Політика конфіденційності

Muscle Diary («ми», «нас», «наш») — це сервіс для відстеження фізичної активності, що складається з мобільного застосунку та вебплатформи. Ця Політика конфіденційності пояснює, які персональні дані ми збираємо, чому збираємо, як використовуємо і які права ви маєте щодо них.

Контролер даних: Muscle Diary
Contact: privacy@musclediary.app

2.1 Дані облікового запису та ідентифікації

Під час створення облікового запису ми збираємо:

• Адреса електронної пошти — використовується для аутентифікації та керування обліковим записом
• Відображуване ім'я — необов'язково, використовується для персоналізації
• Зашифрований пароль — зберігається через Supabase Auth; значення у відкритому вигляді ми ніколи не бачимо

2.2 Тренувальні дані

Усі тренувальні дані, які ви вводите, спочатку зберігаються локально на вашому пристрої, а потім синхронізуються на наші сервери. Це включає:

• Записані вправи з датою і часом кожного тренування
• Підходи та їх параметри: повторення, вага (кг), тривалість (с), відстань (м), швидкість (км/год), рівень опору, кут нахилу (%) та інтенсивність (RPE 1–10)
• Який QR-код було відскановано для початку тренування (посилання на тренажер)
• Необов'язкові текстові нотатки до вправ

2.3 Налаштування та переваги

Ми зберігаємо ваші налаштування застосунку для синхронізації між пристроями:

• Мова, система одиниць (метрична / імперська), тема і перший день тижня
• Статус завершення початкового налаштування
• Налаштування застосунку у форматі JSON (перемикачі функцій та некритичні параметри)

2.4 Технічні дані та дані про пристрій

Збираються автоматично для роботи та обслуговування Сервісу:

• Модель пристрою та версія операційної системи
• Версія застосунку
• Розміри екрана
• Платформа (iOS / Android)
• Токени аутентифікаційної сесії, що зберігаються в захищеному локальному сховищі вашого пристрою
• Тип мережевого підключення (Wi-Fi або мобільні дані) та назва мобільного оператора

2.5 Звіти про збої

Коли застосунок стикається з помилкою, ми автоматично збираємо звіт про збій. Обробка здійснюється на підставі законного інтересу щодо підтримки справного Сервісу. Звіт містить:

• Повідомлення про помилку та трасування стеку
• Версія застосунку, платформа та версія ОС
• Модель пристрою та розмір екрана
• Екран, на якому ви перебували, та дія, що спричинила помилку
• Ваш ідентифікатор користувача (якщо ви були авторизовані)

Звіти про збої зберігаються 90 днів, після чого видаляються.

2.6 Відгуки, що надаються добровільно

Якщо ви користуєтеся формою зворотного зв'язку в застосунку, ми збираємо:

• Тип, назву та опис відгуку
• Пріоритет, який ви надаєте пункту
• Контактну адресу електронної пошти, якщо ви її надаєте
• Контекст пристрою, що додається автоматично: версія застосунку, платформа, версія ОС, модель пристрою та розмір екрана
• Екран, з якого ви відправили відгук

2.7 Аналітичні дані (умовно за згодою)

З вашою явною згодою ми надсилаємо події використання до Mixpanel (дані зберігаються в ЄС, api-eu.mixpanel.com). Якщо ви відмовляєте або відкликаєте згоду, жодні події не надсилаються. Аналітичне відстеження за замовчуванням вимкнено. Ми збираємо:

• Дії в застосунку — наприклад, запис підходу, завершення тренування, сканування QR-коду, зміна налаштувань, перегляд екранів
• Версія застосунку, платформа, версія ОС та мова інтерфейсу, що додаються до кожної події
• Ваш ідентифікатор Supabase (випадковий UUID) для зв'язку подій з одним користувачем — ім'я або електронна пошта ніколи не надсилаються
• Приблизне місто та країна, визначені з вашої IP-адреси сервісом Mixpanel — сама IP-адреса нами не зберігається

Конкретні точки даних, що надсилаються з тренувальними подіями, обмежені лічильниками та булевими прапорами (наприклад: «3 вправи, 12 підходів, вхід через QR-скан») — фактичні значення ваги або кількість повторень не надсилаються.

2.8 Записи про згоду

Коли ви приймаєте наші Умови або Політику, ми записуємо:

• Яку версію документа ви прийняли
• Дату та час прийняття
• Використана платформа (iOS / Android / web)
• IP-адресу та user agent — зберігаються для цілей аудиту відповідності GDPR

2.9 Дані, які ми не збираємо

• Точні дані GPS або відстеження місцезнаходження в реальному часі
• Списки контактів або журнали дзвінків
• Дані здоров'я з HealthKit, Google Fit або інших платформ здоров'я
• Фінансова або платіжна інформація
• Фотографії або вміст камери (крім необов'язкових скриншотів, що додаються до відгуків)
• Біометричні дані

• Надання Сервісу: Зберігання та синхронізація ваших тренувань між пристроями
• Підтримка надійності: Діагностика та усунення збоїв і помилок за допомогою звітів (законний інтерес)
• Покращення застосунку: Аналіз агрегованих шаблонів використання при наданій аналітичній згоді
• Зв'язок щодо облікового запису: Надсилання необхідних сповіщень, наприклад листів для скидання пароля
• Аналітика спортзалу: Надання партнерським спортзалам анонімізованих агрегованих статистичних даних про використання обладнання — наприклад, скільки разів тренажер було відскановано за місяць. Особисті тренувальні записи ніколи не передаються спортзалам.
• Правова відповідність: Зберігання записів про згоду та відповідь на законні запити щодо даних

• Договір: Дані облікового запису та тренувальні дані обробляються для надання Сервісу, на який ви підписалися
• Законний інтерес: Звіти про збої обробляються для підтримки функціонального та безпечного Сервісу
• Згода: Аналітичне відстеження та маркетингові повідомлення вимагають вашої явної згоди
• Юридичний обов'язок: Записи про згоду зберігаються для підтвердження відповідності GDPR

5.1 Де зберігаються ваші дані

• На вашому пристрої: Тренувальні дані зберігаються локально за допомогою зашифрованого SQLite (WatermelonDB) і синхронізуються в хмару, коли ви онлайн
• У хмарі: Сервери Supabase (PostgreSQL), що розміщені в Європейському Союзі
• Токени аутентифікації: Зберігаються лише в захищеному локальному сховищі вашого пристрою — ніколи не надсилаються постачальникам аналітики

5.2 Заходи безпеки

• Усі дані в транзиті шифруються за допомогою TLS 1.3
• Дані у стані спокою шифруються за допомогою AES-256
• Доступ до бази даних контролюється за допомогою Row-Level Security — кожен користувач може отримати доступ лише до своїх власних даних
• Доступ співробітників до даних користувачів обмежений необхідним мінімумом і реєструється

Ми не продаємо ваші персональні дані. Дані можуть передаватися лише в таких випадках:

• Постачальники інфраструктури: Supabase (хмарна база даних та аутентифікація, розміщена в ЄС); ці постачальники обробляють дані від нашого імені на підставі угод про обробку даних
• Постачальник аналітики: Mixpanel (endpoint ЄС) — лише якщо ви надали аналітичну згоду, і лише з анонімізованими ідентифікаторами
• Партнерські спортзали: Лише агреговані, анонімізовані статистичні дані про використання обладнання; ніколи особисті тренувальні записи
• Правові вимоги: Коли це вимагається законом або судовим рішенням
• Постачальник звітів про збої: Sentry (endpoint ЄС, ingest.de.sentry.io) — лише повідомлення про помилку, трасування стеку та контекст пристрою; обробляється на підставі законного інтересу

Відповідно до GDPR ви маєте такі права. Щоб скористатися ними, зверніться до нас на privacy@musclediary.app.

• Доступ: Запросити копію всіх персональних даних, що ми зберігаємо про вас
• Виправлення: Виправити неточні або неповні дані
• Видалення: Запросити видалення облікового запису та всіх пов'язаних персональних даних
• Перенесення даних: Отримати тренувальні дані у машинозчитуваному форматі
• Обмеження: Попросити нас обмежити обробку ваших даних на час вирішення спору
• Заперечення: Заперечити проти обробки на підставі законного інтересу
• Відкликання згоди: Будь-коли відмовитися від аналітичного відстеження в налаштуваннях застосунку; відкликати згоду з юридичними документами, видаливши обліковий запис

Ми відповімо на запити протягом 30 днів. Ви також маєте право подати скаргу до місцевого наглядового органу. В Україні: Уповноважений Верховної Ради України з прав людини (ombudsman.gov.ua).

• Активний обліковий запис: Дані зберігаються протягом усього часу активності облікового запису
• Видалений обліковий запис: Усі персональні дані назавжди видаляються протягом 30 днів
• Звіти про збої: Видаляються після 90 днів
• Записи про згоду: Зберігаються до 7 років відповідно до законодавства ЄС
• Агреговані аналітичні дані: Зберігаються безстроково — ці дані не містять особистих ідентифікаторів

Ви можете видалити обліковий запис будь-коли:

• Скориставшись опцією «Видалити обліковий запис» у застосунку (Налаштування → Видалити обліковий запис)
• Emailing support@musclediary.app

Після видалення всі тренувальні дані та особиста інформація назавжди видаляються. Записи про згоду зберігаються для правових цілей, як описано вище. Цю дію неможливо скасувати.

10.1 Мобільний застосунок

Мобільний застосунок не використовує файли cookie. Токени аутентифікаційних сесій зберігаються в захищеному локальному сховищі пристрою та недоступні третім особам.

10.2 Вебсайт

Наш вебсайт використовує:

• Необхідні файли cookie: Потрібні для аутентифікації та коректної роботи вебсайту
• Аналітичні файли cookie: Встановлюються лише з вашою явною згодою; ви можете відмовитися будь-коли

Сервіс не призначений для осіб молодше 16 років. Ми свідомо не збираємо персональні дані дітей. Якщо ви вважаєте, що дитина створила обліковий запис, зверніться до нас на privacy@musclediary.app, і ми негайно видалимо обліковий запис.

Ваші дані зберігаються на серверах у Європейському Союзі. Ми не передаємо персональні дані за межі ЄС на регулярній основі. Якщо передача за межі ЄС колись стане необхідною, ми забезпечимо її захист за допомогою Стандартних договірних положень або іншого механізму, затвердженого Європейською комісією.

Ми можемо час від часу оновлювати цю Політику конфіденційності. У разі суттєвих змін — наприклад, збору нових категорій даних або зміни способу поширення — ми повідомимо вас через застосунок і вимагатимемо прийняти оновлену Політику перед продовженням використання Сервісу. Номер версії та дата набрання чинності вгорі сторінки завжди відображають поточну версію.

З питань конфіденційності або запитами щодо даних:

• Privacy: privacy@musclediary.app
• Support: support@musclediary.app
• Website: musclediary.app