Політика обробки персональних даних

Редакція від 23 квітня 2026 року
Цей документ деталізує правові та технічні аспекти обробки персональних даних відповідно до Закону України «Про захист персональних даних» № 2297-VI та Регламенту (ЄС) 2016/679 (GDPR). Він доповнює Політику конфіденційності й адресований тим, хто хоче знати деталі.

1. Терміни та визначення

Для цілей цього документа:

  • Персональні дані — будь-яка інформація, що ідентифікує або може ідентифікувати фізичну особу (ім'я, телефон, IP тощо)
  • Обробка — будь-яка дія з даними: збір, зберігання, використання, передача, знищення
  • Суб'єкт даних — ви, особа, чиї дані обробляються
  • Володілець / Оператор — ми, хто визначає цілі та засоби обробки
  • Розпорядник — третя сторона, яка обробляє дані за нашим дорученням

2. Склад персональних даних, що обробляються

Ми обробляємо виключно такі категорії даних:

  • Ідентифікаційні: ім'я, вік (діапазон)
  • Контактні: номер телефону, Telegram/Instagram (якщо надано)
  • Технічні: IP-адреса, user agent, мітки часу, дані з localStorage
  • Маркетингові: джерело переходу (referrer), UTM-мітки, gclid, fbclid та подібні ідентифікатори рекламних кліків

Ми свідомо НЕ збираємо особливі категорії даних: расову/етнічну приналежність, політичні погляди, релігійні переконання, біометрію, дані про здоров'я.

3. Мета обробки

  • Обробка заявок, що надходять через форму на сайті
  • Організація комунікації з потенційними кандидатами
  • Укладення та виконання договору про співпрацю
  • Виконання податкових та інших законодавчих зобов'язань
  • Захист сайту та сервісів від зловмисних дій

4. Правові підстави обробки

Ми обробляємо персональні дані на таких правових підставах:

  • Згода суб'єкта даних (ст. 6(1)(а) GDPR, п. 1 ч. 1 ст. 11 ЗУ № 2297-VI)
  • Виконання договору, укладеного із суб'єктом даних (ст. 6(1)(b) GDPR)
  • Законний інтерес володільця даних (ст. 6(1)(f) GDPR) — захист сайту, попередження шахрайства, покращення сервісу
  • Виконання вимог законодавства (ст. 6(1)(c) GDPR)

5. Принципи обробки

Ми дотримуємося принципів обробки даних відповідно до ст. 5 GDPR:

  • Законність, добросовісність і прозорість
  • Обмеження мети: дані збираються для конкретних цілей і не використовуються поза ними
  • Мінімізація даних: збираємо лише необхідне
  • Точність: підтримуємо дані в актуальному стані
  • Обмеження зберігання: не зберігаємо довше, ніж потрібно
  • Цілісність і конфіденційність: технічний захист від несанкціонованого доступу
  • Підзвітність: можемо продемонструвати дотримання цих принципів

6. Термін зберігання

  • Заявки та пов'язана з ними комунікація — 3 роки з моменту останньої взаємодії
  • Технічні логи та атрибуційні дані в localStorage — до 30 днів
  • Дані, що обробляються в рамках договірних відносин — строк дії договору + 3 роки для правового захисту
  • Дані, що підлягають зберіганню за вимогами податкового законодавства — до 1095 днів (ст. 44 ПКУ) з моменту виникнення зобов'язання

7. Передача та розкриття даних

Дані можуть передаватися:

  • Нашим технічним підрядникам (хостинг у ЄС, Telegram Bot API для сповіщень)
  • Державним органам — тільки у випадках, прямо передбачених законом, на підставі офіційного запиту
  • Правонаступникам у разі реорганізації бізнесу — з повідомленням суб'єктів даних

Ми не передаємо дані в країни без адекватного рівня захисту без належних гарантій (стандартні договірні положення GDPR, рішення про адекватність).

8. Права суб'єкта персональних даних

Відповідно до ст. 8 ЗУ «Про захист персональних даних» та глави III GDPR ви маєте право:

  • На доступ до своїх даних (ст. 15 GDPR)
  • На виправлення неточних даних (ст. 16 GDPR)
  • На видалення («право бути забутим», ст. 17 GDPR)
  • На обмеження обробки (ст. 18 GDPR)
  • На переносимість даних (ст. 20 GDPR)
  • Заперечувати проти обробки (ст. 21 GDPR)
  • Не бути об'єктом автоматизованого прийняття рішень, у т.ч. профілювання (ст. 22 GDPR)
  • Відкликати згоду в будь-який момент без жодних наслідків для вже здійсненої обробки

9. Порядок реалізації прав

Для реалізації будь-якого зі своїх прав:

  • Надішліть нам письмовий запит на email hello@amora.studia або у Telegram @valery23work
  • Вкажіть у запиті своє ім'я, контактні дані та суть звернення
  • Ми можемо попросити додатково підтвердити вашу особу, щоб запобігти розкриттю даних третім особам
  • Відповідь надаємо упродовж 30 календарних днів з моменту отримання запиту; у складних випадках строк може бути продовжено ще на 60 днів з повідомленням вас про це

10. Технічні та організаційні заходи захисту

  • Шифрування з'єднання з сайтом (HTTPS/TLS)
  • Ізоляція бази даних у приватній мережі без прямого доступу з інтернету
  • Хешування паролів з використанням bcrypt
  • Обмеження частоти запитів для захисту від DDoS і перебору
  • Fail2ban для блокування зловмисних IP
  • Автоматичні оновлення безпеки операційної системи
  • Моніторинг вразливостей залежностей (Dependabot)
  • Обмежений доступ до адмін-панелі лише для авторизованих адміністраторів

11. Контактна особа та наглядовий орган

Питання щодо обробки ваших даних адресуйте нам за контактами, вказаними нижче.

Якщо ви вважаєте, що ваші права порушено, ви можете подати скаргу до наглядового органу:

  • В Україні — Уповноважений Верховної Ради України з прав людини (ombudsman.gov.ua)
  • У ЄС — до органу захисту даних у вашій країні проживання

Запити щодо персональних даних:

  • Email: diamondsagencyod.com
  • Telegram: @valery23work

Ми опрацьовуємо запити упродовж 30 днів відповідно до GDPR та ЗУ «Про захист персональних даних».