Конфіденційність

Otack Pages — оператор: Goup Space Sp. z o. o.

Дата набрання чинності: 2026-05-29

1. Особа контролера

Контролером ваших персональних даних є Goup Space Sp. z o. o., ul. Hoża 86/210, 00-682 Warszawa, Польща, KRS 0000932799, REGON 520583134, NIP 7011061440 («Оператор»). Контакт з усіх питань захисту даних: info@otack.eu.

Уповноваженого з захисту даних не призначено (ст. 37 GDPR не вимагає його для цього типу обробки).

2. Наглядовий орган

Ви можете подати скаргу до Голови Управління захисту персональних даних (PUODO), польського наглядового органу за ст. 77 GDPR: https://uodo.gov.pl.

3. Персональні дані, які ми збираємо

3.1 Надані вами

  • електронна адреса, повне ім'я, бажана мова;
  • пароль — зберігається лише як bcrypt-хеш; у відкритому вигляді ніколи не записується в нашу базу даних;
  • метадані платежу (ID замовлення, сума, валюта, статус, посилання провайдера, електронна пошта покупця) — дані картки обробляються виключно Stripe (див. §5);
  • зашифрований блоб AI-ключів (ai_keys_blob) — зберігається у зашифрованому вигляді; ми не можемо його розшифрувати (див. §9).

3.2 Зібрані автоматично

  • IP-адреса — у надсиланнях форм, обмеженні частоти запитів і журналах аудиту;
  • час входу, ID кореляції HTTP-запитів, мова сесії браузера;
  • базові метадані запитів (user-agent, реферер URL), які збирають серверні журнали.

3.3 Контент і діагностичне журналювання

Промпти та згенеровані файли проєктів, які ви створюєте на Платформі. Коли увімкнено адміністративний прапорець LOG_AI_REQUESTS (діагностичний інструмент, у продакшні вимкнено за замовчуванням), системний промпт, повідомлення користувача та відповідь AI журналюються до 7 днів. API-ключі ніколи не потрапляють у журнали за жодних обставин.

3.4 Від третіх сторін

  • результати анти-бот перевірок від hCaptcha;
  • колбеки статусу платежу від Stripe.

4. Цілі та правові підстави (ст. 6 GDPR)

  • Ст. 6(1)(b) — договір: створення облікового запису, його експлуатація та надання Пакета доступу.
  • Ст. 6(1)(f) — законний інтерес: безпека, протидія шахрайству, запобігання зловживанням, транзакційні листи.
  • Ст. 6(1)(a) — згода: брифи на замовлення сайтів та маркетингові комунікації. Можна відкликати в будь-який час через info@otack.eu.
  • Ст. 6(1)(c) — правовий обов'язок: бухгалтерські та податкові записи відповідно до Ordynacja podatkowa ст. 86 §1.

5. Одержувачі та субпроцесори

Платежі

  • Stripe Payments Europe Ltd. (Ірландія, ЄЕЗ) — обробка платежів. Дані картки надходять безпосередньо до Stripe; ми їх ніколи не отримуємо. Передачі в США регулюються SCC і EU-US DPF.

AI-інференс

  • Anthropic PBC (США) — моделі Claude. У режимі BYO-ключа ви є контролером стосовно Anthropic. Використання платформового ключа (демо/проба): субпроцесор за SCC.
  • OpenAI L.L.C. (США) — моделі GPT. Те ж розрізнення BYO/платформовий ключ; SCC для використання платформового ключа.
  • Google Ireland Ltd. / Google LLC (Ірландія / США) — моделі Gemini. Те ж розрізнення; SCC і EU-US DPF для Google LLC.
  • Moonshot AI (Китай) — моделі Kimi. Повідомлення про передачу: Китай не має рішення ЄС про адекватність. Передача відбувається лише коли ви обираєте Moonshot; надсилається лише ваш промпт. Обираючи цього провайдера, ви приймаєте ризик передачі (ст. 49(1)(a) GDPR).

Сповіщення

  • Telegram FZ-LLC (ОАЕ) — доставка брифів на замовлення сайтів Оператору. Включає ваше ім'я, електронну пошту, телефон і бізнес-дані. Підстава передачі: явна згода при надсиланні брифу (ст. 49(1)(a)); доповнена SCC.

Безпека

  • Intuition Machines Inc. (США) — hCaptcha на сторінці реєстрації. Охоплено EU-US DPF та SCC.

Інфраструктура

  • Hostovita.pl Sp. z o. o. (Польща, ЄЕЗ) — основний хостинг.
  • HostPro.ua (Україна) — резервний/бекап хостинг. Немає рішення ЄС про адекватність; передачі регулюються SCC.
  • SMTP-провайдер — транзакційні листи. Особа доступна на запит за адресою info@otack.eu.

Про оновлення переліку субпроцесорів повідомляється щонайменше за 30 днів через внутрішній банер або електронною поштою. Ви можете заперечити, звернувшись на info@otack.eu.

6. Міжнародні передачі даних

Передачі за межі ЄЕЗ відбуваються до: Stripe Inc., Anthropic, OpenAI, Google LLC (США); Moonshot AI (Китай); Telegram FZ-LLC (ОАЕ); HostPro.ua (Україна). Гарантії: (a) SCC за Рішенням (ЄС) 2021/914; (b) EU-US Data Privacy Framework, де застосовно; (c) явна згода (ст. 49(1)(a)) для Telegram та Moonshot. Проведено оцінки впливу передачі для США та України. Копії доступні на запит за адресою info@otack.eu.

7. Терміни зберігання

  • Дані облікового запису: активний період + 90-денний пільговий період після видалення.
  • Файли проєктів: 30 днів після останньої активності (тариф Free); 90 днів (Pro/Max). Повідомлення про видалення надсилаються за 7, 5 і 3 дні.
  • Журнали генерації AI (лише діагностичні): 7 днів.
  • Надсилання форм зі Згенерованих сайтів: 365 днів. Раніше видалення на запит за адресою info@otack.eu.
  • Записи платежів і рахунків: 5 років (Ordynacja podatkowa ст. 86 §1).
  • Журнали згод: 3 роки.
  • Журнали застосунку: макс. 30 днів.

8. Ваші права

  • Доступ (ст. 15): копія ваших даних протягом 1 місяця (можна продовжити на 2 місяці для складних запитів).
  • Виправлення (ст. 16): через налаштування профілю або електронною поштою.
  • Видалення (ст. 17): запит на info@otack.eu. Самообслуговуване видалення заплановано на 2026 рік. Законодавчі обов'язки щодо зберігання можуть обмежувати видалення (див. §7).
  • Обмеження (ст. 18): за письмовим запитом.
  • Перенесення (ст. 20): структурований експорт (JSON/CSV) протягом 1 місяця.
  • Заперечення (ст. 21): проти обробки на підставі законного інтересу; ми припиняємо, якщо немає вагомих підстав.
  • Відкликання згоди (ст. 7(3)): у будь-який час через info@otack.eu або посилання для відмови в будь-якому маркетинговому повідомленні. Не впливає на попередню обробку.
  • Усі запити безкоштовні, якщо не є явно необґрунтованими або надмірними.
  • Скарга (ст. 77): подати до PUODO — див. §2.

9. AI-ключі

Ваш API-ключ шифрується у вашому браузері (PBKDF2 + AES-256-GCM) під паролем, який ніколи не потрапляє на наш сервер. Ми зберігаємо зашифрований блоб, але не можемо його розшифрувати. Коли ви робите AI-запит, ваш браузер розшифровує ключ і надсилає його на наш сервер через TLS. Сервер використовує його для цього єдиного запиту, тримає в пам'яті лише на час обробки, після чого знищує. Він ніколи не записується в базу даних або журнал. Для завдань генерації у черзі ключ повторно шифрується (AES-256-GCM) у черзі та стирається після обробки.

Обмеження: ключ проходить через наш сервер у пам'яті на час одного запиту. Це не архітектура нульового знання, але серверна експозиція обмежена технічно необхідним мінімумом.

10. Згенеровані сайти — роль процесора та обов'язки користувача

Коли ваш Згенерований сайт збирає дані відвідувачів через форми, ви є контролером, а ми — процесором за ст. 28 GDPR. Умови обробки наведено в Угоді про обробку даних, що укладається автоматично після прийняття Умов використання.

Як контролер вашого Згенерованого сайту ви відповідаєте за:

  • публікацію відповідного повідомлення про конфіденційність і cookie на вашому сайті;
  • забезпечення законної підстави для даних, зібраних через форми;
  • опрацювання запитів суб'єктів даних від ваших відвідувачів;
  • впровадження необхідних механізмів згоди на cookie;
  • дотримання вимог доступності (WCAG 2.1, Європейський акт про доступність — Директива (ЄС) 2019/882);
  • дотримання всіх законів, що застосовуються в місцях доступу до вашого сайту.

11. Аналітика — обсяг за областю

Платформа працює під єдиним доменом pages.otack.eu з різною політикою cookie за областями:

  • Загальнодоступна область (сторінки, доступні без входу): можуть бути активні Google Analytics та Facebook Pixel. Завантажуються лише після натискання «Прийняти» в банері згоди. Див. Політику cookie.
  • Автентифікована область (сторінки після входу): лише строго необхідні cookie. Без аналітики чи трекінгу.

12. Діти

Платформа не призначена для осіб віком до 16 років. Ми свідомо не збираємо їхні дані. Підтвердження віку фіксується при реєстрації. Зверніться на info@otack.eu для видалення будь-яких таких даних.

13. Автоматизоване прийняття рішень

Ми не приймаємо рішень із правовими або аналогічно значущими наслідками виключно на основі автоматизованої обробки (ст. 22 GDPR). AI-генерація створює творчий вивід; вона не визначає прийнятність, ціну чи доступ.

14. Безпека

Ми застосовуємо технічні та організаційні заходи за ст. 32 GDPR: TLS під час передачі, bcrypt-хешування паролів, клієнтське та серверне шифрування AES-256-GCM для AI-ключів, захист від CSRF, обмеження частоти запитів, рольовий контроль доступу, журнали аудиту та регулярні резервні копії. Повні деталі: /security. Порушення даних повідомляються до PUODO протягом 72 годин (ст. 33) та постраждалим користувачам без зайвої затримки (ст. 34).

15. Зміни

Про суттєві зміни повідомляється щонайменше за 14 днів. Зміни, що суттєво впливають на права споживачів, потребують активного повторного прийняття. Подальше використання після несуттєвих змін становить прийняття. Англійська версія є основною. У разі будь-якого конфлікту між перекладами переважає англійська версія з урахуванням обов'язкових положень законодавства, що застосовується до місця проживання Користувача.

Goup Space Sp. z o. o. · ul. Hoża 86/210, 00-682 Warszawa · KRS: 0000932799 · info@otack.eu · /privacy