Политика за поверителност

InsulinReset е персонално приложение, разработвано от nestorow@gmail.com. Приложението е безплатно, без реклами и без продажба на данни. Деплойнато е на Vercel; базата данни е в Turso (EU регион).

• Профил от Google — име, email, аватар. Само когато избереш да се логнеш с Google.
• Отговори от теста — 8-те „Да/Не“ въпроса от onboarding-а, опционални стойности за TG/HDL и обиколка талия/ханш.
• Дневник на симптомите — енергия, brain fog, тегло, талия, кръвна захар, дата и бележка.
• Кръвни маркери — HOMA-IR, инсулин на гладно, HbA1c, триглицериди, HDL и дата. Тези данни са криптирани в покой с AES-256-GCM преди да достигнат базата (виж т. 6).
• CGM данни — ако качиш CSV от FreeStyle LibreView или Dexcom Clarity: timestamp + стойност в mg/dL за всеки sensor reading, плюс твои кратки бележки върху открити пикове (напр. „банан + кафе“). И стойностите, и бележките са криптирани в покой със същия AES-256-GCM. Файловете се обработват в браузъра — суровият CSV не се качва на сървъра.
• Прогрес — поредни дни (streak), XP, спечелени значки и история на отметките в дневния план.
• Push абонамент — само ако включиш push известия в Настройки. Пазим браузърния endpoint + криптографски ключове за изпращане.
• Email преглед — флаг „включен/изключен“ на профила ти.
• Audit log — записи кой потребител и кога записва/променя данни. Не съдържа стойностите — само факт и дата.
• Anthropic API key — само ако сам го въведеш в Настройки за AI асистента. Пази се криптиран в покой със същия AES-256-GCM като кръвните маркери и никога не се връща обратно към браузъра след запис. Виж т. 6.

• Персонализиране на 90-дневния план според твоя профил (lens + tier).
• Проследяване на прогреса ти през 4-те фази на протокола.
• Сутрешен push reminder (ако си го включил).
• Седмичен email преглед с обобщение (ако си го включил).
• Изчисляване на streak, ниво и значки.
• AI асистент за храни — въпросът ти се изпраща към Anthropic Claude (без твоето user ID).

Ако не се логнеш, всичко се пази само локално в твоя браузър (localStorage). Нищо не отива на сървъра. Сменяш ли браузър или устройство — данните не пътуват с теб. Това е твой избор и съзнателно поддържан режим.

• Google — само за вход (OAuth). Виж Google's privacy policy.
• Turso (libsql) — нашата база данни. EU region.
• Vercel — hosting и cron jobs.
• Anthropic — само когато използваш AI асистента и въпросът не е в общия cache (т.е. никой друг потребител не го е задавал преди). Изпращаме само въпроса ти + tier-а ти, с твоя собствен API key (виж Настройки) — ти плащаш на Anthropic директно. Anthropic не тренира модели върху API заявки (политика на компанията).
• Resend — само ако си включил email преглед. Изпращаме адреса и съдържанието на писмото.
• Upstash Redis — counter за rate limiting. Само user ID (без съдържание).
• Push провайдери (Apple/Google/Mozilla) — за да доставят push известия. Виждат само endpoint-а ти, не съдържанието.

Не продаваме данни. Не показваме реклами. Не правим tracking за маркетинг.

• Encryption-at-rest за кръвните маркери — AES-256-GCM преди да напуснат сървърния процес.
• HTTPS навсякъде. Самият Vercel го налага.
• Session JWT подписан с NEXTAUTH_SECRET; всеки cookie е HttpOnly + Secure.
• User scoping — всяка SQL заявка филтрира по твоето user ID; не можеш да четеш данни на друг потребител.
• Rate limiting на всички server actions — 30 заявки/мин на потребител; 5/мин за AI асистента.
• Audit log — appendable, който записва кой/кога променя профил, маркери или дневник.

Докато имаш активен акаунт. Преоценка на теста (от Настройки) нулира профила, но запазва историята на дневника и маркерите. Пълно изтриване — пиши на nestorow@gmail.com и ще изтрием всичките ти данни в рамките на 30 дни (вкл. audit log след стандартен retention период).

• Достъп — да получиш копие на всичките си данни.
• Корекция — да поправиш неточни записи (директно в приложението или чрез email).
• Изтриване — „правото да бъдеш забравен“.
• Преносимост — да получиш данните си в JSON формат.
• Възражение — да оттеглиш съгласието за email/push.
• Жалба до КЗЛД — Комисията за защита на личните данни на Република България, cpdp.bg.

За всяко от тези права пиши на nestorow@gmail.com. Отговаряме до 30 дни.

Не използваме маркетингови или tracking бисквитки. Технически необходимите:

• NextAuth session cookie — за да си логнат. HttpOnly, Secure, изтича заедно с сесията.
• localStorage — кешираме теста и дневника локално за бързо зареждане и offline режим. Изчистват се при изход от профила.

Приложението е за лица над 18 години. Не събираме съзнателно данни от деца.

При значими промени ще видиш notice в приложението. Дребни уточнения отбелязваме само с дата по-горе.

Имаш въпрос или искаш да упражниш правата си? nestorow@gmail.com