Политика конфиденциальности Hegai (мобильное приложение)

Последнее обновление: 24 мая 2026 г. Версия документа: 1.1 (Android + iOS).

Настоящая Политика описывает, какую информацию собирает мобильное приложение Hegai для Android (далее — «Приложение»), как эта информация используется, с кем делится и какие права есть у пользователя. Политика составлена в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» и рекомендациями GDPR (Regulation (EU) 2016/679).

1. Кто мы

Оператор персональных данных: Pavel Khegai, физическое лицо, действующее в качестве независимого разработчика. Адрес: jl padang kartika 3, Denpasar 80117, Republic of Indonesia.

Контакт для обращений по персональным данным (DSR): support@hegai.net (резервный адрес: info@heg.ai).

Веб-сайт: https://hegai.net Мобильное приложение Android: пакет net.hegai.android. Мобильное приложение iOS: bundle com.pavelhegai.hegassenger.

2. Какие данные мы собираем

2.1. Данные, которые вы предоставляете нам

Email — для регистрации, входа в аккаунт и уведомлений.
Имя, фамилия, фото профиля — заполняются в профиле.
Дополнительные данные профиля (город, компания, индустрия, интересы, короткая биография) — заполняются по желанию.
Номер телефона — опциональное поле в профиле.
Сообщения в чатах, группах, комментариях, опросах, чек-листах.
Голосовые сообщения и записи общения с AI-ассистентом.
Фото, видео, документы, которые вы прикрепляете к сообщениям или загружаете как аватар.
Связанный Telegram-аккаунт — если вы пользуетесь входом через Telegram, мы получаем Telegram user ID и имя пользователя.

2.2. Данные, которые собираются автоматически

Токен Firebase Cloud Messaging (FCM) — для доставки push-уведомлений.
Метаданные использования приложения (какие события вы отметили, какое видео в медиатеке смотрели, с кем переписываетесь) — для работы функций самого приложения.
Аналитика использования через Yandex AppMetrica — обезличенные события (запуски, экраны, длительность сессий), идентификатор инсталляции, модель устройства, версия ОС, язык интерфейса. Мы используем эти данные только для отладки и улучшения продукта.
Минимальные логи запросов на стороне сервера (IP, время, статус ответа) — для обеспечения безопасности и отладки.

Мы не собираем: геолокацию, данные о здоровье, историю веб-браузера, календарь. Приложение не использует сторонние рекламные SDK и не передаёт данные рекламным партнёрам.

Что касается контактов из адресной книги — см. отдельный раздел 2.3 ниже. Эта функция строго опциональна и требует вашего явного согласия.

2.3. Сопоставление контактов из адресной книги (только iOS, опционально)

Эта функция работает только если вы её явно включили в настройках приложения и подтвердили системный запрос iOS на доступ к контактам. По умолчанию функция выключена; отказ не влияет на работу остальных функций приложения.

Что именно происходит:

Хэширование выполняется на устройстве. Приложение приводит каждый номер из адресной книги к международному формату E.164 (например, +79991234567) и вычисляет от него SHA-256 хэш. Это односторонняя криптографическая функция: восстановить номер из хэша невозможно.
На сервер отправляются только хэши. Сами номера телефонов, имена контактов и любые другие поля адресной книги никогда не покидают ваше устройство и не передаются на серверы Hegai или третьим лицам.
Сервер сравнивает полученные хэши с хэшами номеров телефонов зарегистрированных пользователей Hegai. Если совпадение найдено, мы сообщаем вам, что этот контакт уже в сообществе (показываем его профиль резидента).
Что мы сохраняем: только хэши, привязанные к вашему user_id, и факт совпадения с тем или иным резидентом. Мы не сохраняем:
- номера телефонов других людей;
- имена контактов из вашей адресной книги (приложение не отправляет их на сервер — мы не знаем, как вы записали контакт в телефоне);
- чьи бы то ни было контакты, принадлежащие пользователям, которые сами не зарегистрированы в Hegai.
Зачем это нужно: (а) показать вам, кто из ваших знакомых уже в Hegai, чтобы упростить нетворкинг внутри сообщества; (б) улучшить рекомендации smart-intros (если двое людей знают друг друга вне Hegai, это сильный сигнал для предложения знакомства).

Сроки хранения и удаление:

Хэши удаляются автоматически при выходе из аккаунта.
Хэши удаляются при удалении аккаунта.
В любой момент вы можете выключить функцию в настройках приложения («Контакты → Не синхронизировать») — все ранее загруженные хэши будут удалены немедленно.
Также доступен явный запрос на удаление через DELETE /api/community/contacts (кнопка «Удалить мои контакты» в настройках приложения).

Правовое основание: ваше явное согласие (ст. 6 ФЗ-152 п. 1.1, GDPR Art. 6(1)(a)). Согласие даётся отдельным переключателем в настройках приложения и может быть отозвано в любой момент тем же переключателем.

3. Цели и правовые основания обработки

Цель	Какие данные	Правовое основание
Регистрация и аутентификация	Email, пароль, Telegram ID	Исполнение договора (условия использования); ст. 6 ФЗ-152 п. 5
Работа функций сообщества (чаты, события, резиденты)	Профиль, сообщения, вложения	Исполнение договора
Push-уведомления	FCM-токен	Согласие пользователя (разрешение `POST_NOTIFICATIONS`)
Голосовой AI-ассистент	Аудио-стрим, текст запроса	Согласие пользователя
Безопасность, защита от злоупотреблений	Логи запросов, IP	Законные интересы оператора
Связь с пользователем (служебные письма)	Email	Исполнение договора
Сопоставление контактов (только при включении функции)	SHA-256 хэши номеров из адресной книги	Согласие пользователя (ст. 6 ФЗ-152 п. 1.1, GDPR Art. 6(1)(a))

4. Как долго мы храним данные

Аккаунт и связанные данные — пока аккаунт активен. После запроса на удаление — в течение 30 дней.
Сообщения в чатах — до удаления пользователем или до закрытия сообщества. Локальный кэш сообщений на устройстве очищается при выходе из аккаунта и при удалении приложения.
Хэши контактов из адресной книги — пока активна функция сопоставления и пользователь вошёл в аккаунт. Удаляются мгновенно при выходе из аккаунта, отключении функции или удалении аккаунта.
Логи запросов и техническая телеметрия — не более 90 дней.
Резервные копии — до 30 дней с момента создания.

5. Где хранятся и обрабатываются данные

Основная инфраструктура расположена на серверах web.hegai.net. Сервисная инфраструктура и резервные копии могут быть размещены в дата-центре за пределами страны проживания пользователя; конкретное местоположение может меняться при смене хостинг-провайдера. Сетевой обмен между приложением и сервером всегда осуществляется по защищённому каналу (TLS 1.2+).

Сервисы третьих лиц, которые получают часть данных:

Google Firebase Cloud Messaging — FCM-токен и тело push-уведомления, чтобы доставить его на устройство. Политика: https://firebase.google.com/support/privacy
Yandex AppMetrica — обезличенные данные об использовании приложения (события, продолжительность сессий, идентификатор инсталляции, модель устройства, версия ОС). Используется для отладки и улучшения продукта. Политика: https://yandex.com/legal/appmetrica_agreement
Telegram Bot API — если вы вошли через Telegram; передаётся ваш Telegram user ID, username. Политика: https://telegram.org/privacy

Других третьих лиц, получающих ваши персональные данные, нет.

6. Трансграничная передача данных

Оператор и инфраструктура web.hegai.net расположены за пределами Российской Федерации, поэтому обработка персональных данных пользователей из РФ может осуществляться в иной юрисдикции. Кроме того, данные передаются указанным выше сервисам третьих лиц (Google, Yandex, Telegram), которые обрабатывают их в собственной инфраструктуре в соответствии со своими политиками.

Используя приложение и принимая настоящую Политику, вы предоставляете согласие на трансграничную передачу ваших персональных данных, необходимую для работы приложения. Согласие может быть отозвано путём удаления аккаунта (см. раздел 8).

7. Безопасность

Все сетевые запросы идут по HTTPS (TLS 1.2+).
Пароли и токены хранятся в EncryptedSharedPreferences с ключом в Android Keystore.
Конфиденциальные сообщения шифруются на клиенте (AES-GCM) до отправки на сервер.
Доступ сотрудников к продакшену ограничен, все административные действия логируются.

Несмотря на принимаемые меры, абсолютной безопасности в интернете не существует. Если вы обнаружили утечку или уязвимость, сообщите нам по адресу support@hegai.net.

8. Ваши права

В соответствии с ФЗ-152 и GDPR у вас есть право:

получить доступ к вашим персональным данным и их копию;
требовать исправления неточных или неполных данных;
требовать удаления данных («право на забвение»);
требовать ограничения обработки;
отозвать согласие на обработку, если оно было основанием;
получить данные в машиночитаемом формате (портируемость);
подать жалобу в надзорный орган (в РФ — Роскомнадзор; в ЕС — местный DPA).

Чтобы воспользоваться любым из этих прав, напишите на support@hegai.net с темой [DSR]. Мы ответим в течение 30 дней.

9. Дети

Приложение не предназначено для лиц младше 16 лет. Мы осознанно не собираем данные детей. Если вы узнали, что данные ребёнка попали к нам, напишите на support@hegai.net — мы удалим их.

10. Cookies и аналогичные технологии

Мобильное приложение не использует cookies. В приложении нет встроенного веб-браузера с трекингом.

11. Изменения Политики

Мы можем обновлять Политику. Актуальная версия всегда доступна на https://hegai.net/privacy. О существенных изменениях мы уведомим пользователей push-уведомлением или в приложении. Продолжая пользоваться приложением после обновления Политики, вы соглашаетесь с её новой редакцией.

12. Контакты

Email: support@hegai.net (резервный: info@heg.ai).
Почтовый адрес: jl padang kartika 3, Denpasar 80117, Republic of Indonesia.
Контактное лицо по вопросам персональных данных: Pavel Khegai (info@heg.ai). Назначение Data Protection Officer в значении ст. 37 GDPR не требуется, поскольку оператор не подпадает под обязательные критерии (масштабный систематический мониторинг, обработка специальных категорий данных в крупном объёме, государственный орган).