Політика конфіденційності

1. Хто ми і з ким ви маєте справу

Ця Політика конфіденційності описує, які персональні дані збираються у мобільному застосунку Embody (далі — «Застосунок»), з якою метою вони обробляються, кому передаються та які права ви маєте щодо цих даних.

Володільцем та розпорядником персональних даних є студія усвідомленого руху Embody (далі — «Студія», «ми»). Контактна інформація наведена у розділі «Як з нами зв’язатися» та у розділі «Контакти» самого Застосунку.

2. На яких підставах ми обробляємо ваші дані

Ми обробляємо персональні дані відповідно до:

• Закону України «Про захист персональних даних» № 2297-VI;
• Регламенту (ЄС) 2016/679 (GDPR) — у частині, що стосується клієнтів з країн ЄС;
• вашої згоди, наданої у момент реєстрації та заповнення профілю.

Підставами обробки є: виконання договору про надання послуг Студії, згода суб’єкта даних, виконання вимог законодавства, а також наш законний інтерес у наданні якісних і безпечних послуг.

3. Які дані ми збираємо

3.1. Облікові дані (обов’язкові)

• ім’я та прізвище;
• номер мобільного телефону (використовується як логін);
• одноразовий SMS-код для підтвердження номера;
• пароль (зберігається у хешованому вигляді).

3.2. Дані профілю (за бажанням)

• адреса електронної пошти;
• дата народження;
• фото профілю (аватар).

3.3. Дані про стан здоров’я та фізичну активність

У межах анкети та картки клієнта ми можемо збирати:

• наявність обмежень щодо спини, колін, шиї та інших травм (за вашим вибором);
• інформацію про вагітність або нещодавні пологи (за вашим вибором);
• відомості про алергічні реакції;
• досвід занять пілатесом та фітнес-цілі;
• історію відвіданих тренувань та бронювань.

Ці дані вводяться вами добровільно і необхідні виключно для того, щоб тренер міг безпечно адаптувати програму заняття до ваших особливостей. Дані про здоров’я ми вважаємо чутливими та захищаємо з особливою ретельністю.

3.4. Дані про придбання та фінансові операції

• історія купівлі абонементів, подарункових сертифікатів та разових занять;
• історія нарахувань та списань з внутрішнього балансу;
• статуси платіжних операцій.

Реквізити платіжних карток Застосунок не зберігає і не передає Студії. Оплата виконується через захищений платіжний шлюз (див. розділ 5).

3.5. Технічні дані

• push-токен пристрою для надсилання сповіщень через Apple Push Notification service та Expo Push;
• модель пристрою, версія операційної системи, версія застосунку;
• журнали запитів до сервера (дата, час, IP-адреса, тип запиту).

4. Для чого ми використовуємо ваші дані

• ідентифікувати вас як клієнта Студії та забезпечити вхід у Застосунок;
• відображати розклад, приймати та скасовувати записи на тренування;
• продавати абонементи, активувати сертифікати, вести внутрішній баланс;
• надсилати сповіщення про майбутні заняття, підтвердження записів та важливі оновлення від Студії;
• забезпечити безпеку тренувань шляхом передачі інформації про обмеження по здоров’ю тренеру;
• виконувати вимоги бухгалтерського та податкового обліку;
• покращувати стабільність і якість роботи Застосунку.

Ми не використовуємо ваші дані для показу сторонньої реклами, таргетингу у мережах третіх сторін, продажу даних рекламним брокерам, а також для будь-яких форм відстеження (tracking) у розумінні App Tracking Transparency від Apple.

5. Кому ми передаємо ваші дані

Доступ до ваших даних мають лише ті особи та сервіси, без яких неможливе надання послуги:

• Адміністратори та тренери Студії — у частині, необхідній для обслуговування ваших записів, оплат та адаптації програми тренувань.
• Платіжний провайдер (наприклад, iPay.ua або інший сертифікований PCI DSS шлюз) — отримує реквізити картки та суму транзакції безпосередньо від вас; Студія ці дані не бачить.
• Apple Push Notification service та Expo Push — доставляють сповіщення на ваш пристрій. Отримують push-токен і текст сповіщення, не отримують вміст вашої картки клієнта.
• Постачальник хмарного хостингу — забезпечує зберігання даних у зашифрованому вигляді на території ЄС/України.
• Органи державної влади — виключно у випадках, передбачених законом, та лише у відповідь на обґрунтований запит.

Ми не передаємо персональні дані рекламним мережам, дата-брокерам чи аналітичним системам, що збирають дані між різними застосунками.

6. Як довго зберігаються ваші дані

• дані облікового запису — протягом усього часу, поки ви є клієнтом Студії;
• фінансові записи — протягом строків, встановлених податковим законодавством (як правило, 3 роки);
• дані про стан здоров’я — до моменту видалення вашого облікового запису або до відкликання згоди;
• технічні журнали серверу — не довше 90 днів;
• після видалення облікового запису всі ідентифікаційні дані видаляються або знеособлюються не пізніше ніж за 30 днів.

7. Як ми захищаємо ваші дані

• канал передачі даних між Застосунком і сервером захищений TLS 1.2+;
• паролі зберігаються у вигляді криптографічного хешу (bcrypt);
• токени авторизації зберігаються у захищеному сховищі пристрою (iOS Keychain / Android Keystore);
• резервні копії шифруються;
• доступ до персональних даних адміністраторів і тренерів обмежується принципом мінімальних привілеїв;
• у разі витоку даних, що може створити ризик для ваших прав, ми повідомимо вас та компетентний орган протягом 72 годин.

8. Ваші права

Ви маєте право:

• отримати підтвердження факту обробки ваших даних;
• отримати копію своїх даних у зручному форматі;
• вимагати виправлення неточних або оновлення застарілих даних;
• вимагати видалення даних («право бути забутим»);
• обмежити обробку даних або заперечити проти неї;
• відкликати раніше надану згоду у будь-який момент;
• подати скаргу до Уповноваженого Верховної Ради з прав людини або до іншого компетентного органу.

Більшість прав ви можете реалізувати безпосередньо у Застосунку: відредагувати профіль, змінити дані анкети, видалити фото або обліковий запис. Для решти запитів зв’яжіться з нами способами, зазначеними нижче.

9. Діти

Застосунок не призначений для осіб молодших за 16 років. Ми свідомо не збираємо персональні дані дітей. Якщо ви є батьками або законним представником і вважаєте, що дитина надала нам свої дані, будь ласка, зв’яжіться з нами — ми видалимо їх без затримки.

10. Міжнародна передача даних

Основне зберігання даних відбувається на серверах у межах України та/або Європейського Союзу. Для роботи push-сповіщень дані (push-токени, текст сповіщення) можуть проходити через інфраструктуру Apple Inc. (США) та Expo (США). Передача відбувається на підставі стандартних договірних положень, затверджених Європейською Комісією.

11. Зміни до цієї Політики

Ми можемо час від часу оновлювати цю Політику, щоб відобразити зміни у законодавстві або у функціональності Застосунку. Дата останньої редакції вказана на початку документа. У разі істотних змін ми повідомимо вас через Застосунок або електронною поштою.

12. Як з нами зв’язатися

Якщо у вас виникли запитання щодо цієї Політики або обробки ваших персональних даних, напишіть нам:

• через розділ «Контакти» у Застосунку;
• електронною поштою: mm0907744@gmail.com;
• за адресою однієї з локацій студії Embody, вказаних у Застосунку.