Политика конфиденциальности — Mira

Дата вступления в силу: 23 апреля 2026 г. Последнее обновление: 3 мая 2026 г. Приложение: Mira — офлайн-дневник с AI (iOS) Идентификатор приложения: com.veilbytesoft.Mira Разработчик (Оператор персональных данных): Иван Ровков (физическое лицо, индивидуальный разработчик) Контакт: arbuzikmr@gmail.com

1. Введение

Настоящая Политика конфиденциальности («Политика») описывает, как Иван Ровков («я», «Разработчик», «Оператор») обрабатывает персональные данные в связи с использованием мобильного приложения Mira для iOS («Приложение», «Mira»).

Mira — это офлайн-дневник с AI-рефлексией. Приложение спроектировано так, чтобы содержимое вашего дневника — тексты записей, фотографии, оценки настроения, теги, эмбеддинги и AI-промпты — по умолчанию не покидало ваше устройство. У Разработчика нет собственного сервера, который принимал бы или хранил содержимое дневника. Мы физически не можем читать ваши записи.

Настоящая Политика составлена с учётом требований:

Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» («152-ФЗ»);
Общего регламента ЕС по защите данных 2016/679 («GDPR») и соответствующих актов Великобритании (UK GDPR, Data Protection Act 2018);
Калифорнийского закона о конфиденциальности потребителей (CCPA / CPRA);
Закона США о защите конфиденциальности детей в интернете (COPPA);
Рекомендаций Apple Inc. по подаче App Privacy Details в App Store Connect.

Если вы не согласны с условиями настоящей Политики — пожалуйста, не устанавливайте и не используйте Mira.

2. Оператор персональных данных и контактная информация

Оператором, ответственным за обработку персональных данных, связанных с Mira, является:

Иван Ровков (физическое лицо, индивидуальный разработчик; единственный разработчик Mira) Электронная почта: arbuzikmr@gmail.com

Для любых обращений, связанных с конфиденциальностью, в том числе для реализации прав, предусмотренных 152-ФЗ, GDPR, CCPA и другими применимыми законами, используйте указанный адрес электронной почты. Я отвечаю на обращения в установленные законом сроки (как правило — не более 30 дней по 152-ФЗ и GDPR, 45 дней по CCPA).

Поскольку Разработчик является физическим лицом и работает над проектом один, отдельный специалист по защите данных (DPO) не назначен; функции контактного лица по вопросам конфиденциальности выполняю лично я.

Пояснение по идентификатору com.veilbytesoft.Mira: «veilbytesoft» — это технический namespace, зарезервированный мной в App Store Connect и iCloud-инфраструктуре Apple. Это техническая строка, а не самостоятельное юридическое лицо. Единственным оператором ваших персональных данных являюсь я, Иван Ровков, как физическое лицо.

3. Сфера действия Политики

Настоящая Политика применяется к:

мобильному приложению Mira для iOS и всем его расширениям (виджеты на главном и заблокированном экране, App Intents, фоновые задачи);
любой диагностической телеметрии, которую Mira может передавать третьим лицам, перечисленным в Разделе 8;
любым опциональным функциям удалённого AI, которые пользователь явно активировал.

Настоящая Политика не распространяется на:

сторонние сервисы, к которым вы обращаетесь через Mira по собственному выбору (Anthropic, Apple iCloud/CloudKit, Google Firebase, Hugging Face) — обработка данных такими сервисами регулируется их собственными политиками, ссылки на которые приведены в Разделе 8;
данные, которые вы добровольно экспортируете и передаёте в другие приложения или лицам через системное меню «Поделиться».

4. Ключевые принципы конфиденциальности Mira

Для корректного прочтения Политики приводим ключевые принципы, заложенные в архитектуру Приложения:

Содержимое по умолчанию остаётся на устройстве. Тексты записей, фотографии, оценки настроения, теги и эмбеддинги обрабатываются локально на устройстве. Бесплатные пользователи получают AI-функции (Ask Mira, еженедельные рефлексии) через локальную языковую модель, которая работает полностью на iPhone — текст не покидает устройство.
Pro-AI проксируется, но не сохраняется. Если вы оформили подписку Mira Pro и используете Pro AI-функцию, текст вопроса и небольшая RAG-выборка из дневника отправляются через собственный Cloudflare Worker Mira в Anthropic Claude API. Мы не храним это содержимое на нашем сервере; Anthropic обрабатывает его согласно своим коммерческим API-условиям и не использует для обучения. См. Раздел 5.7 и Раздел 8.
Любая передача данных за пределы устройства — только по явному согласию пользователя. Синхронизация iCloud, Pro AI, аналитика и крашлитика либо отключены по умолчанию, либо требуют явного действия пользователя (оформление подписки, переключение в настройках, диалог согласия).
Минимизация. Мы обрабатываем только то, что строго необходимо для активированной пользователем функции.
Шифрование синхронизируемых данных. При включённой iCloud-синхронизации записи шифруются на устройстве симметричным ключом (ChaChaPoly-256) до того, как покинут устройство. Серверы CloudKit видят только шифротекст.
Контроль пользователя. Вы можете в любое время отключить телеметрию, отключить синхронизацию, отменить подписку и удалить записи — в Настройках или через App Store.

5. Категории обрабатываемых персональных данных

В данном разделе перечислены все категории персональных данных, которые Приложение в настоящее время обрабатывает или, согласно публично документированному roadmap, может обрабатывать в будущих версиях. Категории, не реализованные на дату выпуска версии, помечены как (планируется).

5.1. Содержимое дневника (обрабатывается исключительно на устройстве; Разработчику не передаётся)

Произвольный текст записей.
Заголовки / первая строка записи (если применимо).
Оценка настроения (целое число по шкале 1–5).
Пользовательские теги (строки в нижнем регистре).
Временные метки (createdAt, updatedAt).
Фотографии, прикреплённые к записям (до 3 на запись; хранятся в Documents-контейнере приложения).
(планируется) Голосовые записи и их транскрипция — если соответствующая функция будет выпущена в будущих версиях.
Сгенерированные AI инсайты, еженедельные рефлексии и история диалога «Ask Mira», построенные на основе ваших записей.
Векторные эмбеддинги ваших записей (512-мерные векторы с плавающей точкой, формируемые на устройстве) — используются для семантического поиска.

Места хранения: локальная база данных SwiftData на устройстве; опционально — зашифрованные копии в вашем личном iCloud (см. 5.6).

Правовые основания (ст. 6 ч. 1 152-ФЗ / Art. 6 GDPR):

по 152-ФЗ — согласие субъекта (ст. 6 ч. 1 п. 1) и исполнение договора о предоставлении функциональности Приложения (ст. 6 ч. 1 п. 5);
по GDPR — Art. 6(1)(b). Оценки настроения могут считаться «данными о здоровье» в значении GDPR Art. 9; поскольку такая обработка выполняется исключительно локально, она основана на явном согласии пользователя (Art. 9(2)(a)). По 152-ФЗ — согласие на обработку специальных категорий персональных данных (ст. 10 ч. 2 п. 1), выражаемое через активное использование соответствующей функции.

5.2. Данные аутентификации и безопасности устройства

Настройка биометрической блокировки (вкл./выкл., soft/always). Мы не получаем доступа к биометрическим шаблонам Face ID / Touch ID и не храним их: их проверка выполняется локально фреймворком iOS LocalAuthentication, который возвращает только логический результат.
Состояние резервной разблокировки по код-паролю (управляется iOS).

Правовые основания: исполнение договора; законный интерес в защите данных пользователя стандартными средствами безопасности.

5.4. Настройки приложения

Хранятся локально в UserDefaults:

выбор AI-провайдера (off / on-device / remote);
частота рефлексий (weekly / biweekly / off);
режим биометрической блокировки;
тема и язык интерфейса;
состояние переключателя iCloud-синхронизации;
состояние переключателя «Диагностика и аналитика»;
флаг прохождения онбординга.

Правовые основания: исполнение договора.

5.5. Технические идентификаторы и данные об устройстве (собираются SDK третьих лиц — см. Раздел 8)

Только при условии активации вами «Диагностики и аналитики» либо получения push-уведомлений:

Firebase Installation ID — псевдослучайный идентификатор, привязанный к данной установке Приложения (не IDFA, не Google Advertising ID; не используется для кросс-приложенческого отслеживания).
APNs device token и токен Firebase Cloud Messaging (FCM) — используются исключительно для доставки push-уведомлений.
Модель устройства, версия iOS, локаль, часовой пояс, версия и номер сборки Приложения, объём свободной памяти на момент запуска (собираются автоматически Firebase SDK).
Системное время загрузки, свободное место на диске, метки времени файлов, доступ к UserDefaults (раскрыты в нашем Privacy Manifest, файле PrivacyInfo.xcprivacy, как Required-Reason API).

Правовые основания:

для диагностики сбоев — законный интерес в обеспечении стабильности Приложения, реализуемый в рамках явного согласия (см. раздел 6.6);
для аналитики использования — согласие пользователя, получаемое через переключатель «Диагностика и аналитика»;
для push-токенов — исполнение договора.

5.6. Данные синхронизации iCloud (опционально, по явному включению)

Если вы включаете «iCloud Sync» в настройках, Приложение загружает в ваш личный аккаунт iCloud (не к нам) зашифрованные копии данных, перечисленных в 5.1 (за исключением бинарных фото в текущей версии).

Каждая запись шифруется на устройстве с использованием AEAD-шифрования ChaChaPoly-256 до отправки.
Ключ шифрования хранится в вашем iCloud Keychain (kSecAttrSynchronizable), который Apple передаёт и хранит под собственным сквозным шифрованием. Разработчик не имеет доступа к этому ключу.
Серверы CloudKit видят только: идентификатор записи, дату обновления, тип записи, версию схемы и размер шифротекста.
Удаления распространяются через зашифрованные tombstone-записи.

Правовые основания: согласие субъекта (вы активно включаете переключатель). Оператором данных в вашем iCloud-аккаунте является Apple Inc.; см. политику конфиденциальности Apple — https://www.apple.com/legal/privacy/.

5.7. Данные хостинг-AI прокси (только для подписчиков Mira Pro)

Если у вас активна подписка Mira Pro и вы используете Pro AI-функцию («Ask Mira», ручную или автоматическую еженедельную рефлексию через хостинг-провайдера), передаются следующие данные:

Приложение отправляет по TLS на собственный сервер Mira (mira-backend.miradiary.workers.dev, Cloudflare Worker, эксплуатируемый Разработчиком):
- системные инструкции;
- ваш текущий вопрос или запрос на генерацию;
- выбранный алгоритмом RAG поднабор текста записи, настроения и тегов, относящийся к запросу;
- подписанный StoreKit JWS-токен вашей подписки (используется исключительно для верификации права доступа — см. 5.11).
Worker Mira проверяет подписку, применяет per-user месячный лимит запросов и проксирует тело запроса в Anthropic, PBC (Claude API).
Anthropic возвращает AI-ответ как потоковый SSE; worker передаёт его на ваше устройство байт-в-байт.

Worker не сохраняет, не логирует и не накапливает тело запроса или тело ответа — ни на самом worker, ни в KV-хранилище. Сохраняются только метаданные (метки времени, коды статусов, месячные счётчики, привязанные к originalTransactionId) для контроля лимитов и операционной диагностики.

Anthropic выступает обработчиком (processor) AI-запросов. Согласно коммерческим условиям API Anthropic, ваши данные не используются для обучения моделей Anthropic. См. Раздел 8.3.

Правовые основания (GDPR): ст. 6(1)(b) — исполнение договора подписки Mira Pro. Данные о настроении в проксируемом payload обрабатываются на основании ст. 9(2)(a) — явное согласие, выраженное активацией Pro AI-функции.

5.8. Экспортируемые файлы

При использовании функции «Экспорт» Приложение создаёт файлы Markdown или PDF во временной папке iOS и передаёт их в системное меню «Поделиться». Получателя (Почта, Файлы, Заметки, другое приложение) выбираете вы. Разработчик экспортируемые файлы не получает.

5.9. Данные виджетов

Виджеты на главном экране и на заблокированном экране читают данные из общего App Group-контейнера с основным приложением (текущая серия, превью последней записи). Виджеты не выполняют сетевых запросов.

5.11. Данные подписки и транзакций (только для подписчиков Mira Pro)

При покупке Mira Pro через App Store следующие данные поступают от Apple на Cloudflare Worker Mira для предоставления Pro-доступа:

originalTransactionId — стабильный идентификатор подписки от Apple (не идентифицирует вас лично; уникален для Mira в рамках вашего Apple ID).
transactionId — идентификатор отдельной транзакции (продление, возврат).
productId — какой план подписки Mira Pro приобретён.
purchaseDate, expiresDate, revocationDate — временные метки жизненного цикла подписки.
bundleId — подтверждает, что транзакция относится к нашему приложению.
environment — Production или Sandbox.
appAccountToken (опциональный UUID) — устанавливается в случайный per-install идентификатор; позволяет связать устройство с транзакцией без раскрытия Apple ID.
App Store Server Notifications V2 payload — Apple шлёт нашему worker события жизненного цикла (продление, возврат, истечение, отзыв); JWS-подписанные сообщения проверяются, сохраняются как актуальный snapshot подписки и более не используются.

Где хранится: Cloudflare Workers KV (шифруется в покое самим Cloudflare; доступны US/мульти-регион/EU). Актуальный snapshot per originalTransactionId сохраняется до 365 дней, чтобы между запусками приложения отвечать на вопрос «Pro ли пользователь» без полной перепроверки StoreKit.

Apple не передаёт нам ваши имя, email, Apple ID или платёжные реквизиты. Только перечисленные технические поля.

Правовые основания (GDPR): ст. 6(1)(b) — исполнение договора подписки Mira Pro.

5.12. Счётчики использования хостинг-AI (только для подписчиков Mira Pro)

Для применения per-user месячных лимитов на самые тяжёлые AI-функции (Ask Mira: 100/мес; ручная еженедельная рефлексия: 2/мес) Cloudflare Worker сохраняет целочисленные счётчики, привязанные к originalTransactionId и текущему периоду YYYY-MM. Счётчики обнуляются ежемесячно. Они не содержат содержимое сообщений и никаких персональных идентификаторов сверх StoreKit transaction id.

Где хранится: Cloudflare Workers KV. Устаревшие счётчики авто-удаляются через 90 дней.

Правовые основания (GDPR): ст. 6(1)(f) — законный интерес в предотвращении злоупотреблений сервисом и контроле инфраструктурных расходов.

5.13. Коды активации (комплиментарный доступ)

Если в Настройки → Mira Pro → Активировать код вводится код, выданный Разработчиком (например, для бета-тестов или подарков), worker сохраняет { код, метка времени активации, device-bound идентификатор } для гарантии однократного использования. Сам код не является персональными данными; идентификатор — это iOS identifierForVendor UUID, локальный для устройства + приложения и сбрасывающийся при удалении.

5.10. Данные, которые мы НЕ собираем

Во избежание сомнений, Приложение не собирает и не запрашивает:

ваше имя, адрес электронной почты, номер телефона, почтовый адрес;
точные или приблизительные данные о вашем местоположении;
ваши контакты, календари, напоминания;
данные о здоровье из Apple HealthKit;
рекламный идентификатор iOS (IDFA);
финансовую или платёжную информацию помимо идентификаторов транзакции StoreKit, необходимых для верификации подписки (Раздел 5.11). Все платежи обрабатывает Apple — мы никогда не видим номер карты, платёжный адрес или пароль Apple ID;
биометрические шаблоны;
данные из других приложений;
какие-либо кросс-приложенческие или кросс-сайтовые идентификаторы отслеживания.

6. Цели обработки

Перечисленные выше данные обрабатываются исключительно в следующих целях:

№	Цель	Категории данных (перекр. ссылки)	Правовое основание
6.1	Предоставление основной функциональности дневника (создание/редактирование/удаление записей; отображение интерфейса)	5.1, 5.4, 5.9	Согласие; исполнение договора
6.2	Работа on-device AI-функций (эмбеддинги, семантический поиск, рефлексии, Ask Mira), полностью на устройстве	5.1	Согласие; Art. 9(2)(a) для настроения
6.3	Защита Приложения биометрической блокировкой	5.2	Законный интерес
6.4	Опциональная зашифрованная iCloud-синхронизация между вашими устройствами	5.6	Согласие
6.5	Хостинг Pro AI (Ask Mira, еженедельные рефлексии через Anthropic Claude через прокси Mira) для активных подписчиков	5.7, 5.11, 5.12	Согласие; исполнение договора
6.6	Диагностика сбоев и улучшение стабильности	5.5 (crash data)	Законный интерес с возможностью отзыва согласия
6.7	Измерение агрегированной частоты использования функций для улучшения продукта	5.5 (analytics)	Согласие (переключатель)
6.8	Доставка разрешённых вами push-уведомлений (например, «ваша еженедельная рефлексия готова»)	5.5 (tokens)	Исполнение договора
6.9	Получение конфигурационных флагов (feature-флагов)	только минимальные метаданные устройства	Законный интерес

Мы не используем ваши персональные данные для:

таргетированной рекламы;
профилирования, имеющего юридические или существенные последствия;
автоматического принятия решений в значении GDPR Art. 22 / 152-ФЗ ст. 16;
продажи или передачи брокерам данных;
обучения или дообучения моделей машинного обучения Разработчика (у нас нет таких моделей).

7. Автоматизированная обработка и AI

Mira применяет автоматизированную обработку в следующих сценариях:

Формирование эмбеддингов на устройстве для семантического поиска. Юридические или аналогичные существенные последствия не возникают.
Генеративный AI на устройстве — формирование рефлексий и ответов. Результат отображается исключительно вам.
Удалённый генеративный AI (опционально) — формирование более качественных рефлексий. Результат отображается исключительно вам.

Указанные функции носят рекомендательно-вспомогательный характер. Mira не принимает юридически значимых или аналогичных существенных решений в отношении субъекта. Приложение не является медицинским изделием, не оказывает медицинскую, психологическую или терапевтическую помощь и не предназначено для диагностики, лечения, предупреждения или излечения какого-либо заболевания. При психологических трудностях — обратитесь к квалифицированному специалисту.

Вы можете отключить AI-функции в любой момент в разделе Настройки → Intelligence.

8. Получатели данных (третьи лица)

Нижеперечисленные третьи лица могут получать данные в тех случаях, когда соответствующая функция активирована. Каждое из них выступает самостоятельным оператором или обработчиком в соответствии со своими условиями. Mira интегрирует их SDK или направляет HTTP-запросы к их эндпоинтам.

8.1. Apple Inc.

iCloud / CloudKit (опционально, только при включённой iCloud-синхронизации): хранит зашифрованные записи дневника в вашем личном iCloud-контейнере.
APNs (Apple Push Notification service): доставка push-уведомлений.
On-device системные фреймворки (для обработки естественного языка, эмбеддингов и т.п.): работают на устройстве, данные его не покидают.

Политика конфиденциальности: https://www.apple.com/legal/privacy/.

8.2. Google LLC / Google Ireland Ltd. — Firebase

Firebase — продукт Google. Интегрированы следующие SDK:

Firebase Analytics — агрегированные события использования, Installation ID, метаданные устройства/ОС. По умолчанию выключен; управляется переключателем «Диагностика и аналитика» в Приложении.
Firebase Crashlytics — стек-трейсы сбоев и сообщений об ошибках. Управляется тем же переключателем.
Firebase Cloud Messaging (FCM): маршрутизация push-уведомлений; хранит FCM-токен.
Firebase Remote Config: загрузка feature-флагов с сервера Google; содержимое дневника не загружается.

В Info.plist установлено FIREBASE_ANALYTICS_COLLECTION_ENABLED=false и FirebaseAppDelegateProxyEnabled=NO. Сбор данных активируется только после получения согласия пользователя.

Политика Google: https://policies.google.com/privacy. Раскрытие данных Firebase: https://firebase.google.com/support/privacy.

8.3. Anthropic PBC (Claude) — обработчик AI-запросов Mira Pro

Когда у вас активна подписка Mira Pro и вы используете Pro AI-функцию, Cloudflare Worker Mira проксирует ваш промпт и контекст дневника на api.anthropic.com Anthropic. Anthropic выступает обработчиком (processor) в интересах Разработчика согласно своим Commercial Terms of Service. Согласно условиям Anthropic, входные и выходные данные API не используются для обучения моделей Anthropic. Data Processing Addendum (DPA) Anthropic — включая Standard Contractual Clauses для трансфера данных по EU/UK GDPR — автоматически включён в Commercial Terms of Service, которые Разработчик принял при активации Anthropic API-аккаунта.

Политика: https://www.anthropic.com/legal/privacy. Trust center: https://trust.anthropic.com/.

8.4. Cloudflare, Inc. — инфраструктура

Хостинг-AI прокси Mira, эндпоинт App Store Server Notifications, система кодов активации и счётчики использования работают на Cloudflare Worker (mira-backend.miradiary.workers.dev) с тремя KV-неймспейсами Cloudflare Workers. Cloudflare предоставляет вычислительные ресурсы и хранилище; данные шифруются в покое и при передаче. Cloudflare выступает обработчиком согласно своей Customer Privacy Policy и стандартному DPA.

Политика: https://www.cloudflare.com/privacypolicy/. DPA / суб-обработчики: https://www.cloudflare.com/cloudflare-customer-dpa/.

8.5. Hugging Face, Inc. — загрузка файлов on-device моделей

Локальная языковая модель, обеспечивающая бесплатные AI-функции, поставляется в виде файла модели, размещённого на Hugging Face Hub. При первом включении on-device AI Приложение обращается к huggingface.co по HTTPS исключительно для загрузки файла модели. Содержимое дневника не передаётся — только сами запросы на загрузку и стандартные HTTP-метаданные, необходимые для получения статического файла. После загрузки модель находится на вашем устройстве и работает без подключения к сети.

Политика: https://huggingface.co/privacy.

8.6. Иных получателей нет

Мы не передаём персональные данные рекламным сетям, брокерам данных или каким-либо иным третьим лицам. Мы не продаём персональные данные в смысле CCPA/CPRA § 1798.140(ad) и не «делимся» ими для кросс-контекстной поведенческой рекламы в смысле § 1798.140(ah).

9. Трансграничная передача данных

Поскольку у Разработчика нет собственного бэкенда, основная часть обработки выполняется на вашем устройстве. При использовании опциональных функций ваши данные могут быть переданы за пределы страны вашего местопребывания указанным ниже получателям.

Получатель	Типичное расположение серверов	Механизм передачи
Apple iCloud	США; региональные дата-центры Apple	SCC Apple / Data Processing Addendum
Google Firebase	США; региональные дата-центры Google	SCC; участие Google в EU–US Data Privacy Framework
Anthropic (хостинг-AI прокси Mira Pro)	США	SCC в рамках DPA Anthropic
Cloudflare (хостинг worker + KV)	США; ЕС-регионы конфигурируемы	SCC в рамках DPA Cloudflare
Hugging Face (только загрузка on-device моделей)	США / Франция	SCC / ЕС-инстанс для европейского региона

Применительно к субъектам персональных данных из Российской Федерации

Разработчик не формирует базу данных с содержимым дневников граждан Российской Федерации: содержимое хранится либо на устройстве пользователя, либо в его личном iCloud-аккаунте. Разработчик не выступает оператором, формирующим базу персональных данных граждан РФ в смысле ст. 18 ч. 5 152-ФЗ, поскольку такая база на стороне Разработчика не создаётся и не хранится.

При использовании опциональных функций, предполагающих трансграничную передачу (iCloud Sync, Remote AI, «Диагностика и аналитика»), субъект даёт согласие на трансграничную передачу в соответствии со ст. 12 152-ФЗ путём активации соответствующего переключателя.

Если вы считаете, что описанный режим требует дополнительного разъяснения применительно к вашей ситуации, напишите нам на адрес, указанный в Разделе 2.

10. Сроки хранения

Данные	Срок хранения	Способ удаления
Записи, фото, настроение, теги, инсайты, эмбеддинги (локально)	До тех пор, пока вы храните их на устройстве	Удаление в приложении; удаление Приложения
Записи в iCloud (зашифрованно)	До тех пор, пока включена iCloud-синхронизация, в пределах правил хранения iCloud от Apple	Отключение iCloud Sync → ключ шифрования уничтожается → шифротекст становится нечитаемым; удаление контейнера через iOS Настройки
Snapshot подписки Mira Pro в Cloudflare KV	До 365 дней; обновляется при каждом App Store Server Notification	Отмена подписки → следующий цикл не продлевается → запись истекает; либо обращение к нам для удаления
Счётчики использования хостинг-AI в Cloudflare KV	Авто-удаление через 90 дней после последней записи; ежемесячный сброс	—
Запись о применении кода активации	До ручного удаления из KV; счётчики привязаны к одному device-bound id	—
Firebase Installation ID, события аналитики	Стандартное хранение Google — до 14 месяцев (конфигурируется)	Отключение переключателя «Диагностика и аналитика»; удаление приложения (Installation ID пересоздаётся)
Отчёты о сбоях	Стандартное хранение Crashlytics — до 90 дней	Отключение переключателя «Диагностика и аналитика»
Push-токены	До отзыва разрешения на уведомления или удаления Приложения	iOS Настройки → Уведомления → Mira → Выкл.
Настройки в UserDefaults	До удаления или сброса	Удаление Приложения или сброс настроек в приложении

Удаление Приложения приводит к удалению всех локальных данных, включая локальную SwiftData-базу, записи Keychain, помеченные как относящиеся к данному Приложению, и App Group-контейнер. Удаление Приложения не удаляет данные, уже синхронизированные в ваш личный iCloud; для этого используйте iOS Настройки → Apple ID → iCloud → Управление хранилищем.

11. Меры безопасности

Применяются следующие технические и организационные меры (ст. 19 152-ФЗ; Art. 32 GDPR):

Сквозное шифрование записей CloudKit алгоритмом ChaChaPoly-256 с ключами в вашем iCloud Keychain.
Хранение в Keychain чувствительных материалов (ключи шифрования) с device-only или synchronisable атрибутами — в зависимости от назначения.
Биометрическая блокировка приложения (Face ID / Touch ID) с запасным код-паролем.
TLS 1.2 и выше для всех исходящих сетевых соединений (обеспечивается iOS App Transport Security).
Privacy manifest (PrivacyInfo.xcprivacy) с декларацией всех собираемых категорий и Required-Reason API.
Гигиена логирования через Apple os.Logger с маркером privacy: .private по умолчанию для любых значений, производных от содержимого дневника.
Строгие типовые контракты в коде, препятствующие передаче произвольных строк в API аналитики и крашлитики; результаты аудита — docs/PRIVACY_AUDIT.md.
Строгий режим конкурентности Swift 6 на этапе компиляции для исключения межконтекстных утечек состояния.
Открытая архитектурная документация, позволяющая независимую проверку.

Ни один способ электронной передачи или хранения не обеспечивает абсолютной безопасности. Мы не можем гарантировать безусловную защищённость, однако применяем отраслевые практики, соразмерные рискам privacy-first продукта для конечного пользователя.

12. Права субъектов персональных данных

12.1. Права по 152-ФЗ (Российская Федерация)

Субъект персональных данных в значении 152-ФЗ имеет право:

получать подтверждение факта обработки и информацию об обработке (ст. 14);
требовать уточнения персональных данных, их блокирования или уничтожения в случаях неточности, неправомерной обработки (ст. 14 ч. 1; ст. 21);
отзывать согласие в любое время (ст. 9 ч. 2) — путём отключения соответствующей функции в Приложении и, при необходимости, направления письменного обращения на наш адрес;
обжаловать действия или бездействие Оператора в уполномоченный орган (Роскомнадзор) или в суд.

Контакт: arbuzikmr@gmail.com.

Сроки рассмотрения обращений: не позднее 30 дней с даты получения обращения, если законом не установлен иной срок.

Если вы находитесь в Европейской экономической зоне, Великобритании или Швейцарии, вы имеете следующие права в отношении обрабатываемых нами персональных данных:

Право доступа (Art. 15).
Право на уточнение (Art. 16). Вы можете редактировать записи непосредственно в Приложении.
Право на удаление / «право быть забытым» (Art. 17). Вы можете удалять записи прямо в Приложении. Для удаления данных Firebase, связанных с вашим Installation ID, свяжитесь с нами.
Право на ограничение обработки (Art. 18).
Право на переносимость данных (Art. 20). Используйте функцию «Экспорт» в Приложении (Markdown или PDF).
Право на возражение (Art. 21).
Право отзыва согласия в любое время (Art. 7(3)). Отключите переключатели «Диагностика и аналитика», «iCloud Sync» и «Remote AI» в Настройках.
Право не подлежать автоматическому принятию решений, имеющих юридические или аналогичные существенные последствия (Art. 22) — не применимо: Mira не принимает таких решений.
Право подать жалобу в надзорный орган (Art. 77) — например, в национальный орган по защите данных. Перечень: https://edpb.europa.eu/about-edpb/about-edpb/members_en.

Для реализации прав напишите на arbuzikmr@gmail.com. Ответ предоставляется в течение одного месяца (с возможностью продления ещё на 2 месяца для сложных запросов с уведомлением).

12.3. Права по CCPA / CPRA (жители Калифорнии)

В пределах, предусмотренных § 1798.145, жители Калифорнии имеют право:

знать / получать доступ к категориям и конкретным элементам собранной персональной информации;
удалить персональную информацию с учётом установленных законом исключений;
корректировать неточную персональную информацию;
отказаться от продажи или передачи. Мы не продаём и не передаём персональную информацию в этих значениях; отдельная ссылка «Do Not Sell or Share» не требуется, но мы всё равно предоставляем общий переключатель «Диагностика и аналитика»;
ограничить использование чувствительной персональной информации. Чувствительные категории (в частности, данные о настроении) остаются на устройстве;
недискриминация при осуществлении прав.

Для реализации: arbuzikmr@gmail.com, тема письма — «CCPA Request». Мы можем попросить подтвердить личность (например, сверкой Firebase Installation ID или подтверждением метаданных устройства/версии). Доверенные представители принимаются при наличии письменного разрешения.

12.4. Права в иных юрисдикциях

Жители юрисдикций с аналогичным законодательством (LGPD — Бразилия, PIPEDA — Канада, PIPA — Южная Корея, Privacy Act — Австралия и др.) реализуют соответствующие права, направив запрос нам по электронной почте.

13. Данные несовершеннолетних

Mira не предназначена для детей младше 13 лет (в ЕС/Великобритании — младше 16 лет, если применимо по Art. 8 GDPR; в Российской Федерации действует возрастная маркировка в соответствии с ФЗ-436 и правилами App Store). Приложение не осуществляет целенаправленного сбора персональных данных таких лиц.

Если вы являетесь родителем или законным представителем и полагаете, что ребёнок использовал Mira без вашего согласия, свяжитесь с нами по адресу arbuzikmr@gmail.com — мы окажем содействие в удалении локальных данных и консультации по отключению опциональных функций.

Mira не использует файлы cookie, веб-маяки, пиксельные теги и веб-SDK. Это нативное iOS-приложение, не содержащее встроенного веб-браузера, показывающего рекламу или трекеры.

15. Сигналы «Do Not Track» и Global Privacy Control

Поскольку Mira не участвует в кросс-контекстной поведенческой рекламе и не отслеживает пользователей между приложениями и сайтами, любой сигнал Do-Not-Track или Global Privacy Control считается уже учтённым конфигурацией Приложения по умолчанию.

Статус Apple App Tracking Transparency установлен в значение не отслеживает (NSPrivacyTracking=false в Privacy Manifest).

16. Изменения Политики

Мы вправе время от времени изменять настоящую Политику. Дата «Последнее обновление» в начале документа отражает последнее изменение.

Существенные изменения (новые категории данных, новые получатели, новые цели) сопровождаются уведомлением в Приложении при следующем запуске; там, где это технически возможно, до начала новой обработки запрашивается обновлённое согласие пользователя.
Несущественные изменения (уточнения, форматирование, обновление контактов) вступают в силу с момента публикации.

Мы сохраняем предыдущие версии Политики в публичном репозитории Приложения (при его наличии), чтобы вы могли сравнить редакции.

17. Контакт

По любым вопросам, запросам, жалобам и реализации прав, связанных с настоящей Политикой:

Иван Ровков (индивидуальный разработчик) arbuzikmr@gmail.com

Я стремлюсь подтвердить получение корреспонденции по вопросам конфиденциальности в течение 7 календарных дней и направить содержательный ответ в установленные применимым правом сроки.

18. Приложение — Сводка по данным

Для соответствия требованиям App Store и удобства чтения:

Категория	Собирается?	Связывается с личностью?	Используется для tracking?	Можно ли отключить?
Содержимое дневника	Только на устройстве (опционально — в вашем iCloud, зашифрованно)	Нет	Нет	Да — удаление записей / приложения
Контактные данные	Нет	—	—	—
Местоположение	Нет	—	—	—
Чувствительные данные (биометрические шаблоны, точные медицинские)	Нет	—	—	—
Контакты, библиотека фото, календарь	Доступ только по явному разрешению при прикреплении	Нет	Нет	iOS Настройки
Product Interaction (события интерфейса)	Только при включённой «Диагностике и аналитике»	Нет	Нет	Настройки → Privacy
Crash Data	Только при включённой «Диагностике и аналитике»	Нет	Нет	Настройки → Privacy
Performance Data	Только при включённой «Диагностике и аналитике»	Нет	Нет	Настройки → Privacy
Other Diagnostic Data	Только при включённой «Диагностике и аналитике»	Нет	Нет	Настройки → Privacy
Device ID (Firebase Installation ID)	Собирается Firebase SDK	Нет	Нет	Удаление приложения / отключение Firebase
Advertising ID (IDFA)	Не собирается	—	—	—
Push-токен	Собирается при разрешении уведомлений	Нет	Нет	iOS Настройки → Уведомления

Конец Политики.