Політика конфіденційності

Повний текст політики конфіденційності Foto Docs українською.

1. Хто є адміністратором даних

1. Адміністратором персональних даних є Andrey Popov, ul. Ludwika Waryńskiego 2, 45-047 Opole, Polska, NIP: 7532470046, REGON: 525654590, email: support@fotodocs.net, Telegram-бот: @fotodocs_bot.
2. З питань персональних даних можна зв'язатися за адресою support@fotodocs.net або через Telegram-бот @fotodocs_bot.
3. Адміністратор визначає цілі та способи обробки даних у межах сервісу Foto Docs.

2. Найважливіші правила

1. Ми обробляємо дані лише в обсязі, потрібному для прийняття замовлення, підготовки фото, надсилання результату, обслуговування платежу, підтримки клієнта, безпеки, рекламацій та юридичних обов'язків.
2. Вихідні фото та результуючі файли, які зберігаються в активних системах, ми видаляємо протягом 24 годин після завершення, скасування або закінчення строку дії замовлення. Якщо Користувач звернеться до підтримки, подасть рекламацію або попросить виправлення до видалення файлів, файли, потрібні для вирішення справи, ми можемо зберігати до її закриття, а потім видаляємо їх протягом 24 годин після закриття справи. Після видалення з активних систем копії фото або файлів можуть залишатися у технічних резервних копіях максимум 72 години, лише для відновлення сервісу після аварії.
3. Для попередньої технічної оцінки селфі, обробки, підготовки фото, повторної генерації, виправлення або технічної підтримки ми можемо використовувати OpenAI API як зовнішній технічний інструмент. Це означає, що фото може бути передане до OpenAI тільки для виконання замовлення або обслуговування справи, пов'язаної із замовленням.
4. Ми не використовуємо фото клієнтів для реклами, портфоліо, соціальних мереж або тренування власних моделей AI без окремої, явної згоди.
5. Ми не продаємо персональні дані.
6. Ми не використовуємо фото для біометричної ідентифікації, розпізнавання обличчя або перевірки особи.
7. Безкоштовна функція підгонки вже готового фото до MOS не створює замовлення і не використовує OpenAI API. Фото обробляється сервером лише для технічного обрізання, зміни розміру, стиснення та відправки результату в Telegram; ми зберігаємо тільки технічний факт використання функції, параметри файлу, ліміт і можливу помилку.

3. Які дані ми обробляємо

Ми можемо обробляти такі категорії даних:

1. Дані Telegram:

• Telegram ID,
• username,
• ім'я або назва профілю,
• зміст повідомлень, надісланих боту,
• ідентифікатори файлів Telegram.

1. Дані замовлення:

• кількість осіб у замовленні,
• статус замовлення,
• номер замовлення,
• обраний варіант послуги,
• дата і час замовлення,
• історія згод та прийняття документів.

1. Фото та файли:

• надіслані вихідні фото,
• технічні файли, потрібні для обробки,
• результуючі файли,
• технічна інформація про файли, така як формат, розмір і базові параметри.

1. Платіжні та розрахункові дані:

• статус платежу,
• сума,
• валюта,
• ідентифікатор платежу,
• ідентифікатор повернення,
• дані, надані оператором платежів,
• дані, потрібні для бухгалтерії та податків.

1. Дані підтримки та рекламацій:

• зміст звернення,
• листування з клієнтом,
• рішення щодо рекламації,
• інформація про повернення коштів або повторне виконання послуги.

1. Технічні та безпекові дані:

• технічні логи,
• інформація про помилки,
• часові мітки,
• інформація, потрібна для запобігання зловживанням і захисту системи,
• для безкоштовної підгонки під MOS: факт використання функції, вхідний і вихідний розмір, формат, розмір результуючого файлу, інформація про ліміт або помилку, без збереження самого фото.

4. Особливо чутливі дані та фото обличчя

1. Фото обличчя є персональними даними, якщо на його основі можна ідентифікувати особу.
2. Ми не обробляємо фото з метою однозначної біометричної ідентифікації особи, розпізнавання обличчя або порівняння особи.
3. Фото можуть випадково розкривати чутливу інформацію, наприклад стан здоров'я, етнічне походження, релігійні переконання, що випливають з одягу, або інші ознаки. Просимо не надсилати такі дані, якщо вони не потрібні для виконання послуги.
4. Якщо передання такої інформації є неминучим через характер фото, Користувач надає явну згоду на її обробку виключно в обсязі, потрібному для виконання замовлення і видалення файлів відповідно до цієї політики.
5. Користувач може відкликати згоду, але відкликання не впливає на законність обробки, здійсненої до відкликання. Відкликання згоди під час виконання замовлення може унеможливити надання послуги.

5. Цілі та правові підстави обробки

Ми обробляємо дані з такими цілями:

1. Прийняття та виконання замовлення:

• ціль: підготовка фото, надсилання результату, контакт щодо замовлення,
• правова підстава: виконання договору або дії до укладення договору, ст. 6(1)(b) GDPR/RODO.

1. Обслуговування платежів:

• ціль: прийняття оплати, підтвердження оплати, обслуговування повернень,
• правова підстава: виконання договору, ст. 6(1)(b) GDPR/RODO, та законний інтерес, ст. 6(1)(f) GDPR/RODO.

1. Бухгалтерія і податки:

• ціль: ведення документації, яку вимагає закон,
• правова підстава: юридичний обов'язок, ст. 6(1)(c) GDPR/RODO.

1. Рекламації, претензії та захист прав:

• ціль: розгляд рекламацій, документування рішень, захист від претензій,
• правова підстава: виконання договору, ст. 6(1)(b) GDPR/RODO, та законний інтерес, ст. 6(1)(f) GDPR/RODO.

1. Безпека і запобігання зловживанням:

• ціль: захист бота, платежів, сервера і користувачів,
• правова підстава: законний інтерес, ст. 6(1)(f) GDPR/RODO.

1. Обслуговування запитів:

• ціль: відповідь на повідомлення і прохання користувача,
• правова підстава: законний інтерес, ст. 6(1)(f) GDPR/RODO, або виконання договору, якщо запит стосується замовлення.

1. Дані особливих категорій, якщо вони випадково з'являються на фото і є необхідними для виконання послуги:

• ціль: технічна обробка фото відповідно до замовлення,
• правова підстава: явна згода, ст. 9(2)(a) GDPR/RODO, якщо така підстава потрібна.

1. Безкоштовна підгонка вже готового фото до MOS:

• ціль: технічне обрізання, зміна розміру, стиснення, відправка результату, денний ліміт, безпека і статистика,
• правова підстава: згода Користувача на технічну обробку фото та законний інтерес, ст. 6(1)(a) і 6(1)(f) GDPR/RODO; у тій мірі, в якій фото випадково містить особливі категорії даних, явна згода, ст. 9(2)(a) GDPR/RODO.

6. OpenAI API і обробка фото зовнішнім технічним інструментом

1. Для виконання послуги ми можемо використовувати OpenAI API як зовнішній технічний інструмент, що допомагає з попередньою технічною оцінкою селфі, обробкою фото, підготовкою результуючого файлу, повторною генерацією, виправленням або технічною підтримкою. OpenAI може діяти як процесор або субпроцесор залежно від конфігурації та договірних відносин.
2. До OpenAI можуть передаватися:

• вихідні фото,
• технічний опис завдання,
• параметри зображення,
• файли або дані, необхідні для створення результату, виправлення або технічної підтримки.

1. Ми не передаємо до OpenAI більше даних, ніж потрібно для виконання послуги.
2. Згідно з публічною документацією OpenAI для API, дані API за замовчуванням не використовуються для тренування моделей OpenAI. Адміністратор не має наміру давати згоду на використання фото клієнтів для тренування моделей.
3. OpenAI може зберігати деякі API-дані протягом строку, що випливає з його документації та умов, зокрема для моніторингу зловживань і безпеки. Згідно з документацією OpenAI, стандартний строк зберігання логів моніторингу зловживань для багатьох API endpointів становить до 30 днів, якщо не застосовуються інші налаштування, закон не вимагає довшого строку або дані не потрібні для захисту сервісів чи третіх осіб.
4. Ми не маємо повного технічного контролю над строками зберігання даних на стороні OpenAI, Telegram, оператора платежів та інших зовнішніх постачальників. Наше правило 24 годин стосується фото і файлів, які зберігаються у наших власних системах, за винятком активних справ підтримки, рекламацій або виправлень, описаних у цій політиці.
5. OpenAI може користуватися субпідрядниками та обробляти дані за межами Європейської економічної зони. У такому випадку повинні застосовуватися відповідні механізми передання даних, такі як стандартні договірні положення або інші механізми, передбачені GDPR/RODO.
6. Безкоштовна функція підгонки під MOS не передає фото до OpenAI API.

7. Telegram

1. Сервіс працює в Telegram, тому повідомлення, файли та дані акаунта можуть також оброблятися Telegram відповідно до правил Telegram.
2. Адміністратор контролює дані, що зберігаються у власних системах, але не має повного контролю над тим, як довго Telegram зберігає повідомлення, файли або метадані у своїй інфраструктурі.
3. Користувач повинен ознайомитися з політикою конфіденційності Telegram.

8. Оператор платежів

1. Платежі обробляє Stripe Payments Europe, Limited.
2. Оператор платежів може діяти як незалежний адміністратор даних у сфері обслуговування платежів, запобігання шахрайству, безпеки та юридичних обов'язків.
3. Ми не зберігаємо повні дані платіжної картки.
4. Повернення коштів здійснюються через оператора платежів відповідно до його технічних правил.

9. Одержувачі даних

Дані можуть передаватися таким категоріям одержувачів:

1. OpenAI та його субпідрядникам для підготовки результуючого файлу.
2. Telegram для роботи бота та комунікації.
3. Оператору платежів для обслуговування платежів і повернень.
4. Постачальникам хостингу, серверів, баз даних, адміністративних інструментів і безпеки.
5. Бухгалтерії, юридичним або податковим консультантам, якщо це потрібно.
6. Державним органам, якщо обов'язок передати дані випливає із закону.

10. Передання даних за межі ЄЕЗ

1. Дані можуть передаватися за межі Європейської економічної зони, зокрема у зв'язку з використанням OpenAI, Telegram, оператора платежів або постачальників інфраструктури.
2. Якщо дані передаються за межі ЄЕЗ, Адміністратор застосовує або вимагає застосування відповідних гарантій, передбачених GDPR/RODO, зокрема рішень про належний рівень захисту, стандартних договірних положень, договорів про доручення обробки або інших доступних механізмів.
3. Користувач може попросити інформацію про застосовані гарантії, написавши на support@fotodocs.net або через Telegram-бот @fotodocs_bot.

11. Як довго ми зберігаємо дані

1. Вихідні фото та результуючі файли в активних системах: до 24 годин після завершення, скасування або закінчення строку дії замовлення. Якщо Користувач звернеться до підтримки, подасть рекламацію або попросить виправлення до видалення файлів чи повторно надішле файли в межах такої справи, файли, потрібні для вирішення справи, можуть зберігатися до моменту її вирішення або закриття. Після вирішення або закриття справи строк видалення до 24 годин починається заново.
2. Технічні резервні копії, що містять фото або результуючі файли: максимум до 72 годин від створення копії. Такі копії використовуються лише для відновлення сервісу після аварії, мають обмежений доступ і не використовуються для нових замовлень, маркетингу, портфоліо або тренування AI-моделей.
3. Зашифровані технічні резервні копії без фото: до 30 днів. Вони можуть містити базу замовлень, історію подій, статуси платежів, згоди, звернення підтримки та дані безпеки, потрібні для безперервності сервісу і підзвітності, але не містять вихідних фото, результуючих файлів або клієнтських завантажень.
4. Технічні дані замовлення без фото: протягом часу, потрібного для обслуговування замовлення, рекламацій, безпеки та захисту від претензій, як правило до 12 місяців, якщо довший строк не є необхідним або не вимагається законом.
5. Платіжні та бухгалтерські дані: протягом строку, який вимагають податкові та бухгалтерські правила, як правило до 5 років від кінця податкового року, в якому виник податковий обов'язок, якщо закон не вимагає іншого строку.
6. Листування з підтримкою: протягом часу, потрібного для обслуговування справи та можливих претензій, як правило до 12 місяців після закриття справи. Фото та файли, потрібні для активної справи підтримки, рекламації або виправлення, ми зберігаємо до моменту вирішення або закриття справи, а потім видаляємо протягом 24 годин.
7. Логи безпеки: протягом часу, необхідного для забезпечення безпеки та виявлення зловживань, як правило до 12 місяців.
8. Технічні події безкоштовної підгонки під MOS, без фото і результуючих файлів: протягом часу, потрібного для лімітів, безпеки, статистики та захисту від зловживань, як правило до 12 місяців.
9. Дані, що зберігаються OpenAI, Telegram, оператором платежів та іншими постачальниками, підпадають під їхні власні правила зберігання.

12. Права користувача

Користувач має право:

1. Доступу до даних.
2. Виправлення даних.
3. Видалення даних, якщо існують правові підстави.
4. Обмеження обробки.
5. Перенесення даних, якщо застосовується.
6. Заперечення проти обробки на підставі законного інтересу.
7. Відкликання згоди в будь-який момент, якщо обробка відбувається на підставі згоди.
8. Подати скаргу до Голови Управління захисту персональних даних Польщі.

Контакт до наглядового органу:

Prezes Urzędu Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa https://uodo.gov.pl

13. Як подати запит щодо даних

1. Запит можна надіслати на support@fotodocs.net або через Telegram-бот @fotodocs_bot.
2. Для захисту даних ми можемо попросити інформацію, яка дозволить підтвердити, що запит походить від належної особи.
3. Ми відповімо без зайвої затримки, як правило протягом одного місяця, якщо закон не дозволяє продовжити цей строк.
4. Якщо запит стосується фото після 24 годин від завершення замовлення, фото можуть бути вже видалені з активних систем, якщо вони не стосуються активної справи підтримки, рекламації або виправлення. Обмежені технічні копії можуть залишатися у резервних копіях до автоматичного закінчення строку, максимум 72 години, і не використовуються для звичайного обслуговування замовлень.

14. Автоматизовані рішення і профілювання

1. Ми використовуємо зовнішні технічні інструменти для підготовки графічного файлу, але не приймаємо щодо Користувача автоматизованих рішень, які мають юридичні наслідки або подібним чином істотно впливають на Користувача у розумінні ст. 22 GDPR/RODO.
2. Ми не створюємо маркетингові профілі на основі фото.
3. Ми не використовуємо фото для розпізнавання обличчя або біометричної ідентифікації.

15. Безпека

1. Ми застосовуємо організаційні та технічні заходи безпеки, відповідні до характеру послуги, зокрема обмеження доступу, контроль прав, короткий строк зберігання фото, логування адміністративних дій, видалення файлів після виконання замовлення та шифрування довше збережених технічних резервних копій без фото.
2. Жодна інтернет-система не є повністю вільною від ризику. У разі порушення захисту даних ми вживатимемо заходів, яких вимагає GDPR/RODO, зокрема повідомимо наглядовий орган або осіб, яких стосуються дані, якщо це буде необхідно.

16. Дані дітей

1. Послуга може стосуватися фото дитини лише тоді, коли фото надсилає один з батьків, законний опікун або особа, яка має згоду батьків чи законного опікуна.
2. Ми не спрямовуємо послугу безпосередньо на дітей без участі дорослої особи.
3. Якщо ми дізнаємося, що фото дитини було надіслане без належної підстави, ми можемо видалити дані та скасувати замовлення.

17. Зміни політики конфіденційності

1. Політика конфіденційності може бути змінена у разі зміни законодавства, функцій сервісу, постачальників технологій, правил OpenAI, Telegram, оператора платежів або способу обробки даних.
2. Нова версія політики буде доступна в боті або на сайті.