Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») описывает порядок сбора, хранения, обработки и защиты персональных данных пользователей сервиса Grocy, расположенного по адресу https://grocy.online (далее — «Сервис»).

1.2. Используя Сервис, вы подтверждаете, что ознакомились с настоящей Политикой и даёте согласие на обработку ваших персональных данных в порядке и на условиях, описанных ниже.

1.3. Если вы не согласны с условиями Политики, вы должны прекратить использование Сервиса.

2. Какие данные мы собираем

2.1. Данные, которые вы предоставляете при регистрации При авторизации через Google мы получаем: — адрес электронной почты (email); — имя и фамилию (display name); — ссылку на фотографию профиля (avatar URL). При авторизации по электронной почте (magic link) мы получаем: — адрес электронной почты (email).

2.2. Данные, которые вы предоставляете при использовании Сервиса — параметры квиза: количество человек, особенности питания, предпочитаемая кухня, бюджет, валюта; — сгенерированные меню на неделю (включая названия блюд, рецепты, расчёт КБЖУ, список покупок).

2.3. Данные, которые собираются автоматически — IP-адрес — для определения региона (ценообразование, валюта) и ограничения частоты запросов (rate limiting); — файлы cookie и данные сессии — для поддержания авторизованной сессии и корректной работы Сервиса; — техническая информация о браузере (user agent) — для обеспечения совместимости Сервиса; — данные об использовании Сервиса (количество генераций, дата последнего входа) — для работы счётчика генераций и аналитики.

2.4. Данные об оплате При оформлении подписки Pro данные банковской карты обрабатываются непосредственно платёжным провайдером (YooKassa, Kaspi Pay, Stripe или иным провайдером). Оператор не получает и не хранит данные банковских карт. Оператор хранит: идентификатор подписки в платёжной системе, сумму и валюту платежа, период подписки, статус платежа.

3. Цели обработки данных

Мы обрабатываем ваши данные для следующих целей: — предоставление доступа к Сервису и его функциям; — создание и поддержание вашей учётной записи; — генерация персонализированных меню на основе параметров квиза; — сохранение истории меню (для пользователей тарифа Pro); — подсчёт количества использованных генераций в рамках тарифа; — обработка платежей и управление подпиской; — определение региона для отображения цен в соответствующей валюте; — обеспечение безопасности Сервиса (защита от злоупотреблений, rate limiting); — отправка уведомлений, связанных с работой Сервиса (изменение условий, статус подписки); — улучшение качества Сервиса на основе обезличенной аналитики использования.

4. Правовые основания обработки

Обработка персональных данных осуществляется на следующих основаниях: — исполнение договора (Публичной оферты) между вами и Оператором; — ваше согласие, выраженное при использовании Сервиса; — законный интерес Оператора в обеспечении безопасности и улучшении Сервиса.

5. Хранение данных

5.1. Персональные данные хранятся на серверах провайдеров, расположенных на территории Европейского Союза и/или Соединённых Штатов Америки: — база данных пользователей: Supabase (AWS, регион eu-central-1 или аналогичный); — кэш и техническая информация: Upstash (Redis); — хостинг: Vercel.

5.2. Данные хранятся в течение всего периода использования вами Сервиса. При удалении учётной записи ваши персональные данные удаляются в течение 30 дней, за исключением данных, которые Оператор обязан хранить в соответствии с законодательством (данные о платежах — в течение срока, установленного налоговым законодательством).

5.3. Обезличенные и агрегированные данные (статистика использования, не позволяющая идентифицировать конкретного пользователя) могут храниться бессрочно.

6. Передача данных третьим лицам

6.1. Мы не продаём, не сдаём в аренду и не передаём ваши персональные данные третьим лицам в маркетинговых целях.

6.2. Мы можем передавать данные следующим категориям получателей исключительно для обеспечения работы Сервиса: — Supabase (Supabase Inc.) — хранение данных и авторизация; — Vercel (Vercel Inc.) — хостинг и серверная обработка; — Upstash (Upstash Inc.) — кэширование и rate limiting; — Anthropic (Anthropic PBC) — обработка запросов на генерацию меню через Claude API. Передаются только параметры квиза (без персональных данных пользователя); — Платёжные провайдеры (YooKassa, Kaspi Pay, Stripe) — обработка платежей. Передаётся минимально необходимый объём данных (email, сумма, валюта); — Google (Google LLC) — авторизация через Google OAuth.

6.3. Мы можем раскрыть данные по требованию уполномоченных государственных органов в случаях, предусмотренных законодательством.

7. Файлы cookie

7.1. Сервис использует следующие категории файлов cookie: — Необходимые (strictly necessary): файлы сессии авторизации, необходимые для входа в учётную запись и работы Сервиса. Без этих cookie Сервис не может функционировать корректно. — Функциональные: сохранение выбранного языка, региона, предпочтений отображения.

7.2. Сервис не использует рекламные cookie и не передаёт данные рекламным сетям.

7.3. Вы можете отключить cookie в настройках браузера, однако это может привести к невозможности авторизации и использования части функций Сервиса.

8. Безопасность данных

8.1. Мы принимаем технические и организационные меры для защиты ваших данных, включая: — шифрование передачи данных по протоколу HTTPS/TLS; — использование Row Level Security (RLS) в базе данных — каждый пользователь имеет доступ только к собственным данным; — разграничение серверных и клиентских ключей доступа к базе данных; — ограничение частоты запросов (rate limiting) для предотвращения злоупотреблений; — верификацию платёжных webhook-уведомлений по цифровой подписи; — хранение статуса подписки исключительно на стороне сервера, без возможности изменения со стороны клиента.

8.2. Несмотря на принимаемые меры, ни один способ передачи данных через интернет и ни один способ электронного хранения не являются абсолютно безопасными. Мы не можем гарантировать абсолютную защиту данных.

9. Ваши права

Вы имеете следующие права в отношении ваших персональных данных: — Право на доступ: вы можете запросить информацию о том, какие данные мы храним о вас. — Право на исправление: вы можете обновить или исправить свои данные через личный кабинет или обратившись в поддержку. — Право на удаление: вы можете запросить удаление вашей учётной записи и связанных с ней данных. — Право на ограничение обработки: вы можете запросить ограничение обработки данных в определённых случаях. — Право на отзыв согласия: вы можете отозвать согласие на обработку персональных данных, прекратив использование Сервиса и удалив учётную запись.

10. Данные несовершеннолетних

10.1. Сервис не предназначен для лиц младше 16 лет. Мы сознательно не собираем персональные данные лиц младше 16 лет.

10.2. Если вам стало известно, что лицо младше 16 лет предоставило нам свои данные, обратитесь в поддержку, и мы примем меры по удалению таких данных.

11. Изменения в Политике

11.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная версия Политики размещается по адресу https://grocy.online/privacy.

11.2. При внесении существенных изменений мы уведомим вас по электронной почте или путём размещения уведомления на сайте Сервиса.

11.3. Продолжение использования Сервиса после внесения изменений означает ваше согласие с новой редакцией Политики.

12. Контактная информация

Сайт: https://grocy.online