Політика конфіденційності та обробки персональних даних

1. Володілець даних та сфера дії Політики

Володілець персональних даних: ФОП Плотиця Людмила Володимирівна (сервіс «PLOSYNC»). Адреса: Україна, Вінницька обл. м.Хмільник. Контакт для запитів: support@plosync.com. Телефон: +380....

Ця Політика описує порядок обробки персональних даних у межах користування сервісом «PLOSYNC», його службовими панелями, billing/support-модулями, selection/print/organizer сторінками та пов’язаними інтеграціями.

Для окремих публічних сторінок або сценаріїв можуть публікуватися додаткові повідомлення про обробку даних, які застосовуються разом із цією Політикою.

2. Ролі сторін щодо персональних даних

Щодо персональних даних самого Користувача (наприклад, email, ім’я, дані облікового запису, історія підписки, support-звернення) Виконавець зазвичай виступає володільцем персональних даних.

Якщо Користувач завантажує до Сервісу дані своїх клієнтів, батьків, організаторів, учасників класу, отримувачів доставки або інших третіх осіб, сам Користувач зазвичай виступає володільцем таких даних, а Сервіс діє як технічний розпорядник/обробник у межах функціоналу, який Користувач сам ініціював.

У такому випадку саме Користувач відповідає за наявність правової підстави для внесення таких даних до Сервісу, інформування відповідних осіб та виконання власних обов’язків перед ними.

3. Які дані ми обробляємо

• дані облікового запису: email, ім’я, службові ідентифікатори, роль, дата створення акаунта;
• профільні та контактні дані: телефон, адреси, міста, назви закладів, реквізити для доставки, контактні поля профілю;
• операційні дані Сервісу: класи, selection-статуси, дедлайни, прайси, платежі, суми, замовлення друку, історія подій, службові журнали змін;
• дані третіх осіб, які Користувач самостійно вносить у Сервіс: ПІБ, телефони, коментарі, вибори фото, дані замовлень, ролі учасників, адресні та організаційні дані;
• support-комунікації: тексти звернень, вкладення, технічний контекст сторінки або помилки, пов’язаної зі зверненням;
• платіжні метадані: статус оплати, сума, дата, ідентифікатор транзакції, маскований номер картки або токен, якщо такий повертає провайдер;
• технічні дані: IP-адреса, user-agent, браузер, тип пристрою, мова, cookie, localStorage/sessionStorage-параметри, push-підписки, журнали безпеки;
• дані інтеграцій: інформація з Google OAuth, Google Calendar, Telegram та інших сервісів, які Користувач підключає самостійно.

4. Джерела отримання даних

• безпосередньо від Користувача під час реєстрації, авторизації, оплати, налаштування профілю, класів та інтеграцій;
• автоматично під час користування Сервісом, у тому числі з технічних журналів і системних подій;
• від інтегрованих сервісів, які Користувач підключив самостійно, зокрема Google, Telegram та платіжних провайдерів;
• від третіх осіб або клієнтів Користувача, якщо вони взаємодіють із selection/print/organizer-модулями в межах сценарію, налаштованого самим Користувачем.

5. Мета обробки персональних даних

• створення, ведення та захисту облікового запису Користувача;
• надання доступу до функціоналу Сервісу, включно з selection, друком, billing, support та інтеграціями;
• обробки оплат, автопродовження, історії підписки, інвойсів, квитанцій та службового обліку платежів;
• виконання публічної оферти та підтримки договірних відносин з Користувачем;
• забезпечення безпеки, аудиту, журналювання дій, виявлення зловживань і реагування на інциденти;
• обробки support-звернень, технічної діагностики та комунікації з Користувачем;
• роботи інтеграцій і надсилання службових повідомлень, нагадувань, статусів або технічних сповіщень;
• внутрішнього аналізу використання Сервісу, покращення інтерфейсу, логіки та стабільності.

6. Правові підстави обробки

Обробка персональних даних здійснюється, зокрема, на таких підставах:

• необхідність укладення, виконання та супроводу договору з Користувачем;
• згода суб’єкта персональних даних у випадках, коли вона потрібна;
• виконання обов’язків, покладених на Виконавця законодавством;
• законний інтерес Виконавця у забезпеченні безпеки, стабільності, доказової бази операцій та захисту своїх прав.

Для даних третіх осіб, які Користувач самостійно завантажує до Сервісу, Користувач окремо відповідає за наявність належної правової підстави для такої передачі.

7. Платежі та реквізити банківських карток

Платежі обробляються через зовнішніх платіжних провайдерів: WayForPay, MonoPay (Monobank). Введення реквізитів картки відбувається на сторінках/формах платіжних провайдерів.

Сервіс «PLOSYNC» не зберігає повний номер картки, CVV/CVC-код, PIN або інші повні реквізити картки Користувача. Ми можемо отримувати лише технічну інформацію по транзакції: статус, суму, дату, ідентифікатор, маскований номер картки/токен (за наявності).

Для формування призначення платежу, квитанції, історії платежів або журналу операцій можуть використовуватися також пов’язані з замовленням контактні дані, які Користувач самостійно вніс у Сервіс у відповідній формі.

8. Кому можуть передаватися персональні дані

Дані можуть передаватися третім особам лише в обсязі, потрібному для роботи конкретної функції або виконання обов’язку за законом, зокрема:

• Google — для OAuth, календарів або інших функцій, які Користувач підключає самостійно;
• Telegram — для ботів, службових повідомлень або інтеграцій, увімкнених Користувачем;
• платіжним провайдерам — для приймання платежів, автосписань, повернень, підтвердження статусів;
• технічним підрядникам, хостинговим або інфраструктурним сервісам — у межах підтримки роботи Сервісу;
• службам доставки або комунікаційним сервісам — якщо така функція доступна й ініційована Користувачем;
• державним органам або іншим уповноваженим суб’єктам — у випадках і порядку, передбачених законом.

9. Розкриття, передача та поширення Google user data

Якщо Користувач підключає Google OAuth або Google Calendar, Сервіс може отримувати та обробляти Google user data, зокрема ідентифікатор Google-акаунта, email, список календарів, ідентифікатори календарів, події календаря, назви подій, дати, час, місця проведення, описи, посилання на події, технічні токени доступу/оновлення та інші календарні метадані, потрібні для роботи інтеграції.

Google user data використовується лише для авторизації Користувача, показу доступних календарів, створення, перегляду, оновлення, прив’язування або видалення подій Google Calendar у межах дій, які Користувач самостійно ініціює в Сервісі.

Ми не продаємо, не здаємо в оренду, не передаємо для рекламних цілей і не розкриваємо Google user data третім особам, крім випадків, коли це потрібно для: надання або підтримки функцій Google Calendar через Google; роботи хостингу, баз даних, резервного копіювання, журналювання та інших технічних підрядників, які діють за нашими інструкціями та з обмеженнями конфіденційності; виконання вимог законодавства, судового рішення або запиту уповноваженого органу; або дії, яку Користувач прямо доручив виконати через інтеграцію.

Google user data не використовується для тренування, покращення або розробки загальних AI/ML-моделей. Доступ до таких даних обмежується працівниками або підрядниками, яким він потрібен для підтримки, безпеки або виконання запиту Користувача.

10. Транскордонна передача даних

Оскільки Сервіс інтегрується з міжнародними платформами (Google, Telegram), частина даних може оброблятися на серверах за межами України відповідно до політик відповідних провайдерів.

11. Строки зберігання даних

Персональні дані зберігаються не довше, ніж це необхідно для досягнення мети обробки, виконання договору, захисту прав Виконавця та дотримання вимог законодавства.

• дані облікового запису та робочі дані Сервісу — протягом строку користування та додатково стільки, скільки об’єктивно потрібно для закриття звернень, безпеки, резервних копій та договірного обліку;
• дані support-звернень, службові журнали та логи безпеки — як правило, довше, якщо це потрібно для розслідування інцидентів, запобігання зловживанням або захисту прав Виконавця;
• дані про платежі, підписки, повернення та бухгалтерсько-податкові документи — протягом строків, потрібних для фінансового обліку, звітності та підтвердження операцій;
• дані у резервних копіях — до завершення циклу оновлення та ротації резервних копій.

12. Cookies, localStorage, sessionStorage та push-функції

Сервіс використовує cookies, sessionStorage, localStorage та подібні технічні механізми для:

• авторизації, підтримки сесії та безпечного входу;
• збереження налаштувань інтерфейсу, теми, закриття системних банерів і технічних станів сторінки;
• роботи PWA-функцій, web-push, встановлення застосунку та службових сповіщень;
• підвищення стабільності та безпеки роботи Сервісу.

Вимкнення таких механізмів у браузері може призвести до некоректної роботи частини функцій Сервісу.

13. Права суб’єкта персональних даних

Користувач має право:

• знати джерела збору та мету обробки своїх персональних даних;
• отримувати доступ до своїх персональних даних;
• вимагати виправлення неточних або застарілих даних;
• вимагати припинення обробки або видалення даних у випадках, передбачених законом;
• звертатися зі скаргами до Уповноваженого ВРУ з прав людини та до суду.

Якщо звернення стосується даних, які Користувач самостійно вніс у Сервіс щодо своїх клієнтів чи інших третіх осіб, для вирішення такого звернення може знадобитися участь самого Користувача як джерела та ініціатора обробки цих даних у межах сервісного функціоналу.

14. Безпека

Використовуються організаційні та технічні заходи для захисту даних від несанкціонованого доступу та знищення.

Доступ до службових частин Сервісу надається за принципом необхідності, а критичні операції виконуються з урахуванням технічних обмежень безпеки.

Попри це, жодна система передавання чи зберігання даних не може гарантувати абсолютну безпеку, тому Виконавець не може повністю виключити всі ризики кіберінцидентів, дій третіх осіб або збоїв зовнішньої інфраструктури.

15. Зміни Політики

Виконавець має право оновлювати цю Політику. Актуальна редакція публікується на цій сторінці із зазначенням дати оновлення.

Для окремих публічних сторінок або субдоменів Користувачів можуть публікуватися додаткові повідомлення про конфіденційність або спеціальні умови обробки даних, які застосовуються до відповідного сценарію окремо.

16. Звернення з питань персональних даних