Політика конфіденційності

Koda — особистий проект Олександра Зінченка (Україна), без юридичної особи на момент публікації цього документа. Контакт у всіх питаннях щодо даних: support.koda@gmail.com.

Koda обробляє три категорії даних:

• Дані акаунту:email і Google ID, отримані під час входу через Google Sign-In. Ім'я та аватар не зберігаються на сервері.
• Контент користувача: звички, логи виконання, задачі, події календаря, підзадачі, нагадування, налаштування інтерфейсу, прикріплені файли (до 10 МБ кожен). Усе це вводиш ти сам.
• Дані Google Calendar (опційно): якщо ти підключиш Google Calendar sync, Koda отримує одностороннє читання подій з обраних тобою календарів у вікні today..today+90 днів. Koda нічого не записує назад у Google.

Koda не збирає: контакти, фотогалерею, точне місцезнаходження, мікрофон, дані про використання інших додатків, рекламні ідентифікатори.

Цілі обробки і відповідні правові підстави згідно зі ст. 6(1) GDPR:

• Виконання договору (ст. 6(1)(b) GDPR) — email/Google ID для входу і синхронізації, контент користувача для роботи додатка, дані Google Calendar для відображення подій, обробка платежів за Pro/Lifetime
• Легітимний інтерес (ст. 6(1)(f) GDPR) — листування з саппорт-командою щодо твоїх запитів, виявлення зловживань і захист сервісу
• Згода (ст. 6(1)(a) GDPR) — для майбутніх опційних сервісів (наприклад, аналітика, crash-репорти, AI-коуч з Phase 4). Згоду можна відкликати у будь-який момент через налаштування додатка

Ми не використовуємо твої дані для реклами, профайлінгу, продажу третім сторонам або тренування AI-моделей.

Усі дані зберігаються у захищеній базі Supabase (регіон eu-central-1, Франкфурт, Німеччина). Прикріплені файли — у Supabase Storage з owner-only доступом (Row Level Security). Кожен користувач бачить лише свої дані — ізоляція забезпечена на рівні бази через RLS-політики user_id = auth.uid().

З'єднання між додатком і сервером — через TLS. Паролі не зберігаються (вхід лише через Google OAuth).

Koda використовує такі сторонні сервіси, кожен зі своєю політикою:

• Google (Sign-In + Calendar API): для автентифікації і опційного читання подій. policies.google.com/privacy
• Supabase (Supabase Inc., США; інфраструктура у регіоні eu-central-1, Франкфурт): зберігання бази даних, авторизація, файли. supabase.com/privacy
• Google Play Billing (Google Ireland Ltd. / Google LLC): обробка платежів за Pro і Lifetime. Koda не отримує номери карток — отримує лише статус підписки.

Сервіси, які з'являться у наступних релізах, додаємо сюди заздалегідь (наприклад, RevenueCat для управління підписками, Sentry або Firebase Crashlytics для крах-репортів з opt-in згодою, постачальник LLM API для AI-коуча у Phase 4). До моменту підключення вони не використовуються.

Основна база даних Koda знаходиться у Європейському Союзі (Supabase, Франкфурт). Однак деякі сервіси, які ми використовуємо, оперують у США або інших країнах поза ЄЕЗ — зокрема Google (Sign-In, Calendar API, Play Billing) і материнська компанія Supabase.

Передача персональних даних у такі країни відбувається на підставі стандартних договірних положень (Standard Contractual Clauses) Європейської Комісії та, де застосовно, EU-US Data Privacy Framework, до якого приєднані Google і ключові підрядники Supabase. Це гарантує рівень захисту, еквівалентний GDPR.

• Поки твій акаунт активний — всі дані зберігаються
• Після видалення акаунту — повне видалення протягом 30 днів
• Резервні копії Supabase — до 7 днів, після чого автоматично перезаписуються

Згідно з Главою III GDPR ти маєш право у будь-який момент:

• Доступ до даних (ст. 15) — побачити свої дані у самому додатку, або написати нам — надішлемо JSON-експорт протягом 30 днів
• Виправлення (ст. 16) — будь-яке поле редагується в додатку
• Видалення (ст. 17) — Налаштування → Видалити акаунт. Усе зникне протягом 30 днів
• Обмеження обробки (ст. 18) — напиши на support, поки спір не вирішено, дані будуть лише зберігатись, а не оброблятись
• Перенесення даних (ст. 20) — отримати дані у структурованому форматі (JSON) і передати іншому сервісу
• Заперечення (ст. 21) — проти будь-якої обробки на підставі легітимного інтересу; ми зупинимо її, якщо у нас немає переважних законних підстав
• Відкликання згоди (ст. 7(3)) — стосовно опційних сервісів (аналітика, crash-репорти, AI-коуч)
• Відкликати дозвіл Google Calendar — у самому додатку або через myaccount.google.com/permissions
• Скарга наглядовому органу(ст. 77) — до уповноваженого з прав суб'єктів даних у твоїй країні (для України — Уповноважений ВРУ з прав людини)

Щоб скористатись правами — напиши на support.koda@gmail.com. Відповідаємо протягом 30 днів (вимога GDPR).

Koda не призначений для дітей до 13 років. Ми свідомо не збираємо дані осіб молодших за 13. Якщо ти батько/мати і виявив, що дитина створила акаунт — напиши на support, видалимо.

Ми можемо оновлювати цей документ. Дата у верхній частині — момент останньої редакції. Про значущі зміни (нові категорії даних, нові сторонні сервіси) ми повідомимо в додатку або на email перед тим, як зміни наберуть чинності.

З будь-якими питаннями щодо приватності пиши на support.koda@gmail.com. Відповідаємо протягом 7 днів.