Останнє оновлення: березень 2026

ПОЛІТИКА КОНФІДЕНЦІЙНОСТІ сервісу Refumax

Сервіс Refumax (refumax.com)

1. ЗАГАЛЬНІ ПОЛОЖЕННЯ

1.1. Ця Політика конфіденційності (далі — «Політика») визначає порядок збору, обробки, зберігання, використання та захисту персональних даних користувачів (далі — «Користувач» або «ви») веб-сервісу Refumax, розміщеного за адресою refumax.com (далі — «Сервіс», «Платформа» або «ми»).

1.2. Власником та оператором Сервісу є Фізична особа-підприємець Ткачук Валерій Олегович, зареєстрований відповідно до законодавства України (далі — «Оператор»). Оператор є контролером персональних даних у розумінні Загального регламенту про захист даних (GDPR).

1.3. Політика розроблена відповідно до вимог Закону України «Про захист персональних даних» від 01.06.2010 No 2297-VI, Загального регламенту про захист даних Європейського Союзу (Regulation (EU) 2016/679, далі — «GDPR»), а також інших нормативно-правових актів України та міжнародних стандартів у сфері захисту персональних даних.

1.4. Використовуючи Сервіс, ви підтверджуєте, що ознайомилися з цією Політикою, розумієте її зміст та надаєте свою добровільну, інформовану та однозначну згоду на обробку ваших персональних даних у порядку та на умовах, визначених цією Політикою. Якщо ви не погоджуєтесь з будь-яким положенням цієї Політики, будь ласка, утримайтесь від використання Сервісу.

1.5. Реєстрація облікового запису або продовження використання Сервісу після публікації оновленої версії Політики означає вашу згоду з усіма її положеннями. Моментом надання згоди вважається здійснення будь-якої з наступних дій: реєстрація облікового запису, проставлення відмітки у відповідному полі, натискання кнопки «Зареєструватися» або фактичне використання Сервісу.

1.6. Ця Політика поширюється на всі дані, що збираються через веб-сайт refumax.com, мобільні додатки (за наявності), API-інтерфейси та будь-які інші засоби взаємодії з Сервісом, незалежно від пристрою або способу доступу Користувача.

1.7. Актуальна версія Політики завжди доступна за адресою refumax.com/privacy. Ми рекомендуємо періодично переглядати цю сторінку для ознайомлення з можливими змінами.

1.8. У разі виникнення протиріч між українською та іншомовними версіями цієї Політики (за наявності), перевагу матиме українська версія. Усі питання, не врегульовані цією Політикою, вирішуються відповідно до чинного законодавства України.

1.9. Персональні дані обробляються виключно в обсязі, необхідному для досягнення визначених цією Політикою цілей, та зберігаються не довше, ніж це необхідно для виконання відповідних цілей обробки.

1.10. Оператор призначив відповідальну особу з питань захисту персональних даних, до якої Користувачі можуть звертатися з будь-якими питаннями щодо обробки їхніх персональних даних за адресою електронної пошти: [email protected].

2. ВИЗНАЧЕННЯ ТЕРМІНІВ

2.1. «Персональні дані» — будь-яка інформація, що стосується ідентифікованої або ідентифікованої фізичної особи (суб'єкта даних). Ідентифікованою є фізична особа, яку можна прямо або опосередковано ідентифікувати, зокрема за ідентифікатором, таким як ім'я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або за однією чи кількома ознаками, характерними для фізичної, фізіологічної, генетичної, психічної, економічної, культурної чи соціальної ідентичності цієї фізичної особи.

2.2. «Обробка персональних даних» — будь-яка дія або сукупність дій, що здійснюються з персональними даними або наборами персональних даних автоматизованими або неавтоматизованими засобами, включаючи збирання, реєстрацію, організацію, структурування, зберігання, адаптацію або зміну, вилучення, перегляд, використання, розкриття шляхом передачі, поширення або іншого надання доступу, зіставлення або об'єднання, обмеження, видалення або знищення даних.

2.3. «Суб'єкт персональних даних» — ідентифікована або ідентифікована фізична особа, персональні дані якої обробляються Оператором. У контексті цієї Політики суб'єктом персональних даних є Користувач Сервісу.

2.4. «Оператор» (або «Контролер») — Фізична особа-підприємець Ткачук Валерій Олегович, зареєстрований відповідно до законодавства України, який визначає цілі та засоби обробки персональних даних і є власником, розробником та адміністратором Сервісу Refumax.

2.5. «Cookie» (або «кукі») — невеликий текстовий файл, який веб-сайт зберігає на комп'ютері або мобільному пристрої Користувача під час відвідування сайту. Cookie використовуються для забезпечення коректної роботи веб-сайту, збереження налаштувань Користувача, аналітики та інших цілей, визначених у розділі 5 цієї Політики.

2.6. «Третя сторона» — будь-яка фізична або юридична особа, державний орган, агентство чи інший суб'єкт, крім суб'єкта персональних даних, Оператора, обробника та осіб, уповноважених Оператором або обробником на обробку персональних даних під їхнім безпосереднім керівництвом.

2.7. «Обробник» — фізична або юридична особа, державний орган, агентство чи інший суб'єкт, що обробляє персональні дані від імені Оператора. У контексті цього Сервісу обробниками можуть виступати постачальники хмарних послуг, сервіси аналітики та інші підрядники Оператора.

2.8. «Згода суб'єкта даних» — будь-яке добровільне, конкретне, інформоване та однозначне волевиявлення суб'єкта персональних даних, за допомогою якого він або вона шляхом заяви або чітких підтверджувальних дій надає згоду на обробку персональних даних, що його або її стосуються.

2.9. «Сервіс» (або «Платформа») — веб-додаток Refumax, розміщений за адресою refumax.com, що являє собою SaaS-платформу для управління проєктами, завданнями та бізнес-процесами, включаючи всі його функціональні можливості, інтерфейси, API та пов'язані сервіси.

2.10. «Порушення захисту персональних даних» — порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, що передаються, зберігаються або іншим чином обробляються.

3. ЗБІР ПЕРСОНАЛЬНИХ ДАНИХ

3.1. При реєстрації облікового запису та подальшому використанні Сервісу Оператор збирає та обробляє наступні категорії персональних даних, що надаються Користувачем безпосередньо:

  • адреса електронної пошти (email) — використовується як основний ідентифікатор облікового запису та для комунікації;
  • ім'я та прізвище (або псевдонім) — відображаються в профілі Користувача та в робочому просторі команди;
  • номер телефону (за бажанням) — може використовуватися для двофакторної автентифікації або відновлення доступу;
  • назва компанії та посада (за бажанням) — для персоналізації досвіду використання Сервісу;
  • фотографія профілю (аватар) — за бажанням Користувача для ідентифікації в командному просторі.

3.2. Оператор автоматично збирає наступні технічні дані під час використання Сервісу:

  • IP-адреса Користувача — для забезпечення безпеки, визначення географічного розташування та запобігання шахрайству;
  • тип та версія браузера (User-Agent) — для забезпечення сумісності та коректного відображення інтерфейсу Сервісу;
  • операційна система та тип пристрою — для оптимізації продуктивності Сервісу;
  • дата та час доступу, тривалість сесій — для аналітики та забезпечення безпеки;
  • сторінки, відвідані в межах Сервісу, та послідовність дій — для покращення інтерфейсу та досвіду використання.

3.3. Дані профілю Користувача включають інформацію, яку Користувач створює або зберігає в процесі використання Сервісу: проєкти, дошки, завдання, CRM-записи, коментарі, файли та інші матеріали, завантажені або створені Користувачем у робочому просторі.

3.4. Правовими підставами для обробки персональних даних є: згода Користувача (стаття 6(1)(a) GDPR) — надається при реєстрації облікового запису та прийнятті цієї Політики; виконання договору (стаття 6(1)(b) GDPR) — обробка, необхідна для надання послуг відповідно до Публічної оферти; законний інтерес Оператора (стаття 6(1)(f) GDPR) — забезпечення безпеки, запобігання шахрайству та покращення Сервісу.

3.5. Виконання юридичних зобов'язань (стаття 6(1)(c) GDPR) є додатковою підставою для обробки, коли Оператор зобов'язаний обробляти персональні дані відповідно до вимог чинного законодавства України, зокрема для цілей податкового обліку та звітності.

3.6. Оператор не збирає спеціальні категорії персональних даних (чутливі дані), передбачені статтею 9 GDPR, включаючи дані про расове або етнічне походження, політичні погляди, релігійні переконання, стан здоров'я, сексуальне життя або сексуальну орієнтацію.

3.7. Обов'язковими для надання є лише ті дані, без яких неможливе створення облікового запису та надання базових послуг Сервісу, а саме: адреса електронної пошти та ім'я Користувача. Ненадання цих даних унеможливлює реєстрацію та використання Сервісу.

3.8. Надання інших даних (номер телефону, назва компанії, посада, фотографія профілю) є добровільним і не впливає на можливість використання основного функціоналу Сервісу. Однак ненадання деяких додаткових даних може обмежити доступ до окремих функцій.

3.9. Оператор не здійснює збір персональних даних зі сторонніх джерел, окрім випадків, коли Користувач авторизується через зовнішні сервіси автентифікації (Google, Microsoft тощо). У такому випадку Оператор отримує лише ті дані, доступ до яких надав Користувач через відповідний сервіс.

3.10. Оператор дотримується принципу мінімізації даних відповідно до статті 5(1)(c) GDPR і збирає лише ті персональні дані, які є адекватними, релевантними та обмеженими тим, що є необхідним для цілей, для яких вони обробляються.

4. ЦІЛІ ОБРОБКИ ДАНИХ

4.1. Надання послуг Сервісу: обробка персональних даних є необхідною для створення та підтримки облікового запису Користувача, забезпечення доступу до функціоналу Сервісу, управління робочими просторами, проєктами, дошками та завданнями, а також для обробки платежів та управління підписками.

4.2. Забезпечення безпеки: персональні дані обробляються для захисту Сервісу від несанкціонованого доступу, шахрайства та інших зловмисних дій, включаючи моніторинг підозрілої активності, верифікацію облікових записів, запобігання brute-force атакам та виявлення ботів.

4.3. Аналітика та покращення Сервісу: Оператор використовує дані для аналізу використання Сервісу, виявлення помилок та технічних проблем, покращення інтерфейсу, розробки нових функцій та оптимізації продуктивності Платформи. Для цих цілей використовується сервіс Microsoft Clarity.

4.4. Комунікація з Користувачем: персональні дані використовуються для надсилання сервісних повідомлень (підтвердження реєстрації, відновлення пароля, зміна тарифного плану), повідомлень про важливі зміни в Сервісі або цій Політиці, а також відповідей на запити та звернення Користувачів через службу підтримки.

4.5. Покращення досвіду використання: дані обробляються для персоналізації інтерфейсу Сервісу відповідно до вподобань Користувача, збереження налаштувань та параметрів відображення, а також для надання рекомендацій щодо оптимального використання функціоналу Сервісу.

4.6. Виконання юридичних зобов'язань: обробка даних здійснюється для дотримання вимог чинного законодавства України, відповідей на законні запити державних органів, ведення податкового обліку та фінансової звітності, а також для забезпечення дотримання вимог GDPR та інших нормативних актів.

4.7. Захист прав та інтересів: персональні дані можуть оброблятися для встановлення, здійснення або захисту правових вимог Оператора, розслідування порушень Умов використання Сервісу та запобігання зловживанням.

4.8. Оператор не використовує персональні дані Користувачів для автоматизованого прийняття рішень або профілювання, що має правові наслідки для Користувача або суттєво впливає на нього, відповідно до статті 22 GDPR.

4.9. Оператор не обробляє персональні дані для цілей прямого маркетингу або розсилки рекламних матеріалів без попередньої окремої згоди Користувача. Користувач має право в будь-який час відмовитися від отримання маркетингових повідомлень.

4.10. У разі виникнення потреби в обробці персональних даних для цілей, не передбачених цією Політикою, Оператор повідомить Користувача та, за необхідності, отримає додаткову згоду перед початком такої обробки.

4.11. Оператор забезпечує сумісність цілей обробки відповідно до статті 6(4) GDPR. Якщо подальша обробка здійснюється для цілей, відмінних від тих, для яких дані були зібрані, Оператор враховує зв'язок між первинними та новими цілями, контекст збору даних, характер даних та можливі наслідки для Користувача.

5. АНАЛІТИКА ТА COOKIE

5.1. Сервіс використовує інструмент веб-аналітики Microsoft Clarity (ідентифікатор проєкту: w0ciyzla5o) для збору та аналізу даних про поведінку Користувачів на сайті. Microsoft Clarity записує сесії Користувачів, фіксує натискання, прокручування, рухи миші та переходи між сторінками для аналізу взаємодії з інтерфейсом Сервісу.

5.2. Microsoft Clarity може збирати наступні дані: IP-адресу (в анонімізованому вигляді), тип та версію браузера, операційну систему, роздільну здатність екрана, джерело трафіку, відвідані сторінки, тривалість перебування на сторінках, а також дані про взаємодію з елементами інтерфейсу. Детальна інформація про обробку даних Microsoft Clarity доступна за адресою: https://clarity.microsoft.com/terms.

5.3. Cookie файли — це невеликі текстові файли, які зберігаються на пристрої Користувача під час відвідування Сервісу. Cookie дозволяють Сервісу запам'ятовувати дії та налаштування Користувача протягом певного часу, щоб не потрібно було повторно вводити інформацію при кожному відвідуванні.

5.4. Сервіс використовує наступні типи cookie файлів:

  • Необхідні (технічні) cookie — забезпечують основну функціональність Сервісу, включаючи автентифікацію, підтримку сесій, збереження мовних налаштувань та захист від CSRF-атак. Без цих cookie Сервіс не може функціонувати належним чином. Строк зберігання: від сесійних до 365 днів (для функції «запам'ятати мене»).
  • Аналітичні cookie — використовуються Microsoft Clarity для збору статистичних даних про використання Сервісу. Ці cookie допомагають зрозуміти, як Користувачі взаємодіють з Сервісом, та виявити можливості для покращення. Строк зберігання: від сесійних до 365 днів.

5.5. Сервіс не використовує рекламних або маркетингових cookie. Жодні дані, зібрані через cookie, не використовуються для таргетованої реклами або передаються рекламним мережам.

5.6. Функціональні дані в localStorage браузера не мають строку закінчення та зберігаються до моменту їх видалення Користувачем або очищення даних браузера. Ці дані використовуються виключно для збереження налаштувань інтерфейсу та параметрів відображення.

5.7. Користувач може управляти cookie файлами через налаштування свого браузера. Більшість сучасних браузерів дозволяють: переглядати встановлені cookie, видаляти окремі або всі cookie, блокувати cookie від конкретних сайтів, налаштувати повідомлення при встановленні нового cookie.

5.8. Для відключення аналітичних cookie Microsoft Clarity Користувач може: заблокувати cookie від домену clarity.ms у налаштуваннях браузера; встановити розширення для блокування аналітичних скриптів (наприклад, uBlock Origin); використати режим інкогніто (приватний перегляд) у браузері.

5.9. Відключення необхідних cookie може призвести до некоректної роботи Сервісу, неможливості авторизації або втрати налаштувань. Оператор не несе відповідальності за обмежену функціональність Сервісу в разі відключення необхідних cookie Користувачем.

5.10. Оператор регулярно переглядає перелік cookie, що використовуються Сервісом, та оновлює цей розділ Політики відповідно. Користувач може в будь-який час переглянути повний перелік cookie, встановлених Сервісом, через інструменти розробника у своєму браузері (доступні через клавішу F12 або комбінацію Ctrl+Shift+I).

5.11. Дані, зібрані за допомогою аналітичних інструментів, обробляються в агрегованому та знеособленому вигляді. Оператор не використовує аналітичні дані для ідентифікації конкретних Користувачів або прийняття рішень щодо них.

5.12. Оператор може використовувати теплові карти (heatmaps) та записи сесій, надані Microsoft Clarity, для аналізу зручності інтерфейсу. Записи сесій автоматично маскують введення в поля паролів та інші чутливі дані.

6. ЗБЕРІГАННЯ ТА ЗАХИСТ ДАНИХ

6.1. Персональні дані Користувачів зберігаються на захищених серверах, розташованих у дата-центрах на території Європейського Союзу та/або України. Оператор використовує послуги надійних хмарних провайдерів, які відповідають вимогам GDPR та мають відповідні сертифікати безпеки (ISO 27001, SOC 2).

6.2. Оператор застосовує шифрування даних при передачі за допомогою протоколу TLS/SSL (Transport Layer Security) версії 1.2 або вище для всіх з'єднань між браузером Користувача та серверами Сервісу. Паролі хешуються з використанням сучасних криптографічних алгоритмів (bcrypt або Argon2) із застосуванням сольтування.

6.3. Чутливі дані шифруються у стані спокою (at rest) на серверах зберігання. Резервні копії даних створюються регулярно та також зберігаються в зашифрованому вигляді. Доступ до серверів обмежений за принципом мінімально необхідних привілеїв.

6.4. Строки зберігання персональних даних визначаються залежно від категорії даних та мети їх обробки:

  • дані облікового запису (email, ім'я, налаштування профілю) — протягом строку дії облікового запису та 30 календарних днів після його видалення;
  • дані робочого простору (проєкти, завдання, файли, коментарі) — протягом строку дії облікового запису або робочого простору;
  • журнали безпеки та доступу (IP-адреси, дані сесій) — 12 місяців з моменту створення запису;
  • фінансові дані (платежі, рахунки, підписки) — не менше 3 років після завершення звітного періоду;
  • резервні копії — 90 календарних днів з моменту створення.

6.5. Після закінчення строку зберігання персональні дані видаляються або знеособлюються у спосіб, що унеможливлює подальшу ідентифікацію Користувача. Оператор застосовує надійні методи видалення даних, що відповідають галузевим стандартам безпеки.

6.6. Видалення облікового запису: Користувач може ініціювати видалення свого облікового запису через налаштування профілю або шляхом направлення запиту на адресу [email protected]. Після отримання запиту Оператор деактивує обліковий запис протягом 24 годин, видалить персональні дані протягом 30 календарних днів та видалить дані з резервних копій протягом 90 календарних днів.

6.7. Організаційні заходи захисту включають: обмеження доступу до персональних даних для авторизованих працівників; ведення журналів доступу до систем для аудиту; регулярне навчання персоналу з питань захисту даних; наявність процедур реагування на інциденти безпеки.

6.8. Захист на рівні додатку включає: двофакторну автентифікацію (2FA) за бажанням Користувача; автоматичне завершення сесії після тривалого періоду неактивності; захист від поширених веб-вразливостей відповідно до рекомендацій OWASP; обмеження кількості спроб входу; валідацію та санітизацію всіх вхідних даних.

6.9. У разі виявлення порушення безпеки, що може призвести до високого ризику для прав та свобод Користувачів, Оператор повідомить постраждалих Користувачів та відповідний наглядовий орган протягом 72 годин відповідно до вимог статті 33 GDPR.

6.10. Оператор проводить оцінку впливу на захист даних (DPIA) відповідно до вимог статті 35 GDPR перед впровадженням нових технологій або процесів обробки, які можуть створити високий ризик для прав та свобод Користувачів.

6.11. Анонімізовані та агреговані дані, що не дозволяють ідентифікувати конкретного Користувача, можуть зберігатися необмежений час для цілей аналітики, статистики та покращення Сервісу.

6.12. Незважаючи на вжиття всіх розумних заходів безпеки, Оператор не може гарантувати абсолютну безпеку передачі даних через мережу Інтернет. Користувач визнає та погоджується, що передача даних через Інтернет завжди пов'язана з певним ризиком, і несе відповідальність за збереження конфіденційності своїх облікових даних.

7. ПЕРЕДАЧА ДАНИХ ТРЕТІМ ОСОБАМ

7.1. Оператор не продає, не здає в оренду та не передає персональні дані Користувачів третім особам для їхніх маркетингових або рекламних цілей. Передача даних третім особам здійснюється виключно у випадках та на умовах, передбачених цією Політикою.

7.2. Оператор залучає наступних обробників (субпідрядників) для забезпечення функціонування Сервісу:

  • Netcore (Netcore Cloud Pvt. Ltd.) — використовується як провайдер послуг електронної пошти для надсилання транзакційних повідомлень (підтвердження реєстрації, відновлення пароля, сервісні повідомлення). Netcore отримує доступ до адреси електронної пошти Користувача та імені для персоналізації листів;
  • Microsoft Clarity — використовується для аналітики поведінки Користувачів на сайті (ідентифікатор проєкту: w0ciyzla5o). Microsoft Clarity отримує доступ до технічних даних (IP-адреса, User-Agent, дані взаємодії з інтерфейсом).

7.3. З усіма обробниками укладено договори про обробку даних (Data Processing Agreements) відповідно до вимог статті 28 GDPR, які зобов'язують обробників забезпечувати належний рівень захисту персональних даних та обробляти їх виключно згідно з інструкціями Оператора.

7.4. Оператор може передати персональні дані на вимогу уповноважених державних органів у випадках, передбачених чинним законодавством України, зокрема за рішенням суду, на підставі обґрунтованого запиту правоохоронних органів або інших органів державної влади в межах їхньої компетенції.

7.5. Передача персональних даних може здійснюватися за рішенням суду, що набрало законної сили, або на підставі ухвали слідчого судді у кримінальному провадженні, а також у інших випадках, прямо передбачених чинним законодавством.

7.6. У разі реорганізації, злиття, поглинання або продажу активів Оператора персональні дані Користувачів можуть бути передані правонаступнику або новому власнику за умови, що правонаступник зобов'яжеться дотримуватися умов цієї Політики. Користувачі будуть повідомлені про таку передачу.

7.7. Оператор може розкрити персональні дані, якщо це розумно необхідно для захисту прав, власності або безпеки Оператора, Користувачів Сервісу або громадськості, а також для запобігання або припинення шахрайських, протиправних або інших небажаних дій.

7.8. Перед залученням нового обробника або зміною існуючого Оператор проводить оцінку відповідності потенційного обробника вимогам захисту персональних даних та переконується у наявності достатніх гарантій захисту.

7.9. Оператор веде актуальний перелік усіх обробників, яким передаються персональні дані Користувачів, та надає інформацію про них на запит Користувача.

7.10. Агреговані та знеособлені дані, що не дозволяють ідентифікувати конкретного Користувача, можуть передаватися третім особам для цілей аналітики, досліджень та статистики без обмежень, передбачених цим розділом.

8. ПРАВА КОРИСТУВАЧА

8.1. Право на доступ (стаття 15 GDPR): Користувач має право отримати підтвердження того, чи обробляються його персональні дані, та, у разі такої обробки, отримати доступ до своїх персональних даних та інформацію про цілі обробки, категорії даних, одержувачів, строки зберігання та джерела отримання даних. Користувач також має право запросити копію своїх персональних даних.

8.2. Право на виправлення (стаття 16 GDPR): Користувач має право вимагати виправлення неточних персональних даних та доповнення неповних даних. Більшість даних можна оновити самостійно через налаштування профілю в Сервісі. Для виправлення інших даних необхідно звернутися на адресу [email protected].

8.3. Право на видалення (стаття 17 GDPR, «право бути забутим»): Користувач має право вимагати видалення своїх персональних даних, якщо: дані більше не потрібні для цілей, для яких вони були зібрані; Користувач відкликає згоду; Користувач заперечує проти обробки; дані були оброблені незаконно. Право на видалення може бути обмежене, якщо обробка необхідна для виконання юридичних зобов'язань.

8.4. Право на обмеження обробки (стаття 18 GDPR): Користувач має право вимагати обмеження обробки своїх персональних даних, якщо: оспорюється точність даних; обробка є незаконною; Оператору більше не потрібні дані, але вони потрібні Користувачу для встановлення або захисту правових вимог; Користувач заперечує проти обробки на підставі законного інтересу.

8.5. Право на портативність даних (стаття 20 GDPR): Користувач має право отримати свої персональні дані в структурованому, поширеному та машиночитаному форматі (JSON або CSV) та право передати ці дані іншому оператору. Експорт даних можна ініціювати через налаштування облікового запису або звернувшись на адресу [email protected].

8.6. Право на заперечення (стаття 21 GDPR): Користувач має право заперечувати проти обробки своїх персональних даних, що здійснюється на підставі законного інтересу Оператора. У разі отримання заперечення Оператор припинить обробку, якщо не зможе продемонструвати переконливі законні підстави для обробки, які переважають над інтересами Користувача.

8.7. Право на відкликання згоди: якщо обробка персональних даних ґрунтується на згоді Користувача, він має право відкликати цю згоду в будь-який час. Відкликання згоди не впливає на законність обробки даних, що здійснювалась до моменту відкликання. Для відкликання згоди Користувач може звернутися на адресу [email protected] або скористатися відповідними налаштуваннями в обліковому записі.

8.8. Право на подання скарги: Користувач має право подати скаргу до Уповноваженого Верховної Ради України з прав людини як наглядового органу у сфері захисту персональних даних (https://www.ombudsman.gov.ua). Для резидентів ЄС — до наглядового органу з захисту даних у державі-члені свого звичайного місця проживання.

8.9. Для реалізації будь-якого зі своїх прав Користувач може направити запит на адресу [email protected], зазначивши: повне ім'я та адресу електронної пошти, пов'язану з обліковим записом; конкретне право, яке бажає реалізувати; детальний опис запиту. Оператор може запросити додаткову інформацію для підтвердження особи Користувача.

8.10. Запити обробляються протягом 30 календарних днів з моменту отримання та підтвердження особи Користувача. У випадку складних або численних запитів строк може бути продовжено ще на 60 календарних днів, про що Користувач буде повідомлений.

8.11. Запити обробляються безкоштовно, за винятком випадків, коли запити є явно необґрунтованими або надмірними (зокрема, через їх повторюваність). У таких випадках Оператор може стягнути розумну плату або відмовити у виконанні запиту з обґрунтуванням причин відмови.

8.12. Оператор рекомендує Користувачам спочатку звертатися безпосередньо до нього для вирішення будь-яких питань щодо обробки персональних даних, перш ніж подавати скаргу до наглядового органу.

9. ОБРОБКА ДАНИХ ДІТЕЙ

9.1. Сервіс не призначений для використання особами, які не досягли 16-річного віку. Оператор свідомо не збирає та не обробляє персональні дані осіб молодших за 16 років.

9.2. Використовуючи Сервіс, Користувач підтверджує, що йому виповнилося не менше 16 років або що він має згоду свого законного представника (батьків, опікуна) на використання Сервісу та обробку персональних даних відповідно до статті 8 GDPR.

9.3. Якщо Оператору стане відомо, що персональні дані були зібрані від особи, яка не досягла 16 років, без належної згоди законного представника, Оператор негайно вживе заходів для видалення таких даних зі своїх систем.

9.4. Законні представники (батьки, опікуни) осіб, які не досягли 16 років, можуть звернутися до Оператора за адресою [email protected] для видалення персональних даних своїх дітей, якщо такі дані були зібрані без їхньої згоди.

9.5. Оператор не використовує спеціальних технічних засобів для верифікації віку Користувачів, однак залишає за собою право заблокувати обліковий запис у випадку обґрунтованої підозри, що Користувач не досяг 16-річного віку.

9.6. У юрисдикціях, де мінімальний вік для надання згоди на обробку персональних даних відрізняється від 16 років, Оператор дотримується вимог місцевого законодавства щодо мінімального віку.

9.7. Оператор не здійснює цілеспрямованого збору даних про вік Користувачів, окрім підтвердження відповідності мінімальним віковим вимогам при реєстрації облікового запису.

9.8. Якщо Оператор встановить, що обліковий запис належить особі, молодшій за 16 років, такий обліковий запис буде деактивовано, а всі пов'язані персональні дані видалено протягом 30 календарних днів з моменту виявлення порушення вікових вимог.

10. МІЖНАРОДНА ПЕРЕДАЧА ДАНИХ

10.1. У зв'язку з використанням хмарних сервісів та залученням обробників, розташованих у різних юрисдикціях, персональні дані Користувачів можуть передаватися за межі України або Європейського економічного простору (ЄЕП) для цілей зберігання або обробки.

10.2. Оператор забезпечує належний рівень захисту персональних даних при міжнародній передачі відповідно до вимог Розділу V GDPR та чинного законодавства України шляхом застосування одного або кількох з наступних механізмів:

  • передача до країн, щодо яких Європейська Комісія прийняла рішення про адекватність рівня захисту (стаття 45 GDPR);
  • укладення стандартних договірних положень (Standard Contractual Clauses, SCC), затверджених Європейською Комісією (стаття 46(2)(c) GDPR);
  • наявність обов'язкових корпоративних правил (Binding Corporate Rules) у одержувача даних;
  • явна згода Користувача на передачу після інформування про можливі ризики.

10.3. Оператор проводить оцінку впливу передачі даних (Transfer Impact Assessment) для визначення адекватності захисту персональних даних у країні-одержувачі та вживає додаткових заходів захисту за необхідності, включаючи додаткове шифрування та псевдонімізацію даних.

10.4. На момент публікації цієї Політики персональні дані можуть передаватися до наступних юрисдикцій: Сполучені Штати Америки (Microsoft Clarity), Індія (Netcore Cloud). Для кожної передачі укладено відповідні стандартні договірні положення.

10.5. Користувач має право отримати копію стандартних договірних положень або іншої документації, що підтверджує належний рівень захисту даних при міжнародній передачі, звернувшись за адресою [email protected].

10.6. У разі зміни юрисдикцій, до яких передаються персональні дані, або механізмів захисту при передачі, Оператор оновить цей розділ Політики та повідомить Користувачів про суттєві зміни.

10.7. Оператор зобов'язується припинити передачу персональних даних до певної юрисдикції, якщо буде встановлено, що рівень захисту даних у такій юрисдикції є недостатнім і не може бути забезпечений додатковими заходами захисту.

10.8. Для резидентів Європейського Союзу або Європейського економічного простору додатково зазначаємо, що ви маєте право подати скаргу до наглядового органу з захисту даних у державі-члені вашого звичайного місця проживання щодо будь-яких питань міжнародної передачі даних.

10.9. Оператор документує всі випадки міжнародної передачі персональних даних у реєстрі діяльності з обробки відповідно до вимог статті 30 GDPR, включаючи інформацію про одержувачів, юрисдикції та застосовані механізми захисту.

10.10. У разі визнання недійсним або скасування механізму передачі даних (наприклад, стандартних договірних положень) рішенням компетентного суду або наглядового органу, Оператор негайно вживе заходів для забезпечення альтернативного механізму захисту або припинення відповідної передачі даних.

11. ЗМІНИ ДО ПОЛІТИКИ

11.1. Оператор залишає за собою право вносити зміни до цієї Політики конфіденційності в будь-який час на власний розсуд. Зміни можуть бути пов'язані зі зміною законодавства, впровадженням нових функцій Сервісу, зміною практик обробки даних або з інших обґрунтованих причин.

11.2. У разі внесення суттєвих змін до Політики Оператор повідомляє Користувачів не менше ніж за 14 (чотирнадцять) календарних днів до набрання чинності такими змінами шляхом надсилання повідомлення на електронну адресу, пов'язану з обліковим записом Користувача, та/або розміщення помітного повідомлення в інтерфейсі Сервісу.

11.3. Суттєвими вважаються зміни, що стосуються: розширення категорій персональних даних, що збираються; додавання нових цілей обробки; залучення нових обробників або категорій одержувачів даних; зміни механізмів міжнародної передачі даних; обмеження прав Користувачів.

11.4. Оновлена Політика набуває чинності з дати, зазначеної в оновленій версії, але не раніше ніж через 14 днів з моменту повідомлення Користувачів про суттєві зміни.

11.5. Продовження використання Сервісу після набрання чинності оновленою Політикою означає згоду Користувача з усіма внесеними змінами. Якщо Користувач не згоден зі змінами, він має право припинити використання Сервісу та видалити свій обліковий запис до набрання чинності оновленою версією.

11.6. Якщо зміни до Політики потребують повторного отримання згоди Користувача на обробку персональних даних відповідно до вимог чинного законодавства, Оператор запросить таку згоду через відповідний механізм у Сервісі. У разі ненадання повторної згоди Оператор може обмежити функціональність Сервісу.

11.7. Дата останнього оновлення Політики завжди зазначена на початку цього документа. Кожна нова версія Політики має зазначену дату набрання чинності.

11.8. Незначні зміни (виправлення помилок, уточнення формулювань без зміни змісту) можуть вноситися без попереднього повідомлення Користувачів та набувають чинності з моменту їх публікації.

11.9. Оператор рекомендує Користувачам зберігати копії попередніх версій Політики для своїх записів. Попередні версії Політики можуть бути надані за запитом, направленим на адресу [email protected].

11.10. Незнання або неознайомлення з актуальною версією Політики не звільняє Користувача від обов'язку дотримуватися її положень. Оператор докладає зусиль для мінімізації частоти змін та внесення змін лише тоді, коли це об'єктивно необхідно.

12. ВІДПОВІДАЛЬНІСТЬ ОПЕРАТОРА

12.1. Оператор несе відповідальність за дотримання вимог чинного законодавства України та Загального регламенту про захист даних (GDPR) щодо обробки персональних даних Користувачів Сервісу.

12.2. Оператор зобов'язується вживати всіх розумних технічних та організаційних заходів для захисту персональних даних від несанкціонованого доступу, випадкової втрати, знищення, пошкодження або незаконної обробки.

12.3. У разі порушення захисту персональних даних, що може призвести до ризику для прав та свобод Користувачів, Оператор зобов'язується повідомити відповідний наглядовий орган протягом 72 годин з моменту виявлення порушення відповідно до статті 33 GDPR, а також невідкладно повідомити постраждалих Користувачів, якщо порушення створює високий ризик.

12.4. Оператор не несе відповідальності за збитки, завдані Користувачу внаслідок: порушення Користувачем правил безпеки облікового запису; розкриття Користувачем своїх облікових даних третім особам; використання Сервісу через незахищені мережі або пристрої; дій третіх осіб, що перебувають поза контролем Оператора.

12.5. Оператор не несе відповідальності за тимчасову недоступність Сервісу, спричинену обставинами непереборної сили (форс-мажор), включаючи, але не обмежуючись: стихійні лиха, військові дії, кібератаки, збої в роботі постачальників хмарних послуг, відключення електроенергії або Інтернету.

12.6. Максимальна сукупна відповідальність Оператора перед Користувачем за будь-якими позовами, пов'язаними з обробкою персональних даних, обмежується сумою, фактично сплаченою Користувачем за використання Сервісу протягом 12 місяців, що передували події, яка стала підставою для позову.

12.7. Оператор зобов'язується вести реєстр діяльності з обробки персональних даних відповідно до статті 30 GDPR та надавати його на вимогу наглядового органу.

12.8. Оператор забезпечує проведення регулярних аудитів безпеки та оцінок впливу на захист даних (DPIA) для виявлення та усунення потенційних ризиків для персональних даних Користувачів.

12.9. Оператор гарантує, що всі працівники та підрядники, які мають доступ до персональних даних Користувачів, пов'язані зобов'язаннями конфіденційності та пройшли відповідне навчання з питань захисту персональних даних.

12.10. Оператор несе відповідальність за дії залучених обробників (субпідрядників) у частині обробки персональних даних Користувачів та зобов'язується забезпечити належний контроль за дотриманням обробниками вимог щодо захисту даних.

13. ОБМЕЖЕННЯ ВИКОРИСТАННЯ ДАНИХ

13.1. Оператор зобов'язується не використовувати персональні дані Користувачів для цілей, не передбачених цією Політикою, без попередньої окремої згоди Користувача.

13.2. Забороняється продаж, оренда, обмін або інша комерційна передача персональних даних Користувачів третім особам для їхніх власних цілей, включаючи маркетинг, рекламу та профілювання.

13.3. Оператор не здійснює автоматизованого прийняття рішень, включаючи профілювання, яке має правові наслідки для Користувача або суттєво на нього впливає, без явної згоди Користувача відповідно до статті 22 GDPR.

13.4. Персональні дані Користувачів не використовуються для створення рекламних профілів, таргетованої реклами або персоналізованого маркетингу без окремої явної згоди Користувача.

13.5. Оператор не передає персональні дані Користувачів рекламним мережам, брокерам даних або іншим організаціям, що спеціалізуються на збиранні та продажу персональних даних.

13.6. Дані Користувача, створені в робочому просторі Сервісу (проєкти, завдання, коментарі, файли), є власністю Користувача. Оператор не використовує зміст робочих просторів Користувачів для навчання алгоритмів машинного навчання, аналітики чи будь-яких інших цілей, не пов'язаних безпосередньо з наданням послуг Сервісу.

13.7. Оператор може використовувати знеособлені та агреговані дані (які не дозволяють ідентифікувати конкретного Користувача) для статистичних досліджень, аналізу тенденцій використання Сервісу та покращення якості послуг.

13.8. Доступ працівників Оператора до персональних даних Користувачів здійснюється виключно на підставі принципу мінімально необхідних привілеїв та лише в обсязі, необхідному для виконання їхніх посадових обов'язків.

13.9. Оператор не здійснює моніторинг змісту комунікацій Користувачів у межах Сервісу (коментарі, повідомлення, описи завдань), за винятком випадків, коли це необхідно для реагування на обґрунтовані скарги щодо порушення Умов використання або вимоги правоохоронних органів.

13.10. Будь-яке розширення цілей обробки персональних даних потребує попереднього повідомлення Користувачів та, за необхідності, отримання додаткової згоди відповідно до вимог статті 6(4) GDPR.

14. ПОРЯДОК ВИРІШЕННЯ СПОРІВ

14.1. Усі спори та розбіжності, що виникають у зв'язку з обробкою персональних даних Користувачів або тлумаченням положень цієї Політики, вирішуються шляхом переговорів між Користувачем та Оператором.

14.2. Для ініціювання процедури вирішення спору Користувач направляє письмову претензію на адресу електронної пошти Оператора: [email protected]. Претензія повинна містити: повне ім'я Користувача, адресу електронної пошти облікового запису, опис суті претензії та вимоги Користувача.

14.3. Оператор зобов'язується розглянути претензію та надати обґрунтовану відповідь протягом 30 (тридцяти) календарних днів з моменту отримання претензії. У випадку складних питань строк розгляду може бути продовжено ще на 60 календарних днів з повідомленням Користувача.

14.4. Якщо спір не вдалося вирішити шляхом переговорів, Користувач має право звернутися до Уповноваженого Верховної Ради України з прав людини як наглядового органу у сфері захисту персональних даних (https://www.ombudsman.gov.ua).

14.5. Для Користувачів, які є резидентами Європейського Союзу або Європейського економічного простору, наглядовим органом також може бути орган з захисту даних у державі-члені їхнього звичайного місця проживання. Перелік наглядових органів доступний на веб-сайті Європейської ради із захисту даних: https://edpb.europa.eu.

14.6. У разі неможливості вирішення спору шляхом переговорів або через наглядовий орган, спір підлягає розгляду судом відповідно до чинного законодавства України. Підсудність визначається відповідно до процесуального законодавства України.

14.7. Оператор зобов'язується добросовісно співпрацювати з наглядовими органами та дотримуватися їхніх рішень та рекомендацій щодо обробки персональних даних Користувачів.

14.8. Подання Користувачем скарги або претензії не обмежує його право на продовження використання Сервісу, за винятком випадків, коли використання Сервісу неможливе у зв'язку з суттю спору.

14.9. Строк позовної давності для спорів, пов'язаних з обробкою персональних даних, визначається відповідно до чинного законодавства України та застосовного законодавства Європейського Союзу.

14.10. Оператор рекомендує Користувачам зберігати копії всієї кореспонденції, пов'язаної з питаннями обробки персональних даних, для можливого використання при вирішенні спорів.

15. КОНТАКТНА ІНФОРМАЦІЯ

15.1. Оператор персональних даних: Фізична особа-підприємець Ткачук Валерій Олегович, зареєстрований відповідно до законодавства України.

15.2. Електронна пошта з питань конфіденційності та захисту персональних даних: [email protected]. Цей канал зв'язку є основним для подання запитів щодо реалізації прав суб'єктів персональних даних, повідомлень про порушення безпеки та будь-яких інших питань, пов'язаних з обробкою персональних даних.

15.3. Веб-сайт Сервісу: refumax.com. Актуальна версія цієї Політики конфіденційності завжди доступна за адресою refumax.com/privacy.

15.4. Оператор прагне відповідати на всі запити щодо конфіденційності протягом 30 календарних днів з моменту отримання запиту. У випадку складних або численних запитів цей строк може бути продовжено ще на 60 календарних днів, про що Користувач буде повідомлений.

15.5. Для підтвердження особи Користувача та запобігання несанкціонованому доступу до персональних даних Оператор може попросити надати додаткову інформацію для верифікації перед обробкою запиту.

15.6. Якщо Користувач вважає, що його права щодо захисту персональних даних були порушені, він має право подати скаргу до Уповноваженого Верховної Ради України з прав людини (омбудсмена) як наглядового органу у сфері захисту персональних даних в Україні. Контактна інформація: https://www.ombudsman.gov.ua.

15.7. Для Користувачів, які є резидентами Європейського Союзу або Європейського економічного простору, наглядовим органом також може бути орган з захисту даних у державі-члені їхнього звичайного місця проживання. Перелік наглядових органів доступний на веб-сайті Європейської ради із захисту даних: https://edpb.europa.eu.

15.8. Ця Політика конфіденційності є невід'ємною частиною Публічної оферти (Умов використання) Сервісу Refumax і повинна тлумачитися у взаємозв'язку з нею. У разі протиріч між Політикою конфіденційності та Умовами використання щодо питань обробки персональних даних, перевагу матимуть положення цієї Політики.

15.9. Оператор співпрацює з наглядовими органами та дотримується їхніх рекомендацій щодо обробки персональних даних. У разі отримання запиту від наглядового органу Оператор надає необхідну інформацію та сприяє проведенню перевірок.

15.10. Ця Політика конфіденційності була востаннє переглянута та оновлена у березні 2026 року.

15.11. Усі спори, що виникають у зв'язку з цією Політикою або обробкою персональних даних, вирішуються шляхом переговорів, а у разі недосягнення згоди — у судовому порядку відповідно до чинного законодавства України.

15.12. Дякуємо за увагу до питань конфіденційності та довіру до Сервісу Refumax. Ми прагнемо забезпечити прозорість обробки ваших персональних даних та захист вашої приватності на найвищому рівні.