Політика конфіденційності

Останнє оновлення: 2026-06-19 · GDPR-compliant

Хто ми

Dopomoga — практичний путівник для українців у Європейському Союзі. Контроллером ваших персональних даних є команда проєкту Dopomoga. Для будь-яких питань щодо цієї політики пишіть на support@uadopomoga.eu.

Які дані ми збираємо

Ми збираємо мінімум, необхідний для роботи сервісу:

Email — для входу в акаунт та технічних повідомлень.
Пароль — зберігається у хешованому вигляді (bcryptjs, cost factor 12). Ми не можемо побачити ваш пароль у відкритому вигляді.
Персональні налаштування: обрана країна (наприклад, NL), чернетки документів (оренда, робота, KvK), прогрес підготовки ZZP, журнал активності (останні 100 подій).
Дата реєстрації та дата прийняття умов користування.

Ми не використовуємо сторонню аналітику, рекламні трекери чи cookies третіх сторін (немає Google Analytics, Meta Pixel, Hotjar тощо).

Ми ведемо власну аналітику без cookies, дані якої зберігаються лише в нашій базі в ЄС і нікому не передаються та не продаються. Ми фіксуємо: перегляди сторінок із хешем відвідувача, що змінюється щодня (sha-256 від IP і браузера з новою «сіллю» щодня — візити не можна пов'язати між днями чи з вами), тип пристрою та приблизну країну, визначену за IP через офлайн-довідник (сам IP-адресу не зберігаємо). Також рахуємо ключові події (реєстрації, публікації послуг, бронювання, оплати ZZP Pro) і зберігаємо нормалізовані пошукові запити з вилученням персональних даних (запит з email, телефоном чи довгою послідовністю цифр відкидається) — щоб знаходити та закривати прогалини в контенті. Дані про перегляди зберігаються 180 днів, пошукові запити — 90 днів, після чого видаляються автоматично.

Підстава обробки

Обробка ваших даних ґрунтується на вашій згоді (натискання Я приймаю при реєстрації — GDPR, стаття 6(1)(a)) та на легітимному інтересі забезпечити автентифікацію та безпеку сервісу (стаття 6(1)(f)).

Ваші права

Згідно з GDPR ви маєте право:

ДоступОтримати копію всіх своїх даних — у розділі Акаунт → Експорт даних (стаття 20).

Видалення«Право бути забутим» — Акаунт → Видалити акаунт (стаття 17).

ВиправленняЗмінити неточні дані — напишіть нам на вищевказану адресу.

ОбмеженняОбмежити чи заперечити обробку — напишіть нам.

Зберігання та регіон

Більшість даних (база даних Neon Postgres, сесії авторизації, логи серверної автентифікації) розміщуються у регіоні eu-central-1 (Франкфурт, ЄС) та не передаються за межі ЄС. Окремі категорії даних передаються обробникам поза ЄС за Вашою згодою — деталі див. у розділі «AI чат та передача даних» нижче. Логи серверної автентифікації зберігаються до 30 днів через pm2-logrotate; адреси email у логах хешуються (sha-256, перші 16 символів), повні адреси та паролі ніколи не логуються.

AI чат та передача даних

Для функції AI-чату Dopomoga використовує зовнішній сервіс OpenRouter(OpenRouter Inc., зареєстрований у США). Коли Ви надсилаєте повідомлення до AI-чату, текст Вашого питання та контекст останніх повідомлень передаються OpenRouter для генерації відповіді. OpenRouter у свою чергу може використовувати одного чи декількох провайдерів моделей (наприклад, Google, OpenAI) для обробки запиту.

Dopomoga не зберігає історію AI-чату на сервері. Збережено лише анонімні лічильники використання (кількість повідомлень на добу, час останнього запиту) — це необхідно для технічного обмеження (50 повідомлень на UTC-добу, інтервал 10 секунд між запитами).

Для надсилання транзакційних листів (підтвердження email, скидання пароля) Dopomoga використовує сервіс Resend (Resend, Inc., зареєстрований у США; сервер надсилання розміщено в регіоні Ірландія, eu-west-1). Метадані облікового запису Resend (наші налаштування, статистика надсилання) зберігаються у США; сам вміст листів надсилається з серверів у ЄС.

Ваші права: Ви можете будь-коли вимагати видалення всіх даних через функцію «Видалити акаунт» у розділі Акаунт — це видалить лічильники використання AI-чату й усі токени email-верифікації / скидання пароля, повʼязані з Вашим акаунтом.

Платежі та підписки (Mollie)

Для обробки платежів за підписки Pro / Business (а в майбутньому — за разові промо-послуги) Dopomoga використовує Mollie B.V. (Mollie B.V., Keizersgracht 313, 1016 EE Amsterdam, Netherlands). Mollie — ліцензований платіжний оператор з реєстрацією у Нідерландському управлінні фінансових ринків (AFM) та Нідерландському банку (DNB). Mollie підтримує iDEAL, Bancontact, SEPA Direct Debit та платіжні картки.

Регіон обробки: Mollie є компанією, зареєстрованою в ЄС, з обробкою даних та інфраструктурою у межах Європейського Союзу. Передача даних до країн поза ЄС не відбувається, тому окрема згода за ст. 49 GDPR не потрібна.

Юридична основа: Передача платіжних даних до Mollie ґрунтується на Вашій явній згоді (ст. 6(1)(a) GDPR), яку Ви надаєте, натиснувши кнопку «Оформити підписку Pro» / «Оформити підписку Business» на сторінці тарифів.

Які дані передаються до Mollie: Ваше імʼя (з профілю продавця), email-адреса (з акаунту), тип платіжного методу (наприклад, directdebit, creditcard, ideal, bancontact), останні 4 цифри картки або IBAN (для відображення у Вашому особистому кабінеті), а також ідентифікатор Mollie-клієнта (cst_xxx). Dopomoga ніколи не зберігаєповний номер картки чи повний IBAN — ці дані обробляються виключно на боці Mollie у токенізованому вигляді (вбудований принцип нашої архітектури).

Зберігання у нас: Ми зберігаємо ідентифікатори Mollie-клієнта та Mollie-підписки (для управління життєвим циклом підписки), тип платіжного методу та останні 4 цифри — для відображення стану підписки. Дані зберігаються весь час активності Вашої підписки та видаляються разом з акаунтом (cascade-видалення).

Зберігання у Mollie: Mollie зберігає платіжні дані відповідно до власної політики конфіденційності та податкових вимог Нідерландів (7 років для облікових документів). Детальніше: mollie.com/privacy.

Перевірка бізнес-реєстрації (KvK Handelsregister)

Для верифікації продавців маркетплейсу, які зареєстровані як юридичні особи або ZZP'ери в Нідерландах, Dopomoga звертається до офіційного реєстру KvK Handelsregister (Kamer van Koophandel, Den Haag, Нідерланди). Запит відбувається лише за вашою явною ініціативою — коли ви натискаєте «Підтвердити через KvK API» у налаштуваннях профілю продавця.

Регіон обробки: KvK є державним реєстром Нідерландів, зареєстрованим та фізично розміщеним у межах Європейського Союзу. Передача даних до країн поза ЄС не відбувається, тому окрема згода за ст. 49 GDPR не потрібна.

Юридична основа: Передача даних до KvK ґрунтується на договірній необхідності (ст. 6(1)(b) GDPR) — без верифікації статусу вашого бізнесу в Handelsregister ми не можемо надати вам значок «Перевірений бізнес» у маркетплейсі.

Які дані передаються до KvK: Лише ваш 8-значний KvK-номер. Жодна інша інформація (email, ім'я, IP-адреса) не передається. KvK у відповідь повертає публічно доступні відомості вашої бізнес-реєстрації: торгове найменування, юридичне найменування, адреса вестигінгу та статус реєстрації (активна / неактивна / знята з реєстрації).

Зберігання у нас: Відповідь KvK кешується на сервері протягом 30 днів (зменшує обсяг запитів до API), після чого автоматично перезапитується. Ваш KvK-номер у профілі продавця зберігається поки ваш акаунт залишається активним; видаляється разом з акаунтом (cascade-видалення за ст. 17 GDPR). Раз на місяць ми перевіряємо, чи не змінився статус вашої KvK-реєстрації — якщо так, ми автоматично знімаємо значок «Перевірений бізнес» та надсилаємо вам сповіщення.

Зберігання у KvK: KvK як державний реєстр Нідерландів зберігає дані вашої бізнес-реєстрації відповідно до Закону про Handelsregister (Handelsregisterwet 2007). Детальніше: kvk.nl/privacy.

Моніторинг помилок (Sentry)

Для виявлення технічних помилок Dopomoga використовує сервіс Sentry (Functional Software, Inc., d/b/a Sentry; материнська компанія Sentry GmbH — Berlin, Німеччина, ЄС). Дані надсилаються до інстансу Sentry в регіоні Франкфурт, ЄС (DSN host *.ingest.de.sentry.io). За межі ЄС телеметрія не передається.

Регіон обробки: Sentry EU (Франкфурт). Передача даних до країн поза ЄС не відбувається, тому окрема згода за ст. 49 GDPR не потрібна.

Юридична основа: Передача телеметрії помилок до Sentry ґрунтується на нашому легітимному інтересі забезпечити безпеку та надійність сервісу (ст. 6(1)(f) GDPR); відносини з Sentry як субпроцесором регулюються ст. 28 GDPR.

Які дані передаються до Sentry: Технічний стек помилки (трейс, файли, рядки коду), тип браузера / операційної системи, шлях URL (на стороні клієнта query-параметри видаляються). Email, номер телефону, BSN, KvK-номер та IP-адреса хешуються (sha-256, перші 16 символів для email, перші 8 для решти) ПЕРЕД передачею до Sentry за допомогою серверного скрабера PII (src/lib/sentryScrubber.ts) — у самому Sentry зберігаються лише сентинели вигляду [email:<hash>], [phone:<hash>] тощо.

Зберігання у нас: Локально жодні події Sentry не зберігаються — телеметрія передається безпосередньо до інстансу Sentry EU через мережевий запит у момент виникнення помилки. На сервері Dopomoga ми зберігаємо лише журнал авторизації (authLog, окремий від Sentry, з власним правилом ротації 30 днів × 10 МБ).

Зберігання у Sentry: Sentry зберігає телеметрію помилок 90 днів (стандартний free-tier період), після чого автоматично видаляє. Детальніше: sentry.io/privacy.

Ваші права: Ви можете будь-коли вимагати видалення Вашого акаунту через функцію «Видалити акаунт» — після видалення нові події Sentry, які могли б асоціюватись з Вашим акаунтом, фізично неможливо створити (акаунт відсутній); події, надіслані раніше, видаляються автоматично через 90 днів за політикою Sentry.

Що ми НЕ робимо

Не показуємо реклами.
Не використовуємо сторонніх трекерів (Google Analytics, Meta Pixel, Hotjar тощо).
Не передаємо дані третім сторонам без Вашої згоди (винятки описано у розділі «AI чат та передача даних» вище).
Не продаємо ваші дані.

Контакт

Для запитів щодо персональних даних: support@uadopomoga.eu.

Зміни до політики

Якщо ми оновлюємо цю політику, ви побачите повідомлення при наступному вході з проханням підтвердити прийняття нової версії.