Політика конфіденційності

Персоналізація працює на вашому пристрої. Усе, що гамір знає про ваше читання — теми, які вас зачіпають, джерела, на які підписуєтеся, картки, які пропускаєте, — зашифроване і залишається на вашому iPhone. Між пристроями Apple воно синхронізується через iCloud Keychain. На сервери гамір такий профіль усталено не потрапляє.

На сервер потрапляє мінімум, потрібний для роботи: ваш обліковий запис, джерела підписки і трохи анонімної телеметрії. Збережене та історія взаємодій синхронізуються з сервером лише якщо ви це ввімкнете (Налаштування → Сховище → Синхронізація) — щоб той самий профіль працював і на пристроях інших платформ.

гамір розробляє одна людина. гамір не відстежує і ніколи не буде відстежувати вас для маркетингу чи показу реклами.

Ваш профіль читання — теми, теги, домени та джерела, які вас цікавлять, і пости, які ви пропустили, — формується з ваших гортань і натискань. Профіль зашифрований AES-GCM-256, ключ зберігається в iOS Keychain, а зашифроване навантаження синхронізується між пристроями Apple через iCloud Keychain. Завдяки наскрізному шифруванню Apple, ні Apple, ні гамір не можуть його прочитати.

Пропуски залишаються на пристрої. API відхиляє записи про пропуски на межі, тож навіть змінений клієнт не зможе їх протиснути. Коли застосунок запитує нові пости, він просить пропустити свіжі ID — список тимчасовий, на сервері не зберігається.

Якщо ви вмикаєте синхронізацію з сервером (Налаштування → Сховище → Синхронізація), історія взаємодій записується на сервер гамір у незашифрованому вигляді, щоб клієнти у вашому акаунті на інших платформах могли читати той самий профіль. Дані прив'язані до акаунта і видаляються при його видаленні. Якщо пізніше вимкнути синхронізацію, серверна копія також видаляється. Видалення застосунку або вихід із iCloud очищає локальну копію.

гамір не навчає моделей на ваших звичках читання або історії пропусків. Класифікатор тем тренується на промаркованих статтях, не на діях користувачів.

Усе нижче зберігається, доки існує ваш обліковий запис, якщо не зазначено інше.

Дані акаунта — серверно згенерований UUID, ваш нікнейм і URL аватара, якщо провайдер його надсилає.

Ідентифікатори входу — запис для кожного провайдера, яким ви користувалися (Apple, Google, GitHub): стабільний ID, email, який він повертає, і URL аватара. За цим ID гамір впізнає вас при наступному вході. Email оновлюється з кожним входом і використовується для виявлення спроб створити дублікат акаунта.

Підписки — стрічки та джерела, які ви додали.

Збережені статті (синхронізація — за згодою) — усталено лише на пристрої; якщо ввімкнете синхронізацію, список також зберігається на сервері.

Токен сповіщень (за згодою) — APNs-токен, лише якщо ви ввімкнули push-сповіщення. Скидається при виході або вимкненні сповіщень.

Анонімні події використання — покази, перегляди екранів, час на картці. Зберігаються без колонки user_id, тож рядки неможливо повторно прив'язати до вас. Автоматично видаляються через 180 днів.

Журнал модерації — спроби додати заблоковані джерела, пов'язані з акаунтом, який це робив; використовується лише для запобігання зловживанням. Зберігається до 2 років; при видаленні акаунта прив'язку до користувача знімають, лишається лише знеособлений запис.

Звіти про збої та помилки — стек-трейси надсилаються до власного трекера помилок. Перед тим як звіт виходить за межі інфраструктури, з нього на сервері вирізаються ідентифікатори користувачів, заголовки запиту і cookie. Жоден сторонній сервіс цих даних не отримує. Термін зберігання — за налаштуваннями трекера (зазвичай кілька сотень днів).

Операційні логи (HTTP-запити, фонові завдання) — кілька днів максимум, потім автоматично видаляються.

Дані акаунта, ідентифікатори входу, підписки, збережені статті: стаття 6(1)(b) — необхідно для надання сервісу.

Токен сповіщень: стаття 6(1)(a) — згода. Ввімкніть через системний діалог push, відкличте будь-коли.

Анонімні події, журнал модерації, звіти про збої: стаття 6(1)(f) — законний інтерес у вимірюванні роботи продукту, запобіганні зловживанням і підтримці стабільності, врівноважений мінімізацією даних (немає user_id у телеметрії, знеособлене зберігання модерації, очищення стек-трейсів на сервері).

Провайдери входу — Apple, Google, GitHub. Коли ви обираєте одного, він проводить автентифікацію; гамір отримує лише ідентифікатор і email, які провайдер передає, та ім'я або аватар, якщо є.

Apple Push Notification — використовується лише якщо ви ввімкнули push.

Apple iCloud Keychain + iCloud Key-Value Storage — використовуються для зашифрованої синхронізації локального профілю. гамір не бачить вмісту; Apple виступає контролером даних для цього каналу.

Хостинг та інфраструктура — хмарний провайдер у регіоні EU West надає сервери, бази даних і операційне логування.

гамір не використовує сторонні аналітичні SDK, рекламні мережі чи брокерів даних і не показує діалог iOS App Tracking Transparency, бо вас немає чим відстежувати в інших застосунках.

Сервери гамір працюють у Європейському Союзі (регіон EU West). Якщо ви в ЄС або Великій Британії, ваші дані, як правило, не залишають ЄС. Провайдери входу обробляють автентифікацію на своїй інфраструктурі за своїми політиками; те саме стосується push-сервісу Apple та iCloud. Якщо ви напишете на hello@hamir.app, лист обробляється там, куди його доставить поштовий сервіс. Коли обробка з боку Apple (вхід, push, iCloud Keychain) проходить через інфраструктуру Apple у США, такі передачі покриваються стандартними договірними положеннями (SCC) Apple з його дочірніми компаніями в ЄС.

Сайт hamir.app обробляє зворотні виклики входу, показує публічний каталог екземплярів і ці юридичні сторінки — веб-читалки немає.

Коли ви відвідуєте сайт, сервер логує запит (IP-адресу, user-agent, шлях, час) на кілька днів — для операційних потреб і запобігання зловживанням, потім логи автоматично видаляються. Жодних сторонніх аналітик, рекламних трекерів чи запису сесій. Жодного стороннього CDN — ваш браузер спілкується з інфраструктурою хостингу напряму.

Незалежно від країни проживання, ви можете експортувати свої дані (вбудований експорт акаунта), виправити нікнейм просто в застосунку, видалити акаунт у застосунку, та відкликати згоду на push-сповіщення (вимкніть у Налаштуваннях iOS або в застосунку). гамір прагне відповідати на запити щодо даних протягом місяця, як вимагає стаття 12 GDPR. Складні запити можуть зайняти до трьох місяців з попередженням.

Коли ви видаляєте акаунт, гамір видаляє записи акаунта, ідентифікатори, підписки, збережене, токени push, приватні джерела з обліковими даними та аналітичні дані, а ваші токени стають недійсними.

гамір — не для користувачів молодше 16. Якщо повідомлять про акаунт неповнолітнього, гамір його видаляє.

Якщо в гамір стається інцидент, що ставить ваші дані під ризик, гамір повідомляє постраждалих користувачів протягом 72 годин після виявлення, як вимагає стаття 33 GDPR — з поясненням, що сталося, які дані задіяні і що робити.

GDPR (ЄС / ЄЕЗ / Велика Британія). Якщо ви в ЄС, ЄЕЗ або Великій Британії, ви також маєте права на доступ (стаття 15), виправлення (16), видалення (17) і портабельність (20) — забезпечуються вбудованими функціями експорту, редагування нікнейма і видалення акаунта вище; обмеження або заперечення проти обробки (статті 18 та 21) — пишіть на hello@hamir.app; відкликання будь-якої наданої згоди (стаття 7(3)); і право подати скаргу до місцевого органу із захисту даних безпосередньо.

Каліфорнія (CCPA / CPRA). Згідно з законами Каліфорнії про приватність, ви також маєте право знати, які персональні дані має гамір (відповідь — у розділах вище; для конкретного запису напишіть на email), право видалити (через видалення в застосунку), право виправити (нікнейм редагується), право відмовитися від продажу або поширення для крос-контекстної поведінкової реклами (гамір не продає і не поширює для цієї мети, але право існує), право обмежити використання чутливих персональних даних (гамір не збирає таких за визначенням законів Каліфорнії), і право на недискримінацію за реалізацію будь-яких з цих прав.

Маєте додаткові запитання? Пишіть на hello@hamir.app. Про істотні зміни до цієї політики ви дізнаєтеся в застосунку або в нотатках до релізу до того, як вони набудуть чинності.