Политика конфиденциальности GMD

Версия: 1.3 Дата вступления в силу: 15 мая 2026 г.

Настоящая политика конфиденциальности (далее — «Политика») регулирует обработку персональных данных пользователей сервиса GMD (далее — «Сервис», gmd-online.ru) в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

GMD — сервис родительского контроля и геолокации детей. Состоит из веб-кабинета родителя (gmd-online.ru), мобильного приложения родителя (Android, iOS) и мобильного приложения ребёнка (Android). Распространяется через RuStore (https://www.rustore.ru) и через прямую загрузку APK с сайта Сервиса.

---

1. Оператор персональных данных

• ФИО: Четверик Дмитрий Васильевич (физическое лицо — администратор и разработчик Сервиса)
• Место нахождения Оператора: Российская Федерация, Хабаровский край, Хабаровский район, с. Восточное, ул. Центральная, д. 5, кв. 12
• Адрес для обращений: электронная почта link28rus@gmail.com
• Фактическое размещение данных: серверное оборудование на территории Российской Федерации

Для связи по вопросам обработки персональных данных — только через указанный e-mail.

---

2. Субъекты персональных данных

Оператор обрабатывает данные двух категорий субъектов:

• Родитель — совершеннолетний пользователь, прошедший регистрацию в Сервисе.
• Ребёнок — несовершеннолетний субъект, информация о котором внесена родителем. Для детей от 14 лет требуется их отдельное согласие, подтверждаемое родителем.

---

3. Состав обрабатываемых данных

О родителе:

• адрес электронной почты,
• имя (если указано),
• локаль интерфейса,
• метаданные сессий: IP-адрес, данные браузера (user-agent), время входа,
• IP-адрес и user-agent при акте согласия с настоящей политикой.

О ребёнке (вносятся родителем):

• имя ребёнка,
• дата рождения (если указана).

Передаются устройством ребёнка автоматически (при наличии активной установки приложения):

• технические данные устройства: название модели, версия ОС, версия приложения, время последнего выхода на связь, состояние специальных разрешений Android (см. раздел 4);
• геолокация устройства (координаты, точность, время фиксации) — для отображения на карте у родителя и работы геозон;
• технические события приложения на устройстве ребёнка: включения/выключения функций, успешные и неуспешные срабатывания блокировок приложений, входы и выходы из геозон, аудитные события аудиосессий (запрос, выдача, начало, окончание, ошибки) — для целей обеспечения безопасности (расследование инцидентов и ответы на жалобы);
• сообщения SOS (нажатие кнопки тревоги ребёнком), при наличии — координаты на момент нажатия.

Передаются устройством ребёнка только по явному запросу родителя из кабинета:

• кратковременная аудиозапись окружения ребёнка («звук вокруг ребёнка») — поток передаётся в реальном времени, в постоянном виде на серверах не сохраняется (только сессионный буфер на время прослушивания родителем);
• метаданные сессии аудиомониторинга (без сохранения самого аудио): идентификатор сессии, инициатор-родитель, время и длительность, технические причины отказов — сохраняются в аудитном журнале со сроком хранения 1 год (см. раздел 8).

Планируется в следующих версиях (с отдельным уведомлением и обновлением Политики):

• статистика экранного времени Android (какие приложения и сколько использовались).

Биометрические данные, специальные категории персональных данных (состояние здоровья, политические взгляды, религиозные убеждения), содержимое личной переписки ребёнка в мессенджерах, история телефонных звонков, история браузера и SMS — не собираются.

---

4. Разрешения мобильного приложения ребёнка

Приложение GMD на устройстве ребёнка запрашивает следующие разрешения Android. Все они обязательны для работы заявленных функций; запрос инициируется только после первичного подключения устройства родителем по QR-коду и явного шага в onboarding.

4.1 Геолокация (включая фоновую)

• Назначение: отображение текущего и прошлого местоположения ребёнка у родителя на карте, работа геозон с push-уведомлениями.
• Что собирается: GPS-координаты (широта, долгота), точность, время фиксации, источник (GPS/network).
• Когда работает: в фоне, чтобы родитель видел перемещение ребёнка даже при закрытом приложении. Иначе функция геолокации в продукте бесполезна.
• Срок хранения: не более 30 дней (см. раздел 8).

4.2 Микрофон («звук вокруг ребёнка»)

• Назначение: возможность для родителя по запросу из кабинета прослушать окружение ребёнка в реальном времени для целей обеспечения безопасности ребёнка (аналог фичи в продуктах «Где мои дети» и подобных).
• Правовое основание: правовая позиция Конституционного Суда Российской Федерации, выраженная в Постановлении от 12 января 2024 г. № 1-П, согласно которой использование родителем программ родительского контроля с функцией аудионаблюдения исключительно в целях обеспечения безопасности ребёнка не образует состава преступления, предусмотренного ч. 1 ст. 137 УК РФ. Получаемая родителем при прослушивании информация о частной жизни третьих лиц не подлежит распространению.
• Когда активируется: только в момент явного запроса родителя из кабинета. Аудио передаётся в реальном времени и не записывается на устройстве ребёнка в файл.
• Режим работы — без отдельного уведомления о сессии. На устройстве ребёнка постоянно отображается foreground-уведомление с минимальным приоритетом («gmd: готов к аудиомониторингу»). Это обязательное требование Android 14 и более новых версий для приложений, использующих микрофон в фоне. Уведомление о начале и окончании конкретной сессии аудиомониторинга на устройстве ребёнка не показывается — это сознательное конструкторское решение, направленное на обеспечение безопасности ребёнка в соответствии с упомянутой выше правовой позицией Конституционного Суда.
• Хранение: аудио не сохраняется в постоянном виде на серверах Оператора. В системе ведётся только аудитный журнал событий сессии (запрос, выдача, начало, окончание, технические ошибки) — для целей безопасности и ответа на возможные жалобы. Срок хранения аудитного журнала — 1 год (см. раздел 8).
• Что НЕ делается: запись аудио в файл, постоянное прослушивание, передача аудио без активной сессии родителя, использование полученной информации для целей, не связанных с обеспечением безопасности ребёнка, распространение полученной информации третьим лицам.

4.3 Push-уведомления

• Назначение: доставка событий (нажатие SOS ребёнком, вход/выход из геозоны, подключение нового устройства, низкий заряд батареи).
• Каналы:
  • Firebase Cloud Messaging (FCM) — Google LLC (США), для устройств с установленными Google Play Services. На серверах Google хранится только токен устройства и текст уведомления; Оператор не передаёт в FCM содержательные персональные данные (имена, контакты, координаты). Передача push-токенов и текста уведомлений в FCM является трансграничной передачей данных в значении ст. 12 152-ФЗ — см. раздел 7 настоящей Политики.
  • RuStore Push — VK Company (Российская Федерация), для устройств без Google Play Services. Передача в пределах РФ.

4.4 Доступ к статистике использования (PACKAGE_USAGE_STATS)

• Назначение: показывать родителю отчёт о том, какими приложениями и сколько времени пользовался ребёнок (функция в активной разработке).
• Что собирается: имя пакета приложения, длительность использования. Содержимое внутри приложений — не читается.
• Где предоставляется: в системных настройках Android («Доступ к данным об использовании»), пользователь может в любой момент отозвать.

4.5 Специальные возможности (AccessibilityService)

• Назначение: реализация функции «Блокировка приложений» и расписаний автоблокировки. При попытке ребёнка открыть запрещённое родителем приложение GMD показывает поверх него полноэкранный экран блокировки с таймером.
• Что НЕ делается: чтение содержимого экранов, сбор вводимых текстов, перехват паролей, мониторинг переписки. Сервис реагирует только на событие «открыто новое приложение» и сравнивает имя пакета со списком ограничений, заданных родителем.
• Прозрачность: факт включения сервиса виден на главном экране приложения ребёнка; родитель видит состояние разрешения в кабинете.

4.6 Администратор устройства (Device Admin)

• Назначение: защита приложения GMD от удаления ребёнком без согласия родителя. Без этого разрешения ребёнок может удалить приложение из лаунчера в один тап и обойти родительский контроль.
• Что НЕ делается: удалённая блокировка экрана устройства, сброс данных, изменение пароля экрана блокировки, навязчивые ограничения политик пароля. GMD использует Device Admin исключительно для защиты от удаления.

4.7 Окно поверх других приложений (SYSTEM_ALERT_WINDOW)

• Назначение: отрисовка экрана блокировки приложения поверх запрещённого приложения (см. п. 4.5).
• Что НЕ делается: показ рекламы, сбор кликов, перехват жестов вне экрана блокировки.

4.8 Игнорирование оптимизации батареи

• Назначение: стабильная работа фонового сервиса геолокации и приёма команд от родителя. Без этого Android Doze глушит фоновые задачи и геолокация перестаёт обновляться через 15-30 минут после последнего действия пользователя.
• Что НЕ делается: постоянная нагрузка процессора; используется штатный foreground service Android с фиксированным уведомлением.

4.9 Установка пакетов (REQUEST_INSTALL_PACKAGES)

• Назначение: автоматическая установка обновлений приложения. Используется только при прямой доставке APK с серверов GMD (sideload-канал), необходимой при установке вне магазина приложений. При установке и автообновлении через RuStore это разрешение приложением не используется и системой не запрашивается.

Право отказа

Все перечисленные разрешения можно отозвать в системных настройках Android в любой момент. Соответствующая функция Сервиса перестанет работать (например, без геолокации не будет работать карта; без AccessibilityService — блокировка приложений), но Сервис не блокирует работу остальных функций.

---

5. Цели обработки

• предоставление родителю возможности контроля и связи с устройством ребёнка,
• верификация входа через одноразовые коды и пароль,
• техническая поддержка и безопасность,
• исполнение законных обязанностей Оператора перед регулирующими органами РФ.

Данные не используются для рекламы, не передаются третьим лицам, не продаются и не обогащаются из внешних источников.

---

6. Правовые основания

• согласие субъекта персональных данных (ч. 1 ст. 6, ч. 1 ст. 9 152-ФЗ),
• исполнение договора (пользовательское соглашение), стороной которого является субъект (п. 5 ч. 1 ст. 6 152-ФЗ).

Для персональных данных ребёнка до 14 лет согласие даёт родитель (ст. 64 Семейного кодекса РФ). Для детей от 14 лет требуется их собственное информированное согласие, которое подтверждает родитель при подключении устройства.

---

7. Способы обработки и трансграничная передача данных

Обработка персональных данных осуществляется:

• автоматизированно — хранение в PostgreSQL, Redis, объектном хранилище MinIO на серверах Оператора, физически расположенных на территории Российской Федерации (соответствует ч. 5 ст. 18 152-ФЗ в редакции от 01.07.2025 г.);
• неавтоматизированно — ручные административные действия Оператора (диагностика, ответ на обращения).

7.1 Трансграничная передача

Для функционирования push-уведомлений на устройствах с Google Play Services Оператор передаёт в Firebase Cloud Messaging (Google LLC, США) обезличенные технические данные:

• токен устройства (FCM registration token, выпускаемый Google),
• текст уведомления и тип события.

ФИО, email, контактные данные, геолокация, аудио, состав семьи и другие содержательные персональные данные в FCM не передаются.

Соединённые Штаты Америки не включены в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Роскомнадзором. В соответствии со ст. 12 152-ФЗ Оператор обязан направить в Роскомнадзор уведомление о трансграничной передаче и получить согласие на передачу до её начала.

Статус на момент публикации настоящей версии Политики: уведомление в Роскомнадзор о трансграничной передаче персональных данных в США (через Firebase Cloud Messaging, Google LLC) подготовлено и подлежит подаче до начала использования FCM в production-режиме. До получения подтверждения о приёме уведомления Оператор использует FCM в ограниченном режиме либо переключает доставку push-уведомлений на канал RuStore Push (VK Company, Российская Федерация).

Альтернативный канал доставки push-уведомлений для устройств без Google Play Services — RuStore Push (VK Company, РФ); передача осуществляется в пределах Российской Федерации и не является трансграничной.

---

8. Срок хранения

• Активные данные: до момента удаления учётной записи пользователем.
• После удаления аккаунта данные помечаются удалёнными (soft-delete) и хранятся ещё 30 дней — это технический период для восстановления в случае ошибочного удаления. По истечении 30 дней данные удаляются окончательно (hard-delete).
• Данные геолокации (после добавления в Сервис) — не более 30 дней, автоматическая очистка.
• Журнал согласий — 3 года после удаления аккаунта (ст. 22 152-ФЗ — доказательство получения согласия).
• Аудитный журнал событий приложения (включения/выключения функций, журнал блокировок приложений, зоновые события, аудит аудиосессий, журнал SOS) — 1 год с момента события; используется для расследования инцидентов безопасности и ответов на жалобы.
• Refresh-токены активных сессий — до момента выхода пользователя или истечения срока действия (90 дней с момента выпуска).
• Одноразовые коды (OTP) — 10 минут с момента отправки или до использования (что наступит ранее).
• Журнал блокировок приложений и зоновые события — 30 дней с момента события.

---

9. Передача третьим лицам

Оператор не передаёт персональные данные третьим лицам, за исключением случаев:

• передача по законному запросу государственных органов РФ (суд, прокуратура, следственные органы),
• использование инфраструктурных провайдеров, хостящих сервер (в пределах РФ),
• использование провайдеров отправки электронной почты для доставки одноразовых кодов входа — только email-адрес получателя и текст письма,
• поставщики сервисов доставки push-уведомлений:
  • Google LLC (Firebase Cloud Messaging) — для устройств с Google Play Services. Передаётся только токен устройства и текст уведомления. См. раздел 7 настоящей Политики.
  • VK Company (RuStore Push) — для устройств без Google Play Services. Передаётся только токен устройства и текст уведомления. Передача осуществляется в пределах РФ.

Список провайдеров публикуется при заключении конкретных договоров.

---

10. Права субъекта персональных данных

В соответствии со ст. 14 152-ФЗ субъект имеет право:

• получить подтверждение факта обработки его данных,
• получить копию обрабатываемых о нём данных,
• потребовать уточнения (исправления), блокирования или уничтожения данных,
• отозвать согласие на обработку,
• обжаловать действия Оператора в Роскомнадзор или в суд.

Для реализации этих прав — обратиться по email link28rus@gmail.com. Оператор обязан ответить в течение 30 дней.

Функции самообслуживания:

• Удаление аккаунта — кнопка в кабинете родителя («Удалить аккаунт»). После подтверждения — soft-delete + 30-дневный grace.
• Исправление имени/email — через кабинет.

---

11. Меры защиты

• шифрование соединения (TLS 1.2+) при всём обмене клиент-сервер,
• хранение refresh-токенов в httpOnly-cookie (недоступных JavaScript),
• хранение паролей и OTP-кодов в виде argon2id-хэшей,
• подпись access-токенов асимметричным ключом RS256,
• ограничение количества попыток входа (rate-limit + lock после 5 неудач),
• разграничение доступа: родитель видит только свою семью, детский токен имеет доступ только к своим данным,
• логирование административных действий,
• регулярные резервные копии базы данных с ограниченным сроком хранения.

---

12. Использование cookies

Сервис использует:

• Необходимые cookies (gmd_refresh) — для хранения сессии входа, HttpOnly, SameSite=Lax, на HTTPS — с флагом Secure.
• Технические локальные хранилища браузера — для кэширования состояния интерфейса.

Рекламные, аналитические и трекинговые cookies третьих сторон не используются.

---

13. Изменение Политики

Оператор вправе изменять настоящую Политику. Актуальная версия всегда публикуется по адресу https://gmd-online.ru/privacy.

При существенных изменениях пользователь увидит уведомление в кабинете с требованием подтвердить согласие с новой версией. До подтверждения доступ к некоторым функциям может быть ограничен.

История версий:

• 1.0 — 19 апреля 2026 г. — первая редакция.
• 1.1 — 12 мая 2026 г. — добавлен раздел 4 «Разрешения мобильного приложения ребёнка» (детализация назначения и границ использования каждого Android-разрешения, требуется для модерации в RuStore); актуализирован состав обрабатываемых данных (геолокация и аудио вынесены из «будущих версий», добавлен push-канал RuStore).
• 1.2 — 12 мая 2026 г. — приведение текста в соответствие с фактическим поведением системы и актуальным состоянием законодательства РФ: расширен раздел 3 «Состав данных» (аудитные журналы), переписан раздел 4.2 «Микрофон» (откровенное описание режима работы со ссылкой на Постановление Конституционного Суда РФ от 12.01.2024 № 1-П), уточнён раздел 4.9 (REQUEST_INSTALL_PACKAGES — sideload-канал vs RuStore), переписан раздел 7 «Способы обработки» (явно раскрыта трансграничная передача push-токенов в Google LLC, США), расширен раздел 8 «Срок хранения» (добавлены сроки для аудитных журналов, refresh-токенов, OTP, журналов блокировок и зоновых событий), расширен раздел 9 «Передача третьим лицам» (Google LLC и VK Company как получатели push-токенов).
• 1.3 — 15 мая 2026 г. — техническая редакция: миграция Сервиса на новый домен gmd-online.ru и новую инфраструктуру в РФ (task #67, переезд с прежнего сервера). Содержательные положения о составе данных, сроках хранения, правах субъекта и трансграничной передаче — без изменений. Прежний домен gmd.link28rus.ru отдаёт 301-редирект на новый адрес и подлежит выключению через 90 дней.

---

14. Контакты для обращений

link28rus@gmail.com

Срок ответа на обращения — до 30 календарных дней.

Жалобы на действия Оператора направляются в Роскомнадзор: rkn.gov.ru.