Політика конфіденційності
ПОЛІТИКА КОНФІДЕНЦІЙНОСТІ ТА ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ ПЛАТФОРМИ ВІЧЕ (PRIVACY POLICY)
Остання редакція: 26 березня 2026 року Чинна з: 26 березня 2026 року Платформа: ВІЧЕ (ovidiopol.com)
РОЗДІЛ 1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
1.1. ПРЕДМЕТ
Ця Політика конфіденційності та захисту персональних даних (далі — «Політика») визначає порядок збирання, обробки, зберігання, використання, передачі, захисту та знищення персональних даних Користувачів платформи ВІЧЕ (далі — «Платформа»), доступної за адресами ovidiopol.com, а також через будь-які пов'язані мобільні додатки, піддомени та сервіси.
Ця Політика є невід'ємною частиною Умов використання Платформи.
1.2. НОРМАТИВНО-ПРАВОВА БАЗА
Ця Політика розроблена з урахуванням вимог:
а) Конституції України (стаття 32 — недоторканність особистого і сімейного життя; стаття 34 — свобода інформації); б) Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі — «Закон № 2297», поточна редакція від 14.06.2025); в) Закону України «Про інформацію» від 02.10.1992 № 2657-XII; г) Закону України «Про електронну комерцію» від 03.09.2015 № 675-VIII; д) Закону України «Про правовий режим воєнного стану» від 12.05.2015 № 389-VIII — у частині обмежень обробки персональних даних; е) Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року (General Data Protection Regulation, далі — «GDPR») — у частині обробки даних осіб, які перебувають на території Європейського Економічного Простору (ЄЕП); ж) California Consumer Privacy Act (CCPA), доповненого California Privacy Rights Act (CPRA) — у частині обробки даних резидентів штату Каліфорнія, Сполучені Штати Америки; з) Children's Online Privacy Protection Act (COPPA) — у частині захисту даних дітей віком до 13 років; і) Конвенції Ради Європи № 108 про захист осіб у зв'язку з автоматизованою обробкою персональних даних; к) Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини.
1.3. ПРИЙНЯТТЯ ПОЛІТИКИ
Реєструючись на Платформі або використовуючи її (включаючи перегляд без реєстрації), ви підтверджуєте, що:
а) прочитали та зрозуміли цю Політику; б) надаєте свою добровільну, конкретну, поінформовану та однозначну згоду на обробку ваших персональних даних у порядку та на умовах, визначених цією Політикою; в) ознайомлені зі своїми правами як суб'єкта персональних даних.
Якщо ви не погоджуєтесь з цією Політикою — ви не маєте права використовувати Платформу.
РОЗДІЛ 2. ВОЛОДІЛЕЦЬ ПЕРСОНАЛЬНИХ ДАНИХ
2.1. ІДЕНТИФІКАЦІЯ ВОЛОДІЛЬЦЯ
Володільцем персональних даних (контролером даних у термінології GDPR) є:
Повна назва: Товариство з обмеженою відповідальністю «СмартМІСТО Інновації» Країна: Україна
2.2. КОНТАКТНА ОСОБА З ПИТАНЬ ЗАХИСТУ ДАНИХ (DPO)
З питань захисту персональних даних, реалізації прав суб'єктів персональних даних, а також для подання скарг та запитів звертайтесь:
Email: support@ovidiopol.com Тема листа: «Захист персональних даних — [ваш запит]»
Строк відповіді: не пізніше тридцяти (30) календарних днів з моменту отримання запиту відповідно до ст. 8 Закону № 2297, або не пізніше одного (1) місяця відповідно до Art. 12(3) GDPR. У складних випадках строк може бути подовжений до двох (2) місяців з повідомленням суб'єкта даних.
РОЗДІЛ 3. КАТЕГОРІЇ ПЕРСОНАЛЬНИХ ДАНИХ, ЩО ЗБИРАЮТЬСЯ
3.1. ДАНІ, ЩО ВИ НАДАЄТЕ БЕЗПОСЕРЕДНЬО
3.1.1. Реєстраційні дані: — адреса електронної пошти; — ім'я користувача (нікнейм) або реальне ім'я; — пароль (зберігається виключно у захешованому вигляді з використанням алгоритму bcrypt; Оператор не має доступу до паролів у відкритому вигляді).
3.1.2. Дані верифікації (надаються добровільно): — номер мобільного телефону (для SMS-верифікації); — дані, необхідні для верифікації бізнес-акаунта.
3.1.3. Дані профілю (надаються добровільно): — аватар (фотографія або зображення); — біографічна інформація; — населений пункт; — інші дані, додані вами у налаштуваннях профілю.
3.1.4. Дані бізнес-профілю: — назва бізнесу; — юридична адреса або адреса місцезнаходження; — графік роботи; — контактний телефон, email, вебсайт; — опис діяльності, категорія бізнесу; — фотографії бізнесу та продукції.
3.1.5. Контент Користувача: — тексти оголошень, коментарів, відгуків, публікацій, постів; — фотографії та зображення, завантажені на Платформу; — відповіді на опитування (Poll); — запитання, направлені до AI-юридичного помічника.
3.1.6. Дані комунікації: — повідомлення в чаті між Користувачами; — звернення до служби підтримки.
3.1.7. Дані платежів: — тип транзакції (boost, реклама, підписка тощо); — сума та дата транзакції; — ідентифікатор транзакції.
ВАЖЛИВО: дані банківських карток (номер, CVV, термін дії) НЕ збираються, НЕ обробляються та НЕ зберігаються Оператором. Усі платіжні дані обробляються виключно платіжною системою LiqPay (ТОВ «ЛІКПЕЙ», Україна) відповідно до стандартів PCI DSS Level 1.
3.2. ДАНІ, ЩО ЗБИРАЮТЬСЯ АВТОМАТИЧНО
3.2.1. Технічні дані: — IP-адреса (може бути анонімізована для цілей аналітики); — тип та версія веб-браузера; — операційна система та її версія; — роздільна здатність екрана; — мова браузера та часовий пояс; — User-Agent.
3.2.2. Дані про використання: — відвідані сторінки та послідовність переходів; — тривалість сесії та час перебування на сторінках; — дії на Платформі (кліки, прокрутка, взаємодія з елементами); — джерело переходу (referrer URL); — пошукові запити в межах Платформи; — дата та час доступу.
3.2.3. Дані файлів cookie: — ідентифікатори сесій; — налаштування Платформи; — аналітичні дані. Повна інформація — у Політиці щодо файлів cookie (окремий документ).
3.2.4. Дані геолокації: — приблизне місцезнаходження на основі IP-адреси (точність: місто/район); — точна геолокація НЕ збирається без вашої попередньої явної згоди через діалогове вікно браузера або додатку.
3.2.5. Дані безпеки: — логи невдалих спроб входу (IP, час, User-Agent); — логи підозрілої активності.
3.3. ДАНІ З ІНШИХ ДЖЕРЕЛ
Ми можемо отримувати обмежену інформацію від:
а) LiqPay (ТОВ «ЛІКПЕЙ», Україна) — підтвердження статусу транзакції (успіх/відмова), ідентифікатор платежу, сума; б) AlphaSMS — підтвердження доставки SMS-коду верифікації (статус доставки, без збереження змісту повідомлення).
3.4. ДАНІ, ЯКІ МИ НЕ ЗБИРАЄМО
Ми СВІДОМО НЕ збираємо:
а) расове або етнічне походження; б) політичні, релігійні або світоглядні переконання; в) членство в політичних партіях чи професійних спілках; г) дані про стан здоров'я або статеве життя; д) біометричні дані (відбитки пальців, розпізнавання обличчя); е) генетичні дані; ж) дані про засудження до кримінального покарання; з) номери паспортів, ІПН, номери банківських карток.
Обробка зазначених категорій даних заборонена відповідно до ст. 7 Закону № 2297 та Art. 9 GDPR, за винятком випадків, прямо передбачених законодавством.
РОЗДІЛ 4. МЕТА ТА ПРАВОВІ ПІДСТАВИ ОБРОБКИ
Нижче наведено вичерпний перелік цілей обробки персональних даних та відповідні правові підстави за кожною юрисдикцією:
| 4.1. НАДАННЯ ПОСЛУГ ПЛАТФОРМИ Ціль: реєстрація, автентифікація, надання доступу до функціоналу, обробка оголошень, забезпечення комунікації між Користувачами Дані: реєстраційні, профіль, контент, комунікація Підстави: — Україна: ст. 11 п. 2 Закону № 2297 (виконання договору) — GDPR: Art. 6(1)(b) (performance of a contract) — CCPA: Business purpose Строк зберігання: весь час дії акаунта + 3 роки після видалення |
|---|
| 4.2. ВЕРИФІКАЦІЯ ОСОБИ Ціль: підтвердження email, верифікація телефону, підвищення рівня довіри Дані: email, номер телефону Підстави: — Україна: ст. 11 п. 2 (виконання договору) — GDPR: Art. 6(1)(b) (performance of a contract) Строк зберігання: весь час дії акаунта + 1 рік після видалення |
|---|
| 4.3. МОДЕРАЦІЯ КОНТЕНТУ (включаючи AI-модерацію) Ціль: перевірка контенту на відповідність правилам Платформи та законодавству України, запобігання шахрайству Дані: контент, IP-адреса, метадані Підстави: — Україна: ст. 11 п. 5 (законний інтерес володільця) — GDPR: Art. 6(1)(f) (legitimate interests) — Законний інтерес: забезпечення безпеки платформи та дотримання вимог законодавства Строк зберігання: відхилений контент — 1 рік; логи модерації — 3 роки |
|---|
| 4.4. ОБРОБКА ПЛАТЕЖІВ Ціль: проведення оплати за Платні послуги, ведення бухгалтерського обліку Дані: тип транзакції, сума, дата, ідентифікатор Підстави: — Україна: ст. 11 п. 2 (виконання договору) + податкове законодавство — GDPR: Art. 6(1)(b) + Art. 6(1)(c) (legal obligation) Строк зберігання: 7 років (вимоги податкового законодавства України) |
|---|
| 4.5. БЕЗПЕКА ТА ЗАПОБІГАННЯ ЗЛОВЖИВАННЯМ Ціль: захист від несанкціонованого доступу, виявлення шахрайства, DDoS-захист, lockout після невдалих спроб Дані: IP-адреса, логи входу, User-Agent, логи безпеки Підстави: — Україна: ст. 11 п. 5 (законний інтерес) — GDPR: Art. 6(1)(f) (legitimate interests) Строк зберігання: 1 рік |
|---|
| 4.6. АНАЛІТИКА ТА ПОКРАЩЕННЯ ПЛАТФОРМИ Ціль: аналіз використання, виявлення помилок, покращення функціональності та UX Дані: технічні дані, дані про використання (анонімізовані або псевдонімізовані) Підстави: — Україна: ст. 11 п. 1 (згода) — через cookie-банер — GDPR: Art. 6(1)(a) (consent) — для аналітичних cookie — GDPR: Art. 6(1)(f) (legitimate interests) — для агрегованої аналітики без ідентифікації Строк зберігання: 26 місяців (відповідно до стандартних налаштувань аналітики) |
|---|
| 4.7. СЕРВІСНІ ПОВІДОМЛЕННЯ Ціль: підтвердження реєстрації, відновлення паролю, статуси оголошень, системні повідомлення Дані: email, контент повідомлення Підстави: — Україна: ст. 11 п. 2 (виконання договору) — GDPR: Art. 6(1)(b) (performance of a contract) Строк зберігання: 1 рік Примітка: сервісні повідомлення не є маркетинговими і не потребують окремої згоди |
|---|
| 4.8. МАРКЕТИНГОВІ ПОВІДОМЛЕННЯ Ціль: розсилка новин, акцій, нових функцій Дані: email Підстави: — Україна: ст. 11 п. 1 (згода суб'єкта) — GDPR: Art. 6(1)(a) (consent) Строк зберігання: до відкликання згоди Примітка: маркетингові повідомлення надсилаються ВИКЛЮЧНО за окремою згодою. Ви можете відписатись у будь-який час через посилання в листі або налаштування Платформи. |
|---|
| 4.9. ВИКОНАННЯ ВИМОГ ЗАКОНОДАВСТВА Ціль: виконання запитів правоохоронних органів, судових рішень, вимог контролюючих органів Дані: будь-які дані на обґрунтований запит Підстави: — Україна: ст. 11 п. 4 (виконання обов'язку за законом) — GDPR: Art. 6(1)(c) (legal obligation) Строк зберігання: відповідно до вимог запиту |
|---|
| 4.10. AI-СЕРВІСИ (юридична допомога) Ціль: надання AI-відповідей на юридичні запитання Дані: текст запитання, IP-адреса (для rate-limiting) Підстави: — Україна: ст. 11 п. 2 (виконання договору) — GDPR: Art. 6(1)(b) (performance of a contract) Строк зберігання: 90 днів ВАЖЛИВО: тексти запитів передаються AI-провайдеру (Google Gemini) для генерації відповіді. Оператор рекомендує НЕ включати у запити персональні дані (імена, адреси, номери документів). |
|---|
РОЗДІЛ 5. ПЕРЕДАЧА ДАНИХ ТРЕТІМ ОСОБАМ
5.1. КОНКРЕТНИЙ ПЕРЕЛІК ОДЕРЖУВАЧІВ
Ваші персональні дані можуть бути передані таким конкретним категоріям одержувачів та конкретним одержувачам:
5.1.1. Платіжна система: — Назва: ТОВ «ЛІКПЕЙ» (LiqPay) — Країна: Україна — Дані: ідентифікатор транзакції, сума, статус — Мета: обробка платежів — Підстава: виконання договору
5.1.2. SMS-провайдер: — Назва: AlphaSMS — Країна: Україна — Дані: номер телефону, код верифікації — Мета: SMS-верифікація — Підстава: виконання договору
5.1.3. AI-провайдер: — Назва: Google LLC (Gemini API) — Країна: США — Дані: тексти контенту для модерації, тексти юридичних запитів — Мета: AI-модерація контенту, AI-юридична допомога — Підстава: законний інтерес (модерація), виконання договору (AI-юрист) — Захист при передачі: Standard Contractual Clauses (SCCs) відповідно до Art. 46(2)(c) GDPR
5.1.4. Аналітика: — Назва: PostHog Inc. — Країна: США/ЄС (дата-центри в ЄС) — Дані: анонімізовані або псевдонімізовані дані про використання — Мета: аналітика та покращення Платформи — Підстава: згода (аналітичні cookie)
5.1.5. Хостинг-інфраструктура: — Сервери розташовані в Україні та/або ЄС — Дані зберігаються на захищених серверах з шифруванням
5.1.6. Правоохоронні органи України: — Передача здійснюється ВИКЛЮЧНО на підставі: а) рішення суду; б) обґрунтованого запиту відповідно до Кримінального процесуального кодексу України; в) вимог Закону України «Про правовий режим воєнного стану»; г) інших підстав, прямо передбачених законодавством.
5.1.7. Інші Користувачі Платформи: — Ваш публічний профіль (нікнейм, аватар, населений пункт); — Ваші оголошення, відгуки, публікації, коментарі; — Повідомлення у чаті — доступні лише адресату.
5.2. ГАРАНТІЇ КОНФІДЕНЦІЙНОСТІ
а) З кожним третім особою, що обробляє дані від імені Оператора (розпорядником), укладено договір про обробку персональних даних відповідно до ст. 4 Закону № 2297 та Art. 28 GDPR; б) Третя особа зобов'язана забезпечити рівень захисту не нижчий за передбачений цією Політикою; в) Оператор контролює дотримання вимог та має право провести аудит обробки даних.
5.3. КАТЕГОРИЧНА ЗАБОРОНА ПРОДАЖУ ДАНИХ
Оператор НЕ продає, НЕ здає в оренду та НЕ обмінює персональні дані Користувачів на будь-яку винагороду.
Для резидентів Каліфорнії (CCPA/CPRA): ТОВ «СмартМІСТО Інновації» НЕ здійснює «продаж» (sale) та «обмін» (sharing) ваших персональних даних у розумінні Cal. Civ. Code § 1798.140(ad) та § 1798.140(ah).
РОЗДІЛ 6. МІЖНАРОДНА ПЕРЕДАЧА ДАНИХ
6.1. ЗАГАЛЬНЕ ПРАВИЛО
Ваші персональні дані переважно обробляються та зберігаються на серверах, розташованих в Україні та/або Європейському Економічному Просторі (ЄЕП).
6.2. ПЕРЕДАЧА ДО США (AI-ПРОВАЙДЕР)
Для забезпечення роботи AI-сервісів (модерація контенту, юридична допомога) дані можуть передаватись до Google LLC (США). Така передача здійснюється з дотриманням:
а) Standard Contractual Clauses (SCCs) відповідно до рішення Європейської Комісії від 04.06.2021 (Implementing Decision (EU) 2021/914); б) додаткових технічних заходів (шифрування при передачі TLS 1.3, мінімізація даних, що передаються); в) вимог ст. 29 Закону № 2297 щодо транскордонної передачі персональних даних.
6.3. ВАШЕ ПРАВО
Ви маєте право отримати копію Standard Contractual Clauses, направивши запит на support@ovidiopol.com.
РОЗДІЛ 7. СТРОКИ ЗБЕРІГАННЯ ДАНИХ
7.1. КОНКРЕТНІ СТРОКИ
| Категорія даних | Строк зберігання |
|---|---|
| Дані акаунта (email, нікнейм) | Весь час дії акаунта + 3 роки після видалення |
| Номер телефону | Весь час дії акаунта + 1 рік після видалення |
| Хеш паролю | До зміни або видалення акаунта |
| Контент (оголошення, коментарі) | Весь час дії акаунта + 30 днів після видалення |
| Повідомлення у чаті | Весь час дії акаунта + 30 днів після видалення |
| Дані платежів | 7 років (податкове законодавство) |
| Логи безпеки (IP, вхід, lockout) | 1 рік |
| Логи модерації (відхилений контент, рішення AI) | 3 роки (строк давності за ст. 114-2 ККУ) |
| Аналітичні дані (cookie) | 26 місяців |
| AI-юрист (запити та відповіді) | 90 днів |
| Маркетингова згода | До відкликання |
| Резервні копії | 30 днів після основного видалення |
7.2. ПІСЛЯ ЗАКІНЧЕННЯ СТРОКУ
Після закінчення строку зберігання персональні дані видаляються або знеособлюються (анонімізуються) таким чином, що ідентифікація суб'єкта стає неможливою. Знеособлені дані можуть використовуватись для статистичних та аналітичних цілей безстроково.
7.3. ВИНЯТОК: ПРАВООХОРОННІ ОРГАНИ
Якщо дані запитані правоохоронними органами або є частиною кримінального провадження, вони зберігаються до завершення відповідного провадження, навіть якщо строк зберігання за цією Політикою минув.
РОЗДІЛ 8. ПРАВА СУБ'ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
8.1. ПРАВА ЗА ЗАКОНОДАВСТВОМ УКРАЇНИ (ст. 8 Закону № 2297)
Ви маєте право:
а) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки; б) отримувати інформацію про умови надання доступу до персональних даних, включаючи інформацію про третіх осіб, яким передаються ваші дані; в) на доступ до своїх персональних даних; г) отримувати відповідь про те, чи обробляються ваші дані, а також отримувати зміст таких даних — не пізніше 30 календарних днів; д) пред'являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних; е) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних; ж) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження; з) подавати скарги Уповноваженому Верховної Ради України з прав людини або до суду; і) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних; к) відкликати згоду на обробку персональних даних; л) знати механізм автоматичної обробки персональних даних; м) на захист від автоматизованого рішення, яке має для вас правові наслідки.
8.2. ДОДАТКОВІ ПРАВА ЗА GDPR (Art. 15–22) (для осіб на території ЄЕП)
а) Право на доступ (Art. 15): отримати підтвердження обробки та копію ваших персональних даних; б) Право на виправлення (Art. 16): вимагати виправлення неточних або доповнення неповних даних; в) Право на видалення / «право бути забутим» (Art. 17): вимагати видалення ваших даних при наявності підстав; г) Право на обмеження обробки (Art. 18): вимагати обмеження обробки ваших даних у визначених випадках; д) Право на перенесення даних (Art. 20): отримати ваші дані у структурованому, машинозчитуваному форматі (JSON) та передати їх іншому контролеру; е) Право на заперечення (Art. 21): заперечувати проти обробки даних на підставі законного інтересу, включаючи профілювання; ж) Право не підпадати під автоматизоване рішення (Art. 22): не бути об'єктом рішення, заснованого виключно на автоматизованій обробці (див. Розділ 9); з) Право на скаргу до наглядового органу (Art. 77): подати скаргу до наглядового органу вашої країни ЄС.
8.3. ДОДАТКОВІ ПРАВА ЗА CCPA/CPRA (для резидентів Каліфорнії, США)
а) Право знати (Right to Know): запитати які категорії та конкретні елементи персональної інформації зібрані; б) Право на видалення (Right to Delete): вимагати видалення персональної інформації; в) Право на виправлення (Right to Correct): вимагати виправлення неточної інформації; г) Право на відмову від продажу/обміну (Right to Opt-Out): ми НЕ продаємо та НЕ обмінюємо ваші дані; д) Право на недискримінацію (Right to Non-Discrimination): ми не дискримінуємо вас за здійснення ваших прав; е) Право обмежити використання чутливої інформації: ви можете обмежити обробку чутливих категорій даних.
8.4. ЯК РЕАЛІЗУВАТИ СВОЇ ПРАВА
Для реалізації будь-якого з перелічених прав:
а) Направте запит на support@ovidiopol.com б) У темі листа вкажіть: «Права суб'єкта ПД — [назва права]» в) У тілі листа вкажіть: — ваш email, зареєстрований на Платформі; — конкретне право, яке ви бажаєте реалізувати; — опис запиту.
Ми можемо запитати додаткову інформацію для підтвердження вашої особи перед виконанням запиту.
Строк виконання: — За Законом № 2297: до 30 календарних днів; — За GDPR: до 1 місяця (з можливістю продовження до 2 місяців); — За CCPA: до 45 днів (з можливістю продовження до 90 днів).
8.5. ВІДМОВА У ВИКОНАННІ
Оператор може відмовити у виконанні запиту, якщо:
а) запит є явно необґрунтованим або надмірним; б) виконання запиту порушить права третіх осіб; в) виконання суперечить вимогам законодавства; г) дані необхідні для встановлення, здійснення або захисту правових вимог; д) неможливо підтвердити особу заявника.
Відмова надається у письмовій формі з обґрунтуванням.
РОЗДІЛ 9. АВТОМАТИЗОВАНЕ ПРИЙНЯТТЯ РІШЕНЬ ТА ПРОФІЛЮВАННЯ
9.1. AI-МОДЕРАЦІЯ ЯК АВТОМАТИЗОВАНЕ РІШЕННЯ
Платформа використовує AI-модерацію, яка може автоматично приймати рішення щодо Контенту Користувача (схвалення, відхилення або направлення на ручну модерацію). Відповідно до Art. 22 GDPR:
а) Рішення AI-модерації НЕ є рішенням, яке має виключно правові наслідки для вас або іншим чином суттєво впливає на вас (контент може бути повторно подано або оскаржено); б) Ви маєте право оскаржити рішення AI-модерації, направивши запит на support@ovidiopol.com. Такий запит передається на ручну модерацію; в) Ви маєте право вимагати втручання людини у прийняття рішення.
9.2. ПРОФІЛЮВАННЯ
Платформа НЕ здійснює профілювання Користувачів для прийняття рішень, що мають правові наслідки. Аналітичні дані використовуються виключно в агрегованому вигляді для покращення Платформи.
РОЗДІЛ 10. ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
10.1. ТЕХНІЧНІ ЗАХОДИ
Оператор застосовує такі технічні заходи захисту:
а) шифрування паролів алгоритмом bcrypt; б) шифрування передачі даних протоколом TLS 1.3; в) захист від SQL-ін'єкцій та XSS; г) CSRF-захист; д) httpOnly cookie для автентифікації (JWT); е) обмеження швидкості запитів (rate limiting); ж) автоматичне блокування після 10 невдалих спроб входу; з) регулярне резервне копіювання з шифруванням; і) MIME-валідація завантажуваних файлів; к) захист від DDoS-атак; л) міжмережеві екрани (firewall); м) сегментація мережі.
10.2. ОРГАНІЗАЦІЙНІ ЗАХОДИ
а) обмеження доступу до персональних даних за принципом мінімальних привілеїв (least privilege); б) логування доступу до персональних даних; в) регулярний перегляд прав доступу; г) навчання персоналу щодо захисту персональних даних; д) підписання угод про нерозголошення (NDA) з працівниками та підрядниками; е) процедура реагування на інциденти безпеки.
10.3. ЗАСТЕРЕЖЕННЯ
Незважаючи на вжиті заходи, Оператор НЕ може гарантувати абсолютну безпеку даних. Жодна система передачі або зберігання даних в Інтернеті не є стовідсотково безпечною. Ви використовуєте Платформу та передаєте свої дані на власний ризик.
РОЗДІЛ 11. ПОВІДОМЛЕННЯ ПРО ПОРУШЕННЯ БЕЗПЕКИ ДАНИХ (DATA BREACH)
11.1. ЗОБОВ'ЯЗАННЯ ОПЕРАТОРА
У разі порушення безпеки персональних даних (data breach), що ймовірно призведе до ризику для прав і свобод фізичних осіб, Оператор зобов'язується:
а) повідомити Уповноваженого Верховної Ради України з прав людини (наглядовий орган) без невиправданої затримки та, де це можливо, не пізніше ніж через 72 (сімдесят дві) години після того, як стало відомо про порушення, відповідно до Art. 33 GDPR;
б) повідомити зачеплених суб'єктів даних без невиправданої затримки, якщо порушення ймовірно призведе до високого ризику для їхніх прав і свобод, відповідно до Art. 34 GDPR;
в) зафіксувати обставини порушення, його наслідки та вжиті заходи для усунення та попередження;
г) вжити негайних заходів для мінімізації наслідків та запобігання подальшим порушенням.
11.2. ЗМІСТ ПОВІДОМЛЕННЯ
Повідомлення про порушення міститиме:
а) опис характеру порушення; б) категорії та приблизну кількість зачеплених суб'єктів даних; в) категорії та приблизну кількість зачеплених записів; г) контактні дані DPO (support@ovidiopol.com); д) опис ймовірних наслідків; е) опис вжитих або запланованих заходів.
РОЗДІЛ 12. ПЕРСОНАЛЬНІ ДАНІ ДІТЕЙ
12.1. ВІКОВІ ОБМЕЖЕННЯ
а) Платформа не призначена для осіб віком до шістнадцяти (16) років; б) Ми свідомо НЕ збираємо персональні дані осіб віком до 16 років; в) Для резидентів ЄЕП: відповідно до Art. 8 GDPR, обробка даних дітей віком до 16 років допускається лише за наявності згоди батьків або осіб, які їх замінюють; г) Для резидентів США: відповідно до COPPA, ми НЕ збираємо персональні дані дітей віком до 13 років. Якщо стане відомо, що такі дані були зібрані, вони будуть негайно видалені.
12.2. ПОВІДОМЛЕННЯ ВІД БАТЬКІВ
Якщо ви є батьком або законним опікуном і вважаєте, що ваша дитина надала свої персональні дані на Платформі без вашої згоди, будь ласка, зверніться до нас: support@ovidiopol.com. Ми вживемо заходів для негайного видалення таких даних.
РОЗДІЛ 13. ОСОБЛИВОСТІ ОБРОБКИ В УМОВАХ ВОЄННОГО СТАНУ
13.1. Відповідно до Закону України «Про правовий режим воєнного стану» та Указу Президента України від 24.02.2022 № 64/2022, у зв'язку із введенням воєнного стану можуть тимчасово обмежуватись права і свободи, передбачені статтею 32 Конституції України (недоторканність приватного життя).
13.2. Оператор може бути зобов'язаний передати персональні дані Користувачів за запитом:
а) Збройних Сил України; б) Служби безпеки України; в) Правоохоронних органів; г) Військових адміністрацій; д) інших уповноважених суб'єктів відповідно до Закону.
13.3. Така передача здійснюється виключно в обсязі, необхідному для забезпечення національної безпеки, і не є порушенням цієї Політики.
РОЗДІЛ 14. ФАЙЛИ COOKIE
14.1. Платформа використовує файли cookie та аналогічні технології. Детальна інформація про типи cookie, їхнє призначення, строк дії та управління ними — у окремому документі «Політика щодо файлів cookie» (Cookie Policy).
14.2. Перед встановленням аналітичних та маркетингових cookie Платформа запитує вашу явну згоду через банер cookie.
14.3. Необхідні (технічні) cookie встановлюються без згоди, оскільки вони є обов'язковими для функціонування Платформи.
РОЗДІЛ 15. ЗМІНИ ДО ПОЛІТИКИ
15.1. Оператор може оновлювати цю Політику для відображення змін у практиках обробки даних, законодавстві або з інших причин.
15.2. Про суттєві зміни ми повідомляємо:
а) шляхом розміщення оновленої Політики на Платформі; б) шляхом направлення повідомлення на вашу електронну пошту (для зареєстрованих Користувачів); в) шляхом відображення банера-повідомлення на Платформі.
15.3. Дата останньої редакції завжди вказується на початку цього документа.
15.4. Продовження використання Платформи після публікації змін означає вашу згоду з оновленою Політикою. Якщо ви не погоджуєтесь з новою версією — ви маєте право видалити свій акаунт.
РОЗДІЛ 16. НАГЛЯДОВИЙ ОРГАН ТА СКАРГИ
16.1. НАГЛЯДОВИЙ ОРГАН В УКРАЇНІ
Уповноважений Верховної Ради України з прав людини (Омбудсмен): — Вебсайт: https://ombudsman.gov.ua — Гаряча лінія: 0 800 501 720 (безкоштовно) — Адреса: 01008, м. Київ, вул. Інститутська, 21/8
Департамент з питань захисту персональних даних діє у складі Секретаріату Уповноваженого.
16.2. НАГЛЯДОВІ ОРГАНИ В ЄС
Якщо ви перебуваєте на території ЄЕП, ви маєте право подати скаргу до наглядового органу вашої країни (перелік: https://edpb.europa.eu/about-edpb/about-edpb/members_en).
16.3. КАЛІФОРНІЯ, США
Для резидентів Каліфорнії: California Attorney General, https://oag.ca.gov/privacy.
РОЗДІЛ 17. КОНТАКТНА ІНФОРМАЦІЯ
Володілець (контролер) персональних даних:
Повна назва: ТОВ «СмартМІСТО Інновації» Країна: Україна
Загальні питання: support@ovidiopol.com Захист даних (DPO): support@ovidiopol.com Юридичні питання: support@ovidiopol.com
Вебсайт: ovidiopol.com
© 2026 ТОВ «СмартМІСТО Інновації». Усі права захищені.
Ця Політика конфіденційності є публічним документом та доступна за адресами: — ovidiopol.com/privacy — ovidiopol.com/privacy