ПОЛІТИКА КОНФІДЕНЦІЙНОСТІ ТА ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

1. ЗАГАЛЬНІ ПОЛОЖЕННЯ

1.1. Визначення термінів

1.1.1. Ця Політика конфіденційності та обробки персональних даних (далі – «Політика») розроблена відповідно до Закону України «Про захист персональних даних» та іншого чинного законодавства України. Політика також враховує вимоги Регламенту (ЄС) 2016/679 (GDPR) щодо обробки персональних даних громадян ЄС у випадках, передбачених ст. 3 GDPR, зокрема якщо Платформою користуються особи, які знаходяться на території ЄС.

1.1.2. Терміни, що використовуються в цій Політиці:

• «Система» або «Платформа» – програмно-інформаційної системи «DECRETUM», що надає доступ до створення, редагування, зберігання, систематизації, пошуку та публікації нормативно-правових актів та інших документів органів місцевого самоврядування, що включає веб-сайт https://decretum.com.ua та всі пов'язані сервіси, що надаються ТОВ «ДЕКРЕТУМ»
• «Володілець (Контролер)» – ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «ДЕКРЕТУМ» (код ЄДРПОУ: 45689624, юридична адреса: 61023, Україна, Харківська обл., м. Харків, вул. Сумська, б. 126), який визначає мету і засоби обробки персональних даних
• «Обробник» – ТОВ «ДЕКРЕТУМ» у випадках, коли обробляє персональні дані за дорученням та від імені третіх осіб (при використанні API або корпоративних рішень)
• «Користувач» – фізична особа, яка використовує Платформу, незалежно від того, чи діє вона від власного імені, чи як представник юридичної особи (органу місцевого самоврядування, органу державної влади, підприємства, установи, організації, незалежно від форм власності, тощо)
• «Персональні дані» – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована
• «Корпоративний акаунт» – обліковий запис, створений для юридичної особи, доступ до якого можуть мати декілька уповноважених фізичних осіб

1.2. Сфера застосування

1.2.1. Ця Політика визначає порядок обробки та захисту персональних даних користувачів Платформи.

1.2.2. Політика поширюється на:

• Фізичних осіб, які використовують Платформу від власного імені
• Фізичних осіб – працівників органів місцевого самоврядування, державних установ, підприємств та організацій, які використовують Платформу в службових цілях
• Фізичних осіб, які мають доступ до корпоративних акаунтів юридичних осіб

1.2.3. Використовуючи Платформу, Користувач надає свою згоду на обробку персональних даних відповідно до умов цієї Політики.

1.2.4. Якщо Користувач не погоджується з умовами Політики, він зобов'язаний припинити використання Платформи.

1.3. Ролі при обробці персональних даних

1.3.1. ТОВ «ДЕКРЕТУМ» виступає як Володілець (Контролер) персональних даних у випадках:

• Реєстрації та обслуговування індивідуальних користувачів
• Надання базових послуг Платформи
• Маркетингових комунікацій
• Аналітики використання Платформи

1.3.2. ТОВ «ДЕКРЕТУМ» може виступати як Обробник персональних даних у випадках:

• Надання API-доступу третім особам, які визначають цілі обробки
• Обслуговування корпоративних клієнтів за окремими договорами
• Виконання специфічних доручень від органів місцевого самоврядування

1.3.3. У випадках, коли ТОВ «ДЕКРЕТУМ» виступає обробником, відносини регулюються окремими договорами про обробку персональних даних.

2. ПЕРСОНАЛЬНІ ДАНІ, ЯКІ МИ ЗБИРАЄМО

2.1. Дані, що надаються при реєстрації та використанні Платформи

2.1.1. При реєстрації:

• Прізвище, ім'я, по батькові
• Адреса електронної пошти (особиста або службова)
• Номер телефону
• Посада та організація/орган місцевого самоврядування
• Пароль (в зашифрованому вигляді)
• Тип користувача (приватна особа, представник ОМС, журналіст тощо)

2.1.2. При використанні Платформи:

• Історія пошукових запитів
• Збережені та обрані документи
• Статистика використання функцій Платформи
• Налаштування та преференції користувача

2.1.3. При верифікації (для журналістів, посадових осіб місцевого самоврядування, державних службовців):

• Документи, що підтверджують статус
• Додаткова контактна інформація

2.2. Дані, що збираються автоматично

2.2.1. Технічна інформація:

• IP-адреса
• Тип браузера та операційної системи
• Дата та час доступу
• Сторінки, які відвідуються
• Час перебування на сторінках
• Джерело переходу на Платформу

2.2.2. Файли cookies (детальніше в розділі 7)

2.3. Дані при оплаті послуг

2.3.1. При здійсненні платежів обробка платіжної інформації відбувається безпосередньо платіжними системами. Володілець не має доступу до повних даних платіжних карток.

2.4. Джерела отримання персональних даних

2.4.1. Ми отримуємо персональні дані з таких джерел:

a. Безпосередньо від Користувача:

• При реєстрації на Платформі
• При заповненні форм та профілю
• При зверненні до служби підтримки
• При використанні функцій Платформи

b. Від роботодавців або уповноважених осіб:

• При створенні корпоративного акаунту для організації
• При додаванні працівників до корпоративного акаунту
• При наданні доступу до службових ресурсів

c. З публічних джерел:

• Офіційні веб-сайти органів місцевого самоврядування
• Відкриті реєстри та бази даних
• Публічно доступна інформація для верифікації користувачів

2.4.2. При отриманні даних з джерел, відмінних від самого Користувача, ми забезпечуємо законність такого отримання та, за необхідності, інформуємо Користувача про джерело отримання його даних.

2.5. Дані, які ми НЕ збираємо

2.5.1. Ми НЕ збираємо та НЕ обробляємо особливо чутливі (sensitive) персональні дані відповідно до ст. 7 Закону України «Про захист персональних даних», а саме:

• Расове або етнічне походження
• Політичні, релігійні або світоглядні переконання
• Членство в політичних партіях та професійних спілках
• Дані про стан здоров'я, статеве життя
• Біометричні або генетичні дані
• Дані про притягнення до кримінальної відповідальності

2.5.2. Якщо такі дані випадково потраплять до нас (наприклад, у зверненні до служби підтримки), вони будуть негайно видалені з наших систем.

2.5.3. Просимо користувачів НЕ надавати такі дані при використанні Платформи.

3. ЦІЛІ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

3.1. Основні цілі

Ми обробляємо персональні дані для таких цілей:

3.1.1. Надання доступу до Платформи:

• Створення та управління обліковим записом
• Автентифікація та авторизація
• Відновлення паролю

3.1.2. Персоналізація та покращення сервісу:

• Надання персоналізованих рекомендацій
• Збереження налаштувань користувача
• Аналіз використання функцій для покращення Платформи

3.1.3. Комунікація:

• Технічна підтримка
• Інформування про оновлення та нові функції
• Маркетингові комунікації (за згодою)

3.1.4. Безпека та юридичні зобов'язання:

• Забезпечення безпеки Платформи
• Запобігання шахрайству
• Виконання вимог законодавства
• Відповіді на офіційні запити державних органів

3.1.5. Аналітика та дослідження:

• Статистичні дослідження діяльності органів місцевого самоврядування
• Створення агрегованої аналітики для публічних звітів
• Внутрішня аналітика для покращення сервісу

3.2. Правові підстави обробки

Ми обробляємо персональні дані на таких правових підставах:

• Згода Користувача
• Виконання договору про надання послуг
• Виконання юридичних зобов'язань
• Законні інтереси Володільця

4. РОЗКРИТТЯ ПЕРСОНАЛЬНИХ ДАНИХ

4.1. Загальні принципи

4.1.1. Ми не продаємо, не передаємо в оренду та не розголошуємо персональні дані третім особам без згоди Користувача, за винятком випадків, передбачених цією Політикою та законодавством.

4.2. Випадки розкриття даних

4.2.1. Постачальники послуг:

• Хостинг-провайдери
• Сервіси аналітики (Google Analytics)
• Платіжні системи
• Сервіси email-розсилок

4.2.2. Юридичні вимоги:

• На вимогу суду
• На запит правоохоронних органів
• Для захисту прав та інтересів Володільця

4.2.3. За згодою Користувача:

• При використанні API третіми сторонами
• При публікації агрегованої статистики

4.2.4. Роботодавцю (для службових акаунтів):

• У випадку корпоративних акаунтів, адміністратор організації може мати доступ до статистики використання Платформи працівниками в межах службових повноважень

4.3. Гарантії при передачі даних третім особам

4.3.1. Перед передачею персональних даних третім особам (постачальникам послуг, партнерам) ми:

• Укладаємо договори про обробку персональних даних (Data Processing Agreement – DPA)
• Перевіряємо відповідність третіх осіб вимогам законодавства про захист даних
• Забезпечуємо, що треті особи обробляють дані виключно за нашими інструкціями
• Вимагаємо впровадження належних технічних та організаційних заходів захисту

4.3.2. Договори з третіми особами включають:

• Зобов'язання щодо конфіденційності
• Обмеження на використання даних
• Вимоги щодо безпеки даних
• Процедури повернення або видалення даних
• Право на аудит заходів безпеки

4.3.3. Ми регулярно переглядаємо та оновлюємо список третіх осіб, які мають доступ до персональних даних, та умови такого доступу.

4.4. Передача даних за межі України

4.4.1. Персональні дані зберігаються на серверах в Україні. У випадку необхідності передачі даних за кордон, ми забезпечуємо належний рівень захисту відповідно до вимог законодавства.

5. ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ

5.1. Технічні та організаційні заходи

5.1.1. Ми використовуємо комплекс заходів для захисту персональних даних:

• Шифрування даних при передачі (SSL/TLS)
• Шифрування паролів
• Обмеження доступу до персональних даних
• Регулярне резервне копіювання
• Моніторинг безпеки

5.1.2. Доступ до персональних даних мають лише уповноважені співробітники, які потребують такого доступу для виконання своїх обов'язків.

5.2. Відповідальність Користувача

5.2.1. Користувач несе відповідальність за:

• Збереження конфіденційності свого паролю
• Захист свого облікового запису від несанкціонованого доступу
• Своєчасне інформування про підозри щодо несанкціонованого доступу

5.3. Процедура реагування на інциденти

5.3.1. У випадку порушення безпеки персональних даних (витік, несанкціонований доступ, втрата даних), ми зобов'язуємось:

• Негайно розпочати внутрішнє розслідування інциденту
• Вжити заходів для мінімізації негативних наслідків
• Повідомити Уповноваженого ВРУ з прав людини протягом 72 годин з моменту виявлення
• Повідомити постраждалих Користувачів без необґрунтованої затримки

5.3.2. Повідомлення Користувачам включатиме:

• Опис характеру порушення
• Категорії та приблизну кількість постраждалих даних
• Ймовірні наслідки порушення
• Заходи, вжиті або запропоновані для усунення порушення
• Рекомендації щодо мінімізації негативних наслідків
• Контактні дані для отримання додаткової інформації

5.3.3. Ми ведемо реєстр всіх інцидентів безпеки та регулярно переглядаємо наші заходи захисту для запобігання повторенню подібних випадків.

6. ПРАВА КОРИСТУВАЧІВ

6.1. Права щодо персональних даних

Відповідно до законодавства, Користувач має право:

• 6.1.1. Право на доступ – отримати інформацію про те, які персональні дані обробляються
• 6.1.2. Право на виправлення – вимагати виправлення неточних або неповних даних
• 6.1.3. Право на видалення – вимагати видалення персональних даних («право бути забутим»)
• 6.1.4. Право на обмеження обробки – вимагати обмеження обробки даних у певних випадках
• 6.1.5. Право на портативність – отримати свої дані в структурованому форматі
• 6.1.6. Право на заперечення – заперечувати проти обробки даних для маркетингових цілей
• 6.1.7. Право відкликати згоду – відкликати раніше надану згоду на обробку даних

6.2. Реалізація прав

6.2.1. Для реалізації своїх прав Користувач може звернутися до нас:

• Email: info@decretum.com.ua
• Через форму зворотного зв'язку на Платформі
• Поштою на юридичну адресу

6.2.2. Ми розглядаємо запити протягом 30 днів з моменту отримання.

7. ФАЙЛИ COOKIES

7.1. Типи cookies

Ми використовуємо такі типи cookies:

7.1.1. Необхідні cookies:

• Забезпечують базову функціональність Платформи
• Зберігають сесію користувача
• Не можуть бути відключені

7.1.2. Аналітичні cookies:

• Допомагають зрозуміти, як користувачі взаємодіють з Платформою
• Використовуються для покращення сервісу

7.1.3. Функціональні cookies:

• Запам'ятовують налаштування користувача
• Покращують персоналізацію

7.1.4. Маркетингові cookies:

• Використовуються для показу релевантної реклами
• Можуть бути відключені користувачем

7.2. Управління cookies

7.2.1. Ми використовуємо банер згоди (cookie consent banner) або інший механізм управління згодою для інформування користувачів про використання cookies та отримання їх згоди відповідно до вимог українського та європейського законодавства.

7.2.2. При першому відвідуванні Платформи користувач може:

• Прийняти всі cookies
• Налаштувати вибірково, які типи cookies дозволити
• Відхилити всі cookies, крім необхідних

7.2.3. Користувач може змінити свої налаштування cookies в будь-який час через:

• Спеціальний розділ налаштувань на Платформі
• Посилання "Налаштування cookies" у футері сайту
• Налаштування браузера

7.2.4. Відмова від певних типів cookies може вплинути на функціональність Платформи та якість користувацького досвіду.

8. СТРОКИ ЗБЕРІГАННЯ ДАНИХ

8.1. Терміни зберігання

8.1.1. Ми зберігаємо персональні дані протягом таких термінів:

• Дані облікового запису: протягом існування акаунту + 3 роки після видалення
• Історія пошуку: 1 рік
• Технічні логи: 6 місяців
• Маркетингові дані: до відкликання згоди
• Дані для юридичних цілей: згідно з вимогами законодавства (3-5 років)

8.1.2. Вищевказані терміни можуть бути продовжені у випадках, коли:

• Це вимагається законодавством (наприклад, для дотримання строків позовної давності, виконання вимог контролюючих органів)
• Існують поточні судові спори або розслідування
• Це необхідно для виконання договірних зобов'язань
• Користувач надав окрему згоду на довше зберігання

8.1.3. Після закінчення терміну зберігання дані видаляються або знеособлюються, за винятком даних, які повинні зберігатися відповідно до вимог законодавства.

9. НЕПОВНОЛІТНІ

9.1. Платформа не призначена для осіб молодше 18 років. Ми не збираємо свідомо персональні дані неповнолітніх.

9.2. Якщо нам стане відомо про збір даних неповнолітніх, ми негайно видалимо такі дані.

10. ЗМІНИ ДО ПОЛІТИКИ

10.1. Ми можемо оновлювати цю Політику. Про суттєві зміни ми повідомимо:

• На Платформі
• Електронною поштою

10.2. Продовження використання Платформи після внесення змін означає згоду з оновленою Політикою.

11. АВТОМАТИЗОВАНА ОБРОБКА ТА ПРОФАЙЛІНГ

11.1. Автоматизоване прийняття рішень

11.1.1. Ми НЕ здійснюємо обробку персональних даних, яка включає автоматизоване прийняття рішень, що мають правові наслідки для Користувача або іншим чином істотно впливають на нього, без належної правової підстави та відповідного повідомлення.

11.1.2. У випадку впровадження таких технологій у майбутньому, ми:

• Повідомимо користувачів заздалегідь
• Отримаємо явну згоду, де це вимагається
• Забезпечимо право на людське втручання
• Надамо можливість оскаржити рішення

11.2. Профайлінг

11.2.1. Ми можемо використовувати обмежений профайлінг для:

• Персоналізації рекомендацій документів
• Покращення пошукових результатів
• Аналізу використання Платформи

11.2.2. Такий профайлінг:

• Не має правових наслідків для Користувача
• Базується лише на діях користувача на Платформі
• Може бути відключений у налаштуваннях профілю
• Не використовується для дискримінації або обмеження доступу

11.3. Права користувачів

11.3.1. Користувачі мають право:

• Знати про використання автоматизованих систем
• Отримати інформацію про логіку прийняття рішень
• Заперечити проти автоматизованої обробки
• Вимагати людського втручання в процес

12. КОНТАКТИ

12.1. Контактна інформація

З питань щодо обробки персональних даних звертайтеся:

ТОВ «ДЕКРЕТУМ»

• Відповідальна особа: Директор підприємства
• Email: info@decretum.com.ua
• Веб-сайт: https://decretum.com.ua
• Адреса: 61023, Україна, Харківська обл., м. Харків, вул. Сумська, б. 126
• Телефон: +38 093 393 63 43

12.2. Контролюючі органи

Уповноважений Верховної Ради України з прав людини:

• Адреса: 01008, м. Київ, вул. Інститутська, 21/8
• Телефон: +38 044 253 75 89
• Email: hotline@ombudsman.gov.ua
• Веб-сайт: www.ombudsman.gov.ua