Политика конфиденциальности

Последнее обновление: 20 марта 2026

1. Оператор данных

Оператор персональных данных — проект Errarium (errarium.org), далее «Errarium», «мы». Адрес для корреспонденции: [email protected].

2. Какие данные мы собираем

При регистрации и авторизации:

Через OAuth-провайдеры (Google, Apple, GitHub): имя, email, фото профиля — передаются провайдером автоматически
Через email/телефон + пароль: email или номер телефона, хеш пароля (bcrypt, исходный пароль не хранится)

При использовании сервиса (добровольно):

Дата, время и место рождения — для расчётов по методам
Результаты анализов и расчётов
Записи дневника
Предпочтения интерфейса (язык, тема)

Автоматически:

Дата и провайдер входа (журнал авторизаций, последние 200 записей)
Технические данные запроса (IP-адрес, User-Agent) — обрабатываются хостингом (Vercel), мы не храним их отдельно

3. Правовые основания обработки

Исполнение договора (ст. 6(1)(b) GDPR) — предоставление функциональности сервиса
Согласие (ст. 6(1)(a) GDPR) — обработка даты рождения и других добровольных данных
Законный интерес (ст. 6(1)(f) GDPR) — безопасность сервиса, журнал авторизаций

4. Цели обработки

Аутентификация и идентификация пользователя
Выполнение расчётов по выбранным методам
Сохранение результатов анализов в личном кабинете
Ведение дневника
Обеспечение безопасности (обнаружение несанкционированного доступа)

5. Третьи стороны и передача данных

Мы используем следующих обработчиков данных:

Vercel Inc. (USA) — хостинг приложения
Neon Inc. (USA) — облачная база данных PostgreSQL
Google LLC — OAuth-авторизация (только при выборе входа через Google)
Apple Inc. — OAuth-авторизация (только при выборе входа через Apple)
GitHub Inc. — OAuth-авторизация (только при выборе входа через GitHub)

Данные могут передаваться в США, где расположены серверы указанных компаний. Передача осуществляется на основании стандартных договорных условий (SCC) и/или решений об адекватности, принятых Европейской комиссией.

Мы не продаём, не сдаём в аренду и не передаём ваши данные рекламодателям или иным третьим лицам.

6. Хранение и сроки

Данные аккаунта — до удаления аккаунта пользователем или по запросу
Результаты анализов и дневник — до удаления пользователем или аккаунтом
Журнал авторизаций — последние 200 записей (старые удаляются автоматически)
После удаления аккаунта все связанные данные удаляются в течение 30 дней

7. Файлы cookie

Мы используем только строго необходимые (технические) cookies для поддержания сессии авторизации (NextAuth.js session token, CSRF token). Рекламные, аналитические и маркетинговые cookies не используются. Баннер согласия на cookies не требуется, так как используются только необходимые cookies (Recital 30, ePrivacy Directive).

8. Ваши права

В соответствии с GDPR и применимым законодательством вы имеете право:

Доступ — просмотр своих данных в личном кабинете
Исправление — редактирование профиля и данных
Удаление — запросить полное удаление аккаунта и всех данных
Переносимость — экспорт своих данных в машиночитаемом формате
Ограничение обработки — приостановка обработки по запросу
Возражение — отзыв согласия на обработку добровольных данных
Жалоба — обращение в надзорный орган по защите данных вашей страны

Для реализации прав направьте запрос на [email protected]. Мы ответим в течение 30 дней.

9. Дети

Сервис не предназначен для лиц младше 16 лет. Мы не собираем сознательно данные детей. Если вы считаете, что ребёнок предоставил нам свои данные, свяжитесь с нами для их удаления.

10. Безопасность

Шифрование передачи данных (HTTPS/TLS)
Хеширование паролей (bcrypt, 12 раундов)
JWT-токены для сессий (не хранятся на сервере)
Разграничение доступа по ролям (user, expert, admin)

11. Изменения политики

Мы можем обновлять эту политику. Актуальная версия всегда доступна на этой странице с указанием даты последнего обновления. При существенных изменениях мы уведомим зарегистрированных пользователей по email.

12. Контакты

По всем вопросам, связанным с конфиденциальностью и защитой данных: [email protected]