Политика конфиденциальности APX AI Fitness Trainer
Версия: 1.2 Последнее обновление: 09.06.2026 Контактный e-mail: support@apxtrainer.com
Принципы конфиденциальности
Если вы прочитаете только этот раздел:
Информация о ваших тренировках, питании, здоровье и физических параметрах является приватной. Мы прилагаем максимальные технические и организационные меры для её защиты.
Мы не продаём ваши персональные данные третьим лицам ни для каких целей.
Вы являетесь владельцем своих персональных данных. Вы можете в любой момент запросить копию, исправление или удаление данных.
Данные о здоровье и фитнесе обрабатываются только для предоставления Сервиса, никогда для рекламы, маркетинга или продажи третьим лицам без вашего явного согласия.
1. Какую информацию мы собираем
1.1 Информация о пользователе
Когда вы скачиваете и начинаете использовать APX AI Fitness Trainer, мы задаём вопросы о вас, ваших текущих привычках в области фитнеса и питания, целях и предпочтениях. Если вы решите предоставить эту информацию, мы сохраним: - Имя или псевдоним - E-mail - Возраст / год рождения (для корректного age-gating) - Страна (определяется автоматически по App Store account и/или IP) - Язык интерфейса - Дополнительная информация при обращении в поддержку
Авторизация через сторонние сервисы: Если вы используете Sign in with Apple или Google Sign-In, мы получаем токены авторизации и связанные идентификаторы от этих провайдеров в соответствии с их политиками конфиденциальности.
1.2 Информация, которую вы вводите в Приложение
- Планы тренировок (создаваемые вами или AI-ассистентом)
- Данные о питании и калориях (ручной ввод или интеграции)
- Данные о тренировках, упражнениях, весе и других физических параметрах
- Ответы и сообщения в беседах с AI-ассистентом
- История чатов с поддержкой
- Настройки приложения и предпочтения
- Заметки и комментарии (если функция доступна)
1.3 Фотографии: body scan, прогресс, фото блюд
В зависимости от используемых вами функций Приложение может работать с тремя категориями фотографий. Все фотографии обрабатываются автоматически без участия людей, используются исключительно для предоставления Сервиса вам, и не передаются третьим лицам для рекламы или маркетинга.
(a) Body scan, сканирование тела
- Что собирается: фотографии тела (фронт / сторона / спина), которые вы делаете в функции body scan для оценки композиции тела (% жира, мышечной массы и т.п.).
- Где обрабатывается: фотографии передаются на наши собственные серверы [указать страну расположения серверов и провайдера хостинга] для AI-обработки и расчёта метрик.
- Что хранится: исходная фотография хранится пока активен ваш аккаунт (для последующих сравнений и отслеживания прогресса) либо до момента, когда вы её удалите. Производные числовые метрики (% жира и т.п.) хранятся в вашем профиле.
- Шифрование: данные передаются по HTTPS/TLS 1.2+ и шифруются at rest на серверах.
- Доступ внутри компании: к фотографиям имеет доступ только автоматическая система обработки. Сотрудники не просматривают ваши фото в обычном режиме работы (только в исключительных случаях для технической поддержки, по вашему явному запросу).
- Использование для обучения AI: мы не используем ваши body scan фотографии для обучения наших или сторонних AI-моделей.
(b) Фотографии "до/после" (прогресс)
- Что собирается: фотографии, которые вы добровольно загружаете в Приложение для отслеживания прогресса.
- Где обрабатывается: хранятся на наших собственных серверах [указать страну/провайдера] для отображения вам в личном кабинете.
- Что хранится: хранятся пока активен ваш аккаунт или до момента, когда вы их удалите вручную. Эти фотографии видны только вам.
- Доступ внутри компании: только автоматическая обработка; сотрудники не имеют доступа.
- Использование для обучения AI: мы не используем эти фото для обучения моделей.
(c) Фотографии блюд (распознавание калорий)
- Что собирается: фотографии еды, которые вы делаете для автоматического распознавания блюд и расчёта калорий.
- Где обрабатывается: на наших собственных серверах [указать страну/провайдера] для AI-распознавания.
- Что хранится: исходная фотография может храниться вместе с записью о приёме пищи в вашем дневнике питания пока активен ваш аккаунт. Если эта функция вам не нужна, вы можете отключить сохранение фото в настройках Приложения; в этом случае фото удаляется сразу после распознавания.
- Доступ внутри компании: только автоматическая обработка.
- Использование для обучения AI: мы не используем ваши фото блюд для обучения моделей без вашего отдельного явного согласия.
Удаление фотографий: вы можете удалить любую фотографию через Приложение в любой момент. При удалении аккаунта все ваши фотографии безвозвратно удаляются с наших серверов в установленные сроки (см. Раздел 6).
Биометрический статус: фотографии тела и производные метрики могут квалифицироваться как биометрические данные в отдельных юрисдикциях (Illinois, BIPA, Texas, CUBI, Washington). Подробнее, Раздел 10.
1.4 Данные из Apple Health, Apple Watch, Google Fit, Health Connect
Мы можем получать данные из Apple HealthKit, Apple Watch, Google Fit или Health Connect (пульс, шаги, калории, сон, тренировки и т. п.), только при вашем явном разрешении. Эти данные используются исключительно для предоставления функций здоровья, движения и фитнеса в связи с Приложением. Подробнее, Раздел 9.
1.5 Информация об устройстве
- Тип устройства, модель, операционная система
- IP-адрес, региональные настройки, идентификаторы устройства
- Токены для push-уведомлений
- Данные о сбоях (crash reports) и производительности
- Идентификаторы рекламы (IDFA на iOS, AAID на Android), только при наличии вашего согласия (через Apple App Tracking Transparency на iOS / Android Privacy Sandbox)
1.6 Данные об использовании Приложения (аналитика) и запись сессий
Мы собираем аналитику для понимания того, как улучшить Сервис: - События использования Приложения - Метрики удержания, воронок, A/B-тестов, эффективности trial и подписок - Взаимодействие с push-уведомлениями, e-mail (если вы согласились), рекламными кампаниями
Поставщики аналитики: мы используем Amplitude (США), PostHog (США), Adjust и Adapty для всех пользователей. Для пользователей в Российской Федерации мы дополнительно используем AppMetrica (Yandex, хостинг в РФ), а первичная запись персональных данных выполняется с использованием баз данных, расположенных на территории РФ, в соответствии с 152-ФЗ. Для пользователей в Российской Федерации использование Amplitude и PostHog предполагает трансграничную передачу данных в США и осуществляется на основании вашего согласия (см. Разделы 5 и 17.1).
Запись сессий (Session Replay, PostHog): для диагностики технических проблем и улучшения удобства использования Приложение может записывать то, как вы взаимодействуете с его экранами, включая просмотры экранов, нажатия, навигацию и события интерфейса. Эти записи восстанавливаются из снимков экрана. Это не видео с вашей камеры, мы не записываем аудио и любую активность за пределами Приложения.
Защита ваших данных в записи сессий: - Чувствительные поля автоматически маскируются, включая имя, e-mail, возраст, вес, замеры тела, фотографии прогресса и фотографии body scan, а также платёжные поля. Все поля ввода текста и изображения маскируются по умолчанию. - Мы не записываем пароли и данные банковских карт. Покупки обрабатываются App Store и Google Play. - Поставщик: PostHog (США). Записи хранятся до 30 дней. - Запись сессий применяется ко всем пользователям, включая Российскую Федерацию, где она основана на вашем согласии на трансграничную передачу (см. Раздел 17.1). - Правовое основание: ваше согласие.
1.7 Платёжные и транзакционные данные
- Информация о покупках через App Store, Google Play или Web (валюта, страна покупки, идентификаторы транзакций, статус)
- Технические события от Adapty (включая Refund Saver, App Store Server Notifications V2)
- При покупке через Web, обработка через Stripe и/или PayPal (мы не получаем номера карт)
- Важно: мы не храним реквизиты банковских карт, это делает платёжная платформа
Обработка возвратов (Apple Refund Saver): когда вы отправляете запрос на возврат средств через App Store, мы используем функцию Refund Saver от Adapty для передачи Apple агрегированных данных об использовании покупки, чтобы помочь Apple принять решение по запросу. Передаваемые данные могут включать:
- Время с момента установки Приложения
- Общее время использования Приложения
- Анонимный идентификатор аккаунта
- Был ли полностью использован продукт встроенной покупки
- Информацию о пробном периоде
- Агрегированные суммы ваших расходов и истории возвратов внутри Приложения
Получатель: Apple Inc. (США), через Adapty.
Цель: содействие Apple в рассмотрении запросов на возврат и снижение необоснованных возвратов.
Правовое основание: законный интерес (борьба со злоупотреблениями) и исполнение договора.
Отказ: вы можете отказаться от передачи consumption data, написав на support@apxtrainer.com. Отказ не влияет на ваше право запросить возврат через Apple.
1.8 Реферальная и социальная функциональность
Если вы пользуетесь функцией приглашения друзей (referral) или share, мы собираем: - Идентификатор реферера - Источник установки реферала - Метаданные share-действия (без содержания личных сообщений)
2. Как мы используем вашу информацию
2.1 Предоставление Сервиса
- Создание персонализированных планов тренировок и рекомендаций
- Работа AI-ассистента (см. Раздел 11)
- Счётчик калорий и отслеживание питания
- Интеграция с Apple Health, Google Fit, Apple Watch, wearables
- Обработка подписок, trial-периодов (3 или 7 дней в зависимости от offer/cohort), разовых покупок, возвратов через Adapty
- Push-уведомления о тренировках и напоминания
- E-mail уведомления (только при наличии согласия)
2.2 Понимание и улучшение продукта
Анализ агрегированных данных использования для выявления проблем и улучшения функциональности.
2.3 Ответы на обратную связь
Использование вашей контактной информации для решения вашего запроса.
2.4 Маркетинг и продвижение (только при наличии согласия)
- Маркетинговые e-mail и push-уведомления
- Персонализация offers
- Эффективность рекламных кампаний (Meta, TikTok, Apple Search Ads, Google Ads)
Вы можете отказаться от маркетинговых коммуникаций в любой момент через настройки приложения, ссылку unsubscribe в письме или письменно на support@apxtrainer.com.
2.5 Безопасность и предотвращение мошенничества
Защита аккаунтов, выявление abuse, fraud, нарушений Terms of Use.
2.6 Соблюдение юридических обязательств
Налоговая отчётность, ответы на запросы регуляторов и правоохранительных органов.
3. Правовые основания обработки (GDPR / UK GDPR / EU equivalents)
| Регион | Правовое основание |
|---|---|
| Предоставление функций Сервиса | Исполнение договора (Art. 6(1)(b)) |
| Обработка медицинских/health-данных | Явное согласие (Art. 9(2)(a)) |
| Аналитика и улучшение продукта | Законный интерес (Art. 6(1)(f)) с балансом прав |
| Маркетинговые коммуникации | Согласие (Art. 6(1)(a)) |
| Использование IDFA/AAID | Согласие (Art. 6(1)(a) + ATT) |
| Биометрическая обработка (body scan) | Явное согласие (Art. 9(2)(a)) |
| AI-обработка персональных данных | Согласие + договор |
| Соблюдение закона | Юридическое обязательство (Art. 6(1)(c)) |
Для пользователей в РФ, обработка осуществляется на основании согласия по 152-ФЗ.
4. С кем мы делимся информацией (sub-processors)
4.1 Список sub-processors
AI - OpenAI Inc. (США), генерация рекомендаций и чат. Передача по SCC + согласие; возможно Zero Data Retention. В отдельных регионах может использоваться Azure OpenAI EU.
Аналитика и атрибуция - Amplitude (США): поведение, retention, воронки, для всех пользователей. SCC + согласие. - PostHog (США): продуктовая аналитика, воронки, feature usage и запись сессий (Session Replay, записи взаимодействия с экранами с маскированием чувствительных полей), для всех пользователей. SCC + согласие. - Adjust (Германия, EU): атрибуция установок. EU adequacy. - AppMetrica (Yandex, РФ): аналитика для пользователей из РФ, хостинг в РФ, 152-ФЗ compliant. - Sentry / Crashlytics (США): crash reports. SCC + ограниченный сбор.
Подписки и платежи - Adapty (США), управление подписками, refund-flow. SCC + согласие. - Apple App Store / Google Play, in-app покупки. По правилам платформ. - Stripe и/или PayPal (США / EU), Web-paywall. SCC + согласие. Мы не получаем номера карт.
Health-платформы - Apple HealthKit / Apple Watch, health/fitness data на iOS. On-device + Apple servers, по правилам Apple. - Google Fit / Health Connect, health/fitness data на Android. On-device + Google, по правилам Google.
Реклама - Meta Ads, TikTok Ads, Google Ads, атрибуция и реклама. SCC + согласие (после ATT/cookie consent). - Apple Search Ads, кампании ASA, по правилам Apple.
Коммуникации и поддержка - SendGrid / Postmark / Mailgun (США / EU), транзакционные и маркетинговые e-mail. SCC + согласие. - Zendesk / Intercom (США / EU), поддержка. SCC + согласие.
Инфраструктура - AWS / GCP / DigitalOcean, облачный хостинг. SCC где применимо.
Список может обновляться. Существенные изменения будут опубликованы и (при наличии вашего e-mail) направлены вам уведомлением.
4.2 Когда мы делимся данными
- С вашего согласия, для конкретных целей
- С sub-processors, на основе договоров обработки (DPA), под нашими инструкциями
- Для соблюдения закона, по обязательным запросам регуляторов и правоохранительных органов
- В случае реорганизации бизнеса, слияние, продажа активов (см. Раздел 20)
- Агрегированные/деидентифицированные данные, для исследований, в т. ч. с академическими партнёрами
4.3 Что мы НЕ делаем
- Не продаём персональные данные третьим лицам ни за какую плату
- Не передаём данные из Apple HealthKit / Google Fit / Health Connect для рекламы или маркетинга
- Не используем биометрические данные для целей, отличных от предоставления Сервиса
- Не передаём данные children без согласия родителей
- Не уполномочивали третьих лиц собирать ваши consumer health data across websites
5. Международные передачи данных
Когда мы передаём ваши персональные данные за пределы вашей юрисдикции, мы применяем соответствующие правовые механизмы:
- Из EU/EEA, Standard Contractual Clauses (SCC) 2021/914, Transfer Impact Assessment, и/или ваше явное согласие. Где применимо, наши US-провайдеры сертифицированы в EU-US Data Privacy Framework (DPF), актуальный список: https://www.dataprivacyframework.gov/list
- Из UK, UK Addendum to SCC; UK Extension to DPF где применимо
- Из Швейцарии, Swiss-US Data Privacy Framework где применимо
- Из РФ, для пользователей из РФ первичная запись персональных данных происходит с использованием баз данных на территории РФ через AppMetrica. Передача данных в иностранные государства, в том числе в США для аналитики и записи сессий (Amplitude, PostHog), осуществляется только на основании вашего согласия на трансграничную передачу по ст. 12 152-ФЗ
- Из ОАЭ, на основании contractual safeguards и согласия (UAE PDPL Art. 22)
Если вы хотите получить копию применимых SCC или подробнее узнать о механизмах трансфера, напишите на support@apxtrainer.com.
6. Хранение и удаление данных
6.1 Сроки хранения
- Активный аккаунт и его контент (профиль, тренировки, питание, история, токены): пока аккаунт активен + 30 дней grace period
- Health-данные из HealthKit / Google Fit: пока активно ваше разрешение
- Фотографии (body scan, "до/после", блюд): хранятся на наших серверах пока активен аккаунт или до момента удаления вами вручную. После удаления аккаунта, безвозвратно удаляются в течение 30 дней grace period.
- Производные метрики body scan (% жира, мышечной массы и т.п.): хранятся вместе с историей прогресса пока активен аккаунт
- AI чат-история: до 90 дней (или до удаления вами); промпты в OpenAI, не сохраняются провайдером при включённом Zero Data Retention
- Аналитические события и crash logs: до 24 месяцев (аналитика), 90 дней (crash logs)
- Записи сессий (Session Replay, PostHog): до 30 дней
- Платёжные документы: 7 лет (налоговое обязательство)
- Support tickets и логи DSR-запросов: 2-5 лет (доказательство compliance)
- Лог согласий на маркетинг: 3 года после opt-out
6.2 Удаление аккаунта
Вы можете удалить аккаунт: - Из настроек приложения (Account → Data → Delete Account) - Письмом на support@apxtrainer.com
После запроса мы безвозвратно удалим ваши персональные данные из наших систем, за исключением случаев, когда мы обязаны хранить данные по закону или для защиты наших прав.
7. Ваши права и как ими воспользоваться
7.1 Универсальные права (применяются глобально с поправкой на местное право)
Вы имеете право: - Получить доступ к своим данным и их копию (data export) - Исправить неточности или обновить информацию - Удалить данные / аккаунт (с учётом законных исключений) - Ограничить или возразить против определённой обработки (например, маркетинга) - Перенести данные в структурированном машиночитаемом формате - Отозвать согласие в любой момент (например, отключить HealthKit, рекламные ID) - Подать жалобу в регулятор
7.2 Как реализовать
- E-mail на support@apxtrainer.com (или через настройки приложения: Account → Data)
- Acknowledgement (подтверждение), в течение 10 рабочих дней
- Полный ответ, в течение 30 календарных дней (можем продлить до 90 дней при сложности, с уведомлением)
- Бесплатно (за исключением явно неосновательных или повторяющихся запросов)
- Мы можем попросить подтвердить личность
7.3 Право на жалобу
- EU: ваш национальный надзорный орган (Data Protection Authority); список: edpb.europa.eu/about-edpb/about-edpb/members_en
- UK: ICO (ico.org.uk)
- California: California Privacy Protection Agency (cppa.ca.gov) или AG Office
- Washington (CHD): atg.wa.gov/file-complaint
- Nevada (CHD): ag.nv.gov
- Russia: Роскомнадзор (rkn.gov.ru)
- UAE: UAE Data Office (data.gov.ae)
- Canada: Privacy Commissioner (priv.gc.ca); Quebec, CAI (cai.gouv.qc.ca)
- Australia: OAIC (oaic.gov.au)
8. Безопасность данных
Мы используем коммерчески разумные технические и организационные меры: - Шифрование каналов передачи (HTTPS/TLS 1.2+) - Шифрование данных at rest для чувствительных категорий - Ограничение доступа сотрудников по принципу least privilege - Мониторинг аномалий и логирование - Регулярный аудит sub-processors - Двухфакторная аутентификация для административных аккаунтов
Использование незащищённого Wi‑Fi или незащищённых сетей не рекомендуется. Ни один цифровой сервис не может гарантировать абсолютную безопасность.
8.1 Уведомление о нарушении безопасности (Breach notification)
В случае обнаружения нарушения, влекущего риск для прав и свобод субъектов данных: - Уведомим компетентный регулятор в течение 72 часов с момента обнаружения (в соответствии с GDPR Art. 33-34, UK GDPR, аналогичными законами других юрисдикций) - Уведомим вас по e-mail без необоснованной задержки, если нарушение влечёт высокий риск - Для пользователей из США (применимо к health data), также по FTC Health Breach Notification Rule
9. Apple HealthKit, Apple Watch, Google Fit, Health Connect
Данные, полученные из Apple HealthKit, Apple Watch, Google Fit или Health Connect, обрабатываются по следующим обязательным правилам:
- Мы не используем данные из HealthKit / Google Fit / Health Connect для рекламы или иного использования, основанного на data mining, кроме улучшения функций здоровья, движения и фитнеса в рамках Приложения.
- Мы не передаём данные, собранные через HealthKit / Google Fit / Health Connect, никаким третьим лицам без вашего разрешения, даже в деидентифицированной или агрегированной форме.
- Мы не записываем ложную или некорректную информацию обратно в HealthKit / Google Fit / Health Connect.
- Мы не передаём данные из HealthKit / Google Fit / Health Connect на сторонние серверы без вашего явного согласия для конкретной цели предоставления функций health/fitness.
Вы можете отозвать разрешение на доступ к этим данным в любой момент через настройки операционной системы вашего устройства.
10. Биометрические данные и body scan
10.1 Как работает body scan
Когда вы используете функцию body scan, фотографии тела (фронт / сторона / спина) передаются по защищённому соединению (HTTPS/TLS 1.2+) на наши собственные серверы [указать страну/провайдера] для AI-обработки и расчёта метрик композиции тела (% жира, мышечной массы и т.п.).
10.2 Производные метрики
В результате обработки получаются числовые метрики (например, оценка процента жира, мышечной массы). Эти метрики:
- Сохраняются в вашем профиле на серверах
- Синхронизируются между вашими устройствами через ваш аккаунт
- Используются для отслеживания прогресса и сравнения с предыдущими сканированиями
В некоторых юрисдикциях (включая Illinois, BIPA, Texas, CUBI, Washington) такие производные метрики и сами фотографии могут квалифицироваться как биометрические данные.
10.3 Хранение и удаление
- Исходные фотографии body scan хранятся пока активен ваш аккаунт или до момента, когда вы их удалите
- Производные метрики хранятся вместе с историей прогресса пока активен аккаунт
- После удаления аккаунта, все фотографии и метрики безвозвратно удаляются с серверов в течение 30 дней grace period
- Вы можете запросить удаление в любой момент через support@apxtrainer.com или настройки приложения
10.4 Безопасность и доступ
- Передача, только по HTTPS/TLS 1.2+
- Хранение, шифрование at rest
- Доступ внутри компании, только автоматизированные системы обработки. Сотрудники не просматривают ваши фотографии в обычном режиме работы (только в исключительных случаях технической поддержки, и только по вашему явному запросу).
- Мы не используем ваши фотографии и биометрические метрики для обучения наших или сторонних AI-моделей.
10.5 Передача третьим лицам
Биометрические данные (фотографии и производные метрики) не передаются никаким третьим лицам, ни для рекламы, ни для маркетинга, ни в деидентифицированной форме, без вашего отдельного явного согласия для конкретной цели.
10.6 Ваши права (BIPA Section 15 для пользователей из Illinois)
Вы имеете право:
- Получить копию написанной policy в отношении биометрических данных (этот раздел)
- Запросить удаление
- Получить информацию о цели обработки, сроке хранения и порядке уничтожения
11. AI-ассистент
11.1 Как работает AI
Когда вы взаимодействуете с AI-ассистентом (получаете план тренировок, советы по питанию, ответы на вопросы), ваши вводы (текст вопроса + релевантные данные профиля) передаются провайдеру AI, на момент публикации это OpenAI Inc. (США), для обработки через API.
В отдельных регионах мы можем использовать альтернативные конфигурации (например, Azure OpenAI с EU-хостингом), актуальная информация будет отражена в Разделе 4.
11.2 Обработка данных провайдером AI
- OpenAI обрабатывает данные как наш sub-processor по Data Processing Addendum (DPA)
- По умолчанию OpenAI не использует данные API для обучения своих моделей
- Для health-related запросов мы стремимся к Zero Data Retention (ZDR), OpenAI не сохраняет ваши вводы и ответы после генерации
- Передача в США осуществляется по SCC и вашему явному согласию
11.3 Региональные ограничения
Для пользователей из Российской Федерации часть AI-функций может быть недоступна или работать в ограниченном режиме (например, без отправки промптов в зарубежные сервисы), чтобы соответствовать требованиям 152-ФЗ.
11.4 Автоматическая обработка (GDPR Art. 22)
- AI генерирует рекомендации, но не принимает за вас решений с правовыми или существенными последствиями
- Все решения о том, выполнять ли рекомендацию, остаются за вами
- Вы можете запросить human-review через support@apxtrainer.com
- Вы можете отказаться от AI-функций в настройках приложения
11.5 Прозрачность AI-генерируемого контента
В соответствии с EU AI Act Article 50 (применяется с 02.08.2026) AI-генерируемый контент обозначается в интерфейсе приложения. Вы всегда знаете, когда взаимодействуете с AI, а не с человеком.
11.6 Ваши данные не используются для тренировки
Мы не используем ваши вводы для обучения наших или сторонних AI-моделей. Если в будущем мы захотим использовать данные для тренировки моделей, это потребует вашего отдельного явного согласия.
12. Сайт apxtrainer.com, Cookies, SDK, App Tracking Transparency
12.1 Что собирается на сайте apxtrainer.com
Сайт apxtrainer.com, информационный (landing) сайт о Приложении. Сайт не принимает оплат и не имеет личного кабинета, он только перенаправляет вас в App Store для скачивания Приложения.
На сайте собирается:
- Cookies, см. список ниже
- Технические данные посещения: IP-адрес, тип и версия браузера, операционная система, страница-источник перехода (Referer), временные метки
- Поведенческие данные: просмотренные страницы, время на странице, прокрутка, клики, собираются через Google Analytics 4 и Яндекс.Метрику (только при наличии согласия)
- Записи сессий (Вебвизор Яндекс.Метрики): могут включать движения мыши, скроллинг, клики. Не записываются содержимое полей форм с конфиденциальной информацией и пароли. Только при наличии согласия.
Сайт не собирает: персональные данные через формы (на сайте нет регистрации/login/оформления покупок), платёжные данные (оплата происходит в App Store), health-данные, фотографии, биометрические данные (всё это происходит только в Приложении).
Сроки хранения данных сайта: server access logs (Tilda), 30-90 дней; события GA4, 14 месяцев; данные Яндекс.Метрики, 25 месяцев; Вебвизор-записи, 15 дней.
12.2 Cookies на сайте
Сайт apxtrainer.com использует cookies трёх категорий:
- Strictly Necessary (необходимые), обеспечение работы сайта, защита от DDoS-атак. Без согласия не требуется (юридическое исключение).
- Performance / Analytics (аналитические), понимание того, как используется сайт. Требует согласия для пользователей в EU/UK.
- Marketing / Advertising (маркетинговые), на момент текущей версии политики маркетинговые cookies (Meta Pixel, TikTok Pixel и т.п.) на сайте не установлены. Если будут установлены, политика будет обновлена.
12.3 Полный список cookies на сайте
| Cookie | Категория | Назначение | Поставщик | Срок хранения |
|---|---|---|---|---|
__ddg1_ |
Strictly Necessary | Защита от DDoS-атак, идентификация легитимного посетителя | DDoS-Guard / Tilda | 1 год |
__ddg8_, __ddg9_, __ddg10_ |
Strictly Necessary | Защита от DDoS-атак, временные технические cookies | DDoS-Guard / Tilda | 20 минут / сессия |
tilda_* |
Strictly Necessary | Идентификатор сессии, технические настройки сайта | Tilda | Сессия |
_ga |
Analytics | Идентификатор уникального пользователя для Google Analytics 4 | Google LLC | 2 года |
_ga_<ID> |
Analytics | Сохранение состояния сессии для Google Analytics 4 | Google LLC | 2 года |
_ym_uid |
Analytics | Идентификатор уникального посетителя для Яндекс.Метрики | ООО "Яндекс" | 1 год |
_ym_d |
Analytics | Дата первого визита | ООО "Яндекс" | 1 год |
_ym_isad |
Analytics | Определение блокировки рекламы | ООО "Яндекс" | 1 день |
_ym_visorc_* |
Analytics | Запись действий пользователя для Вебвизора (карты скроллинга, тепловые карты) | ООО "Яндекс" | 30 минут |
Список может обновляться вместе с настройками аналитики. Актуальная версия, в этом разделе.
12.4 Cookie banner и управление согласием
При первом посещении сайта вам показывается cookie banner с возможностью:
- Принять все, даёт согласие на все категории cookies (включая аналитические)
- Только необходимые, отключает аналитические и маркетинговые cookies; работают только Strictly Necessary
- Настроить, выбрать какие категории включить (по согласию)
Вы можете изменить или отозвать своё согласие в любой момент:
- Через ссылку «Cookie настройки» в футере сайта
- Через настройки вашего браузера (удалить cookies, заблокировать сторонние cookies)
- Письмом на support@apxtrainer.com
12.5 SDK в мобильном приложении
В приложение интегрированы SDK поставщиков, перечисленных в Разделе 4. Активация большинства аналитических и рекламных SDK для пользователей из EU/UK требует вашего согласия через consent management.
12.6 App Tracking Transparency (iOS)
На iOS Apple требует явного согласия перед использованием идентификатора рекламы (IDFA). Если вы откажете в ATT prompt:
- Мы продолжим использовать данные для first-party аналитики (без cross-app/web tracking)
- Атрибуция кампаний работает только в режиме SKAdNetwork (без идентификации устройства)
- Никакие cross-app identifiers не покидают ваше устройство
12.7 Android Privacy Sandbox / AAID
Аналогично, мы honourим выбор пользователя в системных настройках.
13. Маркетинговые коммуникации
13.1 По каким каналам
- E-mail (только при наличии согласия)
- Push-уведомления (только при наличии согласия на маркетинг push-ы; транзакционные, без отдельного согласия)
- In-app сообщения
13.2 Compliance по регионам
- EU/UK: согласие на основании GDPR / PECR (opt-in)
- США: CAN-SPAM (clear from/subject, физический адрес, рабочая отписка в 10 рабочих дней)
- Канада: CASL (express consent + identification + unsubscribe)
- Россия: согласие по ст. 9 152-ФЗ + отдельное согласие по ст. 18 ФЗ "О рекламе"
- Австралия: Spam Act 2003 (consent + identification + unsubscribe)
13.3 Как отказаться
- Ссылка unsubscribe в каждом маркетинговом письме
- Настройки приложения → Notifications
- Письмом на support@apxtrainer.com
14. Конфиденциальность детей
14.1 Возрастные пороги по регионам
| Регион | Минимальный возраст без parental consent |
|---|---|
| США (COPPA) | 13 |
| Великобритания | 13 |
| EU, Ирландия, Германия, Нидерланды, Люксембург, Венгрия, Словакия, Литва, Хорватия | 16 |
| EU, Франция, Греция, Чехия, Словения | 15 |
| EU, Испания, Болгария, Италия, Кипр, Австрия | 14 |
| EU, Бельгия, Дания, Эстония, Финляндия, Латвия, Мальта, Польша, Португалия, Румыния, Швеция | 13 |
| Канада | 13 (PIPEDA, meaningful consent) |
| Австралия | 13 (Privacy Code 2026) |
| Россия | 14 |
| ОАЭ | 18 (FDL 26/2025, особые правила для детей) |
14.2 Что мы делаем
- На онбординге, age-gate с привязкой к стране устройства
- Не принимаем регистрацию пользователей младше национального минимума без verifiable parental consent (VPC)
- Для подростков 13-17 в США (Connecticut, Maryland), opt-in для targeted advertising
- В UK / Австралии, high privacy by default для пользователей младше 18 (Children's Code)
14.3 Если вы родитель и обнаружили
Если ребёнок предоставил информацию без вашего согласия, напишите на support@apxtrainer.com. Мы удалим данные.
15. Региональные права, EU / EEA / Великобритания / Швейцария
Если вы используете APX, находясь в EU, EEA, Великобритании или Швейцарии, у вас есть права под GDPR / UK GDPR / Swiss FADP: - Доступ, исправление, удаление - Ограничение и возражение против обработки - Переносимость данных - Отзыв согласия - Подача жалобы в DPA
Связаться: support@apxtrainer.com или с EU/UK представителем (см. Раздел 0).
Правовые основания обработки, см. Раздел 3.
16. Региональные права, США
16.1 Права жителей Калифорнии (CCPA / CPRA)
У вас есть право: - Узнать, какие категории персональной информации мы собрали, источники, цели и категории третьих лиц-получателей - Получить копию ваших данных - Удалить персональную информацию - Исправить неточные данные - Ограничить использование Sensitive Personal Information (SPI), health data, biometric, precise geolocation - Возразить против sale or share для cross-context behavioral advertising (мы не продаём; для share, см. ниже) - Назначить authorized agent
Honoring Global Privacy Control (GPC): мы воспринимаем сигнал GPC как opt-out request для sale/share.
Категории "share" под CPRA: мы можем "делиться" определёнными категориями для cross-context behavioral advertising с рекламными сетями (Meta, TikTok, Google, Apple), только при наличии вашего согласия. Вы можете отказаться через cookie banner / ATT / Account settings.
Notice at Collection (краткая версия) представлена при первом запуске приложения.
Финансовое стимулирование (CCPA): мы не предоставляем финансовых стимулов в обмен на персональную информацию.
Несовершеннолетние: мы не имеем актуальных знаний о "продаже" персональной информации лиц младше 16 лет.
16.2 Права жителей других штатов США
Мы соблюдаем comprehensive privacy laws следующих штатов: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Oregon (OCPA), Florida (FDBR), Montana (MCDPA), Iowa (ICDPA), Delaware (DPDPA), New Hampshire (NHDPA), New Jersey (NJDPA), Tennessee (TIPA), Minnesota (MCDPA), Maryland (MODPA), Indiana (INCDPA), Kentucky (KCDPA), Rhode Island (RICDPA).
Универсальный набор прав: доступ, удаление, переносимость, opt-out из targeted advertising / sale / profiling, appeal. Для штатов с opt-in регулированием sensitive data (Colorado, Connecticut, Oregon, Montana, Delaware, NH, NJ, Minnesota, Maryland, Indiana, Kentucky, Rhode Island) сбор health/biometric данных требует вашего согласия.
Maryland MODPA, наиболее строгий: data minimization + запрет продажи sensitive data.
Universal opt-out signal (GPC): мы honourим сигнал в большинстве перечисленных штатов.
Для реализации прав, support@apxtrainer.com с указанием штата проживания.
16.3 Consumer Health Data (Washington MHMDA / Nevada SB 370 / Connecticut CHD / Maryland MODPA)
Что относится к Consumer Health Data (CHD): - Информация о вашем физическом или ментальном health status (прошлом, настоящем, будущем) - Body measurements, fitness metrics, calorie tracking - Информация из Apple HealthKit / Google Fit / Health Connect - Данные о медикаментах, аллергиях, диетических предпочтениях - AI-чаты на тему здоровья - Биометрические производные метрики (body scan)
Источники CHD: - Прямой ввод в приложение - Apple HealthKit / Google Fit / Health Connect (с вашего разрешения) - Поддержка / e-mail / интервью
Цели использования CHD: - Персонализация планов тренировок и питания - AI-генерация рекомендаций - Обслуживание клиентов
С кем мы делимся CHD: - Sub-processors из Раздела 4, у которых есть DPA, обязывающий не использовать данные для иных целей - Никаких third parties для рекламы или маркетинга без вашего отдельного явного согласия - Мы не уполномочивали третьих лиц собирать ваши consumer health data over time and across different websites or online services
Opt-in согласие: для сбора и обработки CHD действует ваше явное согласие, данное при подключении соответствующих функций.
Geofencing: мы не устанавливаем geofences в радиусе 2000 футов вокруг healthcare facilities (требование MHMDA Section 9).
Ваши права: - Доступ, исправление, удаление CHD - Отзыв согласия - Подача жалобы (appeal), support@apxtrainer.com с темой "CHD Appeal"; если ответ не удовлетворит, обратиться в: - Washington: atg.wa.gov/file-complaint - Nevada: ag.nv.gov - Connecticut: ag.ct.gov - Maryland: marylandattorneygeneral.gov
Уведомления об изменениях: существенные изменения в обработке CHD будут отправлены вам по e-mail заранее.
16.4 BIPA (Illinois) и аналогичные biometric laws
См. Раздел 10. Для пользователей из Illinois, Texas, Washington перед первым использованием body scan мы запрашиваем отдельное written consent в соответствии с BIPA Section 15 / CUBI / Washington biometric law.
16.5 FTC Health Breach Notification Rule
Как app, технически способный собирать или передавать данные из multiple sources health information, мы соблюдаем FTC HBNR. В случае breach затрагивающего health data мы уведомим затронутых пользователей, FTC и (при ≥500 затронутых) media, в установленные сроки.
17. Региональные права, Россия и СНГ
17.1 Российская Федерация
Оператор: [указать после регистрации; оператор, обрабатывающий ПД пользователей из РФ]
Представитель оператора в РФ: см. Раздел 0.
Локализация: запись, систематизация, накопление, хранение, изменение, извлечение и обновление ПД граждан РФ осуществляются с использованием баз данных, находящихся на территории РФ (152-ФЗ ст. 18 ч. 5). Первичная запись персональных данных пользователей из РФ выполняется через AppMetrica (Yandex, RU-хостинг). Кроме того, на основании вашего согласия на трансграничную передачу мы используем Amplitude (США) и PostHog (США), включая запись сессий, для аналитики и улучшения продукта.
Цели обработки: - Предоставление функционала Приложения - Аналитика и улучшение продукта - Маркетинг (только при согласии) - Соблюдение закона
Правовое основание: согласие субъекта ПД, договор оказания услуг, выполнение обязательств по закону.
Срок хранения: см. Раздел 6.
Согласие на трансграничную передачу (ст. 12 152-ФЗ): использование отдельных функций Приложения, включая аналитику и запись сессий через Amplitude (США) и PostHog (США), требует передачи ваших персональных данных в иностранные государства, в частности в США. Используя эти функции, вы даёте согласие на такую трансграничную передачу. Перечень государств-получателей и адекватность защиты доступны по запросу на support@apxtrainer.com. Вы можете отозвать это согласие в любой момент, написав на support@apxtrainer.com.
Согласие на маркетинговую рассылку: оформляется отдельно по ст. 18 ФЗ "О рекламе", opt-in чекбокс.
Уведомление РКН: оператор уведомил Роскомнадзор о намерении обработки ПД (ссылка / реестровый номер, TBD после регистрации).
Право на отзыв согласия: письменное обращение на support@apxtrainer.com. Срок выполнения, до 30 календарных дней.
Жалоба: Роскомнадзор (rkn.gov.ru).
17.2 Казахстан, Беларусь, Узбекистан
Для пользователей из Казахстана (Закон 94-V), Беларуси (Закон 99-З) и Узбекистана действуют требования локального законодательства о защите ПД, включая локализацию отдельных категорий данных и (где применимо) регистрацию владельца БД.
Для пользователей из Украины (Закон 2297-VI) применяется законодательство Украины о защите ПД.
Подробности и реализация прав, support@apxtrainer.com.
18. Региональные права, Канада, Австралия, ОАЭ
18.1 Канада (PIPEDA + Quebec Law 25)
- Право на доступ, исправление, отзыв согласия, жалобу в Privacy Commissioner
- Quebec, требование French language; для жителей Quebec доступна французская версия Privacy Policy
- Person in charge of protection of personal information: support@apxtrainer.com
18.2 Австралия (Privacy Act 1988 + APP)
- Доступ, исправление, жалоба в OAIC
- Применяется к нам автоматически из-за обработки health information (независимо от revenue)
18.3 Объединённые Арабские Эмираты (UAE PDPL / DIFC DPL / ADGM DPR)
- Применимая система данных, соответствует регистрации юрлица (mainland / DIFC / ADGM)
- Cross-border transfer, на основании контрактных гарантий и согласия
- Health data в mainland UAE регулируется Federal Law No. 2 of 2019 (см. также раздел 0)
19. Изменения в этой Политике
Мы можем периодически обновлять эту Политику. О существенных изменениях мы уведомим: - Через приложение / e-mail минимум за 30 дней до вступления в силу - При особо существенных изменениях, запросим ваше явное согласие повторно - Дата "Последнее обновление" вверху документа всегда актуальна
Архив предыдущих версий доступен по запросу на support@apxtrainer.com.
20. Слияние, продажа, банкротство
В случае, если оператор будет приобретён или объединён с третьей стороной, мы оставляем за собой право передать или назначить информацию, собранную от пользователей, как часть такой реорганизации. Мы уведомим пользователей о таких изменениях и применимых правах.
В случае банкротства, неплатёжеспособности, реорганизации, назначения управляющего или назначения в пользу кредиторов мы можем не иметь возможности контролировать, как обрабатывается, передаётся или используется ваша информация, но приложим разумные усилия для соблюдения этой Политики.
21. Контакты
Для всех вопросов о конфиденциальности:
E-mail: support@apxtrainer.com
Почтовый адрес: Signature Tower 1, Canal Lawn, Dubai, ОАЭ