Privacy Policy
Effective date: 9 May 2026 Last updated: 9 May 2026
This document is provided in two languages: English (canonical) and Russian (translation for end users). In case of discrepancy, the English version prevails.
Development notice. syla is currently in closed development and limited testing. The Service is not yet generally available to the public; access is granted only to the developer and a small number of invited testers. This Policy describes how personal data is handled during this development and testing phase. Once the Service is launched publicly, the legal operator of syla will transition from a private individual (see Section 1) to ООО «СИЛА ТИМ» / LLC SYLA TEAM (currently in the process of registration in the Russian Federation), and this Policy will be updated accordingly with company details.
English version
1. Who we are
During the current development and limited-testing phase, the Service is operated by Yan Zazulin (a private individual residing in the Russian Federation), acting as data controller in respect of personal data processed through the Service.
Upon completion of company registration, the operator and data controller will become ООО «СИЛА ТИМ» (LLC SYLA TEAM) (Russian Federation). This Policy will be updated with the company's full registration details (ОГРН, ИНН, registered address) at that time, and existing users will be notified in the app.
This Privacy Policy describes how the operator ("syla", "we", "us") collects, uses and protects your personal data when you use the syla mobile application and related backend services available at https://syla.team and https://api.syla.team (collectively, the "Service").
For any questions related to this Policy, including data subject requests, please contact us at privacy@syla.team (or, while the privacy alias is being provisioned, at j.zazulin@gmail.com).
2. Scope
This Policy applies to:
- visitors of
syla.team; - registered users of the syla mobile application;
- individuals whose data is transmitted to syla through connected third-party integrations such as WHOOP, Health Connect, or similar fitness data providers.
This Policy does not apply to third-party services that we link to or integrate with. Their privacy practices are governed by their own policies.
3. Personal data we collect
We collect only the data we need to operate the Service. Categories include:
Account data. Email address, display name, and password hash provided at sign-up. Optional profile photo.
Connection metadata. Records of which third-party integrations you have connected (e.g. WHOOP), their connection status, scopes you authorised, and timestamps of the most recent successful synchronisation.
Health and fitness data received from WHOOP. When you connect your WHOOP account, we request only the scopes you explicitly approve in the WHOOP authorisation screen. Currently we may request the following scopes:
read:profile— your WHOOP user identifier and basic profile;read:cycles— physiological day cycles and day strain;read:recovery— recovery score, heart rate variability (HRV), resting heart rate (RHR);read:sleep— sleep duration, sleep stages, sleep performance metrics;read:workout— workout sessions, activity type and accumulated strain;read:body_measurement— body measurements (height, weight, max heart rate), only if explicitly enabled.
We receive this data either via the WHOOP REST API on demand or via WHOOP webhooks when changes occur. Health-related data is sensitive personal data and is treated as such throughout this Policy.
Device and technical data. Device model, operating system version, app version, language, time zone, and a push notification token (Firebase Cloud Messaging on Android, Apple Push Notification service on iOS) if you opt in to push notifications. Server-side request logs include IP address, user agent and timestamps for security and abuse-prevention purposes.
Usage data. Basic events strictly necessary for the Service to function (e.g. when an integration sync runs, when an error occurs). We do not currently use third-party behavioural analytics such as Amplitude, Mixpanel or PostHog. If we add such providers in the future, this Policy will be updated and your prior consent will be obtained where required.
We do not knowingly collect data from individuals under 18.
4. Sources of data
Personal data is obtained:
- directly from you (account data, profile information you enter);
- automatically when you use the app (device, technical and usage data);
- from third-party providers you have explicitly connected (WHOOP API, on the basis of your authorisation).
5. Purposes and legal bases of processing
| Purpose | Categories of data | Legal basis |
|---|---|---|
| Creating and operating your syla account | Account data | Performance of a contract |
| Connecting your WHOOP account and syncing data on your behalf | WHOOP tokens, WHOOP health data, connection metadata | Your explicit consent (Art. 9(2)(a) GDPR equivalent), required for special-category health data |
| Showing you your own metrics inside syla | WHOOP health data | Performance of a contract |
| Showing the metrics you have authorised at Layer 2 to other members of groups you join (the metric set is defined by the group's creator and shown to you before you confirm joining) | The specific metrics chosen for that group (e.g. daily sleep duration, heart rate, steps, workouts, strain, recovery score) | Your explicit consent, given when you confirm joining the group and revocable at any time |
| Sending push notifications you have opted into | FCM / APNs push token, device data | Your consent |
| Securing the Service, preventing abuse and debugging | Server logs, device data | Legitimate interest |
| Complying with legal obligations | All of the above as required | Legal obligation |
We do not use your data for advertising, profiling, automated decision-making with legal effects, or training of AI models.
6. Two layers of consent for ingesting and sharing your data
syla applies a two-layer opt-in model for any data received from third-party providers (such as WHOOP, Apple Health, Health Connect):
Layer 1 — at registration: which sources and metrics to ingest. During onboarding you are presented with the full list of supported data sources and the specific metrics each source can provide (e.g. recovery score, HRV, sleep duration, workouts, daily strain). You explicitly choose which sources to connect and which individual metrics from each source syla is allowed to ingest. We do not request scopes or pull data you have not opted in to. You can change these choices at any time in Settings → Data sources; turning a source or a metric off stops further ingestion immediately and triggers deletion of the corresponding raw data within 30 days (see Section 9).
Layer 2 — when creating or joining a group: which metrics to share with that group. Each group has its own metric-sharing setting, configured by the group creator at creation time and confirmed by each member when they join. You separately choose, for each group, which of your already-ingested metrics will be visible to that group's members. Different groups can therefore see different subsets of your metrics. A group can never see metrics you opted out of at Layer 1.
The exact set of metrics shared inside a group is decided by the group's creator at the time the group is created (for example: daily sleep duration, resting or average workout heart rate, daily steps, workouts, strain, recovery score, etc.). Before you confirm joining a group you are shown the full list of metrics that group exchanges, and you either accept that set or do not join. If the metric set of a group materially changes later, your separate re-confirmation is required. You can leave any group at any time, which immediately stops further sharing of any of your metrics with that group's members.
7. Sharing with third parties (sub-processors)
We do not sell your personal data. We share data with the following sub-processors strictly to operate the Service:
| Sub-processor | Purpose | Location |
|---|---|---|
| Selectel (ООО «Селектел») | Hosting of the syla backend, database (PostgreSQL + TimescaleDB) and cache (Redis) on a VPS | Russian Federation |
| Yandex 360 | Outgoing email (privacy and account-related correspondence) | Russian Federation |
| Google Firebase Cloud Messaging (FCM) | Delivery of push notifications to Android devices | Global (Google data centres) |
| Apple Push Notification service (APNs) | Delivery of push notifications to iOS devices | United States / global (Apple infrastructure) |
| WHOOP, Inc. | Source of health and fitness data when you connect your WHOOP account | United States |
When you authorise WHOOP, your data is also processed by WHOOP, Inc. under WHOOP's own Privacy Policy. Disclosing your WHOOP data to syla is your free and informed choice and you can withdraw it at any time (see Section 11).
8. International data transfers
WHOOP, Inc. is based in the United States, and Google FCM operates global infrastructure. To the extent these transfers fall within your local data-protection laws (e.g. GDPR for EU residents), they are made on the basis of your explicit consent and on standard contractual safeguards published by the respective providers.
The syla backend itself is hosted in the Russian Federation.
9. Retention
We retain personal data only for as long as necessary:
- Account data — for as long as your account exists, plus up to 90 days after deletion for backup expiry.
- WHOOP health data — for as long as the WHOOP integration is connected. When you disconnect WHOOP or delete your syla account, the corresponding raw WHOOP data is deleted within 30 days, except where retention is required to comply with law.
- Aggregated, fully anonymised metrics that cannot be linked back to you may be retained indefinitely for product analytics.
- Server logs — up to 30 days, then automatically rotated.
10. Security
We apply technical and organisational measures appropriate to the sensitivity of the data, including:
- TLS 1.2+ in transit on all public endpoints;
- encryption at rest of WHOOP access and refresh tokens stored in our database;
- principle of least privilege for backend access;
- automated daily backups with restricted access;
- regular dependency and security updates.
No system is perfectly secure. If we become aware of a personal data breach affecting you, we will notify you and the competent supervisory authority as required by applicable law.
11. Your rights
You have the right to:
- access the personal data we hold about you;
- rectify inaccurate data;
- erase your data ("right to be forgotten");
- restrict or object to specific processing;
- withdraw consent at any time, without affecting the lawfulness of processing performed before withdrawal;
- port your data to another service in a structured, machine-readable format;
- lodge a complaint with a supervisory authority. For users in the Russian Federation, this is Roskomnadzor (Роскомнадзор). For users in the EU, it is the data protection authority of the country where you reside.
You can exercise most of these rights directly in the app:
- Disconnect WHOOP at any time via Settings → Integrations → WHOOP → Disconnect. This revokes our access tokens, stops further synchronisation and, within 30 days, deletes the raw WHOOP data we hold for you. You can additionally revoke syla on the WHOOP side by visiting your WHOOP account settings under "Apps".
- Delete your account via Settings → Account → Delete account. This triggers permanent deletion of all your personal data (subject to the retention periods in Section 9).
For requests that cannot be handled in the app, please write to privacy@syla.team from the email registered in your account. We respond within 30 days.
12. Children
The Service is intended for users aged 18 and over, in line with WHOOP's eligibility requirements. We do not knowingly process data from minors. If we discover such data, we will delete it.
13. Changes to this Policy
If we make material changes, we will notify you in the app and update the "Last updated" date above before the change takes effect. Continued use of the Service after that date constitutes acceptance of the updated Policy.
14. Contact
Yan Zazulin (data controller during development and limited testing; to be replaced by ООО «СИЛА ТИМ» / LLC SYLA TEAM upon company registration) Country: Russian Federation Email: privacy@syla.team (primary) / j.zazulin@gmail.com (interim)
Русская версия
1. О нас
Уведомление о стадии разработки. В настоящее время syla находится на стадии закрытой разработки и ограниченного тестирования. Сервис ещё не доступен широкой публике; доступ предоставляется только разработчику и узкому кругу приглашённых тестировщиков. После публичного запуска оператором syla станет ООО «СИЛА ТИМ» (находится в процессе регистрации в Российской Федерации); Политика будет обновлена соответствующими реквизитами компании.
На текущей стадии разработки и тестирования оператором Сервиса выступает Зазулин Ян (физическое лицо, гражданин и резидент Российской Федерации), действующий в качестве оператора персональных данных в значении Федерального закона № 152-ФЗ «О персональных данных».
После завершения регистрации компании оператором станет ООО «СИЛА ТИМ» (Российская Федерация). На этот момент Политика будет обновлена с указанием полных реквизитов (ОГРН, ИНН, юридический адрес), а существующие пользователи получат уведомление в приложении.
Настоящая Политика описывает, как оператор (далее — «syla», «мы») собирает, использует и защищает ваши персональные данные при использовании мобильного приложения syla и связанных бэкенд-сервисов, доступных по адресам https://syla.team и https://api.syla.team (далее — «Сервис»).
По любым вопросам, связанным с обработкой ваших данных, пишите на privacy@syla.team (либо, пока ящик алиаса настраивается, на j.zazulin@gmail.com).
2. К кому применяется
Политика распространяется на:
- посетителей сайта
syla.team; - зарегистрированных пользователей мобильного приложения syla;
- лиц, чьи данные передаются в syla через подключённые сторонние интеграции (WHOOP, Health Connect и др.).
Политика не распространяется на сторонние сервисы, на которые мы ссылаемся или с которыми интегрируемся; их обработка регулируется их собственными политиками.
3. Какие персональные данные мы собираем
Мы собираем только те данные, которые необходимы для работы Сервиса.
Данные аккаунта. Email, отображаемое имя и хеш пароля при регистрации. По желанию — фото профиля.
Метаданные подключений. Информация о том, какие сторонние интеграции вы подключили (например, WHOOP), их статус, разрешения (scopes), которые вы предоставили, и время последней синхронизации.
Данные о здоровье и активности из WHOOP. При подключении WHOOP-аккаунта мы запрашиваем только те scopes, которые вы явно одобрили на экране авторизации WHOOP. В настоящее время мы можем запрашивать:
read:profile— идентификатор пользователя WHOOP и базовые данные профиля;read:cycles— физиологические циклы дня и дневной strain;read:recovery— оценка восстановления, вариабельность сердечного ритма (HRV), пульс покоя (RHR);read:sleep— длительность сна, фазы сна, метрики качества сна;read:workout— тренировочные сессии, тип активности, накопленный strain;read:body_measurement— антропометрические данные (рост, вес, max HR), только если эта функция включена.
Эти данные мы получаем либо через WHOOP REST API по запросу, либо через webhooks WHOOP при изменениях. Данные о здоровье относятся к специальной категории персональных данных и обрабатываются с повышенными мерами защиты.
Технические данные. Модель устройства, версия ОС, версия приложения, язык, часовой пояс, push-токен (Firebase Cloud Messaging на Android, Apple Push Notification service на iOS) — если вы согласились получать уведомления. Серверные логи запросов включают IP-адрес, user agent и временные метки в целях безопасности и предотвращения злоупотреблений.
Данные использования. Базовые события, строго необходимые для работы Сервиса (запуск синхронизации, ошибки). Мы не используем сторонние сервисы поведенческой аналитики (Amplitude, PostHog и т. п.). При появлении таких сервисов мы обновим Политику и при необходимости запросим ваше согласие.
Мы не обрабатываем сознательно данные лиц младше 18 лет.
4. Источники данных
Персональные данные получаются:
- от вас лично (данные аккаунта, профиль);
- автоматически при использовании приложения (технические данные, данные использования);
- от сторонних провайдеров, которых вы явно подключили (WHOOP API на основании вашей авторизации).
5. Цели и правовые основания обработки
| Цель | Категории данных | Основание |
|---|---|---|
| Создание и обслуживание аккаунта | Данные аккаунта | Исполнение договора (оферты) |
| Подключение WHOOP и синхронизация данных от вашего имени | Токены WHOOP, данные о здоровье, метаданные подключения | Ваше явное согласие, обязательное для специальной категории данных |
| Отображение ваших метрик в приложении | Данные WHOOP | Исполнение договора |
| Отображение метрик, разрешённых вами на Уровне 2, другим участникам групп, в которых вы состоите (состав метрик задаётся создателем группы и показывается вам до подтверждения вступления) | Конкретные метрики, выбранные для группы (например, длительность сна, пульс, шаги, тренировки, strain, recovery score) | Ваше явное согласие при подтверждении вступления в группу, отзываемое в любой момент |
| Отправка push-уведомлений | FCM / APNs-токен, данные устройства | Ваше согласие |
| Безопасность, отладка, защита от злоупотреблений | Серверные логи, технические данные | Законный интерес оператора |
| Исполнение требований законодательства | Все вышеперечисленные | Юридическая обязанность |
Мы не используем ваши данные для рекламы, профилирования, принятия решений в автоматическом режиме с юридическими последствиями или для обучения AI-моделей.
6. Двухуровневая модель согласия на загрузку и обмен данными
В syla применяется двухуровневая модель opt-in для любых данных, получаемых от сторонних провайдеров (WHOOP, Apple Health, Health Connect и др.):
Уровень 1 — при регистрации: какие источники и какие метрики загружать. В ходе онбординга вам показывается полный список поддерживаемых источников данных и конкретных метрик, которые каждый источник может предоставить (recovery score, HRV, длительность сна, тренировки, дневной strain и т. д.). Вы явно выбираете, какие источники подключить и какие отдельные метрики из каждого источника syla имеет право загружать. Мы не запрашиваем scopes и не загружаем данные, на которые вы не дали согласие. Эти настройки можно изменить в любой момент в Настройки → Источники данных: при отключении источника или конкретной метрики дальнейшая загрузка останавливается немедленно, а соответствующие сырые данные удаляются в течение 30 дней (см. раздел 9).
Уровень 2 — при создании или вступлении в группу: какими метриками делиться с этой группой. У каждой группы свои настройки совместного использования метрик, задаваемые создателем группы при её создании и подтверждаемые каждым участником при вступлении. Вы отдельно выбираете для каждой группы, какие из уже загруженных метрик будут видимы её участникам. Разные группы могут видеть разные подмножества ваших метрик. Группа никогда не видит метрики, которые вы исключили на Уровне 1.
Состав метрик, которыми обмениваются участники, определяется создателем группы при её создании (например: ежедневная длительность сна, частота пульса в покое или средняя за тренировку, шаги, тренировки, strain, recovery score и т. д.). При вступлении в группу вам показывается полный список этих метрик до того, как вы подтвердите присоединение, и вы либо соглашаетесь с этим набором, либо не вступаете. Если впоследствии набор метрик группы существенно меняется, у вас запрашивается отдельное подтверждение. Вы можете в любой момент покинуть группу — после этого дальнейшая передача любых ваших метрик её участникам немедленно прекращается.
7. Передача третьим лицам (субобработчикам)
Мы не продаём ваши персональные данные. Мы передаём данные следующим субобработчикам исключительно для работы Сервиса:
| Субобработчик | Назначение | Местонахождение |
|---|---|---|
| Selectel (ООО «Селектел») | Хостинг бэкенда syla, БД (PostgreSQL + TimescaleDB), кэш (Redis) на VPS | Российская Федерация |
| Yandex 360 | Исходящая корреспонденция (privacy- и аккаунт-уведомления) | Российская Федерация |
| Google Firebase Cloud Messaging (FCM) | Доставка push-уведомлений на Android-устройства | Глобально (ЦОДы Google) |
| Apple Push Notification service (APNs) | Доставка push-уведомлений на iOS-устройства | США / глобально (инфраструктура Apple) |
| WHOOP, Inc. | Источник данных о здоровье и активности при подключении WHOOP | США |
При авторизации WHOOP ваши данные также обрабатываются компанией WHOOP, Inc. в соответствии с её Политикой конфиденциальности. Передача данных WHOOP в syla — ваш свободный и информированный выбор, который можно отозвать в любой момент (см. раздел 11).
8. Трансграничная передача данных
WHOOP, Inc. находится в США, инфраструктура Google FCM глобальна. Такая передача осуществляется на основании вашего явного согласия и стандартных договорных обязательств, опубликованных соответствующими провайдерами.
Бэкенд syla размещён на территории Российской Федерации, что соответствует требованиям ст. 18 ФЗ № 152-ФЗ о локализации.
9. Сроки хранения
Мы храним персональные данные не дольше, чем это необходимо:
- Данные аккаунта — пока существует ваш аккаунт, и до 90 дней после удаления (срок устаревания резервных копий).
- Данные WHOOP — пока интеграция WHOOP подключена. После отключения WHOOP или удаления аккаунта syla соответствующие сырые данные удаляются в течение 30 дней, кроме случаев, когда хранение требует закон.
- Агрегированные обезличенные метрики, которые не могут быть сопоставлены с вами, могут храниться бессрочно для продуктовой аналитики.
- Серверные логи — до 30 дней с автоматической ротацией.
10. Меры защиты
Мы применяем технические и организационные меры, соразмерные чувствительности данных:
- TLS 1.2+ при передаче на всех публичных эндпойнтах;
- шифрование в покое access- и refresh-токенов WHOOP в базе данных;
- принцип минимально необходимого доступа для серверных ролей;
- автоматические ежедневные резервные копии с ограниченным доступом;
- регулярное обновление зависимостей и патчей безопасности.
В случае инцидента, затрагивающего ваши данные, мы уведомим вас и компетентный надзорный орган в порядке, установленном законом.
11. Ваши права
Вы вправе:
- получить доступ к вашим данным;
- требовать исправления неточных данных;
- требовать удаления данных;
- ограничить или возразить против отдельных видов обработки;
- отозвать согласие в любой момент без последствий для законности предшествующей обработки;
- получить ваши данные в переносимом машиночитаемом формате;
- подать жалобу в надзорный орган. Для пользователей из РФ это Роскомнадзор.
Большинство прав можно реализовать прямо в приложении:
- Отключить WHOOP — Настройки → Интеграции → WHOOP → Отключить. Это отзывает наши токены, останавливает синхронизацию и в течение 30 дней удаляет сырые данные WHOOP. Дополнительно вы можете отозвать syla на стороне WHOOP в настройках вашего WHOOP-аккаунта в разделе «Apps».
- Удалить аккаунт — Настройки → Аккаунт → Удалить аккаунт. Это запускает безвозвратное удаление всех ваших персональных данных (с учётом сроков из раздела 9).
По запросам, которые нельзя обработать в приложении, пишите на privacy@syla.team с email, указанного в аккаунте. Мы отвечаем в срок до 30 дней.
12. Несовершеннолетние
Сервис предназначен для пользователей 18 лет и старше, в соответствии с требованиями WHOOP. Мы не обрабатываем сознательно данные несовершеннолетних. При обнаружении таких данных они будут удалены.
13. Изменения Политики
При существенных изменениях мы уведомим вас в приложении и обновим дату «Last updated» до вступления изменений в силу. Продолжение использования Сервиса после этой даты означает согласие с обновлённой Политикой.
14. Контакты
Зазулин Ян (оператор персональных данных на стадии разработки и закрытого тестирования; будет заменён на ООО «СИЛА ТИМ» после регистрации компании) Страна: Российская Федерация Email: privacy@syla.team (основной) / j.zazulin@gmail.com (временный)