Политика конфиденциальности

Контроллером (оператором) ваших персональных данных является оператор платформы Picosu - физическое лицо-предприниматель или юридическое лицо, зарегистрированное в соответствии с действующим законодательством Украины. Контроллер определяет цели и средства обработки персональных данных, осуществляемых через Платформу.

Для связи с контроллером данных или для осуществления ваших прав на персональные данные, обратитесь по электронному адресу: [email protected]. Мы отвечаем на запросы о персональных данных в течение 30 календарных дней с момента получения запроса.

В случаях, когда Picosu обрабатывает персональные данные от имени фотографа (например, данные клиентов фотографа, просматривающих галереи), Picosu действует как обработчик (процессор) данных, а фотограф – как контроллер. В таких случаях ответственность за законность обработки и получение согласия от субъектов данных возлагается на фотографа.

Эта Политика распространяется на все персональные данные, которые мы собираем через: вебсайт picosu.com и все его поддомены, мобильные приложения Picosu (если доступны), API Picosu, электронную почту и другие каналы коммуникации, на эту политику.

Настоящая Политика не распространяется на веб-сайты или сервисы третьих сторон, на которые могут вести ссылки в нашей Платформе. Мы рекомендуем ознакомиться с политиками конфиденциальности третьих сторон перед предоставлением им какой-либо информации. Picosu не несет ответственности за практику обработки данных третьими сторонами.

В процессе предоставления Сервиса мы можем собирать и обрабатывать следующие категории персональных данных:

• Идентификационные данные: имя, фамилия, название студии, имя пользователя, аватар.
• Контактные данные: адрес электронной почты, номер телефона (если предоставлен), ссылки на социальные сети.
• Данные аутентификации: хешированный пароль, токены OAuth (Google), токены сессий, IP-адрес при входе.
• Платежные данные: имя на карте, тип карты, последние 4 цифры карты (мы НЕ сохраняем полный номер карты — обработка осуществляется Hutko). История транзакций, выбранный тарифный план.
• Контент пользователя: фотографии, названия галерей, описания, настройки водяных знаков, тексты портфолио, прайс-листы, логотипы.
• Технические данные: IP-адрес, тип и версия браузера, операционная система, язык браузера, разрешение экрана, реферальный источник, данные об устройстве (user agent), файлы cookies и подобные технологии отслеживания.
• Данные использования: дата и время доступа, просмотренные страницы, количество и частота просмотров галерей, загруженных фотографий, география просмотров (на уровне страны/города на основе IP-адреса), действия в интерфейсе (создание галерей, изменение настроек).

Мы не собираем "чувствительные" персональные данные (расовая или этническая принадлежность, политические взгляды, религиозные убеждения, данные о здоровье, биометрические данные и т.п.). Если вы случайно предоставите нам такие данные, мы удалим их немедленно после обнаружения.

Мы получаем ваши персональные данные из следующих источников:

• Непосредственно от вас – при регистрации, заполнении профиля, загрузке контента, оплате подписки, обращении в службу поддержки.
• Автоматически — через cookies, вебмаяки и подобные технологии во время использования Сервиса.
• От сервисов третьих сторон при аутентификации через Google OAuth мы получаем ваше имя, электронный адрес и URL аватара из вашего Google-аккаунта.
• От платежных процессоров — Hutko дает нам подтверждение оплаты, статус транзакции и ограниченные платежные данные (без полного номера карты).

• Создание и управление вашей учетной записью, аутентификация и авторизация доступа к функциям Сервиса.
• Предоставление основных функций Сервиса: облачное хранение фотографий, создание и отображение галерей, создание портфолио-страниц.
• Обработка платежей, управление подписками, выставление счетов и учет финансовых транзакций.
• Предоставление статистики и аналитики: просмотр галерей, география посетителей, источники трафика, количество загрузок.
• Обеспечение безопасности Сервиса: выявление и предотвращение мошенничества, злоупотреблений, несанкционированного доступа и других угроз.
• Техническая поддержка: обработка ваших обращений, диагностика проблем, улучшение качества обслуживания.
• Улучшение сервиса: анализ паттернов использования, тестирование новых функций, оптимизация производительности и интерфейса.
• Коммуникация: отправка служебных сообщений (подтверждение регистрации, сброс пароля, сообщение об изменении тарифа), а также маркетинговых сообщений (по вашему согласию).

Мы обрабатываем ваши персональные данные на основании одного или нескольких из следующих правовых оснований в соответствии с Законом Украины «О защите персональных данных» и Регламентом GDPR (для пользователей из ЕС):

Конкретные правовые основания для каждой категории обработки:

• Выполнение договора (статья 6(1)(b) GDPR): обработка необходима для предоставления Сервиса, управления вашим аккаунтом, обработки платежей и выполнения наших обязательств перед вами.
• Согласие (статья 6(1)(a) GDPR): для передачи маркетинговых сообщений, использования необязательных файлов cookies и аналитических инструментов. Вы можете отозвать согласие в любое время.
• Законный интерес (статья 6(1)(f) GDPR): для обеспечения безопасности Сервиса, предотвращения мошенничества, улучшения Сервиса и аналитики использования.
• Юридическое обязательство (статья 6(1)(c) GDPR): для выполнения требований законодательства, включая бухгалтерский учет, налоговую отчетность и ответ на законные запросы правоохранительных органов.

Когда обработка основана на вашем согласии, вы вправе отозвать ее в любое время, написав нам на [email protected] или изменив настройки в аккаунте. Отзыв согласия не влияет на законность обработки, осуществленной до отзыва.

Picosu использует файлы cookies и подобные технологии для обеспечения работы Сервиса, улучшения пользовательского опыта и сбора аналитических данных. Cookies — это небольшие текстовые файлы, хранящиеся на устройстве. Мы используем следующие типы cookies: (1) Обязательные cookies – необходимые для работы Сервиса (аутентификация, настройка сессии, языковые предпочтения, темный/светлый режим). Эти cookies не могут быть отключены. (2) Аналитические cookies помогают нам понять, как пользователи взаимодействуют с Сервисом (количество посещений, популярные страницы, источники трафика). Мы можем использовать Google Analytics или аналогичные инструменты.

Вы можете управлять cookies через настройки вашего браузера. Однако отключение обязательных cookies может привести к невозможности использования отдельных функций Сервиса. Мы также используем localStorage браузера для хранения токенов проверки подлинности и настроек интерфейса.

Галереи, которые вы создаете и распространяете, могут собирать ограниченную аналитическую информацию о посетителях (адрес IP-адрес для определения географии на уровне страны/города, user agent для определения типа устройства). Эти данные используются для статистики галерей и не передаются третьим сторонам.

Мы не продаем, не сдаем в аренду и не торгуем вашими персональными данными. Мы можем передавать ваши данные третьим сторонам только в следующих случаях:

• Платежные процессоры (Hutko): для обработки платежей за подписку. Мы передаем минимально необходимые данные для транзакции.
• Облачные провайдеры (AWS S3, Google Cloud Storage, Hetzner): для хранения фотографий и данных Сервиса. Данные хранятся в зашифрованном виде.
• Сервисы аутентификации (Google OAuth): для обеспечения входа через Google-аккаунт.
• Сервисы аналитики (Google Analytics): для сбора агрегированной статистики использования Сервиса (по вашему согласию).
• Правоохранительные и государственные органы: если это требуется законодательством, судебным решением или законным запросом правоохранительных органов.
• Правопреемники: в случае слияния, поглощения, реорганизации или продажи активов Picosu, ваши данные могут быть переданы правопреемнику, о чем вам будет сообщено заранее.
• Профессиональные консультанты: юристам, аудиторам и другим консультантам в пределах, необходимых для защиты юридических интересов Picosu.

Все третьи стороны, которые получают доступ к вашим данным, обязаны соблюдать соответствующие требования конфиденциальности и безопасности. Мы заключаем с ними соответствующие соглашения об обработке данных (DPA) в соответствии с требованиями GDPR.

Ваши данные могут обрабатываться и храниться на серверах, расположенных за пределами вашей страны проживания, в частности, в Европейском Союзе, США или других странах, где расположены наши облачные провайдеры. При передаче данных за пределы ЕС/ЕЭП мы обеспечиваем соответствующий уровень защиты посредством использования: стандартных контрактных положений (SCC), утвержденных Европейской Комиссией; решений об адекватности защиты (adequacy decisions); или других соответствующих правовых механизмов.

Вы можете получить копию стандартных контрактных положений или информацию о конкретных правовых механизмах передачи данных, обратившись к нам по адресу [email protected].

Мы сохраняем ваши персональные данные в течение срока, необходимого для достижения целей, описанных в настоящей Политике, или в течение более длительного срока, если это требуется действующего законодательства. Конкретные сроки хранения:

• Данные аккаунта (имя, email, профиль): в течение всего срока существования аккаунта + 30 дней после его удаления.
• Контент (фотографии, галереи): в течение всего срока существования аккаунта до 90 дней в резервных копиях после удаления.
• Платежная информация и финансовые записи: в соответствии с требованиями налогового законодательства, как правило, 7 лет.
• Технические логи и данные: до 12 месяцев с момента сбора.

После окончания сроков хранения данные удаляются или анонимируются таким образом, что их невозможно увязать с конкретным лицом. Некоторые агрегированные и анонимизированные данные могут храниться бессрочно для целей аналитики и улучшения сервиса.

В соответствии с Законом Украины «О защите персональных данных» (№ 2297-VI от 01.06.2010), вы имеете следующие права как субъект персональных данных:

• Право знать об источниках сбора, местонахождении своих персональных данных, цели их обработки, местонахождении или местожительстве (нахождении) владельца или распорядителя персональных данных.
• Право получать информацию об условиях предоставления доступа к персональным данным, в частности, информацию о третьих лицах, которым передаются ваши персональные данные.
• Право на доступ к своим персональным данным – получить подтверждение факта обработки и копию ваших данных.
• Право предъявлять мотивированное требование об изменении или уничтожении своих персональных данных каким-либо владельцем и распорядителем персональных данных.
• Право на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения.
• Право подавать жалобы по обработке персональных данных в Уполномоченный Верховной Рады по правам человека или в суд.
• Право применять средства правовой защиты при нарушении законодательства о защите персональных данных.
• Право вносить оговорки относительно ограничения права на обработку своих персональных данных при предоставлении согласия.

Для реализации любого из этих прав обратитесь к нам по адресу [email protected]. Мы рассмотрим ваш запрос в течение 30 календарных дней.

Если вы являетесь резидентом Европейского Союза или Европейской Экономической Зоны, согласно Общему регламенту защиты данных (GDPR), вы имеете дополнительные права:

• Право на доступ (статья 15 GDPR): право получить подтверждение факта обработки и копию ваших персональных данных, а также информацию о целях обработки, категориях данных и получателях.
• Право на исправление (статья 16 GDPR): право требовать устранения неточных или дополнения неполных персональных данных.
• Право на удаление / право быть забытым (статья 17 GDPR): право требовать удаления ваших персональных данных при определенных условиях.
• Право на ограничение обработки (статья 18 GDPR): право требовать ограничения обработки ваших данных при определенных обстоятельствах.
• Право на перенос данных (статья 20 GDPR): право получить ваши данные в структурированном, общеупотребительном и машиночитаемом формате и передать их другому контроллеру.
• Право на возражение (статья 21 GDPR): право возражать против обработки ваших данных на основании законного интереса или для целей прямого маркетинга.
• Право не подлежать автоматизированному принятию решений (статья 22 GDPR): право не являться объектом решения, основанного исключительно на автоматизированной обработке, включая профилирование.
• Право подать жалобу в надзорный орган: вы имеете право подать жалобу в соответствующий надзорный орган по защите данных в вашей стране.

Для реализации любого из этих прав обратитесь к нам по адресу [email protected]. Мы ответим на ваш запрос в течение 30 дней (или меньше, если этого требует законодательство). В исключительных случаях срок может быть продлен до 60 дней, о чем вам будет сообщено. Реализация ваших прав бесплатно, за исключением явно безосновательных или чрезмерных запросов.

Мы осуществляем соответствующие технические и организационные меры по защите ваших персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения. Эти меры включают, но не ограничиваются: шифрование данных при передаче (TLS/SSL) и хранение (AES-256), хеширование паролей с использованием PBKDF2 с уникальной солью, регулярное резервное копирование данных полномочий, мониторинг безопасности и журнал доступа.

Несмотря на принятые меры, ни один метод передачи данных через Интернет или метод электронного хранения не является 100% безопасным. Мы не можем гарантировать полную безопасность ваших данных. В случае утечки или нарушения безопасности персональных данных мы уведомим вас и соответствующие надзорные органы в соответствии с требованиями действующего законодательства (в течение 72 часов для GDPR).

Picosu не предназначен для использования лицами, которым не исполнилось 18 лет. Мы намеренно не собираем персональные данные от детей. Если вы являетесь отцом или опекуном и вам стало известно, что ваш ребенок предоставил нам персональные данные без вашего согласия, обратитесь к нам по адресу [email protected], и мы немедленно примем меры по удалению таких данных.

Мы оставляем за собой право обновлять настоящую Политику конфиденциальности в любое время. В случае существенных изменений мы сообщим вам по электронной почте или через интерфейс Платформы. Обновленная версия вступает в силу с момента публикации, если не указано иное.

Мы рекомендуем регулярно просматривать эту политику для ознакомления с актуальной версией. Продолжение использования Сервиса после вступления в силу обновленной Политики означает ваше согласие с изменениями.

Если у вас возникли вопросы, предложения или жалобы по поводу настоящей Политики конфиденциальности или обработки ваших персональных данных, обратитесь к нам: Электронная почта: [email protected]. Мы отвечаем на все обращения в течение 30 календарных дней.

Если вы считаете, что ваши права на защиту персональных данных нарушены, вы имеете право подать жалобу в: Уполномоченный Верховной Рады Украины по правам человека (для граждан Украины); соответствующего надзорного органа по защите данных в вашей стране (для граждан ЕС/ЕЭП); или в суд в соответствии с действующим законодательством.