Спільнокошт

Політика приватності

Остання редакція: 4 червня 2026 року

Політика приватності

Чинна з: 25 грудня 2025 року Остання редакція: 4 червня 2026 року

Ця Політика приватності описує, які персональні дані обробляє платформа Спільнокошт (далі — «Платформа», доступна за адресою https://spilnokosht.com), з якою метою, на якій правовій підставі, кому ці дані передаються та які права має кожна особа, чиї дані обробляються.

Платформа є трекером прогресу збору коштів і не є платіжним сервісом: ми не приймаємо, не зберігаємо й не переказуємо гроші. Власники збірок самостійно публікують свої платіжні реквізити, і всі фактичні платежі відбуваються поза Платформою.

1. Володілець персональних даних (контролер)

Володільцем (контролером) персональних даних у розумінні Закону України «Про захист персональних даних» та Загального регламенту ЄС про захист даних (GDPR, Регламент (ЄС) 2016/679) є ФОП Неговський В. М., РНОКПП 3042018634 (далі — «ми», «нас», «Володілець»).

Контактний email для будь-яких питань з приватності, реалізації прав суб'єкта даних та запитів від наглядових органів: [email protected]

2. Які дані ми обробляємо

2.1 Дані, які ви надаєте самостійно

  • Реєстраційні дані: email, пароль (зберігається у вигляді хешу), або токен ідентифікації від Google (якщо ви входите через Google OAuth).
  • Дані профілю: ім'я, прізвище, нікнейм, аватар, обкладинка, біографічна інформація, посилання на соцмережі, тип акаунта (фізична особа або організація), а для організацій — назва, категорія, опис, сайт, телефон, поштова адреса, email.
  • Налаштування безпеки: факт увімкнення двофакторної автентифікації (TOTP-додаток і/або email-коди), а також тимчасові коди верифікації під час входу, зміни email або керування 2FA.
  • Контент збірок: назва, опис, цільова сума, валюта, статус, мітки, кастомне посилання (slug), реквізити отримувача коштів, які ви публікуєте, та записи про внески (contribution_logs) — суми, коментарі, додаткові поля.
  • Звіти зборів: медіафайли (фото, PDF, відео тривалістю до 60 секунд), які ви додаєте у розділ «Звітність».
  • Зворотний зв'язок: повідомлення, які ви надсилаєте через віджет фідбеку. Ці повідомлення є анонімними — ми не прив'язуємо їх до акаунта; для запобігання зловживанням ми зберігаємо знеособлений «відбиток» (хеш) браузера/IP і час відправки.

2.2 Дані, які збираються автоматично

  • Технічні дані сесій: IP-адреса (у скороченому/хешованому вигляді для лічильників), user-agent, дата/час дій, мова браузера.
  • Аналітика поведінки: події відвідування сторінок, перегляди публічних збірок, переходи — у вигляді записів у таблиці analytics_events із подальшим агрегуванням у analytics_daily_metrics. Для зменшення обсягу даних ми не збираємо події з /demo/*, а події page_view семплуємо. Збираємо тільки за наявності вашої згоди на аналітичні cookies.
  • Зовнішня аналітика: агреговані метрики залучення з Google Analytics 4 (ga4_daily_acquisition_metrics).
  • Дії модерації та антизловживань: лічильники запитів, рішення системи модерації тексту, попередження, накладені суперадміністратором, історія блокувань акаунта (статуси temp_blocked, perm_blocked, deleted).
  • Cookies та локальне сховище — див. розділ 7.

2.3 Дані від третіх сторін

Якщо ви входите через Google, ми отримуємо ваші ім'я, прізвище, email та аватар із вашого Google-профілю в обсязі, який ви явно дозволили на екрані згоди Google.

2.4 Дані, які ми не збираємо

  • Ми не приймаємо платежі і не запитуємо реквізити банківських карт, дані 3-D Secure, CVV, паролі від інтернет-банкінгу тощо.
  • Ми не маємо доступу до інформації про фактичні платежі, які користувачі здійснюють за реквізитами, опублікованими власниками збірок.

3. Цілі обробки і правові підстави

Мета обробкиПравова підстава (Україна / GDPR)
Створення й підтримка вашого облікового запису, надання функціоналу ПлатформиВиконання договору (умов користування) — ст. 11 ЗУ «Про захист персональних даних» / ст. 6(1)(b) GDPR
Публікація вашого профілю та публічних збірок у відповідних каталогах (/explore, /user/..., /fund/...)Згода (is_public, visibility) — ст. 11 ЗУ / ст. 6(1)(a) GDPR
Безпека акаунта: 2FA, виявлення підозрілих дій, обмеження зловживаньЗаконні інтереси Володільця у захисті Платформи — ст. 6(1)(f) GDPR
Модерація контенту й виконання правил СпільнотиЗаконні інтереси + виконання договору
Надсилання сервісних email (підтвердження, зміна email, попередження модератора) через провайдера ResendВиконання договору
Аналітика (внутрішня + GA4)Згода на аналітичні cookies — ст. 6(1)(a) GDPR
Виконання вимог чинного законодавства, відповіді на запити уповноважених органівЮридичний обов'язок — ст. 6(1)(c) GDPR

4. Кому ми передаємо ваші дані (отримувачі та процесори)

Ми не продаємо ваші дані. Ми залучаємо обмежене коло технічних постачальників (процесорів), без яких Платформа не може працювати:

ПостачальникПризначенняЮрисдикція
Supabase (PostgreSQL, Auth)Основна база даних, автентифікація, сесіїEU / US
VercelХостинг застосунку, edge functions, логиEU / US
Cloudflare R2Зберігання медіафайлів (аватари, обкладинки, звіти зборів)Глобальна мережа
Cloudflare (CDN/DNS)DNS, маршрутизація трафікуГлобальна
ResendНадсилання транзакційних emailEU / US
Google LLCOAuth-вхід (за вашим вибором), Google Analytics 4США
OpenAIПеревірка тексту через API модерації (заголовки, описи, коментарі, фідбек)США
Turnstile / hCaptchaЗахист від ботів у формах із підвищеним ризиком зловживаньГлобальна

Кожен із цих постачальників обробляє дані за нашою інструкцією, у межах окремої угоди про обробку даних (DPA) або стандартних умов обслуговування, які включають захист персональних даних.

Ми можемо також передати дані:

  • Правоохоронним і державним органам — виключно за обґрунтованим письмовим запитом, у межах чинного законодавства;
  • Суперадміністратору Платформи — у мінімально необхідному обсязі для модерації, реагування на скарги та виконання правил Спільноти.

5. Міжнародна передача даних

Оскільки частина постачальників розташована поза межами України та ЄЕП, відбувається транскордонна передача даних. Ми покладаємось на:

  • стандартні договірні положення (SCC), затверджені Європейською Комісією, з постачальниками у США та інших юрисдикціях;
  • внутрішні правила безпеки та шифрування каналів передачі (TLS).

Ви можете запитати копії застосовних стандартних договірних положень, надіславши лист на [email protected].

6. Строки зберігання

  • Дані акаунта зберігаються, поки існує ваш обліковий запис. Після видалення акаунта дані переводяться в стан deleted і протягом розумного періоду (до 90 днів) повністю видаляються або анонімізуються, крім випадків, коли збереження необхідне для виконання юридичного обов'язку (наприклад, спірних звернень).
  • Звіти, медіа й контент збірок зберігаються, поки існує відповідна збірка та її власник, або до моменту, коли збірку видалено зі статусу deleted.
  • Тимчасові коди (2FA, зміна email) автоматично видаляються після короткого терміну (до 30 хвилин).
  • Анонімні повідомлення фідбеку зберігаються згідно з налаштуваннями адміністратора Платформи; soft-delete лишає запис у базі, але приховує його з інтерфейсу.
  • Аналітичні події зберігаються в агрегованому вигляді; «сирі» події в analytics_events автоматично очищаються після 14 днів.
  • Журнали дій модерації (backoffice_user_actions, backoffice_fund_actions) зберігаються довше для прозорості та оскарження рішень.

7. Cookies, локальне сховище та аналогічні технології

Платформа використовує cookies і localStorage із кількома різними призначеннями:

  • Технічні (обов'язкові) — без них Платформа не працює: автентифікація, сесії, CSRF-захист.
  • Функціональні — запам'ятовують ваш вибір (мова, налаштування інтерфейсу, стан демо-режиму).
  • Аналітичні — внутрішня аналітика та GA4. Активуються тільки після вашої згоди.
  • Рекламні — наразі не використовуються; сигнали ad_storage, ad_user_data, ad_personalization за замовчуванням встановлені в denied.

При першому відвідуванні Платформа показує вікно згоди на cookies (Cookie Consent Modal) із трьома варіантами: Прийняти все, Відхилити все або Налаштувати. Ваш вибір зберігається у localStorage та cookie під ключем sk_cookie_consent_v1 і застосовується в межах застосунку.

Ви можете в будь-який момент змінити свій вибір, очистивши localStorage або повторно викликавши вікно згоди (опція «Налаштування cookies» у футері, якщо доступна).

8. Безпека

Ми застосовуємо технічні та організаційні заходи для захисту ваших даних:

  • HTTPS і TLS для всього трафіку;
  • хешування паролів і кодів верифікації;
  • розмежування доступу: дії від імені користувача виконуються в user-scoped підключеннях до бази, привілейовані операції — лише з довірених server-only потоків;
  • двофакторна автентифікація (TOTP та/або email-коди) — опційно для всіх користувачів;
  • регулярні оновлення залежностей і CI-перевірки;
  • журналювання дій модерації;
  • автоматичне обмеження запитів і виявлення зловживань (abuse_counters).

Жодна система не є абсолютно захищеною. У випадку інциденту, який становить високий ризик для прав і свобод суб'єктів даних, ми повідомимо вас і компетентний наглядовий орган протягом 72 годин з моменту виявлення (ст. 33–34 GDPR).

9. Ваші права

9.1 Загальні права (для всіх користувачів)

Ви маєте право:

  • знати про обробку своїх персональних даних;
  • отримати доступ до своїх даних;
  • вимагати уточнення (виправлення) неточних даних;
  • вимагати видалення або обмеження обробки;
  • відкликати раніше надану згоду;
  • звернутися зі скаргою до Уповноваженого Верховної Ради України з прав людини.

9.2 Додаткові права для користувачів з ЄС / ЄЕП (GDPR)

  • Право на доступ (ст. 15 GDPR) — отримати копію ваших персональних даних.
  • Право на виправлення (ст. 16) — оновити неточні або неповні дані.
  • Право на видалення / «право бути забутим» (ст. 17).
  • Право на обмеження обробки (ст. 18).
  • Право на перенесення даних (ст. 20) — отримати дані в структурованому, машиночитному форматі.
  • Право заперечувати (ст. 21) проти обробки на підставі законних інтересів.
  • Право відкликати згоду в будь-який момент без впливу на законність попередньої обробки.
  • Право звернутися зі скаргою до наглядового органу держави-члена ЄС/ЄЕП за вашим місцем проживання чи роботи.

9.3 Як скористатися правами

Більшість дій ви можете виконати самостійно в кабінеті: змінити дані профілю, опублікувати або сховати профіль/збірку, видалити збірку чи акаунт.

Для запитів, які не реалізовані в інтерфейсі (наприклад, експорт усіх даних або відкликання згоди в розрізі окремої цілі), напишіть на [email protected]. Ми відповімо в розумний строк — як правило, протягом 30 днів.

10. Діти

Платформа не призначена для осіб віком до 16 років. Ми не збираємо свідомо персональні дані дітей. Якщо ви вважаєте, що дитина надала нам дані без згоди батьків або опікунів, напишіть на [email protected] — ми видалимо такі дані.

11. Автоматизоване прийняття рішень

Ми застосовуємо автоматизовану обробку для:

  • модерації тексту (через API OpenAI Moderation із локальним резервним словником);
  • виявлення зловживань і автоматичного «м'якого блокування» акаунтів (temp_blocked).

Ці рішення можуть бути переглянуті людиною (суперадміністратором). Ви можете оскаржити будь-яке таке рішення, написавши на [email protected].

12. Зміни до Політики

Ми можемо оновлювати цю Політику, якщо змінюється функціонал Платформи, склад постачальників або вимоги законодавства. Дата останньої редакції завжди вказана на початку документа. Про суттєві зміни ми повідомимо через email або через сповіщення в інтерфейсі.

13. Контакти

[email protected]