OlaBotardivna Відкрити в Telegram →
Português

Дата набрання чинності: 23 травня 2026 р.

Ми поважаємо твою приватність. Цей документ описує, які дані ми збираємо, як використовуємо, як ти можеш керувати ними. Документ відповідає вимогам GDPR (EU Regulation 2016/679).

1. Контролер даних

Контролер: Ruslan Yarmoliuk NIF: буде вказано після формальної реєстрації Адреса: Lisboa, Portugal Email для GDPR-питань: dpo@olabotardivna.com Загальний контакт: hello@olabotardivna.com

DPO (Data Protection Officer) функцію наразі виконує контролер особисто. Призначення окремого DPO буде здійснено при перевищенні Art. 37 GDPR порогів (large-scale processing of special-category data або large-scale systematic monitoring), що зараз не відбувається. Документ обґрунтування доступний за запитом.

2. Які дані ми збираємо

2.1. Автоматично при реєстрації через Telegram

  • tg_user_id (унікальний ідентифікатор Telegram)
  • first_name (ім’я з твого TG-профілю)
  • tg_username (якщо публічне)
  • language_code (мова твого TG-клієнта)
  • is_premium (статус Premium у TG)
  • IP-адреса (для аудит-логів, видаляється через 90 днів)

Підстава для tg_user_id / first_name: виконання договору (Art. 6(1)(b)). Підстава для IP-адрес: legitimate interest (Art. 6(1)(f)) для security / fraud prevention. Документ LIA доступний за запитом.

2.2. Дані, які ти надаєш добровільно

  • Місто (для пошуку)
  • Bio, фото профілю, портфоліо (для Спеціалістів)
  • Мови, категорії послуг (для Спеціалістів)
  • Геолокація (опційно, тільки за явною згодою — «opt-in»)
  • Документи для верифікації (тільки для Спеціалістів, тимчасово)

Підстава: твоя згода (Art. 6(1)(a)) + виконання договору.

Важливо: документи верифікації (паспорт + селфі) є звичайними персональними даними, НЕ special-category (Art. 9 GDPR), оскільки селфі НЕ використовується для facial-recognition matching — лише візуальне порівняння адміністратором. Зберігаються поза публічним web root, доступ — лише уповноваженим адмінам через auth-gated view. Hard-delete: 30 днів post-rejected / 90 днів post-approved.

2.3. Контент, який ти створюєш

  • Повідомлення в чатах
  • Карточки замовлень
  • Відгуки
  • Запити на реверс-дошці

Підстава: виконання договору.

2.4. Технічні дані

  • Дата/час дій (для аудит-логів)
  • Кліки, перегляди профілів (для статистики Спеціалістів)

Підстава: legitimate interest (покращення сервісу, попередження зловживань).

3. Як ми використовуємо дані

  • Надання функціональності Платформи (пошук, чат, замовлення)
  • Сповіщення (TG-пуші про нові повідомлення, нагадування)
  • Покращення сервісу (агрегована статистика)
  • Дотримання правових зобов’язань (audit log)

Ми НЕ використовуємо твої дані для:

  • Реклами третіх сторін
  • Продажу третім сторонам
  • Профілювання у комерційних цілях
  • AI-тренування

4. Хто має доступ

  • Ти: повний доступ до своїх даних через профіль.
  • Інші користувачі: бачать лише публічні поля (профіль Спеціаліста; ім’я Клієнта при заявці).
  • Адміністратори: для модерації, технічної підтримки, верифікації.
  • Telegram (Telegram FZ-LLC, UAE): ми взаємодіємо через Telegram Bot API. TG є контролером власних даних користувача за межами нашої Платформи. Транскордонна передача (Україна-Португалія через TG infrastructure поза EU) відбувається на підставі Art. 49(1)(b) GDPR — передача необхідна для виконання договору між суб’єктом даних і Платформою, ініційована самим суб’єктом даних (через свідомий вибір користуватися через Telegram). Telegram Privacy Policy: https://telegram.org/privacy
  • Хостинг (Hetzner Online GmbH, Німеччина — EU): інфраструктура. DPA доступне за запитом. Дані ніколи не покидають EU зону.
  • OpenAI (тільки dev-stage): використовується для генерації демо-фото на pre-launch. Персональні дані користувачів НЕ передаються. Видаляється після production launch.

5. Період зберігання

ДаніПеріод зберіганняПравова підстава
Профіль (поки активний)До видалення акаунтуArt. 6(1)(b)
Профіль (після видалення)Hard delete ≤30 днів (включно з backup-rotation)право на видалення
Повідомлення в чатахДо видалення акаунту, hard-delete з акаунтомArt. 6(1)(b)
Замовлення (історичні)5 років після завершення в псевдонімізованій формі (PII removed, fields anonymized)Art. 6(1)(c) — Lei Geral Tributária PT art. 53 (зобов’язання Спеціалістів зберігати tax-related records)
ВідгукиЗберігаються анонімізовано після видалення акаунтуlegitimate interest (інтегральність system reputation)
Документи верифікації30 днів post-rejected / 90 днів post-approvedзгода + аудит
IP-адреси, аудит-логи90 днівlegitimate interest (security)
Cookies (тільки сесія)До закриття браузераstrictly necessary

6. Твої права (GDPR)

  • Право на доступ — отримати копію своїх даних.
  • Право на виправлення — оновити неточні дані.
  • Право на видалення (right to be forgotten) — hard delete через Settings.
  • Право на обмеження обробки — призупинити використання.
  • Право на портативність — отримати дані в JSON.
  • Право на відкликання згоди — скасувати opt-in.
  • Право на скаргу — до Comissão Nacional de Proteção de Dados (CNPD), Португалія.

Для реалізації прав: пиши на dpo@olabotardivna.com або в @Ola_Botardivna_bot.

Right to portability: endpoint GET /api/v1/auth/me/export/ повертає ZIP з JSON (профіль, чати, замовлення, відгуки) + media. Доступний з Mini App → Settings → «Експорт даних».

Right to lodge complaint: CNPD (Comissão Nacional de Proteção de Dados): https://www.cnpd.pt/

Data breach notification: у випадку breach Платформа повідомить CNPD протягом 72 годин (Art. 33 GDPR) і Користувачів — без невиправданої затримки, якщо breach створює високий ризик їх правам.

7. Геолокація

7.1. Ми НЕ збираємо геолокацію автоматично. Тільки якщо ти явно надав дозвіл через кнопку «Дозволити місцезнаходження».

7.2. Геокоординати зберігаються округлено до 2 знаків після коми (≈1.1 км точності).

7.3. Ти можеш відкликати дозвіл у будь-який момент в Settings.

8. Cookies

  • Session cookie — для веб-сайту, утримує сесію після TG Login Widget. Видаляється при закритті браузера.
  • Без аналітичних cookies третіх сторін (Google Analytics, Facebook Pixel тощо).
  • Mini App не використовує cookies — autoauth через TG initData.

9. Безпека

  • HTTPS (Let’s Encrypt) для всіх з’єднань.
  • HMAC верифікація TG initData.
  • Хешування sensitive identifiers.
  • Резервне копіювання щоденне (зашифроване).
  • Документи верифікації — приватний сторейдж з обмеженим доступом.

Ми не можемо гарантувати абсолютну безпеку, але робимо все зрозуміле для індустріального стандарту.

10. Діти

Платформа не призначена для осіб молодше 18 років. Якщо нам стане відомо про реєстрацію особи <18, акаунт буде видалено.

11. Зміни Політики

Про суттєві зміни попереджаємо TG-повідомленням за 7 днів до набрання чинності. Продовження користування означає згоду.

12. DPIA та документація обробки

12.1. DPIA (Data Protection Impact Assessment) проведено для процесів верифікації та геолокації. Документ доступний за запитом до DPO. Висновок: ризик низький за умови дотримання технічних і організаційних заходів цієї Політики.

12.2. Records of Processing Activities (Art. 30 GDPR): Платформа веде внутрішній реєстр процесингових активностей. Доступний для CNPD за запитом.

13. Контакти

  • Питання конфіденційності: dpo@olabotardivna.com
  • DPO (наразі — контролер особисто, обґрунтовано згідно Art. 37 GDPR)
  • CNPD (національний регулятор Португалії): https://www.cnpd.pt/

Документ доступний українською та португальською мовами. Para Portuguese version: see privacy.pt.md.

Документ написаний українською мовою. У разі розбіжностей з перекладами, українська версія має перевагу.