Политика конфиденциальности
Последнее обновление: 28 июня 2026
Эта Политика описывает, какие персональные данные собирает сервис RouteLab (далее — «Сервис», «мы»), для каких целей мы их используем, кому передаём и какие у вас есть права в отношении этих данных. Используя Сервис, вы подтверждаете, что прочитали и поняли эту Политику.
1. Кто оператор данных
Оператор персональных данных (Data Controller в терминологии GDPR) — команда RouteLab. Связаться с нами по вопросам персональных данных можно по адресу privacy@routelab.app.
2. Какие данные мы собираем
2.1. Регистрация и профиль
- Email (используется как логин и для верификации аккаунта)
- Пароль (хранится в захешированном виде Supabase Auth, мы не видим его в открытом виде)
- Имя, username, биография, аватар — те данные, которые вы сами указали в профиле
2.2. Контент, который вы создаёте
- Маршруты, дни, места, заметки, бюджет, дороги — всё, что вы добавили в свои маршруты
- Сохранённые маршруты и места (избранное)
- Названия мест, которые вы вводите для AI-генерации маршрута
2.3. Технические данные
- IP-адрес и информация о браузере (логи Supabase для безопасности и предотвращения злоупотреблений)
- Технические cookies для поддержания сессии (см. Cookie Policy)
3. Зачем мы используем эти данные
- Предоставление функциональности Сервиса (создание, хранение и просмотр маршрутов)
- Аутентификация и защита аккаунта
- Отправка транзакционных писем (подтверждение email, сброс пароля)
- Защита от злоупотреблений и обеспечение безопасности
- Улучшение качества Сервиса на основе обезличенной агрегированной статистики
4. Правовое основание обработки (GDPR Art. 6)
- Договор (Art. 6(1)(b)) — обработка необходима для предоставления Сервиса по соглашению с вами
- Законный интерес (Art. 6(1)(f)) — безопасность аккаунта, защита от злоупотреблений, базовая техническая аналитика
- Согласие (Art. 6(1)(a)) — публикация маршрутов в публичном доступе по вашему явному выбору
5. Кому мы передаём данные (Sub-processors)
Мы не продаём ваши данные третьим лицам. Для функционирования Сервиса мы используем следующих поставщиков услуг (sub-processors), которым данные могут передаваться в объёме, необходимом для оказания услуг:
- Supabase (хостинг базы данных и аутентификация) — все данные профиля и контент маршрутов. Хостинг в AWS, регион зависит от настроек проекта. Privacy Policy →
- Resend (отправка транзакционных email-писем) — ваш email и содержимое письма. Privacy Policy →
- Anthropic (AI-генерация маршрутов через Claude) — текстовые запросы, которые вы вводите для генерации (страна, описание). Согласно политике Anthropic, данные API-запросов не используются для обучения моделей. Privacy Policy →
- Unsplash (поиск изображений мест) — запросы к их API не содержат ваших персональных данных, только название места. Privacy Policy →
- Mapbox (превью карт и построение маршрутов между точками) — на сервер Mapbox передаются координаты мест вашего маршрута, без ваших персональных данных. Privacy Policy →
- YouTube Data API (Google) и Supadata (только при создании маршрута из ссылки на видео) — мы передаём публичную ссылку/идентификатор видео, чтобы получить его название, канал и субтитры для генерации маршрута. Ваши персональные данные не передаются. Google → Supadata →
- Nominatim / OpenStreetMap (геокодирование адресов) — запросы содержат только названия мест и адреса, без ваших персональных данных. Privacy Policy →
- Wikimedia / Wikidata (резервный источник фото и геоданных мест) — запросы содержат только названия мест, без ваших персональных данных. Privacy Policy →
- Sentry (отслеживание технических ошибок) — при возникновении ошибки в браузере или на сервере мы отправляем в Sentry stack trace, URL страницы, ваш UUID (без email), браузер и операционную систему. Это помогает нам диагностировать и быстро исправлять баги. Privacy Policy →
- Google Analytics (Google) — веб-аналитика использования Сервиса (посещаемость страниц, ключевые действия). Подключена через Google Tag Manager, ставит cookies _ga/_ga_*; передаются обезличенные идентификаторы и категории событий, но не ваш email или имя. Cookies раскрыты в Cookie Policy; механизм запроса согласия в разработке. Privacy Policy →
6. Публичность контента
Маршрут со статусом «опубликован в ленте» становится публично видимым всем пользователям Сервиса, включая неавторизованных. Маршрут со статусом «по ссылке» доступен любому, кто знает прямую ссылку. Маршрут со статусом «черновик» видите только вы. Ваше имя, username, аватар и публичные маршруты отображаются на странице вашего публичного профиля по адресу /u/<username>.
7. Сроки хранения
Мы храним ваши данные пока существует ваш аккаунт. При удалении аккаунта (доступно в настройках профиля) все ваши данные удаляются из нашей базы необратимо. Резервные копии Supabase могут сохранять удалённые данные ещё в течение 7 дней после удаления.
8. Ваши права
В соответствии с GDPR (Articles 15–22) у вас есть следующие права:
- Право на доступ — узнать какие ваши данные у нас хранятся
- Право на исправление — изменить неточные данные (доступно в настройках профиля)
- Право на удаление («право быть забытым») — удалить аккаунт и все данные (доступно в настройках)
- Право на портабильность — получить копию ваших данных в машиночитаемом формате (JSON). Запросите по email privacy@routelab.app
- Право на ограничение обработки — приостановить определённые виды обработки
- Право на возражение — против обработки на основании законного интереса
- Право подать жалобу в надзорный орган вашей страны (для EU — соответствующий Data Protection Authority)
Запросы по реализации прав отправляйте на privacy@routelab.app. Мы ответим в течение 30 дней.
9. Безопасность данных
Мы используем индустриальные практики защиты: шифрование в передаче (TLS), Row Level Security в базе данных (доступ к вашим данным только у вас и только через авторизованную сессию), хеширование паролей. Однако ни один сервис в интернете не может гарантировать 100% безопасность — мы рекомендуем использовать уникальные пароли и не передавать никому свои credentials.
10. Дети
Сервис не предназначен для использования лицами младше 16 лет. Если нам станет известно, что мы собрали данные ребёнка младше 16 лет без согласия родителя или законного представителя, мы незамедлительно удалим эти данные.
11. Международная передача данных
Серверы наших sub-processors могут находиться за пределами Европейской экономической зоны (EEA). Передача данных осуществляется на основании Standard Contractual Clauses (SCC), одобренных Европейской Комиссией, или иных юридических механизмов, обеспечивающих адекватный уровень защиты.
12. Изменения политики
Мы можем обновлять эту Политику. О существенных изменениях мы уведомим вас по email или через интерфейс Сервиса. Дата последнего обновления указана в начале документа.
13. Контакты
По любым вопросам, связанным с вашими данными, обращайтесь: privacy@routelab.app.