Юридичні документи

Політика
конфіденційності

Редакція від 1 травня 2025 р.Власник: Мороз О.К.support.obligo@gmail.com

Ця Політика конфіденційності описує, які персональні дані збирає сервіс OBLIGO, з якою метою, як вони захищаються та які права має Користувач щодо своїх даних. Документ складений відповідно до Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI.

01

Оператор персональних даних

Оператором персональних даних є фізична особа Мороз О.К.
Контакт для звернень з питань конфіденційності: support.obligo@gmail.com

02

Які дані збираються та з якою метою

КатегоріяКонкретні поляМета збору
ІдентифікаційніІм'я, email-адресаРеєстрація та автентифікація
Аутентифікаційніbcrypt-хеш паролю, TOTP-секрет (Fernet-шифрування)Безпечний вхід, 2FA
МесенджерTelegram ID, Telegram usernameНагадування через Telegram-бот
Фінансові обліковіНазви банків/брокерів, останні 4 цифри карток, залишки лімітів, суми та дати операцій ОВДПВедення портфеля, розрахунок грейс-периодів
ТехнічніIP-адреса при вході, часова мітка реєстрації та згодиБезпека облікового запису, підтвердження згоди

Сервіс не збирає: повні номери платіжних карток, CVV/CVC-коди, паспортні дані, РНОКПП (ІПН), геолокацію.

03

Де зберігаються дані

Усі персональні дані зберігаються на виділеному сервері компанії Hetzner Online GmbH, розташованому в Нюрнберзі, Федеративна Республіка Німеччина.

Транскордонна передача даних: сервер знаходиться в ЄС (Німеччина). Відповідно до ст. 29 Закону України «Про захист персональних даних», передача даних до держав, що забезпечують адекватний рівень захисту (країни ЄС), є допустимою. Реєструючись у сервісі, Користувач надає явну згоду на таку транскордонну передачу.

04

Як дані захищаються

  • Паролі — зберігаються виключно у вигляді bcrypt-хешу; оригінальний пароль не зберігається і недоступний нікому, включно з Власником.
  • TOTP-секрети — шифруються симетричним алгоритмом Fernet (AES-128-CBC + HMAC-SHA256) перед збереженням у базі даних.
  • З'єднання — захищені протоколом TLS 1.2/1.3 (HTTPS) через сертифікати Let's Encrypt.
  • Доступ до сервера — виключно через SSH-ключі (ED25519); база даних PostgreSQL та Redis ізольовані у внутрішній Docker-мережі без публічного доступу.
  • Двофакторна автентифікація (2FA) — TOTP доступний для кожного облікового запису.
  • Rate Limiting — API захищений від брутфорс-атак та спроб перебору паролів через обмеження кількості запитів.
05

Передача даних третім особам

Власник не продає та не передає персональні дані рекламодавцям або іншим третім особам із комерційною метою. Обмежена передача відбувається лише у таких випадках:

  • Google Gemini API (Alphabet Inc., США) — для генерації AI-інсайтів надсилаються анонімізовані фінансові показники портфеля (без імені, email та персональних ідентифікаторів). Умови: policies.google.com/privacy.
  • Telegram Bot API (Telegram Messenger Inc.) — Telegram ID використовується виключно для надсилання нагадувань через офіційний Bot API.
  • Google Calendar API (Alphabet Inc., США) — якщо Користувач самостійно підключає Google Calendar через OAuth2, події про купони та продажі ОВДП записуються до його особистого календаря.

В усіх інших випадках персональні дані можуть бути розкриті лише на підставі законної вимоги правоохоронних органів або за рішенням суду, відповідно до законодавства України.

06

Строки зберігання

Персональні дані зберігаються протягом усього часу дії облікового запису. Після видалення облікового запису всі пов'язані дані каскадно видаляються з усіх таблиць бази даних протягом 30 календарних днів. Після цього строку можливе зберігання лише повністю анонімізованих агрегованих статистичних показників, що не дозволяють ідентифікувати особу.

07

Права користувача

Відповідно до Закону України «Про захист персональних даних» Користувач має право:

  • Доступ — дізнатися, які персональні дані про нього зберігаються (письмовий запит на email).
  • Виправлення — відкоригувати неточні або застарілі дані через особистий кабінет або звернення на email.
  • Видалення («Право бути забутим») — повністю видалити обліковий запис і всі пов'язані персональні дані через розділ «Налаштування → Видалити акаунт» або надіславши запит на email. Виконується протягом 30 днів після підтвердження.
  • Відкликання згоди — відкликати згоду на обробку персональних даних у будь-який час шляхом видалення облікового запису. Відкликання не впливає на законність обробки даних до моменту відкликання.
  • Заперечення проти обробки — звернутися до Уповноваженого Верховної Ради України з прав людини.
  • Переносимість — отримати власні дані у структурованому форматі (за запитом на email).
08

Cookie та трекінг

OBLIGO використовує лише технічно необхідні cookie — JWT-токени автентифікації, що зберігаються в localStorage або httpOnly cookie виключно для підтримки сесії.

Сервіс не використовує рекламні трекери, пікселі соціальних мереж, аналітику третіх сторін (Google Analytics, Meta Pixel тощо) або будь-які інші технології відстеження поведінки користувачів.

09

Безпека та повідомлення про витоки

У разі виявлення витоку персональних даних, що може становити ризик для прав Користувача, Власник зобов'язується повідомити постраждалих Користувачів через email або Telegram-бот у найкоротший технічно можливий строк.

Якщо ви виявили вразливість безпеки — будь ласка, повідомте на support.obligo@gmail.com до публічного розголошення (responsible disclosure).

10

Зміни Політики

Оператор може оновлювати цю Політику конфіденційності. Нова редакція набирає чинності з моменту публікації на цій сторінці. Дата актуальної редакції вказана у шапці документа. Про суттєві зміни Користувачі можуть бути повідомлені через Telegram-бот або електронну пошту.

11

Контакти

З питань обробки персональних даних: support.obligo@gmail.com

Відповідь надається протягом 5 робочих днів.

← Повернутись до сервісу← Умови використання