Контролер персональних даних
Ми, ТОВ «КОДІКТА» (далі — «Codicta», «ми»), є контролером ваших персональних даних в розумінні ЗУ «Про захист персональних даних» та GDPR. Ми поважаємо вашу приватність і обробляємо персональні дані відповідально, прозоро і виключно з тих цілей, які описані в цьому документі.
Ми збираємо лише ті дані, які потрібні для роботи сервісу: e-mail, історія пошуків, налаштування. Ми не продаємо ваші дані третім особам, не використовуємо їх для тренування зовнішніх AI-моделей і не передаємо рекламним мережам.
Які дані ми збираємо
Ми збираємо лише ту інформацію, яка необхідна для роботи сервісу. Категорії даних:
| Категорія | Що саме | Джерело |
|---|---|---|
| Реєстраційні | E-mail, номер телефону, імʼя, пароль (хешований bcrypt) | Ви — при реєстрації |
| Профіль | Аватар, посада, регіон, спеціалізація (необовʼязково) | Ви — у налаштуваннях |
| Платіжні | Маска картки, історія транзакцій. Повний номер картки не зберігається на наших серверах. | LiqPay / Fondy |
| Поведінкові | Історія пошукових запитів, переглянуті НПА, налаштування фільтрів | Автоматично |
| Технічні | IP, тип браузера, ОС, мова, часова зона, ID сесії | Автоматично |
| AI-діалоги | Тексти ваших запитів до AI-помічника та відповіді (для покращення якості) | Ви — при використанні |
Ми не збираємо чутливі категорії даних: дані про здоровʼя, расову чи етнічну приналежність, релігійні переконання, біометричні дані, дані про судимість.
Для чого ми використовуємо ваші дані
- Надання сервісу: автентифікація, відображення персоналізованих результатів пошуку, синхронізація налаштувань між пристроями.
- Підписки та оплата: виставлення рахунків, поновлення підписки, повернення коштів.
- Підтримка: обробка звернень, діагностика проблем, відстеження статусу запитів.
- Покращення продукту: агрегована аналітика щодо популярних розділів, помилок, продуктивності. Дані знеособлюються.
- Якість AI-помічника: ваші діалоги аналізуються виключно інженерами Codicta для покращення моделі. Ви можете відмовитись у налаштуваннях профілю.
- Безпека: запобігання шахрайству, виявлення підозрілих входів, дотримання вимог законодавства.
- Маркетинг: сповіщення про оновлення, новинки, події. Лише за вашою явною згодою; завжди можна відписатись одним кліком.
Правові підстави обробки
Згідно зі ст. 11 ЗУ № 2297-VI та ст. 6 GDPR, ми обробляємо ваші дані на таких підставах:
- Виконання договору — обробка реєстраційних, платіжних і профільних даних для надання сервісу за Публічним договором.
- Згода — для розсилки маркетингових матеріалів і використання діалогів з AI для покращення моделі. Ви можете відкликати згоду в будь-який момент.
- Законний інтерес — для запобігання шахрайству, забезпечення безпеки інфраструктури та поліпшення сервісу через знеособлену аналітику.
- Юридичний обовʼязок — для зберігання податкової документації, відповіді на запити правоохоронних органів у межах закону.
Cookie та трекери
Ми використовуємо файли cookie і подібні технології (localStorage, sessionStorage). Усі cookie поділяються на чотири категорії; при першому візиті ви бачите банер з вибором.
| Категорія | Призначення | Згода |
|---|---|---|
| Необхідні | Сесія, CSRF-токен, мова інтерфейсу, тема | Не потрібна |
| Функціональні | Збережені фільтри, останні переглянуті НПА | За замовчуванням |
| Аналітичні | Google Analytics 4 (агреговані метрики поведінки), Microsoft Clarity (записи сесій + теплові карти кліків/скролу для покращення UX; PII — паролі, поля email, контент платіжних форм — автоматично маскуються) | За згодою |
| Маркетингові | Google Ads (відстеження конверсій реєстрації, верифікації телефону, поповнення балансу) | За згодою |
Ви можете в будь-який момент змінити свій вибір через посилання «Налаштування cookie» у футері сайту або в меню профілю.
Кому ми передаємо дані
Ми не продаємо ваші персональні дані. Ми передаємо їх лише в обмеженому обсязі та лише наступним категоріям отримувачів:
- Постачальники інфраструктури — Hetzner (DE) для серверів, AWS S3 (eu-central-1) для зберігання резервних копій.
- Платіжні еквайери — LiqPay (Україна), Fondy (Україна) обробляють картки відповідно до стандарту PCI DSS Level 1.
- Поштові сервіси — Postmark (USA, Privacy Shield) для транзакційних листів.
- Аналітика та реклама — Google LLC (Google Analytics 4 + Google Ads, США, Standard Contractual Clauses), Microsoft Corporation (Clarity — session replay + heatmaps, США, SCC).
- Правоохоронні органи — лише на підставі офіційного запиту в межах чинного законодавства.
Усі підрядники працюють за договорами обробки даних (DPA), які зобовʼязують їх дотримуватись стандартів захисту, не нижчих за наші.
Транскордонна передача
Дані можуть передаватись на сервери в ЄС (Hetzner DE, AWS Frankfurt). Ці юрисдикції забезпечують адекватний рівень захисту згідно з рішеннями ЄК і визнаються такими ж згідно з українським законодавством.
Як довго ми зберігаємо дані
| Тип даних | Строк |
|---|---|
| Обліковий запис | Поки активний + 90 днів після видалення (для відновлення) |
| Платіжна історія | 1095 днів (3 роки) — вимога податкового обліку |
| Логи входу та безпеки | 180 днів |
| AI-діалоги | 30 днів, далі знеособлюються |
| Маркетингова згода | Поки не відкличете |
| Підтримка (тікети) | 365 днів після закриття |
Після закінчення строків дані видаляються або знеособлюються. Знеособлені дані можуть зберігатись необмежено для статистичної аналітики.
Які у вас є права
Як субʼєкт персональних даних ви маєте наступні права. Більшість з них реалізуються одним кліком у налаштуваннях профілю; для решти достатньо написати на support@codicta.com.
- Право на доступ. Запросити копію всіх даних, які ми зберігаємо про вас. Відповідь — протягом 30 днів.
- Право на виправлення. Виправити неточні чи неповні дані безпосередньо в профілі.
- Право на видалення («право бути забутим»). Видалити обліковий запис і всі пов'язані дані. Винятки — дані, які ми зобов'язані зберігати за законом.
- Право на обмеження обробки. Тимчасово «заморозити» обробку даних до уточнення спірних питань.
- Право на переносимість. Отримати ваші дані у машиночитаному форматі (JSON, CSV) для перенесення в інший сервіс.
- Право заперечення. Заперечити проти обробки на підставі законного інтересу або в маркетингових цілях.
- Право на скаргу. Подати скаргу до Уповноваженого Верховної Ради України з прав людини або до європейського органу захисту даних.
Як ми захищаємо ваші дані
Ми застосовуємо технічні та організаційні заходи, що відповідають кращим галузевим практикам:
- Шифрування в спокої (AES-256) для бази даних і резервних копій.
- TLS 1.3 для всього трафіку між клієнтом і серверами.
- Хешування паролів алгоритмом bcrypt з cost-factor 12.
- Двофакторна автентифікація (TOTP, WebAuthn) — опціонально для всіх, обовʼязково для адміністраторів.
- Принцип мінімальних привілеїв — кожен співробітник має доступ лише до тих даних, які необхідні для виконання його обовʼязків.
- Регулярні аудити безпеки та pentests раз на 12 місяців.
- Резервне копіювання щоденне, з шифруванням і географічною реплікацією.
У разі виявлення витоку, що становить високий ризик для ваших прав, ми повідомимо вас особисто та Уповноваженого з прав людини протягом 72 годин, як вимагає GDPR.
Контакти Data Protection Officer
З усіх питань, пов'язаних з обробкою ваших персональних даних, реалізацією прав субʼєкта даних або скаргами, звертайтесь:
Олена Ткаченко, юрист з захисту даних
E-mail: support@codicta.com
PGP fingerprint:
9F84 6E56 F73D B585 4933 ABC1 3754 3DB5Поштова адреса: Україна, 49005, Дніпропетровська обл., м. Дніпро, вул. Сімферопольська, буд. 21, оф. 308, ТОВ «КОДІКТА» (код ЄДРПОУ 46402083), DPO
Стандартний строк відповіді — 30 календарних днів. У складних випадках строк може бути подовжений ще на 60 днів з обовʼязковим попереднім повідомленням.