Юридичне

Політика конфіденційності

Чинна з 6 травня 2026 року

1. Хто ми

STEP GYM — спортивний зал, що знаходиться у м. Могилів-Подільський, Україна. Ми керуємо вебдодатком на stepgym.com.ua, який допомагає клієнтам бронювати відвідування, бачити свій абонемент та історію тренувань.

2. Які дані ми збираємо

  • Профіль: імʼя, прізвище, телефон, email (якщо вказаний), дата народження (опційно).
  • Дані з Google-акаунту (якщо логінишся через Google) — детально у розділі 3 нижче.
  • Абонементи та відвідування: тип абонементу, дати, кількість використаних візитів, час сканування QR при вході в зал.
  • Технічні дані: токени для push-сповіщень (якщо ти їх увімкнув), мова браузера, тип пристрою — для коректної роботи додатка.

3. Дані з Google-акаунту (Google user data)

Якщо ти входиш у STEP GYM через «Sign in with Google», ми працюємо з даними твого Google-акаунту відповідно до Google API Services User Data Policy, включно з вимогами Limited Use.

3.1. Які саме дані ми отримуємо (Data Accessed). Ми запитуємо лише три необхідні OAuth-скоупи:

  • openid — унікальний ідентифікатор твого Google-акаунту;
  • https://www.googleapis.com/auth/userinfo.email — твоя email-адреса;
  • https://www.googleapis.com/auth/userinfo.profile — імʼя та посилання на фото профілю.

Ми не запитуємо доступу до Gmail, Google Drive, Google Контактів, Календаря чи будь-яких інших sensitive або restricted скоупів.

3.2. Як ми використовуємо ці дані (Data Usage). Дані з Google-акаунту використовуються виключно для:

  • створення облікового запису у STEP GYM при першому вході;
  • наступної автентифікації (вхід у кабінет одним натисканням «Увійти через Google»);
  • відображення твого імені та фото у власному кабінеті.

Ми не використовуємо ці дані для реклами, профайлингу, перепродажу або тренування моделей машинного навчання / штучного інтелекту.

3.3. Чи ділимось ми цими даними з третіми особами (Data Sharing). Ні. Дані з Google-акаунту не передаються рекламним мережам, аналітичним системам або стороннім компаніям. Технічно вони обробляються через Google Firebase Authentication (сервіс Google LLC) — окремої передачі іншим компаніям не відбувається. Ми не продаємо ці дані.

3.4. Як ми зберігаємо та захищаємо дані (Data Storage & Protection).

  • Зберігаємо у Google Firebase Authentication і Cloud Firestore (Google Cloud, регіон us-central1);
  • Шифрування at-rest (AES-256) та in-transit (TLS 1.2+) забезпечує платформа Google Cloud;
  • Доступ до даних обмежено Firestore Security Rules — кожен клієнт може читати лише власні документи;
  • Серверні операції виконуються через Cloud Functions від імені обмеженого service-акаунту;
  • Сайт використовує HTTPS з HSTS, Firebase App Check (reCAPTCHA Enterprise) для захисту від ботів, та Sentry для виявлення аномалій;
  • Доступ до адмін-консолі обмежено двома довіреними особами (власник залу і рецепція) з персональними обліковими записами.

3.5. Скільки ми зберігаємо дані та як їх видалити (Data Retention & Deletion).

  • Дані зберігаються лише поки активний твій акаунт у STEP GYM;
  • Самостійне видалення: у будь-який момент Кабінет → Налаштування → Небезпечна зона → Видалити акаунт. Профіль анонімізується (імʼя, email, телефон витираються), запис у Firebase Authentication видаляється негайно;
  • Запит на видалення поштою: noreply@stepgym.com.ua — обробимо протягом 30 днів і підтвердимо листом;
  • Відкликання дозволу Google: ти можеш у будь-який час прибрати доступ STEP GYM до свого Google-акаунту на myaccount.google.com/permissions;
  • Знеособлені записи про відвідування (без імені та контактів) можуть зберігатися довше для бухгалтерської звітності залу.

4. Навіщо ми це збираємо

  • Щоб ти міг увійти у свій кабінет та бачити інформацію про абонемент.
  • Щоб адміністратор на рецепції міг ідентифікувати тебе при вході в зал (через QR-код).
  • Щоб надсилати тобі сповіщення про закінчення абонементу або важливі новини залу.
  • Для звітності та внутрішньої аналітики (скільки людей відвідує зал, які абонементи популярніші).

5. Де ми зберігаємо дані

Усі дані зберігаються у Google Firebase (Firestore, Authentication, Cloud Storage) — це один із найбільших і найзахищеніших сервісів у світі. Дані шифруються при передачі (HTTPS) та зберіганні. Ми не передаємо твої дані третім особам.

Сервіс Resend ми використовуємо лише для надсилання технічних листів (наприклад, скидання пароля).

6. Хто має доступ

  • Ти сам — повний доступ до свого профілю та історії.
  • Адміністратори STEP GYM (рецепція та власник) — доступ до твого імені, телефону, абонементу та історії відвідувань. Не до пароля.
  • Більше ніхто. Дані не продаються та не передаються рекламним мережам.

7. Твої права

  • Переглянути свої дані — у Кабінеті → Налаштування.
  • Виправити неточні дані — там же або через рецепцію.
  • Видалити акаунт — Кабінет → Налаштування → Небезпечна зона. Профіль анонімізується, історія відвідувань зберігається для звітності залу.
  • Відмовитись від push-сповіщень — у налаштуваннях браузера або в Кабінеті → Сповіщення.

8. Cookies та локальне сховище

Ми використовуємо localStorage та IndexedDB у твоєму браузері для збереження сесії (щоб ти не вводив пароль кожного разу) та офлайн-доступу до даних. Жодних рекламних cookies або трекерів третіх сторін у нас немає.

9. Зберігання помилок (Sentry)

Якщо у додатку трапляється технічна помилка — інформація про неї автоматично надсилається у сервіс Sentry, щоб ми могли виправити проблему. Ми намагаємось не передавати туди особисті дані, але технічні поля (URL, тип браузера) можуть потрапляти.

10. Діти

Додаток і зал не призначені для дітей до 14 років. Якщо тобі менше 14 — реєструйся через батьків.

11. Зміни в політиці

Якщо ми змінимо політику — оновимо дату вгорі сторінки. Якщо зміни значні — повідомимо у додатку або листом.

12. Контакт

Питання щодо персональних даних — noreply@stepgym.com.ua або особисто на рецепції.

← На головну