Політика конфіденційності

1. Хто обробляє дані

Контролером персональних даних є ФОП Загамула Нікіта Андрійович, м. Київ, Україна. Контакт із приводу захисту даних: support@klawa.top.

2. Які дані збираємо

• Telegram identifiers: user_id, username, first_name, last_name — для автентифікації та персоналізації.
• Чати та повідомлення: текст звернень до Бота, метадані відповідей, посилання на медіафайли (приймаються з Telegram CDN).
• Платіжні дані: сума поповнення, timestamp, reference ID від Monobank. Номер картки, CVV, expiry — не зберігаються, токенізуються на стороні Monobank Acquiring.
• Журнал запитів: turn_id, capability, route, timestamps, вартість, статус.
• Технічні дані: IP-адреси з'єднань із Порталом (service logs, ротація 30 днів).

3. Навіщо обробляємо

• Надання сервісу (маршрутизація запитів, тарифікація).
• Пам'ять бота (контекст попередніх діалогів — якщо Користувач не вимкнув).
• Бухгалтерський облік платежів (зобов'язання за податковим законодавством).
• Технічна підтримка та розслідування інцидентів.
• Захист від зловживань (анти-фрод, rate-limiting).

4. Підстави для обробки

• Договір: надання замовленого сервісу (ст. 11 ЗУ «Про захист персональних даних»).
• Законні інтереси: безпека, запобігання шахрайству.
• Закон: вимоги податкової та фінансового моніторингу.
• Згода: для маркетингових комунікацій (за окремим запитом).

5. Передача третім особам

Дані Користувача передаються в обмеженому обсязі:

• LLM-провайдери (OpenAI, Google, Anthropic, DeepSeek, OpenRouter) — лише вміст конкретного запиту, без прив'язки до Telegram-ідентифікатора.
• Monobank Acquiring — сума, reference ID платежу.
• Хостинг-провайдер (VPS у Німеччині) — фізичне зберігання БД і логів.
• Правоохоронним органам — лише за рішенням суду або законним запитом.

6. Термін зберігання

• Дані акаунту — поки акаунт активний + 90 днів після деактивації.
• Пам'ять бота — до самостійного очищення Користувачем або деактивації акаунту.
• Платіжні записи — 3 роки (податкове зобов'язання).
• Технічні логи — 30 днів.

7. Права Користувача

Відповідно до ЗУ «Про захист персональних даних» та GDPR (для резидентів ЄС):

• Право на доступ до своїх даних.
• Право на виправлення некоректних даних.
• Право на видалення («право бути забутим»).
• Право на портабельність даних (експорт у машинозчитуваному форматі).
• Право на відкликання згоди.
• Право на скаргу до Уповноваженого Верховної Ради України з прав людини.

Для реалізації прав — напиши на support@klawa.top. Термін розгляду — 30 днів.

8. Захист даних

• TLS 1.3 для всього трафіку між Користувачем і Порталом.
• Шифрування API-ключів провайдерів у БД (AES-256-GCM, окремі майстер-ключі для prod і staging).
• Доступ до БД — лише з IP-адреси VPS, через пароль і SSH-ключ.
• Регулярні бекапи з ротацією 7 днів.

9. Cookies

Портал використовує тільки session-cookie для автентифікації (_smartest_session, _smartest_user). Третіх cookies немає. Analytics/трекери не встановлені.

10. Вік користувача

Сервіс не призначений для осіб молодше 16 років. Якщо ти молодше — не користуйся Ботом і Порталом.

11. Зміни до політики

Оператор може оновлювати цю Політику. Суттєві зміни анонсуються через Telegram-бот за 14 днів до набрання чинності.