Dreamuna

Политика конфиденциальности

Последнее обновление: 17 апреля 2026

Dreamuna («мы», «нас», «наш») управляет сайтом dreamuna.com — сервисом ИИ-толкования снов по подписке. Эта Политика конфиденциальности объясняет, какую информацию мы о тебе собираем, зачем, с кем ею делимся, сколько храним и какие у тебя есть права над ней. Документ написан простым языком. Там, где закон требует специальных формулировок, мы используем их; в остальных местах стараемся быть понятными. Читай вместе с Условиями использования.

§ 1. Кто мы

Dreamuna — независимый цифровой продукт, работающий из Кипра (Европейский союз). Мы выступаем оператором (контроллером) персональных данных, описанных в этой политике. Публичного офиса у нас нет; вся переписка идёт через hello@dreamuna.com, где живой человек отвечает в течение одного рабочего дня.

Эта политика распространяется на веб-приложение Dreamuna, маркетинговый сайт, транзакционные письма и публичные страницы шеринга /d/[slug]. У сторонних сервисов, которые мы используем, есть свои политики — ссылки на них в § 4.

§ 2. Какие данные мы собираем

Мы собираем минимум, необходимый для работы сервиса, разделённый на четыре категории:

§ 2.1 Данные аккаунта

Email, хэш пароля, отображаемое имя, опциональный URL аватара, предпочитаемый язык и настройка маркетинговых писем. Если ты входишь через OAuth-провайдера (Google, Apple), мы также получаем ID провайдера и базовые поля профиля, которые он передаёт.

§ 2.2 Платёжные данные

Статус подписки, план, даты пробного периода и продлений, страна выставления счёта, частичные метаданные карты (бренд + последние четыре цифры) и ID клиента/заказа в Lemon Squeezy. Полный номер карты и CVV никогда не попадают на наши серверы — они идут напрямую в Lemon Squeezy, нашему продавцу-реселлеру. Смотри политику конфиденциальности Lemon Squeezy, как они обращаются с платёжными данными.

§ 2.3 Контент, который ты создаёшь

Описания снов, которые ты отправляешь, ответы в квизе (настроение, жизненный этап, частота, люди, эмоции), сгенерированные толкования, ИИ-сгенерированные изображения снов, последующие сообщения чата с Dreamuna, синтезированные аудио-нарративы, а также любые теги или заметки, которые ты добавляешь. Этот контент шифруется при передаче и хранится в базе данных в регионе ЕС.

§ 2.4 Техническая информация и данные устройства

IP-адрес, строка user-agent, тип устройства, приблизительная геолокация (страна/регион по IP), временные метки входов и значимых действий и анонимный идентификатор сессии (UUID, который мы генерируем, чтобы твой журнал следовал за тобой между устройствами до того, как ты войдёшь). Мы также пишем стандартную серверную телеметрию (пути запросов, коды ответов, задержки) на короткий срок — для эксплуатации и безопасности.

§ 3. Как мы используем твои данные

Мы используем собранные данные для следующих целей, каждая из которых там, где применимо, привязана к правовому основанию по ст. 6 GDPR:

  • Чтобы оказывать сервис — генерировать толкование, показывать журнал, вести чат, отправлять письма из серии раскрытия и сохранять твои сны между устройствами. Основание: исполнение договора (ст. 6(1)(b)).
  • Чтобы проводить платежи — списывать с карты через Lemon Squeezy, управлять пробным периодом и продлениями, выставлять чеки. Основание: исполнение договора (ст. 6(1)(b)) и, для хранения налоговых записей, соблюдение закона (ст. 6(1)(c)).
  • Чтобы сервис был безопасным — предотвращать мошенничество, злоупотребления и несанкционированный доступ; ограничивать частоту API-вызовов; выявлять аномалии. Основание: наш законный интерес в безопасном продукте (ст. 6(1)(f)), сбалансированный с твоими правами.
  • Чтобы улучшать продукт — смотреть агрегированные, неидентифицирующие тренды использования (например, сколько людей проходят квиз на мобильном). Основание: законный интерес (ст. 6(1)(f)).
  • Чтобы общаться с тобой — транзакционные письма (чеки, сброс пароля, уведомления безопасности) — договорная необходимость; маркетинговые письма — только с твоего согласия (ст. 6(1)(a)), которое ты можешь отозвать из Аккаунта или по ссылке отписки в каждом маркетинговом письме.
  • Чтобы соблюдать закон и защищать свои права — отвечать на законные запросы, предотвращать мошенничество, защищаться в спорах. Основание: правовое обязательство (ст. 6(1)(c)) и законный интерес (ст. 6(1)(f)).

Мы не продаём твои персональные данные. Мы не обучаем сторонние ИИ-модели на содержании твоих снов. Мы не используем твои сны для рекламы.

§ 4. С кем мы делимся информацией

Мы передаём только то, что конкретному субпроцессору нужно для работы, и связываем каждого соглашением об обработке данных. Наши текущие субпроцессоры:

  • Supabase (регион ЕС) — хостинг базы данных и аутентификации. Хранит аккаунт, сны, чат и метаданные подписки. Данные на инфраструктуре в ЕС. Политика конфиденциальности Supabase.
  • OpenAI (США) — инференс ИИ для толкований, ответов в чате и изображений снов. API-вызовы работают по соглашению с нулевым хранением: OpenAI не сохраняет промпты или ответы и не обучает модели на API-данных. Политика конфиденциальности OpenAI.
  • Lemon Squeezy (США) — продавец-реселлер для платежей, налогов с продаж и биллинг-портала. Полностью обрабатывает данные твоей карты; мы видим только токены и метаданные. Политика конфиденциальности Lemon Squeezy.
  • Resend (США) — доставка транзакционных писем и серии раскрытия. Получает твой email и содержимое писем. Политика конфиденциальности Resend.
  • Vercel (США, edge-регионы ЕС) — хостинг веб-приложения и edge-доставка. Обрабатывает метаданные запросов (IP, user-agent, путь) для маршрутизации, кеширования и защиты от DDoS. Политика конфиденциальности Vercel.
  • Cloudflare (глобально) — если используется для DNS и защиты от DDoS перед нашим доменом. Обрабатывает метаданные запросов при передаче. Политика конфиденциальности Cloudflare.

Мы также можем раскрыть информацию, когда этого требует закон (действительное судебное постановление, регуляторный запрос или защита жизни или имущества). Когда раскрываем — уведомляем тебя, если запрос не запрещает уведомление.

§ 5. Твои права

В зависимости от того, где ты живёшь, у тебя есть перечисленные ниже права. Любое из них можно реализовать бесплатно — напиши на hello@dreamuna.com или используй инструменты в Аккаунте. Отвечаем в течение 30 дней (в большинстве случаев — в течение одного рабочего дня).

§ 5.1 Жители ЕС / ЕЭЗ / Великобритании — статьи 12–23 GDPR

  • Доступ (ст. 15) — запросить копию персональных данных, которые мы о тебе храним. Нажми «Экспортировать мои данные» в Аккаунте — скачается JSON.
  • Исправление (ст. 16) — исправить неточные или неполные данные.
  • Стирание / право быть забытым (ст. 17) — удалить аккаунт и связанные данные. Используй поток с подтверждением вводом текста в Аккаунт → Опасная зона или напиши нам.
  • Ограничение (ст. 18) — попросить нас приостановить обработку, пока разбирается спор.
  • Переносимость (ст. 20) — получить свои данные в структурированном машиночитаемом JSON-формате; это даёт инструмент экспорта.
  • Возражение (ст. 21) — возразить против обработки на основании законных интересов, включая любое профилирование. Напиши нам, и мы остановим обработку, если не будет превосходящих законных оснований.
  • Отзыв согласия (ст. 7(3)) — в любое время отозвать согласие на маркетинговые письма или неосновные куки; это не влияет на законность прежней обработки.
  • Жалоба в надзорный орган (ст. 77) — подать жалобу в местный орган по защите данных. Для Кипра это Управление Уполномоченного по защите персональных данных. Полный список — на сайте EDPB.

§ 5.2 Жители Калифорнии — CCPA / CPRA

У тебя есть право знать, удалять, исправлять и ограничивать использование персональной информации, а также отказаться от «продажи» или «распространения» персональных данных, как эти термины определяет CPRA. Мы не продаём твою персональную информацию и не делимся ей для кросс-контекстной поведенческой рекламы. Мы проверяем запросы, сопоставляя email запроса с email в аккаунте. Ты также можешь назначить уполномоченного агента.

§ 5.3 Другие юрисдикции

Если ты живёшь в Бразилии (LGPD), Канаде (PIPEDA), Австралии (Privacy Act), Великобритании (UK GDPR), Швейцарии (FADP) или другой юрисдикции с сопоставимым законом о защите данных, у тебя по сути такие же права. Напиши нам, и мы их уважим.

§ 6. Сроки хранения

Мы храним данные только столько, сколько нужно для цели сбора, затем удаляем или анонимизируем.

  • Аккаунт + контент — пока аккаунт активен. При удалении персональные данные удаляются из прикладного слоя немедленно, а из зашифрованных бэкапов — в течение 30 дней.
  • Неактивные аккаунты — если ты не входил 24 месяца, мы шлём предупредительное письмо и без ответа удаляем аккаунт через ещё 30 дней.
  • Платёжные записи — храним на срок, который требует налоговое и бухгалтерское законодательство (обычно 6–10 лет в зависимости от юрисдикции; например, 6 лет на Кипре).
  • Логи безопасности — 90 дней, затем агрегируются или удаляются.
  • Агрегированная аналитика — анонимные числа (дневные активные пользователи, показатели воронки) могут храниться бессрочно, потому что больше никого не идентифицируют.

§ 7. Международная передача данных

Твои основные данные живут в Европейском союзе (регион Supabase ЕС). Некоторые субпроцессоры работают в США (OpenAI, Lemon Squeezy, Resend, Vercel). Передача к ним опирается на Рамочное соглашение ЕС–США о защите данных, когда процессор сертифицирован, и на Стандартные договорные положения (SCC), утверждённые Еврокомиссией, во всех остальных случаях, как разрешает Глава V GDPR. Копию гарантий передачи можно запросить по hello@dreamuna.com.

§ 8. Куки и локальное хранилище

Мы используем небольшое число куки. При первом визите показываем баннер согласия; неосновные куки устанавливаем только после твоего согласия.

  • Сессионная кука (обязательная) — держит тебя авторизованным. Истекает с сессией или через 30 дней.
  • Анонимная сессионная кука (обязательная) — непрозрачный UUID, чтобы твой журнал следовал за тобой до входа. Очищается после входа, когда мы сливаем данные с аккаунтом.
  • Языковая кука (обязательная) — запоминает предпочитаемый язык, чтобы страницы открывались в нужной локали при возвращении.
  • Куки согласия и возрастного шлагбаума (обязательные) — фиксируют, что ты принял баннер и подтверждение 16+, чтобы мы не спрашивали снова.
  • Неосновные куки — если когда-нибудь добавим аналитику или маркетинговые куки, они сработают только после активного согласия. Решение можно изменить — очисти куки и перезагрузи сайт.

§ 9. Дети и подростки (только 16+)

Dreamuna предназначен для пользователей от 16 лет. Перед квизом мы требуем подтверждение 16+. Мы сознательно не собираем данные у детей младше 16. Если ты родитель или опекун и считаешь, что ребёнок передал нам свои данные, напиши на hello@dreamuna.com — мы оперативно удалим.

§ 10. Безопасность

Мы серьёзно относимся к безопасности. Технические и организационные меры: шифрование TLS 1.2+ при передаче, шифрование покоящихся данных в основной БД и бэкапах, хэши паролей Argon2, минимально необходимый доступ для команды, короткоживущие токены доступа, HTTP-заголовки безопасности (CSP, HSTS, X-Content-Type-Options), автоматическое сканирование зависимостей и процедуры реагирования на инциденты. Идеальной безопасности не бывает; если мы обнаружим утечку, способную навредить, уведомим надзорный орган в течение 72 часов и пострадавших пользователей без неоправданной задержки — как требуют ст. 33–34 GDPR.

§ 11. Автоматизированное принятие решений и ИИ

Твоё толкование сна генерирует ИИ-система (API OpenAI). Это не юридически значимое автоматизированное решение в смысле ст. 22 GDPR — оно не влияет на твои права, правовой статус или доступ к товарам/услугам. У тебя всегда есть возможность не пользоваться им. По ст. 50 Закона ЕС об ИИ мы чётко раскрываем, что толкования, ответы в чате, письма серии раскрытия и изображения снов генерируются ИИ.

§ 12. Изменения в этой политике

Мы можем обновлять политику по мере развития сервиса или изменения закона. Существенные изменения — например, новая категория субпроцессора или новая цель обработки — объявляются по email и баннером на сайте минимум за 14 дней до вступления в силу. Несущественные правки (уточнения, опечатки) вносятся молча; дата «Последнее обновление» наверху всегда отражает последнее изменение.

§ 13. Свяжись с нами

Вопросы, запросы или замечания? Напиши на hello@dreamuna.com — живой человек отвечает в течение одного рабочего дня. Для формальных GDPR-запросов, пожалуйста, указывай email аккаунта, чтобы мы могли тебя идентифицировать.