Політика конфіденційності

Контролером (оператором) ваших персональних даних є оператор платформи Picosu — фізична особа-підприємець або юридична особа, зареєстрована відповідно до чинного законодавства України. Контролер визначає цілі та засоби обробки персональних даних, що здійснюється через Платформу.

Для зв'язку з контролером даних або для здійснення ваших прав щодо персональних даних, зверніться за електронною адресою: [email protected]. Ми відповідаємо на запити щодо персональних даних протягом 30 календарних днів з моменту отримання запиту.

У випадках, коли Picosu обробляє персональні дані від імені фотографа (наприклад, дані клієнтів фотографа, які переглядають галереї), Picosu діє як обробник (процесор) даних, а фотограф — як контролер. У таких випадках відповідальність за законність обробки та отримання згоди від суб'єктів даних покладається на фотографа.

Ця Політика поширюється на всі персональні дані, які ми збираємо через: вебсайт picosu.com та всі його піддомени, мобільні застосунки Picosu (якщо доступні), API Picosu, електронну пошту та інші канали комунікації, а також будь-які інші платформи чи сервіси, де ми посилаємось на цю Політику.

Ця Політика не поширюється на вебсайти або сервіси третіх сторін, на які можуть вести посилання з нашої Платформи. Ми рекомендуємо ознайомитись із політиками конфіденційності таких третіх сторін перед наданням їм будь-якої інформації. Picosu не несе відповідальності за практики обробки даних третіми сторонами.

У процесі надання Сервісу ми можемо збирати та обробляти наступні категорії персональних даних:

• Ідентифікаційні дані: ім'я, прізвище, назва студії, ім'я користувача, аватар.
• Контактні дані: адреса електронної пошти, номер телефону (якщо надано), посилання на соціальні мережі.
• Дані автентифікації: хешований пароль, токени OAuth (Google), токени сесій, IP-адреса при вході.
• Платіжні дані: ім'я на картці, тип картки, останні 4 цифри картки (ми НЕ зберігаємо повний номер картки — обробка здійснюється WayForPay). Історія транзакцій, обраний тарифний план.
• Контент користувача: фотографії, назви галерей, описи, налаштування водяних знаків, тексти портфоліо, прайс-листи, логотипи.
• Технічні дані: IP-адреса, тип та версія браузера, операційна система, мова браузера, роздільна здатність екрану, реферальне джерело, дані про пристрій (user agent), файли cookies та подібні технології відстеження.
• Дані використання: дата та час доступу, переглянуті сторінки, кількість та частота переглядів галерей, завантажених фотографій, географія переглядів (на рівні країни/міста на основі IP-адреси), дії в інтерфейсі (створення галерей, зміна налаштувань).

Ми не збираємо «чутливі» персональні дані (расова або етнічна приналежність, політичні погляди, релігійні переконання, дані про здоров'я, біометричні дані тощо). Якщо ви випадково надасте нам такі дані, ми видалимо їх негайно після виявлення.

Ми отримуємо ваші персональні дані з наступних джерел:

• Безпосередньо від вас — при реєстрації, заповненні профілю, завантаженні контенту, оплаті підписки, зверненні до служби підтримки.
• Автоматично — через файли cookies, вебмаяки та подібні технології під час вашого використання Сервісу.
• Від сервісів третіх сторін — при автентифікації через Google OAuth ми отримуємо ваше ім'я, електронну адресу та URL аватара з вашого Google-акаунту.
• Від платіжних процесорів — WayForPay надає нам підтвердження оплати, статус транзакції та обмежені платіжні дані (без повного номера картки).

• Створення та управління вашим обліковим записом, автентифікація та авторизація доступу до функцій Сервісу.
• Надання основних функцій Сервісу: хмарне зберігання фотографій, створення та відображення галерей, генерація портфоліо-сторінок.
• Обробка платежів, управління підписками, виставлення рахунків та облік фінансових транзакцій.
• Надання статистики та аналітики: перегляди галерей, географія відвідувачів, джерела трафіку, кількість завантажень.
• Забезпечення безпеки Сервісу: виявлення та запобігання шахрайству, зловживанням, несанкціонованому доступу та іншим загрозам.
• Технічна підтримка: обробка ваших звернень, діагностика проблем, покращення якості обслуговування.
• Покращення Сервісу: аналіз патернів використання, тестування нових функцій, оптимізація продуктивності та інтерфейсу.
• Комунікація: надсилання службових повідомлень (підтвердження реєстрації, скидання пароля, повідомлення про зміну тарифу), а також маркетингових повідомлень (за вашою згодою).

Ми обробляємо ваші персональні дані на підставі однієї або кількох з наступних правових підстав, відповідно до Закону України «Про захист персональних даних» та Регламенту GDPR (для користувачів із ЄС):

Конкретні правові підстави для кожної категорії обробки:

• Виконання договору (стаття 6(1)(b) GDPR): обробка необхідна для надання Сервісу, управління вашим акаунтом, обробки платежів та виконання наших зобов'язань перед вами.
• Згода (стаття 6(1)(a) GDPR): для надсилання маркетингових повідомлень, використання необов'язкових файлів cookies та аналітичних інструментів. Ви можете відкликати згоду в будь-який час.
• Законний інтерес (стаття 6(1)(f) GDPR): для забезпечення безпеки Сервісу, запобігання шахрайству, покращення Сервісу та аналітики використання.
• Юридичне зобов'язання (стаття 6(1)(c) GDPR): для виконання вимог законодавства, включаючи бухгалтерський облік, податкову звітність та відповідь на законні запити правоохоронних органів.

Коли обробка базується на вашій згоді, ви маєте право відкликати її в будь-який час, написавши нам на [email protected] або змінивши налаштування в акаунті. Відкликання згоди не впливає на законність обробки, здійсненої до відкликання.

Picosu використовує файли cookies та подібні технології для забезпечення роботи Сервісу, покращення користувацького досвіду та збору аналітичних даних. Cookies — це невеликі текстові файли, що зберігаються на вашому пристрої. Ми використовуємо наступні типи cookies: (1) Обов'язкові cookies — необхідні для роботи Сервісу (автентифікація, налаштування сесії, мовні уподобання, темний/світлий режим). Ці cookies не можуть бути вимкнені. (2) Аналітичні cookies — допомагають нам зрозуміти, як користувачі взаємодіють із Сервісом (кількість відвідувань, популярні сторінки, джерела трафіку). Ми можемо використовувати Google Analytics або подібні інструменти.

Ви можете керувати cookies через налаштування вашого браузера. Однак вимкнення обов'язкових cookies може призвести до неможливості використання окремих функцій Сервісу. Ми також використовуємо localStorage браузера для зберігання токенів автентифікації та налаштувань інтерфейсу.

Галереї, які ви створюєте та поширюєте, можуть збирати обмежену аналітичну інформацію про відвідувачів (IP-адреса для визначення географії на рівні країни/міста, user agent для визначення типу пристрою). Ці дані використовуються для статистики галерей та не передаються третім сторонам.

Ми не продаємо, не здаємо в оренду та не торгуємо вашими персональними даними. Ми можемо передавати ваші дані третім сторонам лише у наступних випадках:

• Платіжні процесори (WayForPay): для обробки платежів за підписку. Ми передаємо мінімально необхідні дані для здійснення транзакції.
• Хмарні провайдери (AWS S3, Google Cloud Storage, Hetzner): для зберігання ваших фотографій та даних Сервісу. Дані зберігаються у зашифрованому вигляді.
• Сервіси автентифікації (Google OAuth): для забезпечення входу через Google-акаунт.
• Сервіси аналітики (Google Analytics): для збору агрегованої статистики використання Сервісу (за вашою згодою).
• Правоохоронні та державні органи: якщо це вимагається чинним законодавством, судовим рішенням або законним запитом правоохоронних органів.
• Правонаступники: у разі злиття, поглинання, реорганізації або продажу активів Picosu, ваші дані можуть бути передані правонаступнику, про що вас буде повідомлено заздалегідь.
• Професійні консультанти: юристам, аудиторам та іншим консультантам у межах, необхідних для захисту законних інтересів Picosu.

Усі треті сторони, які отримують доступ до ваших даних, зобов'язані дотримуватись відповідних вимог конфіденційності та безпеки. Ми укладаємо з ними відповідні угоди про обробку даних (DPA) відповідно до вимог GDPR.

Ваші дані можуть оброблятись та зберігатись на серверах, розташованих за межами вашої країни проживання, зокрема в Європейському Союзі, США або інших країнах, де розташовані наші хмарні провайдери. При передачі даних за межі ЄС/ЄЕП ми забезпечуємо відповідний рівень захисту шляхом використання: стандартних контрактних положень (SCC), затверджених Європейською Комісією; рішень про адекватність захисту (adequacy decisions); або інших відповідних правових механізмів.

Ви можете отримати копію стандартних контрактних положень або інформацію про конкретні правові механізми передачі даних, звернувшись до нас за адресою [email protected].

Ми зберігаємо ваші персональні дані протягом строку, необхідного для досягнення цілей, описаних у цій Політиці, або протягом більш тривалого строку, якщо це вимагається чинним законодавством. Конкретні строки зберігання:

• Дані акаунту (ім'я, email, профіль): протягом усього строку існування акаунту + 30 днів після його видалення.
• Контент (фотографії, галереї): протягом усього строку існування акаунту + до 90 днів у резервних копіях після видалення.
• Платіжна інформація та фінансові записи: відповідно до вимог податкового законодавства — як правило, 7 років.
• Технічні логи та дані використання: до 12 місяців з моменту збору.

Після закінчення строків зберігання дані видаляються або анонімізуються таким чином, що їх неможливо пов'язати з конкретною особою. Деякі агреговані та анонімізовані дані можуть зберігатись безстроково для цілей аналітики та покращення Сервісу.

Відповідно до Закону України «Про захист персональних даних» (№ 2297-VI від 01.06.2010), ви маєте наступні права як суб'єкт персональних даних:

• Право знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) власника чи розпорядника персональних даних.
• Право отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються ваші персональні дані.
• Право на доступ до своїх персональних даних — отримати підтвердження факту обробки та копію ваших даних.
• Право пред'являти вмотивовану вимогу про зміну або знищення своїх персональних даних будь-яким власником та розпорядником персональних даних.
• Право на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження.
• Право подавати скарги щодо обробки персональних даних до Уповноваженого Верховної Ради з прав людини або до суду.
• Право застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.
• Право вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди.

Для реалізації будь-якого з цих прав зверніться до нас за адресою [email protected]. Ми розглянемо ваш запит протягом 30 календарних днів.

Якщо ви є резидентом Європейського Союзу або Європейської Економічної Зони, відповідно до Загального регламенту захисту даних (GDPR), ви маєте додаткові права:

• Право на доступ (стаття 15 GDPR): право отримати підтвердження факту обробки та копію ваших персональних даних, а також інформацію про цілі обробки, категорії даних та одержувачів.
• Право на виправлення (стаття 16 GDPR): право вимагати виправлення неточних або доповнення неповних персональних даних.
• Право на видалення / «право бути забутим» (стаття 17 GDPR): право вимагати видалення ваших персональних даних за певних умов.
• Право на обмеження обробки (стаття 18 GDPR): право вимагати обмеження обробки ваших даних за певних обставин.
• Право на перенесення даних (стаття 20 GDPR): право отримати ваші дані у структурованому, загальновживаному та машиночитаному форматі та передати їх іншому контролеру.
• Право на заперечення (стаття 21 GDPR): право заперечити проти обробки ваших даних на підставі законного інтересу або для цілей прямого маркетингу.
• Право не підлягати автоматизованому прийняттю рішень (стаття 22 GDPR): право не бути об'єктом рішення, заснованого виключно на автоматизованій обробці, включаючи профілювання.
• Право подати скаргу до наглядового органу: ви маєте право подати скаргу до відповідного наглядового органу з питань захисту даних у вашій країні.

Для реалізації будь-якого з цих прав зверніться до нас за адресою [email protected]. Ми відповімо на ваш запит протягом 30 днів (або менше, якщо цього вимагає законодавство). У виняткових випадках строк може бути продовжений до 60 днів, про що вас буде повідомлено. Реалізація ваших прав є безкоштовною, за винятком явно безпідставних або надмірних запитів.

Ми впроваджуємо відповідні технічні та організаційні заходи для захисту ваших персональних даних від несанкціонованого доступу, зміни, розкриття або знищення. Ці заходи включають, але не обмежуються: шифрування даних під час передачі (TLS/SSL) та зберігання (AES-256), хешування паролів із використанням PBKDF2 з унікальною сіллю, регулярне резервне копіювання даних, обмеження доступу персоналу до персональних даних за принципом мінімально необхідних повноважень, моніторинг безпеки та журналювання доступу.

Незважаючи на вжиті заходи, жоден метод передачі даних через Інтернет або метод електронного зберігання не є на 100% безпечним. Ми не можемо гарантувати абсолютну безпеку ваших даних. У разі витоку або порушення безпеки персональних даних ми повідомимо вас та відповідні наглядові органи відповідно до вимог чинного законодавства (протягом 72 годин для GDPR).

Picosu не призначена для використання особами, яким не виповнилось 18 років. Ми свідомо не збираємо персональні дані від дітей. Якщо ви є батьком або опікуном і вам стало відомо, що ваша дитина надала нам персональні дані без вашої згоди, зверніться до нас за адресою [email protected], і ми негайно вживемо заходів для видалення таких даних.

Ми залишаємо за собою право оновлювати цю Політику конфіденційності в будь-який час. У разі суттєвих змін ми повідомимо вас електронною поштою або через інтерфейс Платформи. Оновлена версія набуває чинності з моменту публікації, якщо не зазначено інше.

Ми рекомендуємо регулярно переглядати цю Політику для ознайомлення з актуальною версією. Продовження використання Сервісу після набуття чинності оновленої Політики означає вашу згоду зі змінами.

Якщо у вас виникли запитання, пропозиції або скарги щодо цієї Політики конфіденційності або обробки ваших персональних даних, зверніться до нас: Електронна пошта: [email protected]. Ми відповідаємо на всі звернення протягом 30 календарних днів.

Якщо ви вважаєте, що ваші права на захист персональних даних порушені, ви маєте право подати скаргу до: Уповноваженого Верховної Ради України з прав людини (для громадян України); відповідного наглядового органу з питань захисту даних у вашій країні (для громадян ЄС/ЄЕП); або до суду відповідно до чинного законодавства.