Назад

Политика конфиденциальности Echo

Echo — это место для личных записей. Эта политика рассказывает, какие данные мы собираем, зачем, как защищаем и какие у тебя есть права.

Документ написан простым языком. Если что-то непонятно или хочется деталей — напиши на medvedev.wrld@gmail.com, ответим.

1. Кто мы

Echo — независимый проект, который ведёт Дмитрий (физическое лицо, резидент Объединённых Арабских Эмиратов).

  • Контактный email: medvedev.wrld@gmail.com
  • Telegram для связи: @medvedev_wrld
  • Сервис: echodiary.app и Telegram-бот @echo_reflect_bot

Для целей GDPR Дмитрий является Data Controller (контролёром персональных данных) — то есть человеком, который определяет, какие данные собирает Echo и как с ними работает.

У Echo нет юридического лица, нет инвесторов, нет рекламы внутри продукта. Это сервис, который делает один человек.

2. Какие данные мы собираем

Мы собираем только то, что нужно для работы сервиса. Список ниже — полный.

2.1 Данные аккаунта

  • Telegram ID (числовой идентификатор твоего Telegram-аккаунта);
  • имя и часовой пояс (если ты их указывал);
  • дата создания аккаунта;
  • технический email-идентификатор для системы аутентификации (формат telegram_<id>@echo.app — тебе он не виден, используется только нашей инфраструктурой).

Твой Telegram-username, имя и фамилию мы не сохраняем как отдельные поля.

2.2 Записи в дневнике

  • текст твоих записей;
  • AI-ответ Echo на твои записи;
  • транскрипт голосовых сообщений (текст после распознавания);
  • метаданные: краткое AI-итог (5–10 слов), теги (до 5), дата создания, источник (web или Telegram).

Текст записей, AI-ответы и транскрипты зашифрованы алгоритмом AES-256-GCM. Подробности — в § 8.

Метаданные (краткие итоги, теги, эмбеддинги для функции «Отголоски») не зашифрованы — это обезличенные технические поля, нужны для работы интерфейса без расшифровки.

2.3 Голосовые сообщения

Когда ты отправляешь голосовое сообщение в Echo:

  1. Голосовой файл загружается в OpenAI Whisper для транскрипции.
  2. После получения транскрипта голосовой файл удаляется из оперативной памяти сервера.
  3. Сохраняется только текст транскрипта (зашифрованный).

Аудио-файлы голосовых сообщений мы не храним.

2.4 Данные подписки

  • идентификатор подписки в системе Tribute;
  • план (pro_monthly, pro_yearly, pro_echo_support_3mo);
  • статус, период, дата следующего списания;
  • история платежей: внутренний идентификатор события, провайдер, сумма, валюта, статус.

Данные банковских карт мы не получаем и не храним. Все платёжные операции проходят через Tribute, который обрабатывает карточные данные на своей стороне (см. § 5).

2.5 Технические данные

  • временные коды для входа (срок жизни 10 минут);
  • сессионные cookies от системы аутентификации Supabase (срок жизни access-token ≈1 час, refresh-token ≈30 дней);
  • локальное хранилище в твоём браузере (echo_session, черновик чата, выбор языка) — эти данные находятся только у тебя в браузере, на наши серверы не передаются.

2.6 Реклама и атрибуция

Когда ты заходишь на лендинг echodiary.app, мы используем Meta Pixel (трекер на стороне браузера) и Meta Conversions API (на стороне сервера) для атрибуции рекламных кампаний — то есть чтобы понимать, какие объявления приводят людей в Echo, и не тратить рекламный бюджет в пустоту.

События, которые мы отправляем в Meta:

  • PageView — открытие любой страницы лендинга;
  • ViewContent — просмотр секций с описанием продукта или ценами;
  • Lead — оставленный email-адрес (магник или регистрация);
  • CompleteRegistration — завершённая регистрация аккаунта;
  • StartTrial — активация триала (если включим);
  • InitiateCheckout — клик «оформить подписку»;
  • Subscribe — переход на оплату через Tribute;
  • Purchase — успешный платёж (отправляется только server-side из webhook'а Tribute).

Что мы делаем с твоими идентификаторами:

  • email, телефон и Telegram ID хешируются алгоритмом SHA-256 на нашем сервере до передачи в Meta — в открытом виде они туда не попадают;
  • IP-адрес и user-agent передаются Meta без хеша (Meta хеширует на своей стороне для матчинга кампаний);
  • содержимое твоих записей в Meta не передаётся никогда — ни сами тексты, ни их фрагменты, ни AI-ответы.

Когда трекеры загружаются:

  • Если ты из EU/EEA (27 стран EU + Норвегия, Исландия, Лихтенштейн): при первом визите на лендинг ты увидишь баннер с запросом согласия. До твоего ответа Meta Pixel и Conversions API не загружаются и не вызываются. Правовое основание: явное согласие (Art. 6(1)(a) GDPR). Подробности об управлении согласием — в § 10.
  • Если ты вне EU/EEA: трекеры загружаются автоматически на основании нашего законного интереса (Art. 6(1)(f) GDPR). Ты можешь в любой момент попросить нас исключить тебя — см. § 9 и § 10.

2.7 Аналитика и логи

Подробности о том, какие именно события собираются, — в § 5 (PostHog) и § 10 (cookies и аналитика).

2.8 Что мы НЕ собираем

  • IP-адреса в нашей собственной базе данных мы не сохраняем (часть провайдеров, через которых проходит HTTP-трафик, может видеть IP — см. § 5);
  • паролей у нас нет — вход через одноразовый код в Telegram;
  • данных банковских карт у нас нет;
  • данных о твоих контактах, других мессенджерах, локации в реальном времени — нет;
  • голосовых файлов — нет (см. § 2.3).

3. На каком основании мы обрабатываем данные

Согласно GDPR, для обработки персональных данных нужно правовое основание. Мы используем четыре основания:

Договор (Art. 6(1)(b) GDPR)

Большинство данных мы обрабатываем, чтобы исполнить договор с тобой — то есть предоставить сервис Echo. Сюда относятся:

  • создание и работа аккаунта;
  • хранение записей и генерация AI-ответов;
  • транскрипция голосовых сообщений;
  • проведение платежей и активация подписки.

Законный интерес (Art. 6(1)(f) GDPR)

Часть данных мы обрабатываем на основании законного интереса — нашего и твоего:

  • продуктовая аналитика через PostHog (понимать, как пользователи взаимодействуют с сервисом, чтобы его улучшать);
  • аналитика лендинга через Yandex Metrika (понимать, как люди узнают про Echo);
  • мониторинг ошибок через Sentry (находить и чинить баги до того, как они помешают тебе);
  • атрибуция рекламных кампаний через Meta Pixel + Conversions API — только для пользователей вне EU/EEA (для EU/EEA — отдельное правовое основание «Согласие», см. ниже);
  • защита от злоупотреблений (rate limiting, защита от bot-регистраций).

Если ты возражаешь против обработки на основании законного интереса — напиши на medvedev.wrld@gmail.com. Мы рассмотрим запрос и в большинстве случаев исключим тебя из соответствующего сбора.

Согласие (Art. 6(1)(a) GDPR)

Для пользователей из EU/EEA мы запрашиваем явное согласие на загрузку рекламных трекеров (Meta Pixel + Conversions API) через cookie-banner при первом визите на лендинг echodiary.app. До получения согласия эти трекеры не загружаются и не вызываются.

Согласие — добровольное и свободно отзываемое. Ты можешь:

  • отозвать согласие через email medvedev.wrld@gmail.com — мы исключим тебя из дальнейшего сбора Meta-событий и удалим связанные с тобой данные из Meta custom audiences;
  • очистить cookies и локальное хранилище echodiary.app в настройках браузера — это сбросит сохранённое решение, и при следующем визите баннер появится снова.

Отказ от согласия не влияет на работу сервиса — все функции Echo доступны без рекламных трекеров.

Юридическая обязанность (Art. 6(1)(c) GDPR)

В некоторых случаях мы обязаны обрабатывать данные по требованию закона — например, по запросу суда или регулятора. Это редкие случаи; они обрабатываются индивидуально.

4. Как мы используем данные

Что используемЗачем
Telegram ID, имя, часовой поясИдентифицировать твой аккаунт, доставлять ответы в правильное время
Текст записейСохранить, передать AI-модели для генерации ответа, показать тебе обратно
AI-ответы и транскриптыСохранить, чтобы ты мог вернуться к ним позже
Метаданные (теги, итоги)Поиск, фильтрация, функция «Отголоски» (поиск похожих записей)
Данные подпискиАктивировать платный тариф, продлевать подписку, корректно отвечать на запросы поддержки
Аналитика (PostHog, Yandex Metrika)Понимать, что в продукте работает, что ломается, как улучшать
Логи и SentryНаходить и исправлять технические ошибки

Что мы НЕ делаем:

  • ❌ не используем твои записи для тренировки AI-моделей;
  • ❌ не передаём содержание записей третьим лицам в коммерческих целях;
  • ❌ не показываем твои записи другим пользователям;
  • ❌ не используем содержание записей для рекламы или таргетинга;
  • ❌ не объединяем данные с внешними источниками для создания «портретов».

5. Кому мы передаём данные

Echo сам по себе ничего не делает с твоими данными — мы используем сторонние сервисы (sub-processors), которые помогают сервису работать. Полный список:

СервисЧто отправляемЗачемЮрисдикцияPrivacy
Supabase (Supabase Inc.)Все данные аккаунта, записи (зашифрованные), подпискиБаза данных, аутентификация, хранениеEU (Frankfurt / Ireland)supabase.com/privacy
Google (Gemini API)Текст твоей записи + контекст из последних записей (расшифрованный перед запросом)Генерация AI-ответа, краткого итога, теговСШАpolicies.google.com/privacy
OpenAI (Whisper + Embeddings)Голосовой файл (только в момент запроса, не хранится); текст записи для построения эмбеддингаТранскрипция голоса; векторизация записей для поиска похожихСШАopenai.com/policies/privacy-policy
Telegram (Telegram FZ-LLC)Сообщения бота, файлы голосовых, deep-links на оплатуДоставка сообщений в Telegram-ботеГлобально (Telegram cloud, юрлицо в ОАЭ)telegram.org/privacy
Tribute (TRBT Limited, рег. № HE 443898, Кипр)Идентификатор подписки, сумма, валюта, статус, твой Telegram ID, телеграм-usernameОбработка платежей и подписокКипр (EU)wiki.tribute.tg
PostHog (PostHog Inc.)Идентификатор пользователя, события (создание записи, открытие функций, навигация), метаданные браузераПродуктовая аналитикаEU (Frankfurt)posthog.com/privacy
Yandex Metrika (ООО «Яндекс»)Анонимный идентификатор посетителя лендинга, цели (клики, прокрутки) — только на / и /onboardingАналитика лендингаРоссияyandex.com/legal/confidential
Vercel (Vercel Inc.)Весь HTTP-трафик (запросы, заголовки, cookies, IP), логи приложенияХостинг сайта и APIСША + глобальная edge-сетьvercel.com/legal/privacy-policy
Sentry (Functional Software, Inc.)Стектрейсы ошибок и контекст вокруг них (без IP, cookies и заголовков — отключены явно)Мониторинг ошибокEU/Германияsentry.io/privacy
Meta Platforms (Meta Pixel + Conversions API)Browser: события PageView, ViewContent, Lead, CompleteRegistration, StartTrial, InitiateCheckout, Subscribe. Server (CAPI): Purchase, плюс дедуп для Lead и CompleteRegistration. PII (email, телефон, Telegram ID) хешируются SHA-256 до передачи. IP и user-agent передаются без хеша. Для пользователей из EU/EEA — только после явного согласия через cookie-banner.Атрибуция рекламных кампаний, оптимизация Meta AdsСША (Meta Platforms Inc.)facebook.com/privacy/policy

Этот список — полный на дату вступления политики в силу. При добавлении новых sub-processors мы обновим список и сообщим тебе через бот @echo_reflect_bot или email.

Если ты не согласен с использованием хотя бы одного из этих sub-processors — единственный вариант отказаться от их участия в обработке твоих данных — это прекратить использование Echo и удалить аккаунт (см. § 9). Архитектура Echo тесно связана с этими сервисами: например, без Google Gemini невозможно генерировать AI-ответ, без Supabase — хранить записи, без Telegram — пользоваться ботом. Частичный opt-out от конкретного sub-processor мы предоставить не можем.

Кому мы НЕ передаём данные:

  • брокерам данных;
  • третьим лицам в коммерческих целях (продажа, обмен, монетизация персональных данных);
  • AI-компаниям для тренировки моделей.

6. Передачи данных за пределы EU

Часть наших sub-processors находится в США (Google, OpenAI, Vercel, Meta) или в России (Yandex Metrika). Для передачи данных за пределы EU/EEA мы опираемся на следующие механизмы:

  • Стандартные договорные положения (Standard Contractual Clauses, SCCs) — для США. Google, OpenAI, Vercel и Meta предоставляют SCCs как часть своих условий обработки данных для коммерческих клиентов.
  • Meta Pixel и Conversions API для пользователей из EU/EEA загружаются только после явного согласия через cookie-banner. После согласия данные передаются в Meta Platforms Inc. (США) на основании комбинации твоего согласия (Art. 6(1)(a) GDPR) и SCCs, которые Meta применяет в своих условиях обслуживания.
  • Yandex Metrika обрабатывает только обезличенные данные о взаимодействии с лендингом (клики, прокрутки, страницы) — без содержимого записей, без идентификаторов пользователя Echo.

Tribute (TRBT Limited, Кипр) находится в EU — кросс-граничной передачи нет.

Telegram работает по своим условиям; данные, проходящие через Telegram-бот, регулируются Privacy Policy Telegram.

Если ты — резидент EU и хочешь больше деталей о том, как мы используем SCCs для конкретного провайдера, напиши на medvedev.wrld@gmail.com.

7. Сколько мы храним данные

КатегорияСрок хранения
Аккаунт и связанные записиДо удаления аккаунта (см. § 9)
Голосовые файлыНе сохраняются (только текст транскрипта)
Временные коды для входа10 минут (потом теряют силу)
Сессионные токеныAccess-token ≈1 час, refresh-token ≈30 дней (стандарт Supabase)
Подписки и история платежейДо удаления аккаунта
Бэкапы базы данныхСогласно политике провайдера (Supabase) — стандартно до 7 дней для регулярных бэкапов
Логи приложения (Vercel)Согласно политике провайдера — обычно от часа до суток
Логи ошибок (Sentry)Согласно политике провайдера — обычно до 90 дней
Аналитика (PostHog)Согласно политике провайдера
Аналитика лендинга (Yandex Metrika)Согласно политике Метрики (стандартно ≈25 месяцев)
События в Meta (Pixel + CAPI)Согласно политике Meta — обычно до 2 лет для атрибуции рекламы
Решение по cookie-banner (для EU/EEA)12 месяцев в локальном хранилище браузера; затем перепоказ

Политика автоудаления неактивных аккаунтов сейчас не применяется — твои данные хранятся, пока ты сам не запросишь удаление или пока сервис существует.

8. Безопасность

Шифрование

  • Текст записей, AI-ответы и транскрипты голосовых зашифрованы алгоритмом AES-256-GCM на уровне приложения. Это значит, что даже если кто-то получит прямой доступ к нашей базе данных, он увидит зашифрованные блоки, а не текст.
  • Содержимое отложенных сообщений (time capsules) также зашифровано AES-256-GCM.
  • Метаданные (теги, краткие итоги, эмбеддинги) и сервисные данные (профиль, настройки, подписки, платежи) не зашифрованы прикладным шифрованием — они защищены через Row-Level Security (RLS) на уровне базы данных и через TLS при передаче.
  • Архив недельных дайджестов и ответы в активностях: на дату публикации этой политики не зашифрованы прикладным шифрованием, защищены через RLS. Мы планируем расширить шифрование на эти поля в следующей итерации.
  • Ключ шифрования хранится в защищённой среде на стороне сервера. Он никогда не передаётся в браузер и не попадает в базу данных.

Передача данных

  • Весь трафик между твоим устройством и нашими серверами идёт по HTTPS (TLS 1.3).
  • Webhook'и Telegram и Tribute защищены секретными ключами и проверкой подписи.

Доступ к данным

  • Доступ к базе данных через Row-Level Security: каждый пользователь видит только свои записи.
  • Административный доступ есть только у Дмитрия (для технического обслуживания и поддержки). Даже при административном доступе содержимое зашифрованных записей нельзя прочитать без ключа шифрования.

Что произойдёт при инциденте

Если произойдёт утечка данных, мы:

  • уведомим надзорный орган в течение 72 часов с момента обнаружения (если это требуется по GDPR);
  • сообщим тебе через @echo_reflect_bot и email — какие данные затронуты, что произошло, что мы делаем дальше;
  • если есть конкретные шаги, которые нужны от тебя (например, отозвать токен или сменить пароль связанного сервиса) — пришлём инструкцию.

9. Твои права

По GDPR (если ты — резидент EU) и по большинству других регуляций о персональных данных у тебя есть следующие права:

  • Право на доступ (Art. 15) — узнать, какие данные о тебе мы храним. Получить копию в читаемом формате (JSON или Markdown).
  • Право на исправление (Art. 16) — поправить неточные данные.
  • Право на удаление (Art. 17, «right to be forgotten») — удалить аккаунт и связанные данные.
  • Право на ограничение обработки (Art. 18) — попросить заморозить обработку данных в спорной ситуации.
  • Право на переносимость (Art. 20) — получить свои данные в машиночитаемом формате и передать в другой сервис.
  • Право на возражение (Art. 21) — возразить против обработки на основании законного интереса (см. § 3).
  • Право не быть субъектом автоматизированного решения (Art. 22) — относится к решениям, имеющим юридические последствия. AI-ответы Echo не являются такими решениями.

Как воспользоваться правами

  • Email: medvedev.wrld@gmail.com
  • Telegram: @medvedev_wrld

Укажи в запросе:

  1. Какое право ты хочешь использовать.
  2. Telegram-username или Telegram ID, привязанный к аккаунту.
  3. Описание запроса.

Срок ответа: до 30 дней с момента получения запроса (по GDPR — стандартный срок). Если запрос сложный, мы можем продлить срок ещё на 60 дней — в этом случае мы уведомим тебя и объясним причину.

Жалобы

Если ты считаешь, что мы обрабатываем твои данные с нарушениями, ты можешь подать жалобу в надзорный орган.

Для пользователей из EU мы рекомендуем обращаться в Data Protection Commission (DPC) Irelanddataprotection.ie — это удобный для англоязычных запросов орган, признанный для cross-border cases.

Ты также можешь обратиться в надзорный орган своей страны.

10. Cookies, аналитика и реклама

На сайте echodiary.app мы используем три категории технологий. Ниже — что именно и на каком основании.

Необходимые

  • Сессионные cookies (Supabase) — нужны для входа в аккаунт и работы сервиса. Без них вход невозможен. Согласия не требуют (technical strictly necessary).
  • Локальное хранилище браузера для черновиков, выбора языка, сохранения твоего решения по cookie-banner — не передаётся на наши серверы.

Аналитика

Мы используем два инструмента продуктовой и landing-аналитики:

  • PostHog (EU) — продуктовая аналитика. Считает, сколько людей создают записи, какие функции открываются, где возникают ошибки. Идентификатор пользователя — внутренний UUID (или Telegram ID), без привязки к содержимому записей.
  • Yandex Metrika — только для лендинга (/ и /onboarding). Считает, сколько людей пришли, нажали ли на CTA, прошли ли онбординг. Содержимое записей и любые личные данные через Метрику не проходят. Webvisor (запись действий) отключён.

Обработка через PostHog и Yandex Metrika основана на нашем законном интересе (Art. 6(1)(f) GDPR) — улучшать сервис и понимать каналы привлечения.

Реклама и атрибуция

Для атрибуции рекламных кампаний мы используем Meta Pixel и Meta Conversions API. Подробности — что собирается и как обрабатывается — в § 2.6 и § 5.

Если ты заходишь из EU/EEA (27 стран EU + Норвегия, Исландия, Лихтенштейн): при первом визите на лендинг ты увидишь баннер с запросом согласия на загрузку рекламных трекеров. До твоего ответа Meta Pixel и Conversions API не загружаются и не вызываются — никакие данные в Meta не передаются. Если ты согласишься — трекеры начинают работать. Если откажешься — не загружаются вовсе. Твоё решение сохраняется в локальном хранилище браузера и переспрашивается через 12 месяцев или при ручном сбросе. Правовое основание: согласие (Art. 6(1)(a) GDPR).

Если ты заходишь из других стран: Meta Pixel и Conversions API загружаются автоматически на основании нашего законного интереса (Art. 6(1)(f) GDPR) — мы понимаем, какие рекламные кампании приводят людей в Echo, чтобы оптимизировать бюджет. Ты можешь в любой момент попросить нас исключить тебя из дальнейшей атрибуции — см. ниже.

Управление согласием и opt-out

  • Если ты в EU/EEA и хочешь изменить решение по cookie-banner — очисти cookies/local-storage echodiary.app в настройках браузера; при следующем визите баннер появится снова.
  • Для всех пользователей: если ты не хочешь участвовать в аналитике или рекламной атрибуции — напиши на medvedev.wrld@gmail.com. Мы исключим тебя из дальнейшего сбора, удалим связанные с тобой события и (для Meta) вычистим твой хешированный идентификатор из custom audiences.

11. Дети

Echo предназначен только для людей от 18 лет. Мы не собираем данные несовершеннолетних осознанно.

При регистрации ты подтверждаешь, что тебе исполнилось 18. Если мы узнаем, что аккаунт принадлежит несовершеннолетнему, мы удалим его и связанные данные.

Если ты родитель или опекун и обнаружил, что твой ребёнок зарегистрировался в Echo:

  • напиши на medvedev.wrld@gmail.com;
  • укажи Telegram-username или ID аккаунта;
  • мы удалим аккаунт и все связанные данные в течение 30 дней и подтвердим тебе удаление.

12. Изменения политики

Эта политика может обновляться со временем — например, при добавлении новых функций, sub-processors или регуляторных изменениях.

При существенных изменениях мы:

  • обновим дату вступления в силу в начале документа;
  • сообщим тебе через @echo_reflect_bot или email не позднее, чем за 14 дней до того, как изменения вступят в силу;
  • в случае добавления нового sub-processor — обновим § 5 со ссылкой на их Privacy.

Незначительные правки (опечатки, уточнения формулировок) могут публиковаться без уведомления.

История версий ведётся внутренне; ты можешь запросить предыдущую версию по email.

13. Связь и жалобы

По любым вопросам, связанным с обработкой твоих данных, использованием Echo или этой политикой:

  • Email: medvedev.wrld@gmail.com
  • Telegram: @medvedev_wrld
  • Сервис: echodiary.app, @echo_reflect_bot

Data Controller (контролёр персональных данных): Дмитрий Срок ответа на запросы: до 30 дней.

Надзорный орган для GDPR-жалоб:

  • Data Protection Commission Ireland — dataprotection.ie
  • или надзорный орган в твоей стране проживания.

Echo · 2026 · echodiary.app