Политика конфиденциальности

Последнее обновление: 18 апреля 2026 г.

Настоящая Политика конфиденциальности описывает, как Egor Diachenko («мы», «разработчик») собирает, использует и защищает информацию в связи с использованием мобильного и настольного приложения «Зачем платить?!» (Why Pay?!) («Приложение») и сайта whypay.ru («Сайт»).

1. Какие данные мы собираем

При использовании без регистрации (гостевой режим) все данные — задачи, записи, категории и настройки — хранятся только на вашем устройстве. Мы не собираем и не передаём никаких персональных данных.

При создании аккаунта мы сохраняем на наших серверах:

• Логин (имя пользователя), который вы выбираете
• Адрес электронной почты (по желанию, используется для восстановления пароля и подтверждения аккаунта)
• Пароль (хранится только в виде bcrypt-хеша с коэффициентом сложности 10 — открытый пароль мы никогда не сохраняем и к нему не имеем доступа)
• Ваши задачи, записи, категории и настройки приложения
• Даты и время создания аккаунта и обновлений данных
• Токен push-уведомлений вашего устройства (если вы включили уведомления)
• Серверные лог-файлы, которые могут содержать ваш IP-адрес и временны́е отметки запросов (хранятся до 30 дней, используются для безопасности и отладки)

2. Как мы используем ваши данные

• Для предоставления доступа к вашим данным и их синхронизации между устройствами
• Для отправки push-уведомлений и писем восстановления пароля по вашему запросу
• Для защиты сервиса от злоупотреблений, мошенничества и несанкционированного доступа
• Для улучшения Приложения на основе обезличенной статистики использования

Мы не продаём, не сдаём в аренду и не передаём ваши персональные данные третьим лицам в маркетинговых целях. Мы не используем ваши данные для обучения моделей ИИ и не используем их для таргетированной рекламы.

3. Хранение, безопасность и международная передача данных

Где хранятся данные. Данные аккаунта хранятся на серверах, физически расположенных в Софии, Болгария. Болгария — государство-член Европейского Союза, поэтому обработка данных там подпадает под действие Общего регламента ЕС по защите данных (GDPR). Если вы обращаетесь к Приложению из-за пределов ЕС (в том числе из США или России), создавая аккаунт, вы соглашаетесь на передачу ваших персональных данных в Болгарию, их хранение и обработку там.

Применяемые меры безопасности:

• Шифрование при передаче: весь обмен между Приложением/Сайтом и нашими серверами защищён TLS (HTTPS) с сертификатами Let's Encrypt и современными шифронаборами (TLS 1.2 и выше).
• Хранение паролей: пароли хэшируются алгоритмом bcrypt с коэффициентом сложности 10. Открытый пароль никогда не сохраняется и не записывается в логи.
• Контроль доступа: доступ к серверу ограничен разработчиком и осуществляется по SSH с аутентификацией по ключу и паролю; доступ к базе данных ограничен приложением на том же хосте.
• Изоляция: данные аккаунтов хранятся в реляционной базе на выделенном виртуальном сервере. Файлы БД располагаются в файловой системе сервера; в настоящее время мы не применяем полное шифрование диска, поэтому основной защитой является физический и сетевой контроль доступа.
• Резервные копии: мы можем создавать краткосрочные бэкапы для восстановления после сбоев; они хранятся на том же сервере или в доверенной инфраструктуре в пределах ЕС и подчиняются тем же правилам хранения и удаления, что и «живые» данные.

Ни один способ передачи или хранения данных не обеспечивает 100% безопасности. Мы делаем всё возможное для защиты ваших данных, но не можем гарантировать абсолютной безопасности — вы пользуетесь Приложением на свой риск.

4. Какие «чувствительные» данные мы НЕ собираем

Мы не собираем, не обрабатываем и не храним следующие категории «чувствительной персональной информации» (sensitive personal information) в понимании California Privacy Rights Act (CPRA) и аналогичных законов штатов США:

• Государственные идентификаторы (SSN, водительское удостоверение, паспорт и т. п.)
• Точную геолокацию (точнее уровня города)
• Расовое или этническое происхождение, религиозные убеждения, членство в профсоюзах
• Медицинские, биометрические или генетические данные
• Данные финансовых счетов, платёжных карт или учётные данные
• Содержимое вашей переписки — писем, сообщений или телефонных разговоров
• Сексуальную ориентацию или сведения о половой жизни

Само Приложение не запрашивает доступ к микрофону, камере, контактам, фотографиям, точной геолокации или календарю.

5. Файлы cookie и аналитика

Наш Сайт использует Яндекс.Метрику для сбора обезличенной статистики посещений. Яндекс.Метрика использует файлы cookie для анализа поведения пользователей на Сайте. Эти данные не содержат персональной информации и используются исключительно для улучшения Сайта.

Вы можете отключить cookie в настройках браузера — на работу Приложения это не повлияет. Если ваш браузер отправляет сигнал Global Privacy Control (GPC) или заголовок «Do Not Track», мы рассматриваем это как запрос на отказ от передачи персональной информации. Поскольку мы изначально не продаём и не передаём персональные данные для рекламы, этот сигнал ничего не меняет в обработке, но мы уважаем его как выражение вашего выбора.

6. Сторонние сервисы

Приложение и Сайт используют следующие сторонние сервисы:

• Apple Push Notification Service (APNs) и Google Firebase Cloud Messaging (FCM) — доставка push-уведомлений. Получают токен устройства и метаданные полезной нагрузки уведомления, но не учётные данные аккаунта.
• Let's Encrypt — выпускает TLS-сертификат для whypay.ru.
• Яндекс.Метрика — аналитика посещений Сайта (cookies).
• Google Fonts — шрифты Сайта (файлы шрифтов могут загружаться с CDN Google, который видит ваш IP-адрес).
• Apple / Google / RuStore — магазины приложений, из которых вы устанавливаете Приложение, работают по собственным политикам конфиденциальности и могут собирать телеметрию установок и использования вне нашего контроля.

7. Срок хранения данных

Мы храним данные вашего аккаунта, пока аккаунт активен.

• Неактивные аккаунты: аккаунт считается неактивным после 24 месяцев без входа. Такие аккаунты вместе с данными могут быть удалены по истечении этого срока. Перед удалением мы постараемся уведомить вас по указанному при регистрации email, если он задан.
• Самостоятельное удаление: вы можете удалить аккаунт в любой момент в разделе «Профиль» Приложения. После удаления все персональные данные безвозвратно стираются с рабочих серверов в течение 30 дней, а из резервных копий — при следующей ротации (не позднее 60 дней). Подробные инструкции — на странице «Удаление аккаунта».
• Серверные логи: лог-файлы с IP-адресами хранятся до 30 дней.

8. Дети

Приложение не предназначено для детей до 13 лет. Мы не собираем намеренно персональные данные детей младше 13 лет — в соответствии с Children's Online Privacy Protection Act (COPPA) США. Если вы считаете, что ребёнок до 13 лет предоставил нам свои данные, напишите на info@whypay.ru — мы оперативно удалим их. Пользователям 13–16 лет на территории ЕС рекомендуется изучать эту Политику вместе с родителем или опекуном.

9. Ваши права

Независимо от страны проживания вы имеете право:

• Получить доступ к своим персональным данным
• Исправить неточные данные
• Запросить удаление своих данных
• Экспортировать свои данные в переносимом формате
• Возразить против определённых способов использования ваших данных

Права, специфичные для конкретных стран и штатов, описаны в разделах ниже.

10. Как подать запрос и как мы его проверяем

Отправьте запрос на info@whypay.ru с email-адреса, привязанного к аккаунту, указав, какое право вы хотите реализовать.

Верификация. Чтобы защитить ваш аккаунт от несанкционированного доступа или удаления, мы подтверждаем запросы одним из способов:

• Запрос отправлен с email-адреса, зарегистрированного в аккаунте, и дополнительно подтверждён переходом по одноразовой ссылке, которую мы пришлём в ответ; либо
• Вы входите в Приложение и отправляете запрос на удаление из раздела «Профиль», будучи авторизованным.

Если подтвердить запрос не удастся, мы сообщим вам, каких дополнительных сведений не хватает, или — если подтверждение невозможно — отклоним запрос. Мы не запрашиваем больше информации, чем разумно необходимо для подтверждения личности.

Уполномоченные представители (authorized agents). Законы Калифорнии и некоторых других штатов разрешают подавать запрос через уполномоченное лицо. Такому лицу необходимо предоставить подписанное вами письменное разрешение и, при необходимости, подтверждение регистрации в соответствующем органе штата. Мы всё же можем попросить вас подтвердить личность напрямую.

Сроки ответа. Мы отвечаем на подтверждённые запросы в течение 30 дней по GDPR и в течение 45 дней по законам штатов США (срок может быть продлён ещё на 45 дней с уведомлением там, где это разрешено). Первый запрос за каждые 12 месяцев рассматривается бесплатно.

Недискриминация. Мы не станем отказывать вам в обслуживании, менять цены или снижать качество сервиса из-за того, что вы воспользовались правом на конфиденциальность.

11. Для жителей Калифорнии (CCPA / CPRA)

Если вы проживаете в Калифорнии, California Consumer Privacy Act с поправками California Privacy Rights Act предоставляет вам дополнительные права. За последние 12 месяцев мы собирали следующие категории персональной информации, из следующих источников, для следующих целей и передавали только перечисленным получателям:

• Идентификаторы (логин, email, IP-адрес, push-токен устройства) — получены от вас при регистрации и использовании Приложения; используются для работы сервиса; передаются только инфраструктурным провайдерам (хостинг, APNs/FCM).
• Сведения об интернет- и сетевой активности (серверные логи, версия Приложения) — собираются автоматически; используются для безопасности и отладки; не передаются вовне.
• Пользовательский контент (задачи, записи, категории) — получены от вас; используются только для предоставления и синхронизации сервиса; не передаются.

За последние 12 месяцев мы не продавали и не «делились» для кросс-контекстной поведенческой рекламы никакой персональной информацией, а также не раскрывали чувствительной персональной информации (потому что не собираем её — см. §4).

Ваши права по CCPA/CPRA:

• Право знать, какие персональные данные мы собираем, используем, раскрываем и храним, и для каких целей
• Право на удаление имеющихся у нас персональных данных
• Право на исправление неточных персональных данных
• Право отказаться от продажи или «делёжки» персональных данных (у нас неактуально — мы не продаём и не делимся)
• Право ограничить использование чувствительной персональной информации (неактуально — мы её не собираем)
• Право на недискриминацию при реализации этих прав

Запросы подавайте, как описано в §10, или пишите на info@whypay.ru.

12. Законы о конфиденциальности других штатов США

Если вы проживаете в Вирджинии (VCDPA), Колорадо (CPA), Коннектикуте (CTDPA), Юте (UCPA), Техасе (TDPSA) или другом штате с комплексным законом о защите потребителей, вы обладаете правами, по сути аналогичными калифорнийским: доступ, исправление, удаление, переносимость персональных данных и отказ от таргетированной рекламы, продажи данных или определённого профилирования. Мы не занимаемся таргетированной рекламой, не продаём персональные данные и не применяем профилирование, влекущее юридические или сопоставимо значимые последствия.

Обжалование (appeal). В штатах, предусматривающих право на обжалование (в том числе Вирджиния, Колорадо, Коннектикут и Техас), если мы отклоним ваш запрос, вы можете обжаловать решение, ответив на наше письмо с темой «Privacy Request Appeal». Мы ответим в течение 60 дней. При отказе в удовлетворении жалобы вы можете обратиться к Генеральному прокурору вашего штата.

Запросы подавайте, как описано в §10.

13. Для пользователей из ЕС и Великобритании (GDPR / UK GDPR)

Если вы находитесь в Европейском Союзе, Европейской экономической зоне или в Великобритании, вы имеете права по GDPR (или UK GDPR):

• Право на доступ к своим данным
• Право на исправление неточных данных
• Право на удаление данных («право быть забытым»)
• Право на ограничение обработки
• Право на переносимость данных
• Право на возражение против обработки
• Право подать жалобу в надзорный орган (например, в Болгарскую комиссию по защите персональных данных, так как данные хранятся в Болгарии)

Правовыми основаниями обработки данных являются: ваше согласие (при создании аккаунта), исполнение договора (предоставление услуг Приложения) и наш законный интерес (защита сервиса от злоупотреблений).

14. Изменения политики

Мы можем периодически обновлять настоящую Политику. О существенных изменениях мы уведомим вас, обновив дату «Последнее обновление» вверху страницы, а там, где этого требует закон, — также через уведомление в Приложении или по email. Продолжение использования Приложения после вступления изменений в силу означает ваше согласие с обновлённой политикой.