1. Кто и для чего собирает информацию
Оператор персональных данных:
Товарищество с ограниченной ответственностью «KLIMOV & Co»
БИН: 260440020318
Адрес: Республика Казахстан, г. Алматы, ул. Житомирская 10/2
Email: danil@klimov.company · Тел.: +7 705 993 83 83
Технический разработчик и субпроцессор:
GPO OÜ (Эстония), рег. номер 14897399
Адрес: Peterburi tee 38/9, Tallinn 11415, Эстония
Email: gpowork@gmail.com
Продукт: мессенджер «Tuc-Tuc» — клиент-серверное приложение для обмена сообщениями, аудио- и видеозвонков, построенное на открытом децентрализованном протоколе Matrix.
2. Какие данные мы обрабатываем
2.1. Данные, которые Вы сообщаете нам сами
| Категория | Когда собирается | Зачем |
|---|---|---|
| Имя пользователя (MXID) | при регистрации | идентификация в системе |
| Отображаемое имя и аватар (опц.) | при настройке профиля | отображение в чатах |
| Содержимое сообщений | при отправке | передача адресату, история |
| Медиа-файлы | при отправке в чате | передача, временное хранение |
| Голос и видео при звонках | во время звонков | передача между участниками |
2.2. Данные, собираемые автоматически
| Категория | Источник | Хранение |
|---|---|---|
| IP-адрес | при подключении к серверу | логи, ротация 30 дней |
| Токены push (APNs, FCM, Web Push) | при регистрации устройства | до выхода из аккаунта |
| Метаданные сессии | при подключении | активная сессия + 24 часа |
| События об ошибках (Sentry) | при сбоях | 30 дней, без содержимого |
| Анонимная аналитика (PostHog) | при использовании функций | 90 дней, без идентификации |
2.3. Данные, которые мы НЕ собираем
- Список контактов телефонной книги
- Геопозицию (если только Вы явно не разрешите)
- Историю браузера
- Биометрические данные
3. Правовые основания обработки
Обработка персональных данных производится в соответствии с:
- Законом Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите»;
- General Data Protection Regulation (GDPR) Европейского Союза, применимым к деятельности субпроцессора GPO OÜ.
Основания обработки:
- Согласие субъекта персональных данных (ст. 8 Закона РК № 94-V) — при регистрации аккаунта.
- Договор — для оказания услуг мессенджера (ст. 9, п. 2).
- Законные интересы оператора — обеспечение безопасности, противодействие мошенничеству и злоупотреблениям.
4. Где и сколько хранятся данные
| Данные | Место хранения | Срок |
|---|---|---|
| Сообщения, медиа, профиль | Hetzner Cloud (Германия, NBG1) | до удаления аккаунта |
| Серверные логи | тот же сервер | 30 дней (ротация) |
| Резервные копии | Hetzner (Германия) | 30 дней daily + 12 мес. monthly |
| Sentry (ошибки) | sentry.io (EU region) | 30 дней |
| PostHog (аналитика) | EU Cloud (Frankfurt) | 90 дней |
Серверная инфраструктура размещена на территории Европейского Союза (Германия), что обеспечивает соответствие GDPR. Передача данных за пределы ЕС не производится, кроме случаев push-уведомлений (см. §5).
5. Передача данных третьим лицам
| Получатель | Что передаётся | Цель |
|---|---|---|
| Hetzner Online GmbH (Германия) | сервер и хранилище | хостинг инфраструктуры |
| Apple Inc. (США) — APNs | токен устройства + событие «новое сообщение» (без текста) | iOS push-уведомления |
| Google LLC (США) — FCM | то же | Android push-уведомления |
| Sentry / PostHog | техническая телеметрия | мониторинг работоспособности |
| DNS-провайдер (PS.KZ) | только DNS-запросы | резолвинг доменных имён |
Мы не продаём и не передаём Ваши данные третьим лицам для целей маркетинга или рекламы.
Раскрытие данных по требованию уполномоченных государственных органов производится исключительно в порядке, установленном законодательством Республики Казахстан и страны размещения серверной инфраструктуры (Германия).
6. Шифрование
В MVP-версии Приложения:
- Транспортное шифрование: TLS 1.2/1.3 для всего трафика между клиентом и сервером, а также между серверами.
- Сквозное шифрование (E2E): в MVP-версии не активировано. Оператор технически имеет возможность доступа к содержимому сообщений на стороне сервера. E2E-шифрование, нативно поддерживаемое протоколом Matrix, будет добавлено в последующих версиях продукта.
7. Ваши права
Согласно статьям 24–26 Закона РК № 94-V, Вы имеете право:
- Получить информацию о наличии у нас Ваших данных и об их обработке.
- Изменить или дополнить свои персональные данные.
- Отозвать согласие на обработку.
- Потребовать удаления данных — в Приложении доступна функция «Удалить аккаунт» (см. Удаление аккаунта).
- Заблокировать обработку при наличии оснований полагать о её неправомерности.
- Обжаловать действия оператора в уполномоченный орган по защите персональных данных РК или в суд.
Реализация прав: запрос на адрес danil@klimov.company с темой «Запрос по персональным данным». Ответ — в течение 15 рабочих дней.
8. Удаление аккаунта
В соответствии с требованиями Apple App Store, Google Play и ст. 24 Закона РК № 94-V:
- Удалить аккаунт можно из самого Приложения: Настройки → Аккаунт → Удалить аккаунт.
- После подтверждения удаления: история сообщений и медиа помечаются к удалению немедленно; физическое удаление с серверов и из резервных копий — в течение 90 дней; токены push отзываются мгновенно.
Пошаговая инструкция: delete.tuc-tuc.asia.
9. Дети
Приложение не предназначено для лиц младше 16 лет. Мы не осуществляем сознательный сбор их данных. При получении информации о регистрации несовершеннолетнего без согласия законного представителя аккаунт удаляется.
10. Изменения политики
Существенные изменения (расширение целей обработки, новые получатели данных, изменение сроков хранения) публикуются в Приложении и по адресу https://privacy.tuc-tuc.asia/ не менее чем за 30 дней до вступления в силу.
11. Контакты по вопросам конфиденциальности
| Email Оператора | danil@klimov.company |
|---|---|
| Email DPO (тех. вопросы) | gpowork@gmail.com |
| Почтовый адрес | г. Алматы, ул. Житомирская 10/2, Республика Казахстан |
| Уполномоченный орган РК | Комитет по информационной безопасности МЦРИАП РК |