Політика конфіденційності

1. Хто ми

Володільцем персональних даних та оператором сервісу є Бойко Андрій Андрійович (ФОП) , ЄДРПОУ/РНОКПП: 3432403816 . Юридична адреса: Україна .

Цей документ описує, які дані ми збираємо при користуванні нашим PWA-додатком для підготовки дітей 4–7 років до школи, з якою метою, на якій правовій підставі та як ми їх захищаємо.

2. Які дані ми обробляємо

2.1. Дані батьків (користувача акаунту)

• Email-адреса (для реєстрації, входу та сповіщень)
• Ім'я (опціонально)
• Хеш пароля (одностороннє bcrypt-шифрування; самого пароля ми не зберігаємо)
• Налаштування сповіщень (email, push)
• Історія операцій із підпискою (тип плану, дати оплат, суми)

2.2. Дані про дитину

Важливо: усі дані про дитину вводяться і контролюються батьками. Дитина не реєструє акаунт самостійно.

• Ім'я або псевдонім (рекомендуємо використовувати лише ім'я або псевдонім)
• Дата народження або вік — для добору завдань під вік
• Відповіді на питання оцінки готовності до школи
• Прогрес виконання завдань (які виконані, коли, час, серії днів)

Правова підстава щодо дитячих даних. Відповідно до ст. 7 Закону України «Про захист персональних даних» № 2297-VI обробка персональних даних дитини здійснюється виключно за згодою її батьків або іншого законного представника. Реєструючи дитячий профіль, Замовник підтверджує, що є її законним представником і надає згоду на обробку відповідних даних в обсязі, необхідному для надання освітніх послуг.

2.3. Технічні дані

• IP-адреса (для безпеки, виявлення зловживань та аналітики)
• Тип пристрою, операційна система, браузер
• Cookie-файли (обов'язкові — для сесії; опціональні — для аналітики)
• Web Push токен (якщо ви підписалися на push-сповіщення)
• Журнали запитів до сервера (зберігаються до 90 днів)

2.4. Платіжні дані

На нашому боці ми зберігаємо лише:

• Унікальний ідентифікатор замовлення (orderReference / order_id)
• Маскований номер картки (наприклад, **** **** **** 4242) — лише для вашої зручності в кабінеті
• Рекурентний токен від платіжної системи (для автоматичного продовження підписки; токен не дозволяє відновити повний номер картки)
• Суму, валюту, статус та дату транзакції

Деталі дій LiqPay/WayForPay із картковими даними регулюються їхніми політиками: liqpay.ua/uk/agreement, wayforpay.com/uk/legal.

3. Правові підстави обробки

Обробка персональних даних здійснюється на підставі ст. 11 Закону України «Про захист персональних даних» № 2297-VI:

• Згода суб'єкта даних — при реєстрації, оформленні підписки на сповіщення, активації необов'язкових cookie
• Виконання договору — для надання послуг підписки та обробки платежів
• Виконання обов'язку, передбаченого законом — фінансова та бухгалтерська звітність
• Захист законних інтересів — попередження шахрайства, безпека сервісу

4. Як ми використовуємо дані

• Надання послуг: формування персонального навчального плану для дитини
• Відстеження прогресу: зберігання історії виконаних завдань
• Комунікація: email- та push-сповіщення (за вашою згодою)
• Платежі: ініціація транзакцій у LiqPay/WayForPay; автоматичне продовження підписки
• Аналітика: агреговані, знеособлені метрики використання сервісу
• Підтримка: відповіді на ваші запити

5. Важливі застереження

Ми не звертаємось безпосередньо до дітей із маркетинговими повідомленнями. Усі дані про дитину вводяться батьками добровільно — рекомендуємо використовувати лише ім'я або псевдонім.

6. З ким ми ділимося даними

Ми передаємо мінімально необхідний набір даних таким третім сторонам:

• LiqPay (ПАТ КБ «ПриватБанк») і WayForPay (ТОВ «ВЕЙ ФОР ПЕЙ») — для обробки оплат та автоматичних продовжень підписки. Передаються: email, сума, валюта, ідентифікатор замовлення. Дані картки передаються вами безпосередньо їм, минаючи наші сервери.
• Постачальник email-доставки — для відправлення транзакційних листів (підтвердження реєстрації, нагадування про заняття, чек оплати).
• Сервіси аналітики (Google Analytics, Meta Pixel) — лише за вашою згодою на cookie-банері; передаються знеособлені події.
• Хостинг-провайдер — на якому фізично розміщені бази даних. Сервери розташовані у сертифікованих дата-центрах рівня Tier III на території України та країн ЄС (Німеччина, Польща). Назву поточного провайдера ми надаємо за запитом на адресу підтримки.

Ми не продаємо і не передаємо персональні дані третім особам для їхніх маркетингових цілей.

7. Захист даних

Ми застосовуємо такі заходи безпеки:

• HTTPS/TLS-шифрування для всіх з'єднань між вашим браузером і сервером
• Bcrypt-хешування паролів (пароль у вигляді відкритого тексту не зберігається ніколи)
• Платіжна сторінка з 3-D Secure та PCI DSS Level 1 на стороні LiqPay/WayForPay
• Регулярні резервні копії бази даних
• Контроль доступу персоналу за принципом найменших привілеїв
• Захист від CSRF, XSS, SQL-ін'єкцій на рівні фреймворку та власного коду
• Ліміти швидкості (rate limiting) на чутливих endpoint-ах для боротьби з brute-force

8. Cookies та аналітика

Обов'язкові cookie потрібні для роботи додатку (автентифікація, сесія, CSRF-токен). Опціональні cookie (аналітика, маркетинг) увімкнено лише після вашої згоди в банері.

Деталі: Політика cookies.

9. Ваші права

Відповідно до ст. 8 Закону України «Про захист персональних даних» ви маєте право:

• Доступ: знати, які ваші дані ми обробляємо, та отримати їх копію
• Виправлення: вимагати виправлення неточних або неповних даних
• Видалення («право бути забутим»): видалити ваш акаунт і всі пов'язані дані
• Експорт: отримати ваші дані у машиночитаному форматі (JSON)
• Відкликання згоди: на email- і push-сповіщення — у будь-який момент із кабінету
• Обмеження обробки і заперечення проти обробки для конкретних цілей
• Скарга до регулятора: до Уповноваженого Верховної Ради України з прав людини, який є органом контролю за дотриманням законодавства про захист персональних даних

Для реалізації прав напишіть нам: support@prepare2school.com. Ми відповімо у строк не пізніше 30 календарних днів.

10. Строки зберігання

• Активний акаунт: увесь період користування сервісом
• Після видалення акаунту: 30 днів (період «грейс» для відновлення), далі — повне видалення
• Фінансова звітність (рахунки, акти, чеки): 3 роки відповідно до Податкового кодексу України
• Журнали сервера: до 90 днів
• Дані, які зобов'язані зберігати за законом: протягом строку, встановленого відповідним нормативно-правовим актом

11. Транскордонна передача даних

Якщо ваші дані обробляються на серверах у країнах ЄС, така передача здійснюється до країн з адекватним рівнем захисту даних згідно з рішеннями Європейської Комісії або на основі стандартних договірних положень (SCC) GDPR.

12. Зміни до політики

Ми можемо оновлювати цю політику. При суттєвих змінах повідомимо email або сповіщенням у кабінеті не пізніше ніж за 7 днів до набрання чинності. Дата редакції завжди вказана на початку документа.

13. Контакти

Бойко Андрій Андрійович

ФОП, ЄДРПОУ/РНОКПП: 3432403816

Адреса: Україна

З питань конфіденційності та захисту персональних даних:
Email: support@prepare2school.com
Телефон: +380 (44) 000-00-00