Политика обработки персональных данных

Мобильное приложение «Супер Списки»

Дата публикации: 18 мая 2026 г. Дата последнего обновления: 18 мая 2026 г.

1. Общие положения

Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые оператором.

Оператор персональных данных (далее — «Оператор»):

• Царегородцева Елена Анатольевна
• ИНН: 860222900940
• Статус: плательщик налога на профессиональный доход (самозанятая)
• Место нахождения: Российская Федерация, г. Санкт-Петербург
• Адрес электронной почты для обращений: superspiski@yandex.ru
• Реестровый номер в реестре операторов, осуществляющих обработку персональных данных: [РЕГ_НОМЕР_РКН] (присвоен Роскомнадзором [ДАТА_РЕГ_РКН])

Оператор обрабатывает персональные данные пользователей мобильного приложения «Супер Списки» (далее — «Приложение»).

Использование Приложения означает согласие пользователя с настоящей Политикой и условиями обработки персональных данных, описанными в ней. В случае несогласия с условиями Политики пользователь должен прекратить использование Приложения.

2. Определения

• Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн).
• Оператор — лицо, организующее и осуществляющее обработку персональных данных.
• Обработка персональных данных — любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
• Пользователь — физическое лицо, использующее Приложение.

3. Категории субъектов и обрабатываемых персональных данных

Оператор обрабатывает персональные данные следующих категорий субъектов:

• Пользователи мобильного приложения «Супер Списки» (зарегистрированные лица);
• Лица, приглашённые пользователями Приложения к совместному использованию списков покупок (адреса электронной почты приглашаемых лиц).

Обрабатываются следующие категории персональных данных:

1. Идентификационные данные пользователей: - имя пользователя (отображаемое имя); - адрес электронной почты; - идентификатор Yandex ID (при авторизации через сервис Яндекса).

2. Учётные данные пользователей: - хэш пароля (только при регистрации через email; исходный пароль Оператору не известен и не хранится); - токены сессии (JWT access и refresh).

3. Пользовательский контент: - изображение профиля (аватар), загружаемое пользователем; - содержимое создаваемых списков покупок (название, состав, заметки); - фотографии товаров, добавляемые пользователем самостоятельно; - данные карт лояльности (название магазина, штрихкод/QR-код), вводимые пользователем самостоятельно.

4. Технические данные: - идентификатор устройства; - токен для push-уведомлений (FCM/RuStore Push); - дата и время действий в Приложении.

5. Данные о приглашениях: - адрес электронной почты приглашаемого лица (вводится пользователем-инициатором приглашения в случае отправки приглашения по email); - идентификатор приглашения (invitation token), включаемый в ссылку-приглашение. Адрес электронной почты приглашаемого лица хранится в течение срока действия приглашения и удаляется автоматически по истечении срока действия приглашения (не более 14 дней с момента создания), либо после его принятия.

6. Данные статистики использования (аналитика): - сведения о действиях в Приложении (открываемые экраны, наступившие события) в обезличенном виде; - технические данные устройства: модель, версия операционной системы, версия Приложения, идентификатор установки, язык интерфейса, оператор связи, тип соединения; - приблизительный регион определения по IP-адресу (без точных географических координат). Указанные данные обрабатываются с использованием сервиса аналитики AppMetrica (см. раздел 7) в обезличенном виде и не используются для идентификации конкретного пользователя. Сбор статистики осуществляется только при наличии согласия пользователя, предоставленного в Приложении, и может быть отключён пользователем в любой момент в настройках Приложения.

Оператор не обрабатывает специальные категории персональных данных (раса, политические взгляды, состояние здоровья, биометрические данные).

Оператор не запрашивает и не обрабатывает данные несовершеннолетних младше 14 лет. Использование Приложения лицами младше 14 лет не предполагается.

4. Цели обработки персональных данных

Персональные данные обрабатываются исключительно в следующих целях:

1. Регистрация и идентификация пользователя в Приложении.
2. Обеспечение функциональности Приложения: ведение списков покупок, совместный доступ к спискам, синхронизация данных между устройствами.
3. Организация совместного доступа к спискам покупок: создание и доставка приглашений по электронной почте или через ссылку, добавление приглашённых лиц в список после принятия ими приглашения.
4. Связь с пользователем по вопросам функционирования Приложения и ответы на обращения.
5. Отправка push-уведомлений по событиям в Приложении (например, изменение в общем списке другим участником).
6. Анализ использования Приложения и его аудитории в обезличенном виде в целях улучшения качества сервиса (аналитика).
7. Исполнение требований законодательства Российской Федерации.

Обработка персональных данных в иных целях не осуществляется.

5. Правовые основания обработки

Обработка персональных данных осуществляется на основании:

• согласия пользователя на обработку персональных данных, выражаемого путём установки и регистрации в Приложении;
• Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Конституции Российской Федерации.

6. Способы и сроки обработки

Обработка персональных данных осуществляется с использованием средств автоматизации.

Хранение персональных данных осуществляется в облачной инфраструктуре Yandex Cloud на серверах, расположенных на территории Российской Федерации (Yandex Database Serverless, Yandex Object Storage в дата-центрах Yandex Cloud в Рязанской, Московской и Калужской областях).

Персональные данные обрабатываются:

• в течение срока использования Приложения пользователем;
• до момента удаления учётной записи пользователем или Оператором.

После удаления учётной записи персональные данные пользователя удаляются из систем Оператора в срок не более 30 дней, за исключением информации, хранение которой требуется по закону.

7. Передача персональных данных третьим лицам

Оператор не передаёт персональные данные третьим лицам, за исключением случаев:

• получения согласия пользователя;
• предоставления данных уполномоченным государственным органам по основаниям, предусмотренным законодательством Российской Федерации;
• использования сервисов инфраструктурных провайдеров, действующих на условиях обработки данных по поручению Оператора:
• ООО «Яндекс.Облако» — облачная инфраструктура (вычислительные ресурсы, базы данных, хранилище файлов, секретов и логов);
• Yandex ID (ООО «Яндекс») — авторизация пользователей через OAuth 2.0;
• Google LLC (Firebase Cloud Messaging) — доставка push-уведомлений на устройства Android (передаётся только токен устройства и текст уведомления);
• VK / RuStore (АО «РуСтор») — альтернативная доставка push-уведомлений;
• ООО «Яндекс» (AppMetrica) — сбор и обработка обезличенной статистики использования Приложения по поручению Оператора; данные хранятся на территории Российской Федерации.

Трансграничная передача персональных данных не осуществляется. Все персональные данные пользователей хранятся и обрабатываются на территории Российской Федерации.

Передача токена устройства в сервис Firebase Cloud Messaging компании Google LLC производится для технической доставки push-уведомлений и не сопровождается передачей содержательной информации о пользователе.

Резервное копирование данных Приложения может выполняться штатным механизмом операционной системы устройства (Android Auto Backup) в личное облачное хранилище пользователя, привязанное к его учётной записи. Такое копирование осуществляется операционной системой устройства, а не Оператором; токены доступа и иные конфиденциальные данные из резервного копирования исключены.

7.1. Совместный доступ к спискам покупок

Приложение предоставляет функциональность совместного использования списков покупок несколькими пользователями. Эта функциональность работает следующим образом:

1. Создание приглашения. Владелец списка может создать приглашение двумя способами: - указать адрес электронной почты приглашаемого лица — в этом случае Оператор отправляет приглашение на указанный адрес от своего имени; - получить ссылку-приглашение (deep-link) и самостоятельно передать её любому лицу через выбранный пользователем канал связи (мессенджеры, SMS, электронная почта и т. п.) — в этом случае Оператор не имеет сведений о получателе приглашения.

2. Хранение данных приглашения. Идентификатор приглашения и адрес электронной почты приглашаемого лица (если он был указан) хранятся в системах Оператора до момента принятия приглашения или истечения его срока действия (не более 14 дней с момента создания), после чего удаляются автоматически.

3. Принятие приглашения. После принятия приглашения приглашённое лицо становится участником списка и получает доступ к содержимому списка: названию списка, перечню товаров, заметкам, фотографиям товаров.

4. Видимость данных между участниками списка. Участникам общего списка отображаются: - содержимое списка и все вносимые изменения; - имя пользователя и аватар каждого участника списка (но не его адрес электронной почты); - сведения о том, какой участник внёс последнее изменение в товар.

5. Управление участниками. Владелец списка может в любой момент удалить любого участника из списка, после чего удалённый участник теряет доступ к содержимому списка.

6. Выход из списка. Любой участник может самостоятельно выйти из списка, после чего теряет доступ к его содержимому.

Пользователь, создающий приглашение по электронной почте, подтверждает, что он имеет правовые основания для передачи Оператору адреса электронной почты приглашаемого лица в целях направления ему приглашения.

8. Меры по обеспечению безопасности персональных данных

Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий.

К числу таких мер относятся:

1. Назначение ответственного за организацию обработки персональных данных (функции исполняет Оператор лично).
2. Утверждение настоящей Политики и её публикация в общедоступном виде.
3. Передача персональных данных по защищённым каналам связи (TLS/HTTPS).
4. Хранение паролей пользователей в виде криптографических хэшей (алгоритм bcrypt).
5. Использование защищённого хранилища секретов (Yandex Lockbox) для ключей доступа и иных конфиденциальных параметров системы.
6. Разграничение прав доступа: пользователь имеет доступ только к собственным данным и спискам, в которых является участником.
7. Размещение баз данных и серверной инфраструктуры в дата-центрах Yandex Cloud на территории Российской Федерации, аттестованных по требованиям ФСТЭК России.
8. Регулярное резервное копирование данных средствами облачного провайдера.
9. Своевременное обновление программного обеспечения серверной части для устранения известных уязвимостей.
10. Журналирование событий доступа к информационной системе.

Шифровальные (криптографические) средства, подлежащие сертификации ФСБ России (СКЗИ), при обработке персональных данных не применяются.

9. Права субъектов персональных данных

Пользователь имеет право:

1. Получать информацию о наличии у Оператора своих персональных данных, об источнике их получения, о целях и сроках обработки.
2. Требовать уточнения, блокирования или уничтожения своих персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3. Отозвать своё согласие на обработку персональных данных в любой момент.
4. Удалить свою учётную запись и связанные с ней данные.
5. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

Для реализации указанных прав пользователь может направить обращение в свободной форме на адрес электронной почты: superspiski@yandex.ru.

Оператор отвечает на обращение в срок не более 30 дней с момента его получения.

10. Обработка cookies и аналогичных технологий

В мобильном приложении «Супер Списки» технология cookies не применяется. Для хранения сессионных данных используются механизмы операционной системы устройства (защищённое хранилище ключей Android Keystore / EncryptedSharedPreferences). Эти данные хранятся локально на устройстве пользователя и не передаются третьим лицам.

11. Изменение Политики

Оператор оставляет за собой право изменять настоящую Политику. Актуальная версия Политики всегда доступна по адресу:

https://superspiski.ru/privacy.html.html

При существенных изменениях, затрагивающих права пользователей, Оператор уведомляет пользователей через Приложение.

12. Контактная информация

По всем вопросам, связанным с обработкой персональных данных, можно обратиться:

• по электронной почте: superspiski@yandex.ru