспуске пары («Расстаться с половинкой») данные не теряются: каждый участник получает независимую копию общих данных (списки, расходы, подписки и их история) в своём личном пространстве. Живые связи с аккаунтом бывшего партнёра разрываются — его Telegram-идентификатор и связь аккаунтов удаляются.

Для читаемости вашей финансовой истории сохраняется снимок имени бывшего партнёра в атрибуции платежей (например, «Платил: Аня»). Это запись о вашем расходе или подписке, а не данные бывшего партнёра. Правовое основание — законный интерес оператора и пользователя (152-ФЗ ст. 6 ч. 1 п. 5): сохранение точной атрибуции в личной финансовой истории. Применяется минимизация: хранится только имя (без фамилии, Telegram-идентификатора, номеров телефона или карты), цифровые последовательности вырезаются, длина ограничена 100 символами.

Снимок имени сохраняется и после удаления аккаунта бывшего партнёра: его удаление (DSR) стирает его собственные копии данных, а ваши записи остаются вашими. Поведение зафиксировано в архитектурных решениях ADR-0009 и Phase 26 (pair-leave-data-fork).

← На главную