Политика конфиденциальности
Последнее обновление: 18 мая 2026 — Версия v2 (Пилот)
MHB Lean («мы», «платформа») предоставляет сервис управления Кайдзен / Бережливым производством для заводов. Настоящее Уведомление о конфиденциальности информирует пользователей (Patron, Сотрудник, Кайдзен-консультант) в рамках KVKK (Закон №6698 о защите персональных данных Турции) ст.10 + GDPR ст.13: какие данные мы собираем, для чего обрабатываем, с кем делимся, как долго храним и как вы можете воспользоваться своими правами.
1. Контролёр данных
- Торговое наименование: MHB Lean (на этапе регистрации — Германия/Турция, информация о юр. лице будет обновлена в публикации v3).
- Контакт: gizlilik@mhblean.com
- Контактное лицо контролёра / DPO: не назначено в пилотной фазе (ниже порога VERBİS). При превышении порога 50К+ субъектов данных информация о назначении будет опубликована на этой странице и сообщена существующим пользователям.
- Регистрация VERBİS: ниже порога в пилотной фазе (годовой оборот менее 25М TRY, сотрудников менее 50). При превышении порога регистрация будет произведена и объявлена.
2. Какие данные обрабатываем и правовое основание
В рамках KVKK ст.5/6 и GDPR ст.6 правовое основание обработки для каждой категории данных:
| Категория данных | Цель | Правовое основание (KVKK) |
|---|---|---|
| Идентификация (email, ФИО, организация) | Создание аккаунта, авторизация | ст.5(2)/c — исполнение договора |
| Контент (Кайдзен, асакаи, сообщения, фото) | Предоставление услуги | ст.5(2)/c — исполнение договора |
| AI-чат + Sensei memory | Ассистент Кайдзен, генерация предложений | ст.5(1) — явное согласие (Gemini transit) |
| Голосовая запись (асакаи, голосовая заметка) | Транскрипция и сводка | ст.5(1) — явное согласие (opt-out) |
| Технические данные (логи входа, ошибок, запись сессий*) | Безопасность, обнаружение ошибок | ст.5(2)/f — законный интерес |
| Аналитика (события PostHog) | Улучшение использования | ст.5(1) — явное согласие (отказ через cookie-баннер) |
| Платежи (Stripe) | Списание абонентской платы | ст.5(2)/c — исполнение договора |
* Запись сессий (Sentry Replay): в момент ошибки текст пользователя отправляется в Sentry в маскированном виде (каждый символ заменяется на «•», медиа скрыто). Основная цель — воспроизведение ошибки; PII не виден. Подробности в разделе «Поставщики услуг» ниже.
3. Поставщики услуг (суб-обработчики)
Мы используем следующие третьи стороны для обработки ваших данных. С каждым подписан DPA (Договор обработки данных) или он находится в процессе подписания.
| Поставщик | Цель | Локация | Правовое основание KVKK ст.9 |
|---|---|---|---|
| Vercel | Хостинг + вычисления | США / Индия (bom1) | ст.9(2)/a — явное согласие + стандартный договор |
| Supabase | БД + auth + storage | Индия (ap-south-1, Мумбаи) | ст.9(2)/a — явное согласие + стандартный договор |
| Sentry | Ошибки + запись сессий (маскированная) | Германия / ЕС | ст.9(1) — достаточная защита (ЕС) |
| PostHog | Аналитика (с возможностью opt-out) | Германия / ЕС | ст.9(1) — достаточная защита (ЕС) |
| Resend | Транзакционная почта | США | ст.9(2)/a — явное согласие + стандартный договор |
| Google Gemini API | AI-чат + сводка + vision | США (paid mode) | ст.9(2)/a — явное согласие |
| Stripe | Платежи (live: в будущем) | Германия / ЕС / США | ст.5(2)/c — исполнение договора |
| Telegram | Уведомления бота (opt-in) | ОАЭ (Дубай) | ст.9(2)/a — явное согласие |
При изменении списка эта страница обновляется и активные пользователи уведомляются по email.
4. Срок хранения
- Профиль аккаунта + контент: пока аккаунт активен (при запросе удаления — 30 дней).
- История AI-чата: 90 дней (автоматическое удаление по cron).
- Snap-видео (изображение оператора): 90 дней.
- Sensei memory: 180 дней для непривязанных строк.
- Логи ошибок (Sentry): 90 дней (по умолчанию Sentry).
- Аналитика (PostHog): 7 лет (по умолчанию PostHog, сокращается по запросу GDPR).
- Транзакционные письма (Resend): 30 дней лога.
- Audit log (super-admin): по требованию законодательства (рекомендуется 2 года, затем IP/UA hash удаляются).
- Резервные копии (Supabase PITR): 7 дней (Pro plan — 14 дней).
5. Ваши права (KVKK ст.11 + GDPR ст.15-22)
- Право доступа: вы можете получить ваши данные в машиночитаемом JSON-формате на странице /ayarlar/genel/veri.
- Право на исправление: вы можете изменить данные профиля на /ayarlar/genel.
- Право быть забытым: /ayarlar/genel/veri «Удалить аккаунт» — 30 дней soft-delete, затем окончательное удаление.
- Отзыв согласия: /ayarlar/gizlilik для отдельного отзыва по каждой категории. Можно также вернуться к cookie-баннеру.
- Право на возражение: вы можете возразить против AI-профилирования (Sensei memory) на /ayarlar/sensei.
- Переносимость данных (GDPR ст.20): JSON export (см. выше).
- Право подать жалобу: в KVKK Kurumu (kvkk.gov.tr) или соответствующий DPA государства-члена ЕС.
Запросы: gizlilik@mhblean.com — ответ в течение 30 дней (KVKK ст.13).
6. Безопасность
Все соединения шифруются TLS. Изоляция на уровне строк (RLS) в базе данных не позволяет организациям видеть данные друг друга. API-ключи находятся на сервере и никогда не попадают в браузер. Point-in-time recovery до 7 дней назад. EXIF/GPS-метаданные фотографий автоматически удаляются на стороне сервера. Запись сессий Sentry с «maskAllText» — содержимое текста не отправляется.
7. Cookie-файлы
Обязательные cookie — сессия (Supabase auth), тема, язык. Opt-out недоступен; необходимы для работы сервиса.
Аналитические cookie (PostHog) — отключаются нажатием «Отклонить» в баннере (runtime opt_out_capturing + reset).
Реклама и cross-site tracking — отсутствуют.
8. Предупреждение об особых категориях
KVKK ст.6 (особые категории персональных данных): здоровье, профсоюз, верования, этническое происхождение, судимость и т.п. Просим не указывать такие данные в свободных текстовых полях Кайдзен. Patron-панель предупреждает с помощью pattern detection; ответственность за содержание остаётся на пользователе.
9. Версия и изменения
В случае мажорного изменения этого Уведомления мы уведомим активных пользователей в приложении + по электронной почте; при мажорной версии отображается модальное окно повторного согласия (re-acceptance). Текущая версия: v2 (2026-05-18).
10. Контакты
Вопросы: gizlilik@mhblean.com. Контактное лицо контролёра будет обновлено на этой странице после назначения.