политика конфиденциальности

Что мы собираем и зачем

Версия 2026-05-10. Применима к Tappetite (web + iOS + Android).

Если коротко: мы храним то, что нужно чтобы игра работала и улучшалась - твой ник, email (если оставил), результаты, согласия, заявки, базовые сессии. Используем PostHog для продуктовой аналитики и Resend для писем (ниже подробно). По умолчанию мы НЕ шлём тебе маркетинг и НЕ передаём твои персональные данные третьим лицам - только если ты сам отдельно включишь это в профиле. Обезличенные данные мы используем без ограничений (это часть согласия). Удалить аккаунт можно в любой момент - забираем личные данные.

01Кто мы

Tappetite - независимый проект (физическое лицо, оператор находится в Республике Казахстан). Юрлицо на момент публикации этой версии не оформлено; будет оформлено по мере роста сервиса. По вопросам приватности и обработки персональных данных пиши на [email protected].

Применимое регулирование на момент этой версии: Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (для пользователей в Казахстане), Регламент GDPR (для пользователей в EU/EEA/UK), и применимые законы страны проживания пользователя для остальных регионов.

02Какие данные мы собираем

Аккаунт: ник, email (если регистрировался по email), хешированный пароль (bcrypt - мы не видим оригинал), аватар-символ, дата создания, дата последнего входа.
Сессии: токен сессии (cookie HttpOnly), IP-адрес, user-agent, время последней активности.
Социальные идентификаторы: если входишь через Google/Apple - provider ID, email из токена и факт входа. Пароль провайдера мы никогда не получаем.
Согласия: категория (core / email-marketing / push-marketing), статус (granted/revoked), время изменения, IP и user-agent на момент изменения, версия политики, под которой согласие было дано. Это аудит-журнал - нужен чтобы доказать факт согласия в случае спора.
Игровые результаты: категория, твоя тройка, архетип, длительность турнира, время прохождения. Используются для истории, сравнений с друзьями и улучшения рекомендаций.
Заявки и обратная связь: темы, имена, описания и сообщения, которые ты сам отправил через «Предложить» / форму фидбека. Email для ответа - опционально.
Социальные связи: запросы дружбы, принятые и отклонённые связи.
Ачивки: какие открыты и когда.
Реферальные данные: если зарегистрировался по чужой ссылке-приглашению - мы запоминаем кто тебя пригласил (для механики реферальных ачивок).
Технические логи: ошибки и сбои в работе приложения (тип ошибки, стек, URL, user-agent, IP). Для починки багов. Личное содержимое страниц или нажатия НЕ собираем.
Аналитические события (PostHog): запуск приложения, открытие экрана, начало турнира, завершение, регистрация, вход. С каждым событием - анонимный distinct_id (или ID аккаунта если ты залогинен), язык, тема, тип браузера/устройства. Не собираем содержимое экранов и не записываем сессии.

Чего мы не собираем: историю просмотров вне нашего сайта, контакты телефона, точную геолокацию, биометрию, данные платёжных карт, сторонние трекеры в сторонних доменах.

03Зачем (цели обработки)

Авторизация и предотвращение несанкционированного доступа.
Сохранение твоей истории и настроек, синхронизация между устройствами.
Расчёт совпадения вкусов с друзьями (только взаимными).
Модерация пользовательских заявок и поддержка.
Поиск и устранение багов, мониторинг работоспособности.
Продуктовая аналитика - какие категории популярны, где люди отваливаются, какие фичи стоит улучшить. На уровне агрегатов (не «что конкретный Иван выбрал»).
Обучение наших рекомендательных алгоритмов на основе результатов и предпочтений (никогда не передаём сырые персональные данные третьим лицам без отдельного согласия).
Транзакционная коммуникация: подтверждение регистрации, сброс пароля, важные обновления безопасности и сервиса.
Маркетинг (только если ты отдельно подписался в профиле): новости продукта, рассылки, промо.
Защита прав в случае споров и соблюдение применимого законодательства.
Подготовка к потенциальным коммерческим инициативам: лицензирование обезличенных датасетов исследовательским и индустриальным партнёрам, продажа или передача бизнеса целиком (см. §05.5).

04Третьи стороны (процессоры)

Чтобы сервис работал, мы обрабатываем твои данные через перечисленных ниже подрядчиков. Каждый из них - независимый процессор; они получают только то, что необходимо им для своей функции, и обязаны защищать твои данные согласно применимому законодательству. Полный список:

Процессор	Что получает	Юрисдикция	Их политика
PostHog (продуктовая аналитика)	Анонимные события использования, distinct_id, язык, тема, тип устройства. Если ты залогинен - твой числовой ID и ник.	EU (ЕС, eu.i.posthog.com)	posthog.com/privacy
Resend (отправка email)	Твой email-адрес и текст транзакционных писем (сброс пароля, broadcast-рассылки если ты подписался). IP-адрес и заголовки доставки технически проходят через их инфраструктуру.	США (Delaware, USA)	resend.com/legal/privacy-policy
Google (Sign in with Google)	Только если ты выбираешь вход через Google. Google получает факт входа в наше приложение; мы получаем твой Google ID, email и имя из токена.	США / ЕС (зависит от региона аккаунта)	policies.google.com/privacy
Apple (Sign in with Apple)	Только если выбираешь вход через Apple. Apple получает факт входа; мы получаем Apple ID и email (real или relay-адрес по твоему выбору).	США / ЕС	apple.com/legal/privacy
Хостинг-провайдер	Серверы, на которых физически работает наш бэкенд и хранится база данных.	EU (ЕС, дата-центр в Европе)	-
Cloudflare (CDN, DNS)	Технические заголовки HTTP-запросов проходят через их прокси (IP, user-agent). Контент запросов не дешифруется.	США (с европейскими PoP)	cloudflare.com/privacypolicy

Передача за пределы Казахстана и EU/EEA: для пользователей в Казахстане - мы используем процессоров за рубежом и заявим об этом в Минцифры РК как требует ст. 16 Закона о персональных данных. Для пользователей в EU - переносы в США осуществляются на основании Standard Contractual Clauses (SCC) или адекватных решений.

05Cookies, токены и localStorage

upg_session - авторизация. HttpOnly, Secure, SameSite=Lax. Без неё ты будешь играть как гость.
upg_admin_v3 - авторизация модераторов и админов (только для них).
ph_* - cookies PostHog для продуктовой аналитики (distinct_id).
localStorage: язык, тема, оффлайн-кэш результатов, неотправленные результаты турниров. Не отправляются на сервер кроме случаев когда ты завершаешь турнир и они синхронизируются.

05.5Передача бизнеса (M&A) и публичное использование

Если Tappetite будет приобретён, объединён или иным образом передан другой компании (включая продажу активов или реорганизацию), персональные данные пользователей могут быть переданы покупателю как часть сделки. Покупатель будет связан как минимум этой же политикой конфиденциальности (или эквивалентной). Если правила обработки данных у покупателя будут отличаться существенно, мы предупредим заранее и дадим возможность удалить аккаунт.

Обезличенные и агрегированные данные. Мы можем создавать обезличенные и агрегированные датасеты (не позволяющие идентифицировать конкретных пользователей) на основе игровых результатов, статистики выборов, паттернов вкусов. Такие датасеты не являются персональными данными и могут использоваться нами без ограничений: для публикации, лицензирования партнёрам, исследований, обучения моделей и любых других коммерческих и некоммерческих целей. Это часть согласия на обработку, которое ты даёшь при регистрации.

06Срок хранения

Аккаунт и связанные данные (профиль, результаты, друзья, ачивки, заявки): пока существует аккаунт. После нажатия «Удалить аккаунт навсегда» данные удаляются из активной БД немедленно в одной транзакции (см. §07). В резервных копиях БД могут оставаться до 30 дней - после ротации копий пропадают и оттуда.
Сессии: 30 дней неактивности → автоматическое истечение.
Аудит согласий (consent_acceptances): пока существует аккаунт. При удалении аккаунта удаляется вместе с ним (CASCADE). Если хочешь сохранить доказательство своего согласия для собственных целей - выгрузи данные через «Скачать мои данные» перед удалением: экспорт включает полную историю согласий.
Логи ошибок: 90 дней с момента события.
Аналитические события в PostHog: до 7 лет (политика самого PostHog), привязка к аккаунту разрывается при удалении аккаунта.
Резервные копии БД: 30 дней.
Запросы поддержки: 2 года для разрешения повторных обращений.

07Что происходит при удалении аккаунта

Когда ты нажимаешь «Удалить аккаунт навсегда» - мы в одной транзакции:

Удаляем строку профиля, все твои сессии, результаты, заявки, друзей, ачивки, согласия (актуальные и историю).
Анонимизируем твои логи ошибок (стираем ник, IP, user-agent - оставляем стек/сообщение для аналитики багов).
Удаляем твой email из обратной связи (текст обращения остаётся как анонимный сообщение для модерации).
Заменяем содержимое твоих расшаренных «челленджей» на пустую заглушку (ссылки остаются валидными, но твой ник и top-3 удаляются).
В связанных системах (PostHog) разрываем связь distinct_id с твоим аккаунт-ID, делая последующие события полностью анонимными.

Резервные копии БД, в которых могут быть твои данные, циркулируют максимум 30 дней - после ротации они полностью пропадают и оттуда.

08Твои права

Получить копию данных - кнопка «Скачать мои данные» в профиле. JSON со всем что у нас есть на тебя, включая историю согласий.
Удалить аккаунт - кнопка «Удалить аккаунт навсегда» в профиле. Действие необратимо.
Изменить ник, email или пароль - через профиль.
Управлять опциональными согласиями - раздел «Мои согласия» в профиле. Включай и выключай email-рассылки, push-уведомления в любой момент.
Возражать против обработки или ограничить её - пиши на support@, разберём конкретный случай.
Подать жалобу регулятору - в Казахстане: Комитет по защите прав потребителей и Минцифры РК. В EU/EEA: соответствующий национальный supervisory authority.

09Возрастные ограничения

Сервис рассчитан на пользователей 16 лет и старше. Это требование GDPR для обработки данных без согласия родителей. Если ты родитель и обнаружил, что твой ребёнок младше 16 зарегистрировался - напиши нам, мы удалим аккаунт.

10Изменения политики

Если меняем политику - обновляем версию вверху страницы. При существенных изменениях (новые процессоры, новые цели обработки, существенно расширенные сроки хранения) мы попросим тебя заново подтвердить согласие при следующем входе. Старая версия будет доступна по ссылке в архиве.

11Связаться

По любым вопросам приватности, запросам данных, удалению аккаунта или жалобам: [email protected]. Стараемся отвечать в течение 14 дней.

What we collect and why

Version 2026-05-10. Applies to Tappetite (web + iOS + Android).

Short version: we store what's needed for the game to work and improve - your nickname, email (if you provided one), results, consents, submissions, basic session data. We use PostHog for product analytics and Resend for emails (full disclosure below). By default we do NOT send you marketing and do NOT pass your personal data to third parties unless you separately opt in via your profile. Anonymised aggregates we use without limits (part of the consent). You can delete your account anytime - personal data goes away.

01Who we are

Tappetite is an independent project (individual operator, based in the Republic of Kazakhstan). No legal entity is registered at the time of this version; one will be registered as the service grows. For privacy questions, data requests or complaints: [email protected].

Applicable regulations at the time of this version: Kazakhstan Personal Data Protection Law of 21 May 2013 № 94-V (for users in Kazakhstan), GDPR Regulation (for users in EU/EEA/UK), and applicable laws of the user's country of residence elsewhere.

02What data we collect

Account: nickname, email (if you registered with email), hashed password (bcrypt - we never see the original), avatar glyph, account creation date, last login.
Sessions: session token (HttpOnly cookie), IP address, user-agent, last active time.
Social identities: if you sign in via Google or Apple - provider ID, email from the token, sign-in event. We never receive your provider password.
Consents: category (core / email-marketing / push-marketing), status (granted/revoked), change timestamp, IP and user-agent at the moment of change, the policy version under which consent was given. This is an audit log - needed to prove consent if ever disputed.
Game results: category, your top 3, archetype, tournament duration, completion time. Used for history, friend comparisons, and improving recommendations.
Submissions and feedback: themes, names, descriptions, and messages you submit through "Suggest" / feedback form. Reply email is optional.
Social connections: friend requests, accepted and declined connections.
Achievements: which are unlocked and when.
Referral data: if you registered via someone's invite link - we record who invited you (for the referral-achievement mechanic).
Technical logs: errors and crashes (error type, stack trace, URL, user-agent, IP). For bug fixes. We do NOT collect page contents or keystrokes.
Analytics events (PostHog): app launch, screen open, tournament start, completion, registration, login. Each event ships with an anonymous distinct_id (or your account ID if signed in), language, theme, browser/device type. We don't capture screen contents or record sessions.

What we don't collect: browsing history outside our site, phone contacts, precise geolocation, biometrics, payment card data, third-party trackers on third-party domains.

03Why (purposes of processing)

Authentication and prevention of unauthorised access.
Saving your history and settings, syncing across devices.
Calculating taste matches with mutual friends.
Moderating user submissions and support.
Bug detection and fixing, uptime monitoring.
Product analytics - which categories are popular, where people drop off, which features are worth improving. At an aggregate level (not "what specific Ivan picked").
Training our recommendation algorithms based on results and preferences (we never share raw personal data with third parties without separate consent).
Transactional communication: registration confirmation, password reset, security and service updates.
Marketing (only if you separately opt in via your profile): product news, newsletters, promos.
Defending rights in disputes and complying with applicable law.
Preparing for potential commercial initiatives: licensing of anonymised datasets to research and industry partners, sale or transfer of the business as a whole (see §05.5).

04Third parties (processors)

For the service to function, we process your data through the contractors listed below. Each is an independent processor; they receive only what's needed for their function and are bound to protect your data under applicable law. Full list:

Processor	What they receive	Jurisdiction	Their policy
PostHog (product analytics)	Anonymous usage events, distinct_id, language, theme, device type. If signed in - your numeric account ID and nickname.	EU (eu.i.posthog.com)	posthog.com/privacy
Resend (email delivery)	Your email address and the text of transactional emails (password reset, broadcast newsletters if subscribed). IP and delivery headers technically transit their infrastructure.	USA (Delaware)	resend.com/legal/privacy-policy
Google (Sign in with Google)	Only if you choose Google sign-in. Google sees that you signed into our app; we receive your Google ID, email and name from the token.	USA / EU (depends on account region)	policies.google.com/privacy
Apple (Sign in with Apple)	Only if you choose Apple sign-in. Apple sees the sign-in event; we receive Apple ID and email (real or relay-address by your choice).	USA / EU	apple.com/legal/privacy
Hosting provider	Servers physically running our backend and storing the database.	EU (data centre in Europe)	-
Cloudflare (CDN, DNS)	HTTP request headers transit their proxy (IP, user-agent). Request contents are not decrypted.	USA (with EU PoPs)	cloudflare.com/privacypolicy

Cross-border transfer: for users in Kazakhstan - we use processors abroad and will register this with the KZ Ministry of Digital Development as required by Article 16 of the Personal Data Law. For users in the EU - transfers to the US rely on Standard Contractual Clauses (SCC) or adequacy decisions.

05Cookies, tokens and localStorage

upg_session - authentication. HttpOnly, Secure, SameSite=Lax. Without it you stay as a guest.
upg_admin_v3 - moderator and admin authentication (only used by them).
ph_* - PostHog cookies for product analytics (distinct_id).
localStorage: language, theme, offline cache of results, unsynced tournament results. Not sent to the server unless you complete a tournament and they sync.

05.5Business transfer (M&A) and public use

If Tappetite is acquired, merged, or otherwise transferred to another company (including asset sale or reorganisation), users' personal data may be transferred to the buyer as part of the deal. The buyer will be bound at minimum by this same privacy policy (or an equivalent). If the buyer's data practices materially differ, we will give advance notice and an opportunity to delete your account.

Anonymised and aggregated data. We may create anonymised and aggregated datasets (not allowing identification of specific users) based on game results, choice statistics, taste patterns. Such datasets are not personal data and may be used by us without limits: for publication, licensing to partners, research, model training, and any other commercial and non-commercial purposes. This is part of the processing consent you give at registration.

06Retention

Account and related data (profile, results, friends, achievements, submissions): while the account exists. After "Delete account permanently" the rows are removed from the active database immediately in a single transaction (see §07). They may remain in DB backups for up to 30 days - after backup rotation they're gone from there too.
Sessions: 30 days of inactivity → automatic expiry.
Consent audit log (consent_acceptances): for as long as the account exists. Deleted together with the account (CASCADE). If you want to keep proof of your consent for your own records - use "Download my data" before deletion: the export includes your full consent history.
Error logs: 90 days from the event.
PostHog analytics events: up to 7 years (PostHog's own policy); the link to your account is broken on account deletion.
Database backups: 30 days.
Support requests: 2 years to handle repeat enquiries.

07What happens when you delete the account

When you tap "Delete account permanently" - in a single transaction we:

Delete your profile row, all your sessions, results, submissions, friends, achievements, current and historical consents.
Anonymise your error logs (strip nickname, IP, user-agent - keep stack/message for crash analysis).
Strip your email from feedback rows (the text remains as an anonymous moderation report).
Replace the contents of your shared challenges with an empty tombstone (links remain valid, but your nickname and top-3 are removed).
In linked systems (PostHog) we sever the distinct_id ↔ account-ID link, making subsequent events fully anonymous.

Database backups containing your data circulate for at most 30 days - after rotation they're gone from there too.

08Your rights

Get a copy of your data - "Download my data" button in profile. A JSON file with everything we hold about you, including consent history.
Delete your account - "Delete account permanently" in profile. Irreversible.
Change nickname, email, or password - through your profile.
Manage optional consents - "My consents" section in profile. Toggle email and push marketing on/off anytime.
Object or restrict processing - write to support@, we'll handle it case by case.
File a complaint with a regulator - in Kazakhstan: Consumer Protection Committee and Ministry of Digital Development. In EU/EEA: your national supervisory authority.

09Age restrictions

The service is intended for users aged 16 and older. This is a GDPR requirement for processing data without parental consent. If you're a parent and discover that your child under 16 has registered, please write to us and we will delete the account.

10Policy changes

If we change the policy - we update the version at the top. For material changes (new processors, new processing purposes, materially extended retention) we will ask you to re-confirm consent at the next sign-in. Old versions will be available via an archive link.

11Contact

For any privacy questions, data requests, account deletion, or complaints: [email protected]. We aim to respond within 14 days.