Політика конфіденційності

Останнє оновлення: 24 травня 2025 року

Ця Політика конфіденційності описує, як додаток «Розклад Студента МПМЕК» (далі — «Додаток», «ми»), доступний за адресою mpmek.site, збирає, використовує та захищає ваші персональні дані.

1. Які дані ми збираємо

Ми збираємо мінімум даних, необхідних для роботи Додатку:

• Дані облікового запису: логін, відображуване ім'я та група — при реєстрації.
• Хеш пароля: пароль зберігається виключно у вигляді хеша (PBKDF2-SHA512, 600 000 ітерацій). Ми не зберігаємо та не маємо доступу до вашого пароля у відкритому вигляді.
• Push-підписка: якщо ви увімкнули сповіщення — технічний ідентифікатор пристрою для доставки повідомлень. Він зберігається у зашифрованому вигляді (AES-256-GCM).
• Домашні завдання: текст та файли завдань, які ви самостійно додаєте.
• Технічні дані: IP-адреса (тимчасово, для захисту від зловживань — rate limiting), User-Agent (не зберігається).

2. Як ми використовуємо дані

• Для відображення розкладу та домашніх завдань вашої групи.
• Для доставки push-сповіщень (за вашою згодою).
• Для захисту від несанкціонованого доступу (rate limiting, сесії).
• Для синхронізації даних між пристроями.

3. Зберігання даних

• На пристрої: обрана група, тема, налаштування та домашні завдання зберігаються в localStorage вашого браузера.
• На сервері: облікові дані та домашні завдання зберігаються в Upstash Redis (хмарна база даних з шифруванням at-rest). Сервери розташовані в ЄС.
• Файли: прикріплені файли завдань зберігаються у Vercel Blob Storage.

4. Передача даних третім сторонам

Ми не продаємо, не передаємо та не розкриваємо ваші персональні дані третім сторонам, окрім:

• Хостинг-провайдери: Vercel (хостинг додатку), Upstash (база даних) — для технічного забезпечення роботи сервісу.
• За вимогою закону: якщо це передбачено чинним законодавством України.

5. Безпека

Ми застосовуємо наступні заходи захисту:

• HTTPS (TLS 1.3) для всіх з'єднань.
• HttpOnly + Secure + SameSite=Strict cookies для сесій.
• PBKDF2-SHA512 (600 000 ітерацій) для хешування паролів.
• AES-256-GCM шифрування push-підписок.
• Rate limiting для захисту від brute-force атак.
• Content Security Policy (CSP) та інші security headers.

6. Ваші права

Відповідно до Закону України «Про захист персональних даних», ви маєте право:

• Знати, які ваші дані обробляються.
• Вимагати виправлення неточних даних.
• Вимагати видалення вашого облікового запису та всіх пов'язаних даних.
• Відкликати згоду на push-сповіщення у будь-який момент через налаштування.

Для реалізації цих прав зверніться через Telegram-бот @mpmek_bot.

7. Cookies та localStorage

• auth_token (cookie): сесійний токен авторизації. HttpOnly, не доступний з JavaScript.
• localStorage: обрана група, тема, налаштування сповіщень, кеш домашніх завдань. Зберігається тільки на вашому пристрої.

Ми не використовуємо сторонні cookies, аналітику чи рекламні трекери.

8. Діти

Додаток призначений для студентів коледжу. Ми свідомо не збираємо дані дітей молодше 16 років. Якщо ви вважаєте, що ми помилково зібрали такі дані — зв'яжіться з нами для їх видалення.

9. Зміни до цієї Політики

Ми можемо оновлювати цю Політику. Про суттєві зміни ми повідомимо через Додаток. Дата останнього оновлення вказана вгорі документа.

10. Контакти

З питань конфіденційності зверніться через Telegram-бот @mpmek_bot.