Сервис: Medvezzers (онлайн-платформа языковой школы).
Оператор/владелец: KOSACH SHANDIAN (ИП).
Контакт для обращений по персональным данным: medvezzers@gmail.com.

Если у вас есть уже «большая» юридическая политика от юриста — этот документ можно заменить на вашу финальную редакцию. Для OAuth-проверок важны доступность страницы по публичному URL и понятное описание обработки данных.

2.1 Данные, которые вы предоставляете

• Имя/никнейм (если вы его указали).
• Контактные данные (например, email) — если вы ввели их в форме или используете OAuth-вход.
• Содержимое заявок/обращений (например, заявка кандидата в staff через ATS).

2.2 Технические данные

• Данные сессии и cookies (идентификатор серверной сессии).
• IP-адрес (может храниться в виде хэша), user-agent, базовая диагностика ошибок (без секретов/токенов).
• Служебные метки безопасности (например, причина отказа входа).

2.3 Telegram (если вы используете Telegram-вход)

• Telegram user id и публичные атрибуты, которые Telegram передаёт через WebApp initData.
• Мы не запрашиваем у Telegram доступ к вашим личным сообщениям.

• Предоставление сервиса: аутентификация, создание сессии, доступ к личному кабинету.
• Поддержка и связь: ответы на обращения, обработка заявок.
• Безопасность: предотвращение злоупотреблений, расследование инцидентов, защита от ботов/спама.
• Соблюдение закона: исполнение требований применимого законодательства.

В сервисе может быть доступен альтернативный вход через OAuth/OIDC-провайдеров (например, Google, Яндекс). Такой вход является вторичным контуром и используется только в предусмотренных сценариях (например, когда пользователь выбирает «у меня нет Telegram»).

4.1 Какие данные мы получаем от OAuth-провайдера

• Идентификатор аккаунта у провайдера (subject).
• Email (если провайдер его возвращает и вы разрешили доступ).
• Имя/аватар (если провайдер возвращает профильные поля).

4.2 Как мы используем эти данные

• Для создания/поддержки серверной сессии в Medvezzers.
• Для привязки OAuth-идентичности к внутреннему user_id только после одобрения через ATS или явного действия owner.
• Мы не логируем сырые токены, коды авторизации и секреты OAuth (code/id_token/access_token/refresh_token).

Мы используем серверные сессии и HttpOnly cookies для работы авторизации. Это означает, что в браузере хранится только идентификатор сессии, а не «токены доступа».

• Cookie может быть помечена как HttpOnly и Secure (для HTTPS).
• Сессия имеет срок жизни и может быть отозвана.

Мы не продаём персональные данные. Передача третьим лицам возможна только:

• по вашему запросу (например, когда вы сами инициируете OAuth-вход у провайдера);
• по требованию закона (запросы уполномоченных органов);
• для обеспечения безопасности/работоспособности сервиса (минимально необходимая информация).

• Сессионные данные хранятся ограниченное время (в зависимости от настроек срока жизни сессии).
• Заявки/обращения (например ATS) могут храниться столько, сколько необходимо для обработки и аудита решений.
• Технические логи хранятся ограниченно и без секретных значений.

В зависимости от вашей юрисдикции вы можете иметь права на доступ, исправление, удаление и ограничение обработки данных, а также право на отзыв согласия (если применимо).

Для запросов: medvezzers@gmail.com

• Мы стараемся применять технические и организационные меры защиты.
• Мы избегаем логирования секретов и чувствительных OAuth-артефактов.
• Доступ к административным операциям ограничен ролевой моделью.

Если пользователь является несовершеннолетним, использование сервиса допускается через родителя/законного представителя, где это требуется применимым правом и правилами сервиса.

Service: Medvezzers (online language school platform).
Controller/Owner: KOSACH SHANDIAN (sole proprietor).
Privacy contact: medvezzers@gmail.com.

If you already have a lawyer-drafted privacy policy, you can replace this page with your final version. OAuth verifications mostly require a public, readable privacy page explaining basic data processing.

2.1 Data you provide

• Name / nickname (if provided).
• Contact data (e.g., email) if you submit it or use OAuth sign-in.
• Requests and support messages (including staff candidate applications via ATS).

2.2 Technical data

• Session and cookie data (server-side session id).
• IP address (may be stored as a hash), user-agent, basic error diagnostics (without secrets/tokens).
• Security metadata (e.g., sign-in failure reason codes).

2.3 Telegram (if you use Telegram sign-in)

• Telegram user id and public fields delivered via Telegram WebApp initData.
• We do not access your private Telegram messages.

• Service delivery: authentication, server session, access to your account.
• Support: handle requests and applications.
• Security: prevent abuse, investigate incidents, reduce spam/bots.
• Legal compliance: meet applicable legal obligations.

We may offer an alternative sign-in method via OAuth/OIDC providers (e.g., Google, Yandex). This is a secondary sign-in path used only in supported scenarios (for example when a user explicitly chooses “I don’t have Telegram”).

4.1 What we receive from the provider

• Provider account identifier (subject).
• Email (if provided and you granted access).
• Basic profile fields such as name/avatar (if provided).

4.2 How we use it

• To create/maintain a server-side session in Medvezzers.
• To bind an OAuth identity to our internal staff user_id only after ATS approval or an explicit owner action.
• We do not log raw OAuth secrets or artifacts (code/id_token/access_token/refresh_token).

We use server-side sessions and HttpOnly cookies. The browser stores only a session identifier, not “access tokens”.

• Cookies may be marked HttpOnly and Secure (HTTPS).
• Sessions have TTL and can be revoked.

We do not sell personal data. Sharing may occur only:

• when you initiate an OAuth login with a provider;
• to comply with law / lawful requests;
• to protect the service (minimal necessary data).

• Session data is stored for a limited time (based on session TTL settings).
• Applications/requests (e.g., ATS) may be stored as needed to process and audit decisions.
• Technical logs are retained for limited periods and exclude secrets.

Depending on your jurisdiction, you may have rights to access, correct, delete or restrict processing, and to withdraw consent where applicable.

Contact: medvezzers@gmail.com

• We apply reasonable technical and organizational safeguards.
• We avoid logging secrets and sensitive OAuth artifacts.
• Administrative actions are restricted by role-based access control.

If the user is a minor, the Service may be used only through a parent/legal guardian where required by applicable law and service rules.