Политика конфиденциальности
мобильного приложения «Cashback Tracker»
Дата последнего обновления: 17.06.2026
1. Общие положения
Настоящая Политика конфиденциальности (далее — Политика) определяет порядок обработки и защиты персональных данных пользователей мобильного приложения «Cashback Tracker» (далее — Приложение).
Оператором персональных данных является:
Краснонос Дмитрий Александрович
Адрес: Россия, г. Рязань, 1-й проезд Ломоносова, д. 9/15, кв. 90
Телефон: +7 (916) 624-76-70
Email: support@cashbacktracker.ru
Обработка персональных данных осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон).
2. Какие данные мы собираем
При использовании Приложения Оператор собирает и обрабатывает следующие персональные данные:
- Адрес электронной почты (email) — для регистрации, аутентификации и связи с пользователем
- Номер телефона (при наличии) — для связи с пользователем и восстановления доступа
- Идентификатор пользователя в сторонних сервисах аутентификации (VK ID, Яндекс ID, Apple ID) — при использовании соответствующего способа входа
- Данные о финансовых операциях (суммы расходов и доходов, категории трат) — для предоставления основного функционала Приложения
- Названия банковских карт — для учёта кешбека (номера карт не хранятся)
- Технические и служебные данные — идентификатор установки, тип и модель устройства, версия ОС и приложения, язык интерфейса, регион подключения, обезличенные сведения о действиях в приложении (открываемые экраны и используемые функции), данные о сбоях и производительности — для анализа использования и улучшения приложения. Содержание финансовых операций в системы аналитики не передаётся
3. Способы регистрации и аутентификации
Приложение предоставляет следующие способы регистрации и входа:
- Регистрация по email и паролю
- Авторизация через VK ID (ООО «ВКонтакте», Россия)
- Авторизация через Яндекс ID (ООО «Яндекс», Россия)
- Авторизация через Apple ID (Apple Inc., США) — только на устройствах iOS
При авторизации через сторонние сервисы Оператор получает данные в объёме, разрешённом Пользователем при входе через соответствующий сервис (как правило: имя и email). При авторизации через Apple ID пользователь может скрыть свой email (функция «Hide My Email»), в этом случае Оператор получает relay-адрес электронной почты.
4. Цели обработки данных
Персональные данные обрабатываются в следующих целях:
- Регистрация и идентификация пользователя
- Предоставление функционала учёта финансов и кешбека
- Синхронизация данных между устройствами пользователя
- Обеспечение функционала совместного ведения бюджета (совместные счета)
- Связь с пользователем и техническая поддержка
- Анализ использования и стабильности Приложения на основе обезличенной статистики и улучшение работы Приложения
5. Правовое основание обработки
Обработка персональных данных осуществляется на основании согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона), предоставляемого при регистрации в Приложении в порядке, предусмотренном ст. 9 Закона.
6. Хранение и защита данных
Все персональные данные хранятся на серверах, расположенных на территории Российской Федерации (Yandex Cloud, г. Москва), в соответствии с требованиями ч. 5 ст. 18 Федерального закона № 152-ФЗ.
Для защиты данных применяются следующие меры:
- Шифрование данных при передаче (SSL/TLS)
- Разграничение доступа к базе данных (Row Level Security)
- Регулярное резервное копирование
- Аутентификация с использованием защищённых токенов (JWT)
- Хеширование паролей пользователей
7. Совместные счета и раскрытие данных между пользователями
Приложение предоставляет функционал «Совместный счёт» (доступен по подписке Premium), позволяющий нескольким пользователям вести общий бюджет. При добровольном использовании данного функционала:
- Адрес электронной почты владельца счёта отображается участникам, принявшим приглашение, как идентификатор владельца.
- Адрес электронной почты участника отображается владельцу счёта в списке участников.
- Финансовые данные (транзакции, карты, настройки кешбека), внесённые в совместный счёт любым участником, видны всем участникам этого счёта.
Доступ предоставляется исключительно пользователям, которые явно приняли приглашение. Данные не выходят за пределы приложения. Участник вправе в любой момент покинуть совместный счёт через настройки счёта.
8. Передача данных третьим лицам
Оператор не передаёт персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации. Раскрытие данных между пользователями в рамках совместных счетов (п. 7) осуществляется с явного согласия обеих сторон и не является передачей данных третьим лицам.
При использовании сторонних сервисов аутентификации Оператор получает данные от следующих третьих лиц:
- ООО «ВКонтакте» (Россия) — при авторизации через VK ID
- ООО «Яндекс» (Россия) — при авторизации через Яндекс ID
- Apple Inc. (США) — при авторизации через Apple ID
При авторизации через Apple ID данные поступают от Apple Inc. (США) на серверы Оператора, расположенные на территории Российской Федерации, по инициативе Пользователя. Оператор не осуществляет передачу персональных данных в адрес Apple Inc.
Для анализа использования и стабильности Приложения Оператор привлекает обработчиков обезличенной технической статистики, разделяя их по местонахождению пользователя:
- пользователи на территории Российской Федерации — «Яндекс AppMetrica» (ООО «Яндекс», Россия), серверы в Российской Федерации; трансграничной передачи данных таких пользователей нет;
- пользователи за пределами Российской Федерации — PostHog (PostHog, Inc.), серверы в Европейском союзе (Германия); передача осуществляется по инициативе и с согласия пользователя.
В системы аналитики передаются только обезличенные технические события и данные о сбоях; содержание финансовых операций не передаётся. Сбор статистики можно отключить в разделе «Профиль» → «Настройки».
За исключением обработки обезличенной статистики пользователей за пределами Российской Федерации, трансграничная передача персональных данных Оператором не осуществляется. Данные пользователей на территории Российской Федерации за её пределы не передаются.
9. Права пользователя
Пользователь имеет право:
- Получить информацию об обработке своих персональных данных (ст. 14 Закона)
- Потребовать уточнения, блокирования или уничтожения своих данных (ст. 14 Закона)
- Отозвать согласие на обработку персональных данных (ст. 9 Закона)
- Отключить сбор обезличенной статистики использования в разделе «Профиль» → «Настройки» (для пользователей из ЕС сбор по умолчанию выключен и включается только с явного согласия)
- Удалить свой аккаунт и все связанные данные
- Обратиться с жалобой в Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций)
10. Срок хранения данных
Персональные данные хранятся в течение всего периода использования Приложения. При удалении аккаунта или отзыве согласия все персональные данные уничтожаются в течение 30 (тридцати) дней, за исключением данных, хранение которых предусмотрено законодательством Российской Федерации.
11. Изменение Политики
Оператор оставляет за собой право вносить изменения в настоящую Политику. Актуальная версия Политики всегда доступна в Приложении. При существенных изменениях пользователь будет уведомлён.
12. Контакты
По вопросам, связанным с обработкой персональных данных, вы можете обратиться:
Краснонос Дмитрий Александрович
Телефон: +7 (916) 624-76-70
Email: support@cashbacktracker.ru
Privacy Policy
of the Cashback Tracker Mobile Application
Last updated: June 17, 2026
1. General Provisions
This Privacy Policy (hereinafter — the Policy) defines the procedure for processing and protecting personal data of users of the Cashback Tracker mobile application (hereinafter — the Application).
The personal data controller is:
Krasnonos Dmitry Alexandrovich
Address: Russia, Ryazan, 1st Lomonosov Passage, 9/15, apt. 90
Phone: +7 (916) 624-76-70
Email: support@cashbacktracker.ru
Personal data is processed in accordance with Federal Law No. 152-FZ of July 27, 2006 «On Personal Data».
2. Data We Collect
When using the Application, the controller collects and processes the following personal data:
- Email address — for registration, authentication, and communication with the user
- Phone number (if provided) — for communication and account recovery
- User identifiers in third-party authentication services (VK ID, Yandex ID, Apple ID) — when using the corresponding sign-in method
- Financial transaction data (expense and income amounts, spending categories) — to provide the core functionality of the Application
- Bank card names — for cashback tracking (card numbers are not stored)
- Technical and service data — installation identifier, device type and model, OS and Application version, interface language, connection region, anonymized information about actions within the Application (screens opened and features used), crash and performance data — for usage analysis and Application improvement. The content of financial transactions is not transmitted to analytics systems
3. Registration and Authentication Methods
The Application provides the following registration and sign-in methods:
- Email + password (via Supabase Auth / GoTrue)
- VK ID (VKontakte LLC) — OAuth 2.1 + PKCE; token exchange is performed server-side, the client secret is not included in the application bundle
- Yandex ID (Yandex LLC) — OAuth implicit grant with server-side access token verification
- Apple ID (Apple Inc.) — Sign in with Apple (iOS only)
4. Purposes of Data Processing
Personal data is processed for the following purposes:
- User registration and authentication in the Application
- Providing the functionality of tracking income, expenses, and cashback
- Ensuring the security of user accounts
- Technical support and communication with users
- Analysis of Application usage and stability based on anonymized statistics, to improve the Application
- Fulfilling obligations under applicable law
5. Legal Basis for Processing
Processing of personal data is carried out on the basis of the user's consent (Article 6(1)(a) and Article 9 of Federal Law No. 152-FZ), as well as for the performance of a contract to which the data subject is a party (Article 6(1)(b)).
6. Data Storage
All personal data is stored on servers located in the Russian Federation (Yandex Cloud, Moscow). For users located within the Russian Federation, no cross-border transfer of personal data is carried out. For users located outside the Russian Federation, anonymized technical usage statistics are processed by the PostHog service on servers within the European Union (see Section 8).
7. Data Security
The controller implements the following technical and organizational measures to protect personal data:
- Encrypted connections (SSL/TLS via Let's Encrypt)
- Row Level Security at the database level (PostgreSQL RLS)
- JWT authentication
- Password hashing (bcrypt)
- Firewall (UFW)
- Daily database backups with a 30-day retention period
8. Third-Party Services
The Application interacts with the following third-party services:
- Supabase (self-hosted) — backend, database, authentication
- Yandex Cloud — server infrastructure (Russia)
- VK ID / VKontakte — optional authentication
- Yandex ID — optional authentication
- Apple (Sign in with Apple) — optional authentication (iOS)
- Yandex AppMetrica (Yandex LLC, Russia) — anonymized usage and crash analytics for users within the Russian Federation; data processed on servers in the Russian Federation
- PostHog (PostHog, Inc.) — anonymized product analytics for users outside the Russian Federation; data processed on servers in the European Union (Germany)
Analytics processors receive only anonymized technical events and crash data; the content of financial transactions is never transmitted. Statistics collection can be disabled in «Profile» → «Settings»; for users in the EU it is disabled by default and enabled only with explicit consent.
9. User Rights
In accordance with Federal Law No. 152-FZ and GDPR, you have the right to:
- Access your personal data
- Request correction of inaccurate data
- Request deletion of personal data (the right to be forgotten)
- Withdraw consent to data processing
- Disable the collection of anonymized usage statistics in «Profile» → «Settings»
- Lodge a complaint with the supervisory authority
To exercise your rights, please contact us at support@cashbacktracker.ru or use the account deletion feature in the Application settings.
10. Data Retention
Personal data is stored for the entire period of Application use. Upon account deletion or withdrawal of consent, all personal data is destroyed within 30 (thirty) days, except for data whose retention is required by Russian law.
11. Policy Changes
The controller reserves the right to make changes to this Policy. The current version is always available in the Application. Users will be notified of material changes.
12. Contact
For questions related to personal data processing, please contact:
Krasnonos Dmitry Alexandrovich
Phone: +7 (916) 624-76-70
Email: support@cashbacktracker.ru