PapayaPapaya
Регистрация

Правовое

Политика конфиденциальности

Какие данные мы собираем, зачем, сколько храним и как ты можешь ими управлять. Документ — GDPR-compliant + украинский закон про захист персональних даних.

Обновлено2026-05-21

01Кратко

Papaya — controller твоих персональных данных в смысле GDPR (Регламент EU 2016/679) и украинского Закона «Про захист персональних даних».

Мы собираем минимум данных, не продаём их третьим лицам, не используем для рекламной таргетинга вне платформы. Подробности — ниже.

02Какие данные мы собираем

При регистрации: email, имя, роль (teacher/student/school). Email подтверждается верификационной ссылкой.

Профиль: bio, аватар, направления (для teacher), интересы и health-conditions (для student, опционально).

Транзакции:история бронирований, статус оплат, refund'ов. Данные карт мы НЕ храним — их обрабатывает Stripe.

Технические: IP, user-agent, timestamp last_active, GDPR-cookie выбор. Хранятся до 90 дней для anti-fraud и debugging.

Чат:сообщения хранятся до удаления учеником или teacher'ом, либо до закрытия аккаунта.

03Зачем мы это используем

  • Предоставление услуги — основная цель (Art. 6(1)(b) GDPR — performance of contract).
  • Безопасность и anti-fraud — IP/device-fingerprint для защиты от ботов и multi-account abuse (Art. 6(1)(f) — legitimate interest).
  • Аналитика продукта — обезличенные события (page view, button click) только при opt-in (Art. 6(1)(a) — consent).
  • Email-уведомления — транзакционные (брони, оплаты) по контракту, маркетинговые — только при opt-in.

04Кому мы передаём

Полный актуальный список processors — в sub-processors. Основные категории:

  • Stripe (Ирландия) — обработка оплат, KYC, payouts.
  • Neon (EU-регион) — хостинг базы данных.
  • Vercel (EU-регион) — хостинг приложения.
  • Resend / Postmark — отправка транзакционных email.
  • Sentry — мониторинг ошибок (без PII в логах).

Мы НЕ продаём данные. Мы НЕ передаём данные третьим лицам для рекламы. Передача правоохранительным органам — только по обязательному правовому требованию.

05Сколько мы храним

  • Активный аккаунт — пока ты им пользуешься.
  • После удаления — 30 дней soft-delete (для возможности восстановления), затем безвозвратно.
  • Финансовые записи (транзакции, инвойсы) — 7 лет для соответствия налоговому законодательству.
  • Логи безопасности (IP/timestamp) — до 90 дней.
  • Чат-сообщения — до удаления участником или закрытия аккаунта.

06Твои права (GDPR)

  • Доступ — получить копию всех своих данных (Art. 15).
  • Исправление — обновить неточные данные (Art. 16).
  • Удаление («забвение») — удалить аккаунт и данные (Art. 17).
  • Ограничение — приостановить обработку при споре (Art. 18).
  • Портабельность — экспорт в JSON/CSV (Art. 20).
  • Возражение — отозвать consent на маркетинг или аналитику (Art. 21).

Все запросы — через /gdpr или email [email protected]. Срок ответа — 30 дней (может быть продлён до 90 при сложности).

07Cookies

Мы используем три категории cookies (детали — Cookie Policy):

  • Essential — session, anti-CSRF, language. Без opt-in.
  • Analytics — продуктовая аналитика. Только при согласии.
  • Marketing — ремаркетинг pixel. Только при согласии.

08Безопасность

Шифрование TLS 1.3 в transit. Шифрование at rest — на уровне базы (Neon). Пароли — bcrypt с уникальной солью. Регулярные backup'ы (point-in-time recovery).

В случае breach мы уведомляем supervisory authority и затронутых пользователей в течение 72 часов согласно Art. 33–34 GDPR.

09Контакты DPO

Data Protection Officer — [email protected].
Жалобы в supervisory authority — в страну твоего проживания (для UA: Уповноважений Верховної Ради з прав людини; для EU — национальная DPA).

Документ предоставляется для прозрачности на этапе беты. Юридический финал публикуется перед launch вместе с подписью DPO. Для оперативных вопросов: [email protected].