CoachPulse
Політика конфіденційності
Зміст
1. Хто ми
CoachPulse — це платформа для тренерів, яка допомагає незалежним персональним тренерам керувати клієнтами, складати програми тренувань і відстежувати прогрес. Ця Політика конфіденційності пояснює, як ми збираємо, використовуємо, зберігаємо та захищаємо ваші персональні дані.
Володілець (контролер) даних: Вадим Єременко, фізична особа-підприємець, веде діяльність під назвою CoachPulse.
Контакт з питань конфіденційності: privacy@coachpulse.pro
Сайт: coachpulse.pro
Ми виступаємо контролером даних щодо персональних даних тренерів, клієнтів та відвідувачів сайту. Коли тренер обробляє дані своїх клієнтів через нашу платформу, тренер виступає окремим контролером даних щодо цих даних, а CoachPulse — оператором (процесором).
2. Які дані ми збираємо
2.1 Дані облікового запису
| Категорія | Приклади | Джерело |
|---|---|---|
| Ідентифікація | Email, ім'я, прізвище, фото профілю | Ви надаєте їх під час реєстрації |
| Аутентифікація | Пароль (хешований), ідентифікатор Apple/Google Sign-in | Ви надаєте; обробляється через Firebase Authentication |
| Локаль | Мова інтерфейсу (uk, en, ru, es) | Налаштування додатка або мова пристрою |
| Токени пристрою | Токени push-сповіщень (FCM/APNs) | Генерує ваш пристрій |
2.2 Тренувальні дані (клієнтів)
| Категорія | Приклади | Категорія чутливості |
|---|---|---|
| Тренування | Програми, підходи, повторення, ваги, статус виконання | Звичайні |
| Заміри тіла | Вага, зріст, відсоток жиру | Дані про здоров'я (ст. 9 GDPR) |
| Чек-іни | Настрій, години сну, втомленість, біль у м'язах, RPE | Дані про здоров'я (ст. 9 GDPR) |
| Травми | Опис травм у вільній формі, уражені суглоби, тяжкість | Дані про здоров'я (ст. 9 GDPR) |
| Цілі та нотатки | Цілі тренувань, нотатки тренера, нотатки клієнта | Звичайні |
| Фото та медіа | Фото прогресу, відео вправ, завантажені тренером | Звичайні (можуть містити дані про здоров'я) |
2.3 Дані комунікації
| Категорія | Приклади |
|---|---|
| Повідомлення в чаті | Повідомлення між тренером і клієнтом у застосунку |
| Голосові нотатки | Аудіоповідомлення та голосові команди, транскрибуються через Deepgram |
| Запити сесій | Запити на бронювання, заплановані часи |
2.4 Технічні дані
| Категорія | Приклади |
|---|---|
| Логи запитів | Логи серверних запитів (IP, час, ендпоінт, код відповіді) — зберігаються 30 днів |
| Логи доступу | Записи доступу тренера до даних клієнта — зберігаються 1 рік для дотримання принципу підзвітності GDPR (ст. 5(2)) |
| Cookies | Див. Політику cookies |
| Дані збоїв | Анонімізовані звіти про помилки (без персональних даних) |
3. Чому ми обробляємо ваші дані
Ми обробляємо ваші персональні дані лише за наявності законної підстави згідно з GDPR.
| Мета | Які дані | Підстава (ст. 6) | Підстава для особливих категорій (ст. 9) |
|---|---|---|---|
| Надання сервісу (обліковий запис, тренування, програми) | Облікові, тренувальні, комунікаційні | Виконання договору — ст. 6(1)(b) | Явна згода — ст. 9(2)(a) |
| AI-аналіз для тренера | Дані про здоров'я (чек-іни, травми, заміри) | Законний інтерес — ст. 6(1)(f) | Явна згода — ст. 9(2)(a) |
| Push-сповіщення | Токени пристроїв, обліковий запис | Виконання договору — ст. 6(1)(b) | — |
| Безпека, протидія шахрайству, зловживанням | Технічні, логи доступу | Законний інтерес — ст. 6(1)(f) | — |
| Юридичні зобов'язання (експорт, видалення, бухоблік) | Усі | Юридичне зобов'язання — ст. 6(1)(c) | — |
AI-обробка: Ми використовуємо AI/LLM провайдерів (Anthropic, OpenAI, Google) для генерації тренерських інсайтів. Результат AI завжди подається як рекомендація, ніколи як автоматизоване рішення. Тренер завжди ухвалює фінальне рішення (відповідність ст. 22 GDPR — без автоматизованих рішень з юридичним або суттєво подібним ефектом). Деталі — у нашому DPIA (Оцінці впливу на захист даних).
4. Кому ми передаємо дані
Ми не продаємо ваші персональні дані. Ми передаємо дані лише субпроцесорам, необхідним для роботи сервісу. Кожен субпроцесор зв'язаний угодою про обробку даних (DPA) згідно зі ст. 28 GDPR.
| Субпроцесор | Призначення | До яких даних має доступ | Розташування |
|---|---|---|---|
| Neon (Databricks Inc.) | Хостинг бази PostgreSQL | Усі дані | ЄС (Франкфурт) |
| Firebase (Google LLC) | Аутентифікація, push-сповіщення | Email, ідентифікація, токени | ЄС + США (за SCCs) |
| Cloudflare R2 (Cloudflare, Inc.) | Сховище медіа (фото, відео, експорти) | Завантажені медіа, експорти | ЄС + глобально (CDN) |
| Anthropic, PBC | AI/LLM (основний) | Запити до AI (анонімізовані — без ID) | США (за SCCs) |
| OpenAI, OpCo LLC | AI/LLM (резерв) | Запити до AI (анонімізовані — без ID) | США (за SCCs) |
| Google AI (Google LLC) | AI/LLM (резерв) | Запити до AI (анонімізовані — без ID) | США + ЄС (за SCCs) |
| Deepgram, Inc. | Перетворення мови у текст (голосові нотатки) | Аудіозаписи | США (за SCCs) |
| Hostinger International Ltd. | Email-сервіс (SMTP), DNS | Email-адреси, контент листів | ЄС (Литва) |
| Railway Corp. | Хостинг застосунку | Усі дані під час передачі | ЄС + США |
Ми не передаємо ваші дані рекламодавцям, брокерам даних або будь-кому іншому з маркетинговою метою.
5. Міжнародна передача даних
Деякі субпроцесори знаходяться поза Європейським економічним простором (ЄЕП), переважно у США. Для таких передач ми використовуємо:
- Стандартні договірні умови ЄС (SCCs), затверджені Європейською Комісією
- Рішення про адекватність, де застосовно (наприклад, EU–US Data Privacy Framework, якщо субпроцесор сертифікований)
- Додаткові технічні заходи — шифрування при передачі (TLS 1.2+) та зберіганні, анонімізація ідентифікаторів користувачів у запитах до AI
Ви можете запросити копію SCCs, які ми використовуємо, написавши на privacy@coachpulse.pro.
6. Скільки ми зберігаємо дані
| Дані | Термін зберігання | Підстава |
|---|---|---|
| Дані активного облікового запису | Поки не видалено акаунт | Виконання договору |
| Після запиту на видалення | 30 днів (період відновлення), потім остаточне видалення | Дозволяє скасувати випадкове видалення. Через 30 днів: PII анонімізується, дані особливих категорій видаляються повністю. |
| Логи доступу (тренер до клієнта) | 1 рік | Принцип підзвітності GDPR (ст. 5(2)) |
| Email-логи (записи про доставку) | 1 рік | Операційний + комплаєнс-аудит |
| Логи серверних запитів | 30 днів | Безпека та запобігання зловживанням |
| Резервні копії | До 30 днів | Disaster recovery — копії також ротуються |
| Агрегована тренувальна статистика (після стирання) | Безстроково, лише в анонімізованому вигляді | Законний інтерес тренера у власних бізнес-записах — без ідентифікатора клієнта |
7. Ваші права за GDPR
Якщо ви знаходитесь у Європейському економічному просторі, Великій Британії або Швейцарії, у вас є такі права:
| Право | Що це означає | Як скористатися |
|---|---|---|
| Доступ (ст. 15) | Отримати копію всіх ваших даних, які ми зберігаємо | Застосунок → Налаштування → Конфіденційність і дані → Завантажити мої дані |
| Виправлення (ст. 16) | Виправити неточні або неповні дані | Застосунок → Профіль або email на privacy@coachpulse.pro |
| Видалення (ст. 17) | Видалити дані (з 30-денним періодом відновлення) | Застосунок → Налаштування → Конфіденційність і дані → Видалити акаунт |
| Обмеження (ст. 18) | Призупинити обробку на час спору | Email на privacy@coachpulse.pro |
| Переносимість (ст. 20) | Отримати дані у машинозчитуваному форматі (JSON) | Те саме, що й Доступ — JSON-експорт це покриває |
| Заперечення (ст. 21) | Заперечити проти обробки на підставі законного інтересу | Email на privacy@coachpulse.pro |
| Відкликання згоди (ст. 7(3)) | Відкликати згоду на AI-обробку даних про здоров'я | Email на privacy@coachpulse.pro — врахуйте, що це відключає більшість тренерських функцій |
| Скарга (ст. 77) | Подати скаргу до наглядового органу | В Україні: Уповноважений Верховної Ради України з прав людини. Резиденти ЄС: будь-який орган із захисту даних в ЄС. |
Ми відповідаємо на всі запити щодо прав протягом 30 днів, або раніше, якщо це технічно можливо. Для складних запитів ми можемо подовжити термін ще на 60 днів згідно зі ст. 12(3).
8. Безпека
Ми захищаємо ваші дані стандартними галузевими технічними та організаційними заходами:
- Усі дані шифруються при передачі (TLS 1.2+) та зберіганні (база даних, об'єктне сховище, бекапи)
- Аутентифікація через Firebase Auth — паролі ніколи не зберігаються у відкритому вигляді
- Доступ до продакшн-систем обмежено технічним персоналом
- Усі звернення тренерів до даних клієнтів логуються
- Регулярний security review залежностей та інфраструктури
- Процедура реагування на інциденти — див. наш Breach Runbook
У разі витоку персональних даних, що зачіпає резидентів ЄС, ми повідомимо відповідний наглядовий орган протягом 72 годин (ст. 33 GDPR) та поінформуємо постраждалих користувачів без затримки (ст. 34), якщо витік ймовірно створює високий ризик для їхніх прав і свобод.
9. Дані дітей
CoachPulse не призначений для дітей. Ми свідомо не збираємо дані осіб молодше 16 років (або іншого віку цифрової згоди, встановленого у вашій країні, якщо він вищий). Якщо ви вважаєте, що дитина молодше 16 років надала нам персональні дані, напишіть на privacy@coachpulse.pro, і ми видалимо акаунт.
10. Зміни до цієї політики
Ми можемо час від часу оновлювати цю Політику конфіденційності, щоб відобразити зміни сервісу, законодавства або практик. Про суттєві зміни ми повідомимо вас через застосунок та/або email щонайменше за 30 днів до набрання чинності. Дата "Останнє оновлення" вгорі сторінки відображає останню редакцію. Попередні версії доступні за запитом на privacy@coachpulse.pro.
11. Контакти
Питання щодо цієї політики або наших практик обробки даних — пишіть нам:
- Email: privacy@coachpulse.pro
- Поштова адреса: Вадим Єременко, CoachPulse, Україна
У нас немає Data Protection Officer (DPO), оскільки ми не зобов'язані призначати його за ст. 37 GDPR — наша обробка даних особливих категорій не досягає масштабу, що зобов'язує мати DPO. Вказаний контакт обробляє всі запити щодо GDPR.