Повернутися до Uselist · UA/uk
Політика конфіденційності · Україна
Дата набрання чинності: 2026-05-10 · Юрисдикція: Україна (UA)
1. Контролер
Контролером даних є Roman Usov, фізична особа-підприємець (enskild firma), зареєстрована у Швеції, що керує Uselist. Контакт: [email protected].
Ми є іноземним (неукраїнським) контролером. Як Закон України № 2297-VI ("Про захист персональних даних"), так і Загальний регламент ЄС про захист даних (GDPR) застосовуються до нашої обробки даних, що стосуються користувачів в Україні. У випадках розбіжностей між двома режимами ми застосовуємо вищий рівень захисту.
2. Що ми обробляємо та чому
| Дані | Мета | Правова підстава |
|---|---|---|
| Telegram ID, ім'я, необов'язкова URL-адреса фотографії | Ідентифікація облікового запису, вхід через віджет входу Telegram | Договір (GDPR Art. 6(1)(b) / UA Law 2297-VI Art. 11) |
| Електронна пошта (необов'язково) | Виставлення рахунків, комунікації підтримки | Договір |
| Описи товарів, фотографії, ціни | Зберігання інвентарю; основна функція Сервісу | Договір |
| Деталі картки | Обробка платежів — здійснюється безпосередньо Stripe; ми ніколи не бачимо номер картки | Договір |
| Країна, мова, тарифний план | Локалізація, вибір ринку, обмеження функцій на основі тарифного плану | Договір |
| IP-адреса (хешована для реєстрації), відбиток браузера | Запобігання зловживанням, шахрайству, обмеження частоти запитів | Законний інтерес (GDPR Art. 6(1)(f)) |
| Події аналітики продукту | Розуміння використання функцій для покращення Сервісу | Згода — добровільна згода через банер файлів cookie; відмова через Налаштування → Конфіденційність |
3. Субпроцесори
| Процесор | Роль | Регіон |
|---|---|---|
| Cloudflare, Inc. | CDN, WAF, DNS | Периферія ЄС (Україна визнає ЄС адекватною) |
| Stripe Payments Europe, Ltd. | Обробка платежів | Ірландія (ЄС) |
| Telegram Messenger LLP | Платформа бота, віджет входу | Мультирегіональний — див. розділ 4 |
| Google Ireland Ltd. (Gemini) | Висновок ШІ для оголошень | ЄС + США — див. розділ 4 |
| PostHog Inc. (Cloud EU) | Аналітика продукту — лише за згодою | ЄС (Франкфурт + Гельсінкі) |
| Hetzner Online GmbH | Хостинг серверів | Фінляндія / Німеччина (ЄС) |
| Cloudflare R2 | Зберігання фотографій | ЄС |
4. Транскордонні передачі
Більшість обробки відбувається в ЄС/ЄЕЗ. Закон України 2297-VI визнає ЄС юрисдикцією, що забезпечує належний захист даних. Два субпроцесори можуть передавати дані за межі ЄЕЗ:
- Telegram — працює з кількох юрисдикцій і не гарантує зберігання даних в ЄС. Дані, які ми отримуємо від Telegram, обмежуються полями публічного профілю (ім'я, ID, необов'язкова URL-адреса фотографії), що передаються через віджет входу.
- Google (Gemini) — Висновок ШІ може здійснюватися через регіони США. Передачі здійснюються на основі Стандартних договірних положень та Рамок конфіденційності даних ЄС-США.
5. Зберігання
- Дані облікового запису, товари, фотографії: зберігаються, поки ваш обліковий запис активний. Видаляються протягом 30 днів після запиту на видалення облікового запису через
/deleteaccount. Резервні копії видаляються протягом наступних 60 днів. - Події аналітики: 90 днів у PostHog.
- Платіжні записи: зберігаються протягом 7 років відповідно до Swedish Bookkeeping Act (місцезнаходження оператора).
- Журнали сервера: 30 днів на периферії.
6. Ваші права
Ви маєте наступні права відповідно до Закону України 2297-VI та GDPR:
- Доступ: запит копії ваших даних —
/exportу боті для товарів, контакт підтримки для решти. (UA Law 2297-VI Art. 8; GDPR Art. 15) - Виправлення: виправлення неточних даних через панель керування. (UA Art. 8; GDPR Art. 16)
- Видалення: видалення вашого облікового запису через
/deleteaccount. (UA Art. 8; GDPR Art. 17) - Обмеження: звернення до підтримки для призупинення обробки до вирішення спору. (GDPR Art. 18)
- Портативність:
/exportповертає ваш інвентар у форматі CSV. (GDPR Art. 20) - Заперечення: заперечення проти обробки на основі законного інтересу. (UA Art. 12; GDPR Art. 21)
Ми відповідаємо на перевірені запити протягом одного календарного місяця відповідно до GDPR Art. 12 (Українське законодавство також встановлює 30-денний стандарт відповіді на запити щодо персональних даних — еквівалентний мінімум).
7. Файли cookie та подібні технології
Суворо необхідні файли cookie (згода, країна, мовні налаштування, антибот) встановлюються без згоди, оскільки вони потрібні для надання функцій, які ви активно запитували. Аналітичні файли cookie (PostHog) встановлюються лише після вашої згоди через банер файлів cookie; ви можете відкликати згоду в будь-який час через Налаштування → Конфіденційність.
8. Безпека
Ми використовуємо TLS для всього трафіку, шифруємо секрети в стані спокою, не зберігаємо паролі у відкритому вигляді (лише автентифікація Telegram) та обертаємо токени API. Ми повідомляємо постраждалих користувачів та наглядовий орган про порушення персональних даних, які можуть призвести до ризику для суб'єктів даних, відповідно до GDPR Articles 33–34 та еквівалентних зобов'язань за українським законодавством.
9. Право подати скаргу
Ви можете подати скаргу до українського наглядового органу з питань персональних даних:
Verkhovna Rada Commissioner for Human Rights (Ombudsman)
Департамент захисту персональних даних
вул. Інститутська, 21/8, Київ 01008, Україна
ombudsman.gov.ua · гаряча лінія: 0 800 501 720
Ви також можете подати скаргу до будь-якого органу захисту даних ЄС (наприклад, IMY Швеції за адресою imy.se) враховуючи екстериторіальне застосування GDPR.
10. Зміни
Ми можемо оновлювати цю Політику конфіденційності. Рядок "Дата набрання чинності" відстежує останню версію. Суттєві зміни, що впливають на ваші дані, будуть повідомлені електронною поштою або в додатку щонайменше за 30 днів до їх набрання чинності.
11. Контакти
Питання конфіденційності, запити суб'єктів даних, розкриття інформації про безпеку: [email protected].