Политика конфиденциальности

1Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») регулирует порядок сбора, хранения, обработки, использования и защиты персональных данных пользователей сервиса VOOCAB (далее — «Сервис»), доступного по адресу https://voocab.ru.

1.2. Политика разработана в соответствии с Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также иными нормативно-правовыми актами Российской Федерации в области защиты персональных данных.

1.3. Используя Сервис, Пользователь подтверждает, что ознакомился с условиями настоящей Политики и даёт своё согласие на обработку персональных данных на условиях, изложенных в ней. Если Пользователь не согласен с условиями Политики, он обязан прекратить использование Сервиса.

1.4. Оператором персональных данных является правообладатель Сервиса VOOCAB (далее — «Оператор», «Администрация»).

1.5. Администрация вправе в любое время изменять настоящую Политику. Новая редакция вступает в силу с момента её публикации по адресу voocab.ru/privacy.

2Персональные данные, которые мы собираем

2.1. Оператор собирает и обрабатывает следующие категории персональных данных:

А. Данные, предоставляемые Пользователем при регистрации:

• Адрес электронной почты (email)
• Имя (отображаемое имя пользователя)
• Пароль (хранится исключительно в хешированном виде с использованием bcrypt)

Б. Данные об использовании Сервиса:

• Прогресс обучения (изученные, знакомые и изучаемые слова)
• Статистика упражнений и экзаменов (правильные/неправильные ответы)
• Серия обучения (streak), опыт (XP), достижения
• Настройки интерфейса (транскрипция, часть речи, автопроизношение)

Г. Технические данные:

• IP-адрес (используется исключительно для целей безопасности и ограничения частоты запросов)
• Тип и версия браузера (из HTTP User-Agent)
• Данные аутентификации (сеансовые токены cookies)

Д. Данные, хранящиеся локально на устройстве Пользователя (localStorage):

• Прогресс обучения (для неавторизованных пользователей)
• Настройки интерфейса
• Статистика ежедневных упражнений
• Данные об ошибках в упражнениях

2.2. Оператор не собирает и не обрабатывает следующие категории данных: биометрические данные, данные о местоположении (геолокация), финансовые и банковские данные, данные о состоянии здоровья.

3Правовые основания и цели обработки

3.1. Обработка персональных данных осуществляется на следующих правовых основаниях:

• Согласие субъекта персональных данных (ст. 6 п. 1 пп. 1 ФЗ-152) — при использовании Сервиса и регистрации
• Исполнение договора (ст. 6 п. 1 пп. 5 ФЗ-152) — предоставление доступа к функциям Сервиса
• Законный интерес оператора (ст. 6 п. 1 пп. 6 ФЗ-152) — обеспечение безопасности Сервиса

3.2. Цели обработки персональных данных:

• Идентификация и аутентификация Пользователя, предоставление доступа к персонализированным функциям Сервиса
• Сохранение, синхронизация и отображение прогресса обучения между устройствами
• Отправка сервисных уведомлений: коды подтверждения email, коды сброса пароля
• Обеспечение безопасности Сервиса: обнаружение и предотвращение мошеннических действий, ограничение частоты запросов (rate limiting)
• Обратная связь с Пользователем по вопросам функционирования Сервиса
• Улучшение качества, функциональности и пользовательского опыта Сервиса
• Выполнение обязанностей, предусмотренных применимым законодательством

3.3. Оператор не принимает решений, порождающих юридические последствия или иным образом затрагивающих права и законные интересы Пользователя, на основании исключительно автоматизированной обработки персональных данных.

4Порядок сбора и обработки данных

4.1. Сбор персональных данных осуществляется следующими способами:

• Форма регистрации: Пользователь самостоятельно вводит имя, email и пароль
• Автоматический сбор: технические данные (IP, cookies) собираются автоматически при обращении к Сервису
• LocalStorage: данные сохраняются на устройстве Пользователя при использовании Сервиса

4.2. Обработка персональных данных включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение.

4.3. Обработка персональных данных осуществляется с использованием средств автоматизации (серверное программное обеспечение, база данных).

4.4. Хранение персональных данных осуществляется в электронной форме на серверах, расположенных на территории Российской Федерации.

5Сроки хранения персональных данных

5.1. Персональные данные хранятся в течение следующих сроков:

• Данные аккаунта (email, имя, хеш пароля) — в течение всего срока существования аккаунта Пользователя и до его удаления
• Прогресс обучения — в течение всего срока существования аккаунта
• Сеансовые токены (cookies) — до истечения срока действия (30 дней) или до выхода из аккаунта
• Данные из localStorage — до момента очистки Пользователем через настройки браузера
• Неверифицированные аккаунты — удаляются автоматически по истечении 24 часов
• Токены подтверждения email — удаляются по истечении 15 минут
• Токены сброса пароля — удаляются по истечении 15 минут

5.2. После удаления аккаунта персональные данные удаляются из базы данных Сервиса в течение 30 (тридцати) календарных дней.

5.3. Аккаунты, неактивные более 12 (двенадцати) месяцев подряд, могут быть удалены Администрацией с предварительным уведомлением.

6Передача персональных данных третьим лицам

6.1. Оператор не передаёт персональные данные Пользователя третьим лицам, за исключением случаев, прямо предусмотренных настоящей Политикой.

6.2. Персональные данные могут быть переданы в следующих случаях:

• Провайдер электронной почты: адрес электронной почты Пользователя передаётся SMTP-провайдеру исключительно для отправки сервисных писем (коды подтверждения, сброс пароля). Содержимое персональных данных в письмах не передаётся.
• Требование закона: по обоснованному требованию уполномоченных государственных органов в соответствии с применимым законодательством Российской Федерации.
• Защита прав: для защиты прав, собственности или безопасности Оператора, Пользователей или общественности.

6.3. Оператор не осуществляет трансграничную передачу персональных данных.

6.4. Оператор не продаёт и не сдаёт в аренду персональные данные Пользователей.

7Меры защиты персональных данных

7.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

7.2. Применяемые технические меры защиты:

• Шифрование паролей с использованием алгоритма bcrypt с фактором стоимости 12
• Использование криптографически стойкого генератора случайных чисел (Node.js crypto) для генерации кодов подтверждения
• Шифрование трафика между клиентом и сервером (HTTPS/TLS)
• Ограничение частоты запросов (rate limiting) для предотвращения brute-force атак
• Строгая валидация и санитизация всех входных данных на стороне сервера
• Защита от CSRF, XSS и SQL-инъекций (параметризованные запросы через Prisma ORM)
• Ограничение максимальной длины входных данных (имя ≤ 100 символов, пароль ≤ 72 символа)
• Раздельное хранение токенов подтверждения email и токенов сброса пароля
• Автоматическое удаление просроченных токенов
• Удаление всех сеансов при смене пароля

7.3. Применяемые организационные меры защиты:

• Ограничение доступа к персональным данным только уполномоченными сотрудниками
• Мониторинг и логирование действий с персональными данными
• Регулярное обновление зависимостей и устранение известных уязвимостей
• Использование современных стандартов разработки и развёртывания

8Файлы cookie и технологии хранения данных

8.1. Сервис использует следующие технологии хранения данных:

• Файлы cookie (cookies): используются исключительно для хранения данных аутентификации (сеансовые токены NextAuth.js), обеспечивающих функционирование системы авторизации. Cookies не содержат персональных данных сверх идентификатора сеанса и устанавливаются с флагами безопасности (HttpOnly, Secure, SameSite).
• LocalStorage: используется для локального хранения прогресса обучения, настроек и статистики Пользователя. Данные в localStorage не передаются на сервер автоматически и управляются исключительно Пользователем. При авторизации данные могут синхронизироваться с сервером.
• Service Worker: используется для обеспечения работы PWA (Progressive Web App) и кеширования статических ресурсов. Service Worker не обрабатывает персональные данные.

8.2. Сервис не использует сторонние аналитические сервисы (Google Analytics, Яндекс.Метрика и аналогичные), рекламные трекеры, пиксели отслеживания или иные технологии сбора данных о поведении Пользователя.

8.3. Сервис не использует cookies для целей рекламы, таргетинга или профилирования.

9 Права субъекта персональных данных

10.1. В соответствии с применимым законодательством Пользователь имеет следующие права:

• Право на доступ: получить информацию о том, какие персональные данные обрабатываются Оператором
• Право на уточнение: потребовать исправления неточных персональных данных
• Право на удаление: потребовать удаления персональных данных (право «на забвение»)
• Право на ограничение обработки: потребовать ограничения обработки персональных данных при наличии оснований
• Право на отзыв согласия: отозвать согласие на обработку персональных данных в любой момент
• Право на перенос данных: получить персональные данные в структурированном, машиночитаемом формате
• Право на возражение: возразить против обработки персональных данных
• Право на обжалование: обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке

10.2. Для реализации прав, указанных в п. 10.1, Пользователь направляет запрос на адрес электронной почты support@voocab.ru. Запрос должен содержать:

• Фамилию, имя и отчество субъекта персональных данных
• Адрес электронной почты, использованный при регистрации
• Суть запроса и желаемое действие

10.3. Оператор рассматривает запрос и предоставляет ответ в течение 30 (тридцати) календарных дней с момента получения.

10.4. Отзыв согласия на обработку персональных данных влечёт за собой удаление аккаунта Пользователя и всех связанных данных.

10 Защита данных несовершеннолетних

11.1. Сервис не предназначен для лиц младше 16 лет (или иного возраста, установленного применимым законодательством).

11.2. Оператор не осуществляет целенаправленный сбор персональных данных несовершеннолетних. Если Оператору станет известно, что персональные данные несовершеннолетнего были собраны без согласия родителя или законного опекуна, такие данные будут незамедлительно удалены.

11.3. Несовершеннолетние в возрасте от 16 до 18 лет вправе использовать Сервис с согласия родителя или законного опекуна.

11 Уведомление об утечке данных

12.1. В случае обнаружения инцидента, связанного с нарушением безопасности персональных данных (утечка, несанкционированный доступ, потеря), Оператор:

• Уведомляет Роскомнадзор в течение 24 часов с момента обнаружения инцидента в соответствии с требованиями ФЗ-152
• Уведомляет затронутых Пользователей в разумные сроки посредством электронной почты
• Предпринимает все необходимые меры для локализации и устранения последствий инцидента
• Проводит внутреннее расследование причин инцидента и реализует меры по предотвращению повторных случаев

12 Автоматизированная обработка и профилирование

13.1. Сервис осуществляет автоматизированную обработку персональных данных для следующих целей:

• Отслеживание прогресса обучения и подбор слов для повторения
• Расчёт серии обучения (streak) на основе дат последней активности
• Начисление опыта (XP) и определение уровня владения
• Адаптация контента упражнений на основе изучаемых слов

13.2. Автоматизированная обработка не влечёт за собой юридических последствий для Пользователя и не затрагивает его права и законные интересы. Пользователь в любой момент может изменить настройки, удалить прогресс или отменить результаты автоматической обработки.