Политика конфиденциальности

Контролёром персональных данных, обрабатываемых в связи с moinaki, является:

GradeBuilder SL

C. Coronel Ivorra Ruiz 7, 1, 30720 San Javier, Murcia, Spain

Email: org@gradebuilder.tech

Контакт по приватности: privacy@moinaki.life

Телефон: +34 622 448 805

Мы не назначали Data Protection Officer (DPO), потому что не подпадаем под обязательные пороги статьи 37 GDPR. Указанный выше контакт — единая точка входа по вопросам защиты данных.

Мы собираем или генерируем следующие категории данных:

(а) Данные аккаунта. Email, нормализованный email (нижний регистр, без точек и плюсов для Gmail), отображаемое имя, опционально полное имя (для сертификатов), опционально никнейм, опционально URL аватара, пароль (хранится только как bcrypt-хеш с cost-фактором 12), предпочтительная локаль, роль.

(б) Данные профиля и онбординга. Самостоятельно указанные интересы, цели, СДВГ-профиль (ваши шаблоны фокуса/энергии — опционально), отметки настроения и энергии (один тап по чипу), предпочтительные рабочие часы.

(в) Учебная активность. Записи на курсы, завершение уроков, попытки и ответы по квизам, оценки уровня знаний (через Bayesian Knowledge Tracing), XP, streak, бейджи, сертификаты.

(г) Данные взаимодействия с AI-ментором (Lem). Полный текст ваших сообщений к Lem и его ответы; структурированные «узлы памяти», которые система извлекает из разговоров, чтобы Lem помнил контекст между сессиями (например: упомянутая вами цель, тема, на которой стало скучно, дата экзамена). Узлы памяти привязаны к вашему аккаунту, и их можно посмотреть или удалить на /dashboard/mentor/memory.

(д) Данные планировщика и захвата идей. Создаваемые цели, добавляемые задачи, brain-dump-заметки через кнопку «catch a thought», и AI-классификации к ним (task / goal / note).

(е) Платёжные данные. Мы НЕ храним номера карт, CVV, номера банковских счетов. Stripe (наш платёжный обработчик) выдаёт нам customer ID и subscription ID; мы храним эти идентификаторы, выбранный тариф, даты начала и окончания триала, и статус активации использованного промокода (например, PROMO, PRODUCTHUNT).

(ж) Данные использования и технические данные. IP-адрес, user-agent, приблизительный язык и часовой пояс, временные метки логинов, идентификаторы сессий, метаданные refresh-токенов. Логи на сервере могут хранить сырой IP до 30 дней для целей безопасности, после этого IP удаляется или агрегируется.

(з) Аналитические данные. Если вы не отказались в cookie-баннере, мы записываем анонимизированные просмотры страниц и агрегированные события через Google Analytics 4 с включённой анонимизацией IP и отключёнными Google Signals и персонализацией рекламы.

(и) Данные коммуникации. Сообщения, отправленные на support@moinaki.life, фидбек через встроенную форму, метаданные писем, которые мы вам отправляем (статус доставки, отказы; open-tracking — только если вы явно его включили).

Мы сознательно не собираем данные особых категорий по статье 9 GDPR (здоровье, биометрия, этническое происхождение и т.п.). Если вы решите упомянуть такую информацию в чате с Lem, она будет обрабатываться так же, как и остальные ментор-данные — её можно удалить на /dashboard/mentor/memory в любой момент.

Все ваши персональные данные у нас имеют один из трёх источников:

(а) Напрямую от вас — при регистрации, в онбординге, при прохождении уроков, в чатах с Lem, в brain-dump, при обращении в поддержку.

(б) Автоматически генерируются платформой по мере использования (например, оценки уровня знаний из ответов на квизы, узлы памяти, извлечённые из чатов с Lem).

(в) От нашего платёжного обработчика (Stripe) при старте, отмене или изменении подписки.

Мы не покупаем персональные данные, не парсим их из внешних источников, не принимаем маркетинговые списки.

Каждая категория данных обрабатывается для одной или нескольких целей на следующих основаниях:

(а) Исполнение договора (статья 6(1)(b) GDPR) — договором являются наши Условия использования, которые вы принимаете при регистрации. Сюда входит: ведение аккаунта, выдача курсов и уроков, работа Lem (AI-ментор), отслеживание прогресса, выдача сертификатов, обработка платежей, отправка транзакционных писем (подтверждение, сброс пароля, чеки).

(б) Законные интересы (статья 6(1)(f) GDPR) — покрывает: агрегированную аналитику с анонимизированным IP, обнаружение мошенничества, предотвращение злоупотреблений, мониторинг безопасности, error-логи, наблюдаемость инфраструктуры. Мы провели внутреннюю проверку баланса интересов; если вы возражаете — см. раздел 8.

(в) Согласие (статья 6(1)(a) GDPR) — покрывает необязательные cookie и аналитику, маркетинговые письма (по умолчанию мы их не шлём) и любые будущие фичи, явно завязанные на consent-тоггл. Согласие можно отозвать в любой момент без последствий для предыдущей обработки.

(г) Юридическое обязательство (статья 6(1)(c) GDPR) — хранение платёжных и налоговых записей в соответствии с испанским налоговым правом (на текущий момент 6 лет согласно Ley 58/2003, статья 70).

Мы не используем автоматизированные решения, дающие юридические или существенно эквивалентные последствия. Lem адаптирует ответы под ваш ввод, но не принимает решения, обязывающие вас за пределами платформы.

Мы делимся персональными данными со следующими категориями сторонних обработчиков. Каждый связан письменным соглашением об обработке (статья 28 GDPR) и обрабатывает ваши данные только по нашим документированным инструкциям.

(а) DeepSeek (杭州深度求索人工智能基础技术研究有限公司, Китай). Получает текст ваших сообщений в чате с Lem и структурированный контекст, который система собирает к каждой реплике (ваше отображаемое имя, локаль, содержимое релевантных узлов памяти, текущий урок или страница). DeepSeek обрабатывает это, чтобы сгенерировать ответ Lem. Мы используем DeepSeek как основную модель ментора из-за качества и стоимости. DeepSeek базируется в материковом Китае, на который не распространяется adequacy-решение Еврокомиссии; см. раздел 6 по поводу международной передачи (Глава V).

(б) OpenAI, L.L.C. (США). Получает короткие промпты для узких структурированных задач: классификация интента ваших сообщений, извлечение узлов памяти из чатов, еженедельные саммари self-narrative, отдельные шаги генерации курсов. Полные тёрны ментора через OpenAI по умолчанию НЕ идут. OpenAI договорно подтверждает, что не обучает свои модели на данных, поданных через API.

(в) Mistral AI (Франция). Опциональный fallback для студентов из ЕС, если запрошена обработка только в ЕС. Тот же объём, что у OpenAI.

(г) Stripe Payments Europe, Limited (Ирландия) и Stripe, Inc. (США). Обрабатывает платежи по подписке. Stripe получает ваш email, страну плательщика, IP, выбранный тариф и реквизиты карты, которые вы вводите на хостинговой Stripe-странице (мы номера карт не видим).

(д) Resend (Resend Inc., США) или эквивалентный SMTP-провайдер. Отправляет транзакционные письма (верификация, сброс пароля, чеки, опциональные уведомления, если включены).

(е) Railway Corp. (США), при этом наша БД и приложение работают в регионе ЕС «europe-west4» (Франкфурт). Хостинг, managed Postgres, managed Redis.

(ж) Cloudflare R2 (Cloudflare, Inc., США, регион ЕС). Хранит загружаемые пользователем файлы (аватары) и AI-сгенерированные иллюстрации к урокам.

(з) Sentry (Functional Software, Inc., США, регион ЕС). Получает трейсы ошибок приложения. Мы конфигурируем Sentry на редактирование явных PII-полей (email, password, текст сообщений) перед отправкой, но операционная мета (URL, статусы, иногда user ID) включается.

(и) Google Analytics 4 (Google Ireland Limited). Если вы согласились на аналитические cookie, мы шлём анонимизированные просмотры и события с включённой анонимизацией IP, отключёнными Google Signals и персонализацией рекламы.

(к) GitHub, Inc. (США) и Sentry. Мы, инженерная команда, можем временно смотреть логи и трейсы Sentry для отладки — туда могут попадать обезличенные user ID. Доступ инженеров логируется.

Мы не делимся персональными данными с рекламодателями, дата-брокерами или маркетинговыми агрегаторами. Мы не продаём персональные данные. Список выше — исчерпывающий на дату «последнее обновление»; о любом добавлении мы сообщим заранее и обновим эту политику.

Часть обработчиков из раздела 5 базируется за пределами Европейской экономической зоны (ЕЭЗ). Передачи и применяемые гарантии:

США (OpenAI, Stripe, Resend, Railway, Cloudflare R2, Sentry, Google LLC). Передачи опираются на adequacy-решение Еврокомиссии о EU–U.S. Data Privacy Framework (EU–U.S. DPF) для сертифицированных получателей и на Стандартные договорные положения (SCCs, Исполнительное решение Комиссии (ЕС) 2021/914) с дополнительной оценкой воздействия передачи (TIA) для несертифицированных. Копии SCCs предоставляются по запросу.

Материковый Китай (DeepSeek). Китай НЕ покрыт adequacy-решением Еврокомиссии и не имеет режима, эквивалентного GDPR. Передачи в DeepSeek опираются на подписанные с обработчиком Стандартные договорные положения, дополнены контрактными мерами (логическое разделение, обязательство не обучаться на данных, правило минимально-необходимого содержимого). Мы признаём, что несмотря на эти контрактные гарантии, уровень защиты в Китае может не быть эквивалентным GDPR. Используя функцию AI-ментора (Lem), вы даёте нам ваше специфическое информированное согласие по статье 49(1)(a) GDPR на эту передачу. Если вы не хотите, чтобы ваши сообщения ментору обрабатывал DeepSeek, вы можете отключить функцию ментора в настройках, и аккаунт продолжит работать (воспроизведение курсов, отслеживание прогресса, планировщик) без AI-тьютора. Также после релиза соответствующего тоггла вы сможете запросить переключение на Mistral (только-ЕС).

Великобритания — adequate согласно британским adequacy-регламентам.

Мы проводим transfer impact assessment (TIA) для каждого обработчика за пределами ЕЭЗ перед его подключением. TIA публично не публикуются, но саммари можно запросить.

Мы храним персональные данные не дольше, чем необходимо для целей обработки:

(а) Аккаунт, профиль, учебные данные, ментор-данные — пока ваш аккаунт активен. «Активен» означает: вы заходили в течение последних 24 месяцев ИЛИ у вас активная подписка. После — аккаунт помечается как неактивный, вы получаете письмо для подтверждения; при отсутствии ответа аккаунт анонимизируется в течение 6 месяцев.

(б) Узлы памяти ментора — хранятся бессрочно, пока аккаунт активен, но проходят внутренний relevance-decay: давно не использованные плавно понижаются в выдаче, сырой текст не удаляется только этим процессом. Удалить отдельные воспоминания или стереть всю память можно на /dashboard/mentor/memory.

(в) Бэкапы — зашифрованные бэкапы продакшн-БД хранятся до 90 дней, потом ротируются. Запрос на удаление, поданный сегодня, полностью пройдёт через бэкапы за 90 дней.

(г) Логи на сервере с IP и user-agent — до 30 дней для целей безопасности, потом удаляются или агрегируются.

(д) Платёжные записи — 6 лет с конца финансового года, как требует испанское налоговое право (Ley 58/2003, статья 70). После этого удаляются или анонимизируются.

(е) Email-логи (доставка, bounce) — до 90 дней у нашего SMTP-провайдера.

(ж) Аналитика — Google Analytics 4 с настройкой по умолчанию 14 месяцев.

(з) Удалённые аккаунты — при реализации права на стирание (раздел 8) мы каскадно удаляем: refresh-токены, сессии, разговоры с ментором, сообщения ментора, узлы памяти, цели и задачи планировщика, capture-инбокс, mood check-ins, прогресс уроков, записи на курсы, XP, бейджи, саму запись пользователя. Каскад настроен в БД через Prisma `onDelete: Cascade`; мы аудируем его раз в квартал. Полное удаление завершается за 30 дней; через бэкапы — ещё до 90 дней.

По статьям 15–22 GDPR у вас есть следующие права:

(а) Право доступа (статья 15) — получить копию всех ваших персональных данных у нас. Используйте /dashboard/privacy → «Экспортировать мои данные» или напишите на privacy@moinaki.life.

(б) Право на исправление (статья 16) — поправить неточные или неполные данные. Большинство полей редактируется в /dashboard/settings; для остального — пишите.

(в) Право на стирание / «право на забвение» (статья 17) — удалить аккаунт и связанные данные (см. раздел 7). Используйте /dashboard/privacy → «Удалить аккаунт» или напишите. Часть данных может остаться по требованию закона (см. раздел 7(д)).

(г) Право на ограничение обработки (статья 18) — попросить нас остановить часть обработки на время разрешения спора. Напишите с конкретикой.

(д) Право на портативность данных (статья 20) — получить ваши данные в структурированном машиночитаемом формате. Экспорт на /dashboard/privacy возвращает JSON.

(е) Право на возражение (статья 21) — возразить против обработки на основании законных интересов (раздел 4(б)). Мы повторно оценим и при отсутствии перевешивающих оснований остановим обработку.

(ж) Право отозвать согласие (статья 7(3)) — для обработки на основе согласия (раздел 4(в)). Отзыв не затрагивает предыдущую обработку.

(з) Права в связи с автоматизированным принятием решений (статья 22) — мы такие решения не принимаем (см. конец раздела 4).

(и) Право подать жалобу в надзорный орган. Испанский орган — Agencia Española de Protección de Datos (AEPD) — C/Jorge Juan, 6, 28001 Madrid; +34 901 100 099; https://www.aepd.es. Также можно жаловаться в надзорный орган страны вашего проживания.

Мы отвечаем на запросы прав в течение 30 дней. Можем продлить ещё на 60 дней для сложных запросов (предупредим в первые 30 дней). За явно необоснованные или чрезмерные запросы можем взять разумную плату или отказать; объясним причину.

Мы используем минимальный набор cookie и хранилищ:

(а) Строго необходимые (согласие не требуется): httpOnly cookie `refreshToken` для сохранения логина, флаг-cookie `session` для middleware, cookie `NEXT_LOCALE` для предпочтительного языка, anti-CSRF токен для OAuth-флоу. Их нельзя отключить без поломки сервиса.

(б) Аналитические (по согласию): набор Google Analytics (`_ga`, `_ga_*`) при принятии аналитики в баннере. С анонимизацией IP, без Google Signals, без персонализации рекламы. Отозвать согласие — в футере через ссылку cookie-баннера.

Мы не используем рекламные cookie, ретаргетинг-пиксели, пиксели соцсетей. Полный список и TTL — на /legal/cookies.

Мы реализуем уместные технические и организационные меры (статья 32 GDPR), включая:

(а) HTTPS-only, HSTS, secure cookie, SameSite=strict на refresh-токене, разные подписные секреты для access и refresh, ротация refresh-токенов с инвалидацией при replay-атаке.

(б) Хеширование паролей через bcrypt (cost-фактор 12), пароли в открытом виде нигде не хранятся.

(в) БД на покое шифруется Railway. Бэкапы шифруются.

(г) Принцип минимальных привилегий — инженерный доступ к продакшн-данным логируется; на продакшн-строках с персональными данными аналитический SQL запрещён.

(д) Rate limiting на эндпоинтах аутентификации, lockout при повторных неудачных попытках.

(е) Раскрытие уязвимостей: пишите на security@moinaki.life. Платная программа bug bounty пока не запущена.

(ж) Уведомление о нарушениях: мы уведомим AEPD в течение 72 часов с момента обнаружения (статья 33) и затронутых пользователей без неоправданной задержки при высоком риске для их прав и свобод (статья 34).

moinaki предназначен для взрослых (18+). Мы сознательно не обрабатываем персональные данные детей младше 16 в ЕЭЗ или младше 13 в юрисдикциях с минимальным возрастом 13. Если вы считаете, что ребёнок передал нам данные — напишите на privacy@moinaki.life, и мы удалим аккаунт.

Мы можем периодически обновлять эту политику. Дата «последнее обновление» вверху отражает последнее изменение.

Для существенных изменений — добавление нового обработчика, смена правового основания, расширение категорий данных, увеличение срока хранения — мы уведомим минимум за 30 дней по email и в баннере в приложении. Продолжение использования moinaki после даты вступления в силу означает согласие с новой политикой. Если не согласны — можно удалить аккаунт до даты вступления в силу.

Публичный архив старых версий мы не ведём, но предыдущую версию можно получить по запросу на privacy@moinaki.life.

Вопросы или беспокойство: privacy@moinaki.life. Почтовый адрес — см. раздел 1.

Если вас не устроил наш ответ — можно подать жалобу в Agencia Española de Protección de Datos — C/Jorge Juan, 6, 28001 Madrid; +34 901 100 099; sedeagpd.gob.es — или в надзорный орган вашей страны.

Платформа онлайн-разрешения споров ЕС (по контрактным вопросам): https://ec.europa.eu/consumers/odr/