ПОЛІТИКА КОНФІДЕНЦІЙНОСТІ

1.1. Володільцем персональних даних є ФОП Лабунець Анна Олександрівна (далі — Володілець). Реквізити наведені в розділі 11.

1.2. Ця Політика встановлює, які дані Володілець збирає, з якою метою, на якій правовій підставі, кому їх передає, скільки зберігає та які права має користувач.

1.3. Політика застосовується до сайту mango-pdr.com.ua, мобільного додатку «Автошкола ManGo» та Telegram-бота ManGo PDR (разом — «Сервіс»).

1.4. Користуючись Сервісом, ви підтверджуєте, що прочитали цю Політику й погоджуєтесь з нею. Якщо ви не згодні — припиніть використання Сервісу.

2.1. Дані, які ви надаєте самі при реєстрації:

• ім’я та прізвище;
• адреса електронної пошти;
• номер телефону;
• пароль (зберігається у зашифрованому вигляді — bcrypt);
• обрана категорія прав (B, A, C тощо).

2.2. Дані з Telegram (якщо входите через Telegram-бот): Telegram ID, username, ім’я профілю, мова інтерфейсу.

2.3. Платіжні дані: ми не зберігаємо номер картки чи CVV — їх обробляє LiqPay (ТОВ «ФК Лік-Пей») або AssetPayments (ТОВ «АП»). Ми отримуємо тільки факт оплати, суму, ID транзакції та маскований номер картки (XXXX XXXX XXXX 1234).

2.4. Дані про навчальний прогрес: відповіді на питання тестів, дата проходження, результат, час, обрані теми, закладки.

2.5. Технічні дані: IP-адреса, тип і версія браузера, операційна система, мова, час входу, реферер, події взаємодії з інтерфейсом.

2.6. Cookies та аналогічні технології — детальніше у розділі 5.

3.1. Надання доступу до Сервісу: автентифікація, збереження прогресу, видача матеріалів за тарифом.

3.2. Виконання зобов’язань за договором публічної оферти: підтвердження оплат, активація тарифу, повернення коштів.

3.3. Покращення Сервісу: знеособлений аналіз помилок, найскладніших питань, ефективності тем.

3.4. Зв’язок з користувачем: технічні нотифікації, відповіді на запити підтримки.

3.5. Маркетингові розсилки — тільки за окремою згодою. Відмовитись можна в будь-який момент через лінк «відписатись» у листі або написавши на email Володільця.

3.6. Виконання вимог законодавства: відповідь на запити правоохоронних органів за встановленою процедурою.

4.1. Обробка персональних даних здійснюється на підставі:

• згоди користувача (ст. 11 ЗУ «Про захист персональних даних» від 01.06.2010 № 2297-VI; ст. 6(1)(a) GDPR);
• виконання договору публічної оферти (ст. 6(1)(b) GDPR);
• законного інтересу Володільця у захисті від зловживань і шахрайства (ст. 6(1)(f) GDPR);
• виконання правового обов’язку (бухгалтерський облік, відповідь на запити органів — ст. 6(1)(c) GDPR).

5.1. Сервіс використовує три категорії cookies:

5.2. Налаштувати cookies можна через банер при першому візиті або в налаштуваннях браузера. Відмова від необхідних cookies зробить Сервіс непрацездатним.

6.1. Володілець не продає й не передає персональні дані третім особам в комерційних цілях. Передача обмежена технічними партнерами, які допомагають надавати послугу:

• LiqPay (ТОВ «ФК Лік-Пей», Україна) — обробка платежів;
• AssetPayments — альтернативний платіжний шлюз;
• Railway (Railway Corp., США) — хостинг сервера й бази даних;
• Telegram (Telegram FZ-LLC, ОАЕ) — лише для користувачів бота;
• Anthropic (Anthropic PBC, США) — генерація AI-пояснень до питань. Передаються лише текст питання й варіанти відповідей, без персональних даних користувача;
• Google (Google LLC, США) — Analytics, OAuth-авторизація, reCAPTCHA — за умовами Google;
• Cloudflare — захист від DDoS, кешування статики.

6.2. Дані можуть бути розкриті органам державної влади за обґрунтованим письмовим запитом (ст. 16 ЗУ «Про захист персональних даних»).

6.3. Передача даних за кордон. Деякі партнери (Anthropic, Google) знаходяться у США. Володілець гарантує застосування достатніх захисних заходів — стандартних договірних клаузул (SCC) або сертифікації Data Privacy Framework.

7.1. Дані акаунту — впродовж усього періоду активного користування й 12 місяців після останнього входу.

7.2. Платіжні документи — 3 роки відповідно до вимог податкового законодавства.

7.3. Логи серверів — 90 днів.

7.4. Маркетингові згоди — до моменту відкликання.

7.5. Після спливу терміну дані видаляються або знеособлюються.

8.1. Згідно з ЗУ «Про захист персональних даних» та GDPR ви маєте право:

• отримати інформацію про те, які ваші дані ми обробляємо;
• отримати копію ваших даних у машинозчитуваному форматі (право на портативність);
• вимагати виправлення неточних даних;
• вимагати видалення даних («право бути забутим»);
• обмежити обробку;
• заперечити проти обробки на підставі законного інтересу;
• відкликати згоду в будь-який момент;
• звернутися зі скаргою до Уповноваженого Верховної Ради з прав людини (Україна) або наглядового органу країни ЄС.

8.2. Звернутися щодо реалізації будь-якого з прав можна на email: avtoshkola.mango@gmail.com. Запит розглядається протягом 30 днів.

9.1. У кабінеті користувача (розділ «Профіль») доступна кнопка «Видалити акаунт». Видалення є незворотним.

9.2. Альтернативно — надішліть запит з адреси, прив’язаної до акаунту, на avtoshkola.mango@gmail.com з темою «Видалення акаунту».

9.3. Дані видаляються протягом 30 робочих днів після підтвердження особи. Платіжні документи зберігаються згідно з вимогами податкового законодавства (3 роки).

10.1. Володілець застосовує організаційні й технічні заходи захисту: HTTPS-шифрування, bcrypt для паролів, обмежений доступ співробітників за принципом найменших привілеїв, регулярне резервне копіювання, моніторинг безпеки.

10.2. У разі витоку персональних даних Володілець повідомить про це впродовж 72 годин відповідно до GDPR (ст. 33).

11.1. Володілець залишає за собою право оновлювати цю Політику. Нова редакція публікується на цій сторінці з датою чинності.

11.2. Про істотні зміни користувачі попереджаються email-розсилкою або повідомленням у Сервісі за 14 днів до набрання чинності.