Huquqiy hujjat

Maxfiylik siyosati

Siz Zynygram'ga qo'shganda biz qaysi ma'lumotlaringizni ko'ramiz, ularni nima uchun saqlaymiz, kim bilan baham ko'ramiz va siz ular ustidan qanday nazoratga egasiz.

Versiya: 1.0 Kuchga kirgan: 2026-yil 1-iyun Oxirgi yangilangan: 2026-yil 31-may

1. Biz kimmiz

Zynygram (keyingi o'rinlarda — "biz", "loyiha" yoki "ZyNy") — O'zbekiston Respublikasida ro'yxatdan o'tgan ijtimoiy tarmoq xizmati. Mobil ilovalar va veb-platforma orqali postlar, hikoyalar (stories), Reels qisqa videolar, shaxsiy va guruhli xabar almashuvi imkonini beradi.

Saytlar: zyny.org, admin.zyny.org. Aloqa uchun email: info@zyny.org.

Ushbu siyosat O'zbekiston Respublikasining "Shaxsiy ma'lumotlar to'g'risida" Qonuni (№547-IV, 2019)ga binoan tuzilgan. Qo'shimcha ravishda, agar siz Yevropa Ittifoqi'da yashasangiz, GDPR me'yorlari qo'llanadi.

2. Qaysi ma'lumotni yig'amiz

Biz faqat zarur bo'lgan ma'lumotni yig'amiz va siz bizga aniq beradiganlaringizdan tashqari hech narsani so'ramaymiz.

Kategoriya	Aniq ma'lumot	Manba
Identifikatsiya	Telefon raqami (E.164), foydalanuvchi nomi (username), kerak bo'lsa — ko'rinma ism (display_name)	Ro'yxatdan o'tishda kirityapsiz
Tasdiqlash	OTP kodi (vaqtinchalik), telefon tasdiqlash sanasi	SMS orqali, biz saqlamaymiz
Profil	Bio matni, avatar rasmi, sayt linki, tug'ilgan kun (ixtiyoriy)	O'zingiz to'ldirasiz
Qurilma	FCM push token, platforma (iOS/Android), ilova versiyasi, til (locale)	Avtomatik, push xabarnomalar uchun
Kontent	Postlar, izohlar, stories, reels, DM xabarlari, ovozli xabarlar, medialar	O'zingiz yuborasiz
O'zaro ta'sir	Layklar, kuzatishlar (follows), bloklar, mute'lar, shikoyatlar	Foydalanish davomida
Texnik	IP manzili, user-agent, sessiya tokenlari, ulanish vaqti	Avtomatik, xavfsizlik uchun
Texnik xato hisobotlari	Crash backtrace'lari (PII tozalangan)	Faqat ilova xatolik berganda

Yig'mayman degan narsalarimiz: haqiqiy ism (passport bo'yicha) majburiy emas, manzil so'ramaymiz, e-mail kerak emas, kredit karta — yo'q (loyiha hozircha pulli xizmat taklif qilmaydi), aniq GPS — yo'q (faqat siz post'ga teg qo'ymasangiz).

3. Nima uchun yig'amiz

Har bir ma'lumot turi aniq maqsadga xizmat qiladi:

Telefon raqami — login (parol o'rniga OTP), akkauntni qaytarish, spam'ga qarshi kurash, do'stlar topish (boshqalar siz topa olishi mumkinligini ixtiyoriy holatda yoqib qo'yganingizda).
Foydalanuvchi nomi va profil — boshqa foydalanuvchilar sizni topa olishi va kontentni atribut qilish uchun.
Kontent va o'zaro ta'sir — xizmatning asosiy funksiyasi (lenta, do'stlar, izohlar). Sizga maslahatlar berish algoritmlari kontentingizdan boshlanadi.
Qurilma ma'lumoti — push xabarnomalar, qurilmangizga moslangan ko'rinish (iOS/Android farqi).
Texnik ma'lumot — xavfsizlik (bot va spam aniqlash, hisob o'g'irlanishi), sayt sog'lig'ini kuzatish.
Texnik xatolar — ilova "crash" qilganda muammoni topish.

Biz quyidagilarni qilmaymiz:

Sizning ma'lumotingizni sotmaymiz va uchinchi tomonga ijaraga bermaymiz.
Behavioral reklama uchun foydalanmaymiz (hozircha biz reklama ko'rsatmayapmiz).
Tashqi advertising network'larga share qilmaymiz.

4. Huquqiy asos

O'zbekiston Qonuni 547-IV va GDPR 6-moddasi bo'yicha biz quyidagi asoslarda ma'lumot qayta ishlaymiz:

Shartnoma bajarilishi: sizga xizmat ko'rsatish (akkaunt, kontent, xabar yuborish) uchun zarur ma'lumot.
Roziligingiz: push xabarnomalar, do'stlar ro'yxatidan qidirish, SMS yuborish — bularning har birini o'chirib qo'yishingiz mumkin.
Qonuniy manfaat: xavfsizlik, spam'ga qarshi kurash, audit jurnali.
Qonun talabi: O'zbekiston huquq-tartibot organlari rasmiy so'rovi (sud qarori bilan).

5. Uchinchi tomonlar (Subprocessor'lar)

Xizmatni ishlatish uchun biz bir nechta kompaniyalarning texnologiyalaridan foydalanamiz. Ularning har biri faqat zarur ma'lumotni ko'radi:

Provayder	Maqsad	Qaysi ma'lumot ko'radi
Firebase Cloud Messaging Google Ireland Ltd.	Push xabarnomalar yetkazish	FCM token, xabar matni
Eskiz SMS "Eskiz Uz" MChJ, Toshkent	OTP kodlarni SMS orqali yuborish	Telefon raqami, OTP matn
Sentry Functional Software Inc., AQSh	Ilova xatoliklarini kuzatish	Crash backtrace (PII tozalangan)
Timeweb Cloud Timeweb LLC, Rossiya	Server hosting (VPS)	Shifrlangan baza, fayllar
S3-mos saqlash (mavjud bo'lsa) AWS yoki Timeweb Object Storage	Media fayllar saqlash	Rasm, video, ovoz fayllari

6. Qancha vaqt saqlaymiz

Ma'lumot turi	Saqlash muddati
Akkaunt va profil ma'lumotlari	Akkaunt mavjud bo'lgancha
Postlar, izohlar, stories, reels	Siz o'chirmaguningizcha (akkaunt o'chirilganda — 30 kun)
Yumshoq o'chirilgan kontent (soft-delete)	30 kun, keyin butunlay yo'qoladi
Akkaunt o'chirish grace period	30 kun (qaytarish imkoni)
Refresh tokenlar (sessiya)	30 kun yoki bekor qilingunicha
FCM device tokenlari	Qurilma faol bo'lguncha yoki 6 oy mavjud bo'lmaganda
Audit jurnal (xodimlar amallari)	1 yil
Sentry xato hisobotlari	90 kun (Sentry default)
IP va nginx access loglari	14 kun
SMS yuborish jurnali (Eskiz)	30 kun (provider tomonida)

7. Xalqaro uzatish

Asosiy server O'zbekiston yoki Rossiyada (Timeweb VPS) joylashgan. Lekin ba'zi subprocessor'lar ma'lumotni boshqa mamlakatga uzatishi mumkin:

Firebase (Google): EU/AQSh — Google Standard Contractual Clauses asosida.
Sentry: AQSh — DPA shartnomasi bilan.
Eskiz: O'zbekiston ichida qoladi.

Cross-border uzatishlar 547-IV qonunining 11-moddasiga muvofiq amalga oshiriladi.

8. Sizning huquqlaringiz

Qonun va GDPR sizga quyidagi huquqlarni beradi:

Ko'rish huquqi: biz sizning qanday ma'lumotingizni saqlayotganimizni so'rashingiz mumkin.
Tuzatish huquqi: noto'g'ri ma'lumotni o'zgartirishingiz mumkin (profile sahifasidan to'g'ridan-to'g'ri).
O'chirish huquqi ("right to be forgotten"): akkauntingizni butunlay o'chirishingiz mumkin (30 kun grace bilan).
Eksport huquqi: ma'lumotingizning nusxasini JSON formatida so'rashingiz mumkin.
Roziliklarni qaytarish: push, SMS, profile ko'rinishini istalgan vaqtda o'chirishingiz mumkin.
Shikoyat huquqi: O'zbekiston Respublikasi Adliya vazirligi yoki tegishli organga.

Huquqlardan foydalanish uchun: info@zyny.org'ga email yuboring. Biz 30 kun ichida javob beramiz.

9. Bolalar

Zynygram 16 yoshdan kichik foydalanuvchilarga mo'ljallanmagan. Agar siz 16 yoshdan kichik bo'lsangiz, iltimos, ushbu xizmatni ishlatmang va ota-onangizdan ruxsat so'rang.

Agar biz noto'g'ri ravishda 16 yoshdan kichik foydalanuvchining ma'lumotini yig'ib qo'yganimizni aniqlasak, uni darhol o'chiramiz.

10. Xavfsizlik

Sizning ma'lumotingizni himoya qilish uchun biz quyidagi choralarni ko'ramiz:

TLS 1.3 shifrlash — barcha trafik (HTTPS) Let's Encrypt sertifikati bilan himoyalangan.
Parol hashing — Django'ning PBKDF2 algoritmi (ko'ngillik uchun aytsak — biz parolni hech qachon ochiq holda saqlamaymiz).
JWT qisqa muddatli access + rotating refresh — sessiya tokenlari avtomatik almashtiriladi.
Reuse detection — o'g'irlangan token aniqlanganda butun oilani avtomatik bekor qilamiz.
Sentry PII scrubber — xatolik hisobotlarida shaxsiy ma'lumot avtomatik tozalanadi.
Faqat staff RBAC — admin paneliga faqat rol asosida ruxsat (auditlangan).
Audit jurnali — har bir admin amali kim, qachon, nimani — yoziladi.

11. Cookies va trekerlar

Biz hozircha uchinchi tomon cookie'larini, reklama trekerlarini va Google Analytics'ni ishlatmaymiz. Faqat texnik zarur bo'lgan cookie'lar (sessiyangizni saqlash uchun) ishlatiladi.

Brauzer localStorage'da quyidagi narsalar saqlanadi:

JWT access va refresh tokenlari (autentifikatsiya uchun)
Til tanlovi (uz/ru/en)
Mavzu tanlovi (dark/light)

12. O'zgartirishlar

Bu siyosat vaqt o'tishi bilan o'zgarishi mumkin. Muhim o'zgarishlar bo'lganda biz sizga kamida 30 kun oldin xabar beramiz: ilova ichida xabarnoma orqali, email orqali (agar bersangiz) yoki push xabarnoma orqali.

Versiya tarixini biz saqlaymiz va sizning iltimosingiz bo'yicha eski versiyani ko'rsatishimiz mumkin.

13. Aloqa

Ma'lumotlarni himoya qilish va umumiy savollar:

Email: info@zyny.org

Hududiy ofis: O'zbekiston, Farg'ona vodiysi

Agar shikoyatingiz bo'lsa va biz hal qila olmasak, siz O'zbekiston Respublikasi Adliya vazirligi qoshidagi shaxsiy ma'lumotlar himoyasi bo'limiga shikoyat qilishingiz mumkin.

Юридический документ

Политика конфиденциальности

Какие данные мы видим, когда вы присоединяетесь к Zynygram, зачем они нужны, с кем мы ими делимся и какой контроль есть у вас.

Версия: 1.0 Действует с: 1 июня 2026 Обновлено: 31 мая 2026

1. Кто мы

Zynygram (далее — «мы», «проект» или «ZyNy») — социальная сеть, зарегистрированная в Республике Узбекистан. Через мобильные приложения и веб-платформу предоставляет возможность создавать посты, истории (stories), короткие видео (reels), личные и групповые сообщения.

Сайты: zyny.org, admin.zyny.org. Контакт: info@zyny.org.

Политика составлена в соответствии с Законом Республики Узбекистан «О персональных данных» №547-IV (2019). Дополнительно: если вы находитесь в ЕС, применяется GDPR.

2. Какие данные собираем

Только то, что необходимо, и только то, что вы сами вводите.

Категория	Что именно	Источник
Идентификация	Номер телефона (E.164), имя пользователя, опционально — отображаемое имя	Вы при регистрации
Верификация	OTP-код (временный), дата подтверждения телефона	SMS, мы не храним сам код
Профиль	Bio, аватар, ссылка, день рождения (опционально)	Заполняете вы
Устройство	FCM push-токен, платформа (iOS/Android), версия приложения, локаль	Автоматически, для пуш-уведомлений
Контент	Посты, комментарии, истории, reels, личные сообщения, голосовые, медиа	Загружаете вы
Взаимодействие	Лайки, подписки, блокировки, mute, жалобы	В процессе использования
Технические	IP-адрес, user-agent, токены сессии, время подключения	Автоматически, для безопасности
Технические ошибки	Crash backtrace (PII очищен)	Только при сбое

Что мы НЕ собираем: паспортные данные, адрес проживания, e-mail, банковские карты, точные GPS-координаты.

3. Зачем собираем

Телефон — вход (OTP вместо пароля), восстановление, поиск друзей.
Имя пользователя и профиль — чтобы вас могли найти и атрибутировать контент.
Контент и взаимодействие — основная функция сервиса.
Устройство — push-уведомления, адаптация UI.
Технические — безопасность, антибот, мониторинг.
Ошибки — диагностика проблем приложения.

Чего мы НЕ делаем:

Не продаём данные и не сдаём в аренду.
Не используем для поведенческой рекламы.
Не передаём в рекламные сети.

4. Правовая основа

Исполнение договора: предоставление вам сервиса.
Ваше согласие: push, SMS, поиск по контактам — каждое можно отключить.
Законный интерес: безопасность, антиспам, аудит.
Требование закона: официальный запрос правоохранительных органов РУз по решению суда.

5. Третьи стороны (Subprocessor'ы)

Провайдер	Цель	Что видит
Firebase Cloud Messaging Google Ireland Ltd.	Доставка push	FCM-токен, текст уведомления
Eskiz SMS «Eskiz Uz» ООО, Ташкент	SMS с OTP	Номер телефона, текст OTP
Sentry Functional Software Inc., США	Мониторинг ошибок	Backtrace (PII очищен)
Timeweb Cloud Timeweb LLC, Россия	Хостинг VPS	Шифрованная БД, файлы
S3-совместимое хранилище (если включено) AWS / Timeweb Object Storage	Хранение медиа	Изображения, видео, аудио

6. Сроки хранения

Тип данных	Срок
Аккаунт и профиль	Пока существует аккаунт
Посты, истории, reels, комментарии	До удаления вами (после удаления аккаунта — 30 дней)
Soft-deleted контент	30 дней, потом физическое удаление
Льготный период удаления аккаунта	30 дней
Refresh-токены (сессия)	30 дней или до отзыва
FCM device-токены	До деактивации устройства или 6 мес. неактивности
Аудит-журнал (действия персонала)	1 год
Sentry-события	90 дней
IP/nginx access-логи	14 дней
Журнал SMS (Eskiz)	30 дней (у провайдера)

7. Международная передача

Основной сервер находится в Узбекистане или России (Timeweb). Некоторые subprocessor'ы передают данные за пределы:

Firebase (Google): ЕС/США — Google Standard Contractual Clauses.
Sentry: США — по DPA.
Eskiz: остаётся в РУз.

Передача осуществляется в соответствии со ст. 11 закона 547-IV.

8. Ваши права

Доступ: запросить копию ваших данных.
Исправление: изменить неверные данные (прямо в профиле).
Удаление («право быть забытым»): удалить аккаунт (30 дней grace).
Экспорт: копия в JSON.
Отзыв согласий: push, SMS, видимость профиля — в любой момент.
Жалоба: в Министерство юстиции РУз или соответствующий орган.

Для реализации прав: info@zyny.org. Ответ в течение 30 дней.

9. Дети

Zynygram не предназначен для пользователей младше 16 лет. Если вы младше — не используйте сервис без согласия родителя.

Если мы обнаружим данные несовершеннолетнего — удалим их немедленно.

10. Безопасность

TLS 1.3 — весь трафик HTTPS, Let's Encrypt.
Хэш паролей — PBKDF2 (Django default), пароль никогда не хранится открыто.
JWT short-lived + rotating refresh — токены автоматически ротируются.
Reuse detection — при краже токена отзывается всё семейство.
Sentry PII scrubber — личные данные удаляются из отчётов об ошибках.
RBAC для сотрудников — доступ к админке только по ролям, всё аудируется.
Аудит-журнал — каждое действие персонала фиксируется.

11. Cookies и трекеры

Мы не используем сторонние cookies, рекламные трекеры и Google Analytics. Только технически необходимые cookies (для сессии).

В localStorage браузера хранятся:

JWT-токены (для аутентификации)
Выбор языка (uz/ru/en)
Выбор темы (dark/light)

12. Изменения

О значимых изменениях мы уведомим вас не менее чем за 30 дней: в приложении, по email (если указан) или push-уведомлением.

13. Контакты

Защита данных и общие вопросы:

Email: info@zyny.org

Офис: Узбекистан, Ферганская долина

Жалоба, если мы не решили вопрос — в Министерство юстиции РУз.

Legal document

Privacy Policy

What data we see when you join Zynygram, why we keep it, who we share it with, and what control you have over it.

Version: 1.0 Effective: June 1, 2026 Last updated: May 31, 2026

1. Who we are

Zynygram ("we", "the project", or "ZyNy") is a social network operator registered in the Republic of Uzbekistan. Through mobile apps and a web platform we let people post, share 24-hour stories, create short videos (reels), and have one-to-one or group conversations.

Sites: zyny.org, admin.zyny.org. Contact: info@zyny.org.

This policy follows the Republic of Uzbekistan Law on Personal Data No. 547-IV (2019). If you're in the EU, GDPR rules apply on top.

2. What we collect

Only what's needed, and only what you give us.

Category	Specifically	Source
Identity	Phone (E.164), username, optional display name	You at signup
Verification	OTP code (transient), phone-verified timestamp	SMS, we don't store the code itself
Profile	Bio, avatar, website link, birthday (optional)	You fill in
Device	FCM push token, platform (iOS/Android), app version, locale	Automatic, for push delivery
Content	Posts, comments, stories, reels, DMs, voice messages, media	You upload
Interactions	Likes, follows, blocks, mutes, reports	From your use
Technical	IP, user-agent, session tokens, connection timestamps	Automatic, for security
Crash reports	Stack traces (PII scrubbed)	Only when the app errors

What we DON'T collect: legal-document names, residence address, email, payment cards, precise GPS (unless you geo-tag a post).

3. Why we collect it

Phone — sign-in (OTP, not password), recovery, friend-find.
Username + profile — so others can find you and attribute content.
Content + interactions — core service.
Device data — push delivery, platform-specific UI.
Technical data — security (anti-bot, anti-spam), service-health monitoring.
Crash reports — diagnosing app errors.

What we DON'T do:

Sell or rent your data.
Use it for behavioural advertising.
Share with ad networks.

4. Legal basis

Contract performance: providing the service you signed up for.
Your consent: push notifications, SMS, friend-finder — each can be turned off.
Legitimate interest: security, anti-abuse, audit.
Legal requirement: formal court-ordered request from Uzbekistan authorities.

5. Third-party subprocessors

Provider	Purpose	What they see
Firebase Cloud Messaging Google Ireland Ltd.	Push delivery	FCM token, notification body
Eskiz SMS Eskiz Uz LLC, Tashkent	OTP SMS delivery	Phone number, OTP text
Sentry Functional Software Inc., USA	Error monitoring	Stack traces (PII scrubbed)
Timeweb Cloud Timeweb LLC, Russia	VPS hosting	Encrypted DB + files
S3-compatible storage (if enabled) AWS or Timeweb Object Storage	Media storage	Images, video, audio

6. Retention

Data type	Kept for
Account + profile	Lifetime of the account
Posts, stories, reels, comments	Until you delete (after account-delete: 30 days)
Soft-deleted content	30 days, then hard-deleted
Account-delete grace period	30 days (reversible)
Refresh tokens (sessions)	30 days or until revoked
FCM device tokens	Until deactivation or 6 months idle
Staff audit log	1 year
Sentry events	90 days (Sentry default)
IP / nginx access logs	14 days
SMS-send log (Eskiz)	30 days (provider-side)

7. International transfers

Primary server lives in Uzbekistan or Russia (Timeweb). Some subprocessors may transfer data abroad:

Firebase (Google): EU/US — under Google Standard Contractual Clauses.
Sentry: US — under DPA.
Eskiz: stays in Uzbekistan.

Transfers comply with Article 11 of Law 547-IV.

8. Your rights

Access: ask what we have on you.
Rectification: correct wrong data (right in your profile).
Erasure ("right to be forgotten"): delete your account (30-day grace).
Portability: export your data as JSON.
Withdraw consent: turn off push, SMS, profile visibility any time.
Complain: to the Uzbekistan Ministry of Justice or equivalent authority.

Reach us at info@zyny.org. Response within 30 days.

9. Children

Zynygram is not intended for users under 16. If you're under 16, please don't use the service without parental permission.

If we discover we've collected data from a minor, we delete it immediately.

10. Security

TLS 1.3 — all traffic HTTPS, Let's Encrypt.
Password hashing — Django PBKDF2; we never store passwords in cleartext.
Short-lived JWT + rotating refresh — tokens rotate automatically.
Reuse detection — a replayed token revokes the whole token family.
Sentry PII scrubber — personal data stripped from error reports.
Staff RBAC — admin access is role-gated and fully audited.
Audit log — every staff action is recorded.

11. Cookies & trackers

We don't use third-party cookies, ad trackers, or Google Analytics. Only technically-necessary cookies (for your session).

localStorage holds:

JWT tokens (for auth)
Locale preference (uz/ru/en)
Theme preference (dark/light)

12. Changes

Material changes get at least 30 days notice: in-app banner, email (if you've given one), or push.

13. Contact

Data protection & general enquiries:

Email: info@zyny.org

Office: Uzbekistan, Fergana Valley

If you have a complaint we can't resolve, the Uzbekistan Ministry of Justice handles personal-data oversight.