Политика конфиденциальности

Body-OS — независимый wellness-сервис, который читает данные носимого устройства WHOOP и формирует на их основе понятные ежедневные рекомендации по сну, восстановлению и тренировочной нагрузке. Мы не являемся аффилированной компанией WHOOP, Inc., не оказываем медицинских услуг и не выполняем функций медицинского устройства.

В контексте обработки персональных данных Body-OS выступает контролером (controller) собственных данных аккаунта и данных, импортированных из WHOOP с явного согласия пользователя.

Контактный e-mail для вопросов о приватности: privacy@body-os.fit.

Body-OS относится к категории wellness и lifestyle-сервисов. Он предназначен только для общего самонаблюдения и поддержания формы. Сервис не диагностирует, не лечит и не предотвращает заболевания. Если у вас есть медицинские противопоказания — обратитесь к лицензированному врачу. Не используйте Body-OS как замену медицинской консультации, выводам кардиолога, терапевта или иного специалиста.

В соответствии с условиями WHOOP API Terms of Use мы используем данные WHOOP исключительно для wellness-целей и не применяем их в клиническом контексте.

После того как вы нажимаете «Подключить WHOOP» и проходите OAuth 2.0-авторизацию на стороне WHOOP, мы получаем только те данные, которые соответствуют запрошенным scope. Мы запрашиваем минимально необходимый набор:

• read:profile — имя, идентификатор пользователя WHOOP, email-адрес, привязанный к WHOOP-аккаунту;
• read:body_measurement — рост, вес и максимальная ЧСС, если они указаны в WHOOP;
• read:sleep — длительность сна, фазы, эффективность сна, время засыпания и пробуждения;
• read:recovery — балл восстановления, HRV, ЧСС покоя, температура кожи;
• read:cycle — суточные циклы (физиологические сутки) и связанные с ними метрики;
• read:workout — тренировки, их интенсивность (Strain), длительность, тип активности;
• offline — refresh-токен, чтобы периодически обновлять данные без вашего повторного входа.

Мы не запрашиваем и не получаем данные платежей, GPS-координаты, контакты, фото, сообщения или иную информацию, не упомянутую выше.

• Учётные данные: e-mail, хеш пароля (bcrypt), часовой пояс, язык интерфейса.
• Цели и ответы онбординга: тренировочные цели, готовность к высокой нагрузке, режим сна.
• История ежедневных решений: что вы выбрали (тренировка / восстановление / отдых), отметки о завершённых задачах.
• Сообщения, отправленные AI-помощнику внутри сервиса.
• Технические логи: IP-адрес сессии, тип устройства, время доступа — для безопасности и диагностики.

Мы используем ваши данные строго для выполнения функций сервиса:

• вычисление дневных рекомендаций по восстановлению, сну и нагрузке;
• построение графиков и трендов в личном кабинете;
• генерация персональных подсказок AI-помощника по вашему запросу;
• отправка уведомлений по e-mail (только если вы их включили);
• техническая поддержка по вашему обращению;
• обеспечение безопасности аккаунта и расследование инцидентов.

Мы не продаём ваши данные, не передаём их брокерам данных, рекламным сетям и не используем для таргетированной рекламы. Мы не обучаем сторонние общедоступные модели на ваших биометрических данных.

Для работы сервиса мы используем ограниченный круг подрядчиков, каждый из которых обязан соответствовать требованиям к защите данных не ниже наших:

• WHOOP, Inc. — источник биометрических данных по OAuth 2.0;
• облачный провайдер для хостинга приложений и базы данных (расположение серверов мы раскрываем по запросу);
• поставщик AI-инфраструктуры для обработки запросов к ассистенту — данные передаются обезличенно (без ФИО и e-mail) и не используются для обучения моделей;
• поставщик транзакционных e-mail (для писем подтверждения и сброса пароля).

Мы не передаём ваши данные ни одному третьему лицу для целей маркетинга или продажи.

Ваши данные хранятся, пока активен ваш аккаунт. Вы в любой момент можете:

• отключить интеграцию WHOOP в настройках — мы немедленно отзовём access- и refresh-токены через WHOOP revoke-эндпоинт и прекратим синхронизацию;
• удалить аккаунт целиком — в этом случае мы за 30 дней безвозвратно удаляем все ваши данные из основной базы и из резервных копий по их обычному циклу ротации;
• запросить экспорт ваших данных в машиночитаемом формате (JSON) на privacy@body-os.fit.

Технические логи безопасности хранятся не более 90 дней, после чего удаляются автоматически.

• Все обращения к сервису происходят по TLS 1.3.
• Пароли хранятся в виде bcrypt-хешей с индивидуальной солью.
• OAuth-токены WHOOP шифруются на уровне базы данных (AES-256).
• Доступ к продакшен-инфраструктуре имеет только ограниченный круг инженеров на основании принципа наименьших привилегий.
• Мы ведём журналы доступа и проводим регулярные ревью прав.

Ни одна система не может гарантировать абсолютную защиту, но мы прилагаем разумные коммерческие усилия, соответствующие индустриальным стандартам.

В зависимости от вашей юрисдикции вы можете обладать следующими правами в отношении ваших данных:

• право на доступ и получение копии данных;
• право на исправление неточных данных;
• право на удаление («право быть забытым»);
• право на ограничение или возражение против обработки;
• право на переносимость данных;
• право отозвать ранее данное согласие в любой момент;
• право подать жалобу в надзорный орган по защите данных в стране вашего проживания.

Чтобы воспользоваться любым из этих прав — напишите на privacy@body-os.fit. Мы отвечаем в срок до 30 дней.

Body-OS не предназначен для лиц младше 16 лет. Мы не запрашиваем и не обрабатываем сознательно данные детей. Если вы считаете, что несовершеннолетний предоставил нам данные, напишите на privacy@body-os.fit, и мы их удалим.

Мы используем только функциональные cookie, необходимые для авторизации и сохранения языковых настроек. Мы не используем рекламные cookie и не передаём данные сторонним системам аналитики, отслеживающим вас между сайтами.

Серверы могут располагаться вне страны вашего проживания. Любая трансграничная передача защищена стандартными договорными положениями (SCC) или эквивалентными правовыми механизмами.

Мы можем обновлять эту политику. Существенные изменения мы анонсируем по e-mail и/или в интерфейсе сервиса не позднее, чем за 14 дней до их вступления в силу. Дата последнего обновления указана в начале документа.

Body-OS не связан с WHOOP, Inc. и не одобрен ею. WHOOP® — зарегистрированный товарный знак WHOOP, Inc. Использование WHOOP API регулируется отдельной политикой конфиденциальности WHOOP, ознакомиться с которой можно на whoop.com/privacy.