We respect your privacy — especially the privacy of children. This Policy explains what data the Hero Cooker (also known as «Рецепти Супергероїв») app and website collect, how we use it, and what rights you have.

Ми поважаємо вашу приватність — особливо приватність дітей. Ця Політика пояснює, які дані збирає додаток Hero Cooker («Рецепти Супергероїв») та сайт, як ми їх використовуємо і які у вас є права.

1. What we collect

1. Що ми збираємо

Information you provide

Інформація, яку ви надаєте

• Email and password — to create your account.
• Display name and avatar — how you choose to be shown in the Service.
• Chef-Blast chat messages — so the AI assistant can reply.
• Favorite recipes and cooking progress — to sync across devices.

• Email і пароль — для створення акаунта.
• Відображуване ім'я та аватар — як ви хочете відображатися у Сервісі.
• Повідомлення у чаті «Шеф-Бласт» — щоб AI-асистент міг відповісти.
• Улюблені рецепти та прогрес готування — для синхронізації між пристроями.

Information collected automatically

Інформація, що збирається автоматично

• App version, device type and OS, interface language — for diagnostics.
• Anonymous usage statistics — to improve the Service.
• IP address and request logs — for security and abuse prevention.

• Версія додатка, тип пристрою та ОС, мова інтерфейсу — для діагностики.
• Анонімна статистика використання — для покращення Сервісу.
• IP-адреса та логи запитів — для безпеки та запобігання зловживанням.

What we do NOT collect

Що ми НЕ збираємо

• Precise geolocation.
• Contacts, photos, microphone, or camera (without your explicit per-feature permission).
• Health data.
• Full payment-card details — those are handled by App Store / Google Play.

• Точну геолокацію.
• Контакти, фото, мікрофон чи камеру (без вашої окремої згоди для кожної функції).
• Дані про стан здоров'я.
• Повні дані платіжних карток — їх обробляють App Store / Google Play.

2. How we use your data

2. Як ми використовуємо ваші дані

• To provide Service functionality (recipes, sync, AI chat);
• to process purchases and subscriptions;
• to send important service messages (email confirmation, password reset);
• to improve the Service based on aggregated statistics;
• to protect against fraud and abuse;
• to meet legal obligations.

• Для надання функціоналу Сервісу (рецепти, синхронізація, AI-чат);
• для обробки покупок і підписок;
• для надсилання важливих службових повідомлень (підтвердження email, скидання пароля);
• для покращення Сервісу на основі агрегованої статистики;
• для захисту від шахрайства та зловживань;
• для виконання вимог законодавства.

3. Children and parental consent (COPPA / GDPR-K)

3. Діти та батьківська згода (COPPA / GDPR-K)

The Service is designed for children aged 7 and up. We collect the minimum data needed to operate. If a child is under 13, parental consent is required to create an account and to make purchases. Payment transactions are performed only by adults through their own store accounts.

Сервіс розроблено для дітей від 7 років. Ми збираємо мінімум даних, необхідних для роботи. Якщо дитині менше 13 років, для створення акаунта та здійснення покупок потрібна згода батьків. Платіжні транзакції виконуються лише дорослими через їхні власні акаунти магазинів.

If you are a parent and find that your child has registered without your consent, email [email protected] — we will delete the account and all associated data.

Якщо ви батько/мати і виявили, що ваша дитина зареєструвалася без вашої згоди, напишіть на [email protected] — ми видалимо акаунт та усі повʼязані дані.

4. Chef-Blast AI chat

4. AI-чат «Шеф-Бласт»

Chat messages are sent to OpenAI to generate the reply. We do not pass your email or any other personal identifier to OpenAI — only the message text and an anonymous conversation ID. All incoming messages run through the OpenAI Moderation API to filter harmful content.

Повідомлення з чату передаються в OpenAI для генерації відповіді. Ми не передаємо OpenAI ваш email чи будь-який інший персональний ідентифікатор — тільки текст повідомлення та анонімний ідентифікатор діалогу. Усі вхідні повідомлення проходять через OpenAI Moderation API для фільтрації шкідливого контенту.

5. Who we share data with

5. З ким ми ділимося даними

We do not sell your data. We share it only with:

Ми не продаємо ваші дані. Ми передаємо їх лише:

• Infrastructure providers — Cloudflare (CDN/WAF), our datacenter host, the database provider.
• Payment systems — Apple, Google for processing payments.
• OpenAI — to power the AI chat (message text only).
• Analytics / error monitoring services — in anonymized form.
• Government authorities — only in response to a valid legal request.

• Інфраструктурним провайдерам — Cloudflare (CDN/WAF), хостеру дата-центру, провайдеру БД.
• Платіжним системам — Apple, Google для обробки оплат.
• OpenAI — для роботи AI-чату (тільки текст повідомлення).
• Сервісам аналітики/моніторингу помилок — в анонімізованому вигляді.
• Державним органам — лише у відповідь на законний правовий запит.

6. How long we keep data

6. Як довго ми зберігаємо дані

• Account data — until you delete the account.
• Chat messages — up to 12 months, then archived or deleted.
• Server logs — up to 90 days.
• Transaction records — 3 years (legal requirement).

• Дані акаунта — до моменту видалення акаунта.
• Повідомлення чату — до 12 місяців, потім архівуються або видаляються.
• Серверні логи — до 90 днів.
• Записи транзакцій — 3 роки (вимога законодавства).

After you delete your account, all personal data is removed within 30 days (except data we are legally required to keep).

Після видалення акаунта усі персональні дані видаляються протягом 30 днів (крім даних, які ми зобовʼязані зберігати за законом).

7. Your rights

7. Ваші права

At any time you may:

У будь-який момент ви можете:

• review or update your data in the profile;
• request a copy of your data — write to us;
• delete your account — in profile settings or by email;
• opt out of marketing — link in every email;
• file a complaint with your national data-protection authority.

• переглянути або оновити свої дані в профілі;
• запросити копію своїх даних — напишіть нам;
• видалити акаунт — у налаштуваннях профілю або електронною поштою;
• відмовитися від маркетингу — посилання у кожному листі;
• подати скаргу до національного органу із захисту персональних даних.

8. Security

8. Безпека

We use HTTPS for all traffic, hash passwords with Argon2id, and store auth tokens in iOS Keychain or Android EncryptedSharedPreferences. We monitor for anomalies and apply security patches regularly.

Увесь трафік йде через HTTPS, паролі гешуються алгоритмом Argon2id, авторизаційні токени зберігаються в iOS Keychain або Android EncryptedSharedPreferences. Ми моніторимо аномалії та регулярно застосовуємо оновлення безпеки.

9. Cookies (web only)

9. Файли cookie (тільки веб)

The website uses only essential cookies for authentication and CSRF protection. We do not use cookies for advertising or cross-site tracking.

Сайт використовує лише необхідні cookie для авторизації та CSRF-захисту. Ми не використовуємо cookie для реклами або міжсайтового трекінгу.

10. Changes to this Policy

10. Зміни цієї Політики

We may update this Policy. We will notify you of material changes in the app or by email. The date at the top of this page shows when the Policy was last updated.

Ми можемо оновлювати цю Політику. Про суттєві зміни ми повідомимо у додатку або електронною поштою. Дата нагорі сторінки показує, коли Політика оновлювалася востаннє.

11. Contact

11. Контакти

Privacy questions: [email protected].

Питання щодо конфіденційності: [email protected].