Политика конфиденциальности

Последнее обновление: 11 января 2025 г.

1. Введение

Zomni («мы», «нас» или «наш») привержена защите вашей конфиденциальности. Настоящая Политика конфиденциальности объясняет, как мы собираем, используем, раскрываем и защищаем вашу информацию при использовании нашего сервиса улучшения сна («Сервис»).

Мы соблюдаем:

  • Общий регламент по защите данных (GDPR) для пользователей в Европейском союзе
  • UK GDPR для пользователей в Великобритании
  • Калифорнийский закон о конфиденциальности потребителей (CCPA) для пользователей в Калифорнии
  • Общий закон о защите данных (LGPD) для пользователей в Бразилии
  • Закон о конфиденциальности 1988 года и Австралийские принципы конфиденциальности (APPs) для пользователей в Австралии
  • Закон о защите персональной информации и электронных документах (PIPEDA) для пользователей в Канаде
  • Федеральный закон о защите данных (FADP) для пользователей в Швейцарии

2. Какую информацию мы собираем

2.1 Информация, которую вы предоставляете

Мы собираем информацию, которую вы добровольно предоставляете при использовании нашего Сервиса:

  • Информация об аккаунте: адрес электронной почты, пароль
  • Ответы в тесте: особенности сна, привычки перед сном, оценка качества сна
  • Данные о прогрессе: данные отслеживания сна, статус завершения программы
  • Сообщения: сообщения, отправленные в службу поддержки

2.2 Автоматически собираемая информация

При использовании нашего Сервиса мы автоматически собираем определенную информацию:

  • Данные об использовании: просмотренные страницы, используемые функции, время в приложении
  • Информация об устройстве: тип устройства, операционная система, тип браузера
  • Аналитические данные: записи сеансов, паттерны взаимодействия (через PostHog)
  • Cookies: необходимые cookies для аутентификации и предпочтений

2.3 Платежная информация

Платежная информация обрабатывается Stripe. Мы не храним полные данные вашей кредитной карты. Stripe может собирать платежный адрес, данные карты и метаданные платежей. См. Политику конфиденциальности Stripe для подробностей.

3. Как мы используем вашу информацию

Мы используем вашу информацию для следующих целей:

  • Предоставление Сервиса: доставка персонализированных рекомендаций по сну и отслеживание прогресса
  • Улучшение Сервиса: анализ паттернов использования для улучшения функций
  • Аутентификация: проверка вашей личности и управление аккаунтом
  • Поддержка клиентов: ответы на ваши запросы и предоставление помощи
  • Аналитика: понимание того, как пользователи взаимодействуют с Сервисом (через PostHog и Firebase)
  • Соблюдение законов: соблюдение применимых законов и правил
  • Безопасность: обнаружение и предотвращение мошенничества, злоупотреблений и инцидентов безопасности

4. Сторонние сервисы

Мы используем следующие сторонние сервисы, которые могут собирать вашу информацию:

4.1 PostHog (Аналитика и запись сеансов)

PostHog предоставляет функции аналитики и записи сеансов. Это помогает нам понять, как пользователи взаимодействуют с нашим Сервисом.

Данные, собираемые PostHog:

  • Идентификаторы устройства: уникальные ID устройств, отпечатки браузера
  • IP-адреса: ваш IP-адрес для геолокации и аналитики
  • Поведенческие паттерны: просмотры страниц, клики, прокрутка, использование функций
  • Записи сеансов: визуальные записи вашего взаимодействия с нашим Сервисом
  • Технические данные: тип браузера, операционная система, разрешение экрана, тип устройства

Место обработки данных: PostHog обрабатывает данные на серверах, расположенных в США и Европейском союзе. Ваши данные могут передаваться международно в зависимости от вашего местоположения.

Передача данных: PostHog может передавать данные субобработчикам, как указано в их политике конфиденциальности. Вы можете ознакомиться со списком субобработчиков PostHog по адресу https://posthog.com/privacy.

Ваш контроль: Вы можете отказаться от аналитики PostHog и записи сеансов через наш баннер согласия на файлы cookie, который отображается при первом посещении нашего Сервиса. Отказ отключит все отслеживание PostHog.

Политика конфиденциальности: https://posthog.com/privacy

4.2 Firebase (Аутентификация и база данных)

Firebase предоставляет услуги аутентификации и безопасного хранения данных. Firebase может собирать данные аутентификации и информацию об использовании.

Политика конфиденциальности: https://firebase.google.com/support/privacy

4.3 Stripe (Обработка платежей)

Платежная информация обрабатывается Stripe, Inc., платежным процессором, расположенным в США. Мы не храним полные данные вашей кредитной карты на наших серверах.

Данные, собираемые Stripe:

  • Информация о платежной карте: номер карты, срок действия, CVV (в зашифрованном виде)
  • Платежная информация: платежный адрес, имя держателя карты
  • Данные транзакций: история транзакций, суммы платежей, временные метки
  • Информация об устройстве: IP-адрес, тип устройства для предотвращения мошенничества

Место обработки данных: Stripe обрабатывает платежные данные на серверах, расположенных в США, и может передавать данные международно для соблюдения стандартов индустрии платежных карт.

Соответствие стандартам индустрии платежных карт (PCI): Stripe сертифицирован по стандарту PCI DSS уровня 1, высшему уровню сертификации безопасности платежей. Ваша платежная информация шифруется и безопасно передается.

Вы можете ознакомиться с политикой конфиденциальности Stripe для получения дополнительных сведений о методах обработки данных Stripe по адресу stripe.com/privacy.

5. Cookies и технологии отслеживания

Мы используем cookies и аналогичные технологии отслеживания для улучшения вашего опыта:

  • Необходимые Cookies: требуются для аутентификации и базовой функциональности (всегда активны)
  • Аналитические Cookies: PostHog и Firebase аналитика (согласие через баннер)
  • Cookies предпочтений: запоминают ваш язык и выбор согласия

Вы можете управлять настройками cookies через наш баннер согласия. Обратите внимание, что отключение определенных cookies может ограничить функциональность Сервиса.

6. Передача и раскрытие данных

Мы не продаем вашу персональную информацию. Мы можем передавать вашу информацию в следующих случаях:

  • Поставщики услуг: сторонние сервисы, которые помогают нам работать (PostHog, Firebase, Stripe)
  • Соблюдение законов: когда это требуется по закону или для защиты наших прав
  • Передача бизнеса: в связи со слиянием, приобретением или продажей активов
  • С вашего согласия: когда вы явно разрешаете нам передавать информацию

7. Ваши права на конфиденциальность

7.1 Права по GDPR (пользователи ЕС)

Если вы находитесь в Европейском союзе, у вас есть следующие права:

  • Право на доступ: запросить копию ваших персональных данных
  • Право на исправление: исправить неточные или неполные данные
  • Право на удаление: запросить удаление ваших персональных данных («право быть забытым»)
  • Право на ограничение обработки: ограничить то, как мы используем ваши данные
  • Право на переносимость данных: получить ваши данные в переносимом формате
  • Право на возражение: возражать против обработки ваших данных
  • Право на отзыв согласия: отозвать согласие на обработку данных в любое время

7.2 Права по CCPA (пользователи Калифорнии)

Если вы находитесь в Калифорнии, у вас есть следующие права:

  • Право знать: запросить раскрытие собранной персональной информации
  • Право на удаление: запросить удаление вашей персональной информации
  • Право на отказ: отказаться от продажи персональной информации (мы не продаем данные)
  • Право на недискриминацию: равное обслуживание независимо от выбора конфиденциальности

7.3 Права по UK GDPR

Пользователи из Великобритании имеют те же права, что и пользователи из ЕС в рамках UK GDPR.

7.3 Права по LGPD (пользователи Бразилии)

Если вы находитесь в Бразилии, у вас есть следующие права в рамках LGPD:

  • Право на подтверждение и доступ: подтвердить, обрабатываем ли мы ваши данные, и запросить доступ
  • Право на исправление: запросить исправление неполных, неточных или устаревших данных
  • Право на анонимизацию, блокировку или удаление: запросить анонимизацию, блокировку или удаление ненужных или избыточных данных
  • Право на переносимость данных: получить ваши данные в структурированном, часто используемом формате
  • Право на удаление: запросить удаление данных, обрабатываемых с вашего согласия
  • Право на информацию: запросить информацию о третьих лицах, с которыми мы передаем ваши данные
  • Право на отзыв согласия: отозвать согласие в любое время
  • Право на возражение: возражать против обработки на основе законного интереса

7.4 Права по Австралийским принципам конфиденциальности (пользователи Австралии)

Если вы находитесь в Австралии, у вас есть следующие права в рамках Закона о конфиденциальности:

  • Право на доступ: запросить доступ к вашей персональной информации
  • Право на исправление: запросить исправление неточной или устаревшей информации
  • Право на жалобу: подать жалобу в Офис Уполномоченного по информации Австралии, если вы считаете, что мы не обработали вашу информацию надлежащим образом

7.5 Права по PIPEDA (пользователи Канады)

Если вы находитесь в Канаде, у вас есть следующие права в рамках PIPEDA:

  • Право на доступ: запросить доступ к вашей персональной информации
  • Право на исправление: оспорить точность и полноту вашей информации
  • Право на отзыв согласия: отозвать согласие на обработку данных в любое время
  • Право на жалобу: подать жалобу в Офис Уполномоченного по конфиденциальности Канады

7.6 Права по FADP (пользователи Швейцарии)

Если вы находитесь в Швейцарии, у вас есть следующие права в рамках FADP:

  • Право на доступ: запросить информацию о том, обрабатываем ли мы ваши персональные данные и какие
  • Право на исправление: запросить исправление неточных данных
  • Право на удаление: запросить удаление ваших персональных данных при определенных обстоятельствах
  • Право на переносимость данных: получить ваши данные в структурированном, машиночитаемом формате
  • Право на возражение: возражать против автоматизированного принятия решений

7.7 Осуществление ваших прав - Сроки ответа

Чтобы воспользоваться любым из этих прав, свяжитесь с нами по адресу welcome@zomni.app.

Мы ответим на ваш запрос в следующие сроки, как того требует применимое законодательство:

  • Резиденты ЕС/Великобритании (GDPR/UK GDPR): в течение 30 дней (может быть продлено на 60 дополнительных дней для сложных запросов)
  • Резиденты Бразилии (LGPD): в течение 15 дней
  • Резиденты Калифорнии (CCPA): в течение 45 дней (может быть продлено на 45 дополнительных дней)
  • Резиденты Австралии (Закон о конфиденциальности): в разумный срок, обычно 30 дней
  • Резиденты Канады (PIPEDA): в разумный срок, обычно 30 дней
  • Резиденты Швейцарии (FADP): как можно скорее, обычно в течение 30 дней

8. Хранение данных

Мы храним вашу персональную информацию только столько, сколько необходимо для предоставления Сервиса и соблюдения юридических обязательств. Наши сроки хранения основаны на принципах минимизации данных и необходимости, требуемых GDPR, LGPD, PIPEDA и другими применимыми законами о конфиденциальности.

8.1 Сроки хранения и обоснования

Данные аккаунта (адрес электронной почты, пароль):

  • Активные аккаунты: хранятся, пока ваш аккаунт активен
  • Удаленные аккаунты: хранятся в течение 90 дней после удаления аккаунта
  • Обоснование: 90-дневный срок хранения необходим для:
    • Ответа на запросы пользователей об удалении аккаунта
    • Восстановления аккаунта, если удаление было случайным
    • Обработки любых ожидающих тикетов поддержки или запросов на возврат средств
    • Соблюдения требований платежного процессора для разрешения споров
    • Поддержания целостности сервиса и предотвращения злоупотреблений

Ответы в тесте о сне и данные прогресса:

  • Активные аккаунты: хранятся, пока ваш аккаунт активен
  • Удаленные аккаунты: немедленно удаляются безвозвратно по запросу на удаление аккаунта
  • Обоснование: Данные о сне не хранятся после удаления, поскольку они не служат законной цели после удаления вашего аккаунта. Это соответствует требованиям минимизации данных в соответствии с GDPR, LGPD и PIPEDA.

Аналитические данные (PostHog):

  • Индивидуальные данные: хранятся в течение 90 дней, затем агрегируются и анонимизируются
  • Агрегированные данные: хранятся бессрочно после анонимизации
  • Обоснование: 90-дневный срок хранения необходим для:
    • Анализа краткосрочных поведенческих паттернов пользователей для улучшения Сервиса
    • Выявления и исправления ошибок на основе записей сеансов
    • Поддержания базовых показателей производительности сервиса
    После 90 дней индивидуальные аналитические данные агрегируются и анонимизируются, что означает, что они больше не могут идентифицировать вас и не подпадают под законы о защите данных.

Платежные записи (Stripe):

  • Срок хранения: 7 лет с даты транзакции
  • Обоснование: Требуется:
    • Налоговым и бухгалтерским правилам (требования IRS в США)
    • Стандартами хранения данных индустрии платежных карт (PCI)
    • Предотвращением мошенничества и разрешением споров по возвратам платежей
    • Юридическими обязательствами по ведению финансовых записей

8.2 Запросы на удаление данных

Вы можете запросить удаление ваших данных в любое время, связавшись с welcome@zomni.app. После получения вашего запроса на удаление:

  • Ответы в тесте о сне и данные прогресса будут немедленно удалены безвозвратно
  • Ваш адрес электронной почты и учетные данные аккаунта будут удалены через 90 дней
  • Аналитические данные будут анонимизированы в течение 90 дней
  • Платежные записи будут храниться в течение 7 лет в соответствии с требованиями законодательства, но будут отвязаны от вашей личности

9. Безопасность данных

Мы применяем соответствующие технические и организационные меры для защиты вашей персональной информации:

  • Шифрование данных при передаче (HTTPS/TLS)
  • Шифрование данных в хранилище (Firebase)
  • Безопасная аутентификация (Firebase Auth)
  • Регулярные проверки безопасности и обновления
  • Контроль доступа и обучение сотрудников

Однако ни один метод передачи через интернет не является на 100% безопасным. Мы не можем гарантировать абсолютную безопасность вашей информации.

10. Международная передача данных

Ваша информация может быть передана и обработана в странах, отличных от вашей страны проживания. Эти страны могут иметь другие законы о защите данных.

Для пользователей из ЕС/Великобритании мы обеспечиваем адекватную защиту через:

  • Стандартные договорные оговорки, одобренные Европейской комиссией
  • Сервисы, сертифицированные в рамках EU-U.S. Data Privacy Framework (где применимо)

11. Уведомление о нарушении данных

Если мы обнаружим или будем уведомлены о несанкционированном доступе к персональной информации, ее использовании или раскрытии, которое представляет риск для ваших прав и свобод, мы уведомим вас и соответствующие регулирующие органы в соответствии с требованиями законодательства.

11.1 Процедуры уведомления о нарушениях в зависимости от юрисдикции

Резиденты ЕС/Великобритании (GDPR/UK GDPR):

  • Мы уведомим соответствующий надзорный орган в течение 72 часов с момента обнаружения нарушения
  • Мы уведомим затронутых лиц без неоправданной задержки, если нарушение представляет высокий риск для ваших прав
  • Уведомление будет включать: характер нарушения, категории затронутых данных, вероятные последствия и принятые меры

Резиденты Бразилии (LGPD):

  • Мы уведомим Национальный орган по защите данных Бразилии (ANPD) в разумные сроки
  • Мы уведомим затронутых лиц, когда нарушение представляет значительный риск
  • Уведомление будет включать: описание затронутых персональных данных, действующие меры безопасности, риски и меры по смягчению последствий

Резиденты Калифорнии (CCPA):

  • Мы уведомим затронутых лиц без неоправданной задержки
  • Уведомление будет предоставлено по электронной почте, письменным письмом или заменяющим уведомлением, если контактная информация недостаточна

Резиденты Австралии (Закон о конфиденциальности):

  • Мы оценим, является ли нарушение «подходящим нарушением данных» (несанкционированный доступ/раскрытие, вероятно приводящие к серьезному вреду)
  • Если подходит, мы уведомим Офис Уполномоченного по информации Австралии и затронутых лиц как можно скорее
  • Уведомление будет включать: личность и контактные данные, описание нарушения, виды затронутой информации и рекомендации для лиц

Резиденты Канады (PIPEDA):

  • Мы уведомим Офис Уполномоченного по конфиденциальности Канады, если нарушение представляет реальный риск значительного вреда
  • Мы уведомим затронутых лиц как можно скорее
  • Уведомление будет включать: обстоятельства нарушения, дату или период времени, затронутую персональную информацию, предпринятые шаги для снижения риска и шаги, которые могут предпринять лица

Резиденты Швейцарии (FADP):

  • Мы уведомим Федерального комиссара по защите данных и информации (FDPIC) как можно скорее, если нарушение может привести к высокому риску для субъектов данных
  • Мы уведомим затронутых лиц, если это необходимо для защиты их интересов

11.2 Предотвращение и реагирование на нарушения

Мы поддерживаем процедуры реагирования на инциденты, включая:

  • Круглосуточный мониторинг безопасности и системы обнаружения вторжений
  • Немедленные протоколы сдерживания и расследования
  • Криминалистический анализ для определения масштаба нарушения и затронутых данных
  • Уведомление затронутых лиц и регулирующих органов по мере необходимости
  • Меры по исправлению для предотвращения будущих нарушений
  • Документирование и отчетность руководству и регуляторам

12. Конфиденциальность детей

Наш Сервис предназначен для лиц в возрасте 18 лет и старше. Мы сознательно не собираем, не используем и не раскрываем персональную информацию детей младше 18 лет.

Мы соблюдаем требования по защите конфиденциальности детей в соответствии с:

  • GDPR: требует родительского согласия для детей младше 16 лет (или младше, в зависимости от государства-члена)
  • UK GDPR: требует родительского согласия для детей младше 13 лет
  • CCPA: требует родительского согласия для несовершеннолетних младше 16 лет
  • COPPA (США): требует родительского согласия для детей младше 13 лет
  • LGPD (Бразилия): требует специальной защиты для несовершеннолетних
  • Закон о конфиденциальности (Австралия): включает защиту конфиденциальности детей
  • PIPEDA (Канада): включает принципы конфиденциальности детей
  • FADP (Швейцария): включает защиту конфиденциальности детей

Проверка возраста: Во время регистрации аккаунта пользователи должны подтвердить, что им исполнилось 18 лет или больше. Если мы обнаружим, что пользователю меньше 18 лет, мы немедленно приостановим его аккаунт и удалим всю персональную информацию, связанную с этим аккаунтом.

Уведомление для родителей: Если вы являетесь родителем или опекуном и считаете, что ваш ребенок младше 18 лет предоставил нам персональную информацию, немедленно свяжитесь с нами по адресу welcome@zomni.app. Мы:

  • Проверим вашу личность как родителя или опекуна
  • Немедленно удалим всю персональную информацию, связанную с аккаунтом ребенка
  • Навсегда заблокируем аккаунт для предотвращения будущего использования
  • Уведомим вас в течение 48 часов о завершении удаления

13. Изменения в Политике конфиденциальности

Мы можем время от времени обновлять эту Политику конфиденциальности. Мы уведомим вас о существенных изменениях:

  • Размещением новой Политики конфиденциальности на этой странице
  • Обновлением даты «Последнее обновление»
  • Отправкой вам уведомления по электронной почте (для значительных изменений)

Ваше дальнейшее использование Сервиса после изменений означает принятие обновленной Политики конфиденциальности.

14. Свяжитесь с нами

Если у вас есть вопросы об этой Политике конфиденциальности или вы хотите воспользоваться своими правами на конфиденциальность, свяжитесь с нами:

15. Сотрудник по защите данных

По вопросам, связанным с GDPR, вы можете связаться с нашим Сотрудником по защите данных по адресу welcome@zomni.app.

16. Надзорный орган

Если вы находитесь в ЕС или Великобритании и считаете, что мы не рассмотрели ваши вопросы конфиденциальности должным образом, вы имеете право подать жалобу в местный надзорный орган по защите данных.