← На головну

Політика конфіденційності

Версія: 2026-05-04 · Чинна з: 2026-05-04

Ця Політика конфіденційності пояснює, як сервіс Places UA (далі — «Сервіс», «ми», «наш») збирає, використовує, зберігає та захищає ваші персональні дані. Ми діємо у відповідності до:

  • Закону України «Про захист персональних даних» № 2297-VI;
  • Загального регламенту захисту даних ЄС (GDPR, Регламент 2016/679);
  • Директиви ePrivacy (2002/58/EC) щодо файлів cookie та аналогічних технологій.

1. Хто є контролером даних

Контролером ваших персональних даних є команда Places UA — оператор онлайн-каталогу локальних закладів України.

Запити суб'єктів даних щодо обробки персональних даних надсилайте на: privacy@places-ua.web.app.

2. Які дані ми збираємо

Ми обробляємо три категорії даних.

2.1. Дані, що ви надаєте самостійно

  • При реєстрації: ім'я, email, номер телефону, місто проживання, пароль (ми зберігаємо лише його хеш, не сам пароль).
  • Якщо ви власник закладу: заявка на отримання ролі власника (повторно — ім'я, телефон, email, повідомлення з обґрунтуванням).
  • Контент: відгуки, оцінки, фотографії, описи закладів, які ви публікуєте.
  • Профіль закладу: назва, адреса, телефони, веб-сайт, графік роботи, перелік послуг та цін.

2.2. Дані, які ми отримуємо автоматично

  • Технічні логи: IP-адреса, тип браузера, операційна система, мова, реферер, тип пристрою.
  • Геолокація: якщо ви явно надали дозвіл браузеру — приблизні координати для функції «Заклади поруч». Кешуються в localStorage вашого браузера на 30 хвилин і не передаються нам у необробленому вигляді.
  • Активність: які заклади ви переглянули, що додали в обране, які пошукові запити робили.
  • Аудиторські журнали: для адміністраторів і модераторів — кожна дія з зазначенням IP та User-Agent.

2.3. Дані, які ми отримуємо з відкритих джерел

Для початкового наповнення каталогу ми використовуємо публічні дані з Google Places API (назва, адреса, телефон, графік, координати). Ці дані оновлюються щонайменше раз на 30 днів і видаляються з нашої бази, якщо заклад зник з Google.

2.4. Особлива категорія: дані дітей

У категорії «Дитячі активності» (kids_activities) можуть публікуватися фотографії, на яких зображені діти. Ми вимагаємо, щоб власник закладу мав письмову згоду батьків кожної дитини, перш ніж завантажувати такі фото. Це підтверджується окремим атестаційним полем у системі модерації (стаття 8 GDPR).

Якщо ви помітили фото своєї дитини, на публікацію якого не давали згоди — напишіть на privacy@places-ua.web.app. Ми видалимо матеріал протягом 72 годин.

3. Цілі та правові підстави обробки

МетаПідстава (Art. 6 GDPR)Категорії даних
Створення та підтримка облікового запису, авторизація6(1)(b) — виконання договоруemail, телефон, ім'я, пароль (хеш)
Публікація відгуків та фото6(1)(b) — виконання договоруконтент, ім'я, фото профілю
Модерація контенту, виявлення PII та образливого вмісту6(1)(f) — законні інтереси (захист аудиторії)фото, OCR-результати, метадані
Боротьба зі зловживаннями (App Check, reCAPTCHA, аудит-логи)6(1)(f) — законні інтереси (безпека)IP, User-Agent, токени App Check
Геолокація для «Заклади поруч»6(1)(a) — згода користувача (через дозвіл браузера)координати
Виконання запитів суб'єктів даних (Art. 15–22)6(1)(c) — юридичний обов'язокусі дані з облікового запису

4. Кому ми передаємо дані

Ми використовуємо такі субпроцесори (третіх осіб, які обробляють дані за нашими інструкціями):

  • Google Cloud / Firebase (Google LLC, США та європейські регіони) — хостинг, аутентифікація, база даних, сховище фото, Cloud Functions, App Check, Cloud Vision (модерація фото). Передача в США відбувається на підставі Стандартних договірних умов ЄК 2021/914 та DPA Google.
  • Algolia, Inc. (США, EU-кластер) — пошук по каталогу. Передаються лише публічні поля закладу (без телефону та контактних даних).
  • Google Maps Platform — рендеринг карти, Places API. Передається IP користувача.
  • Google reCAPTCHA Enterprise — захист від ботів при телефонній авторизації.
  • Google Fonts (Google LLC) — завантаження шрифтів інтерфейсу.

Ми не продаємо ваші дані третім особам, не передаємо їх рекламним мережам та не використовуємо для персоналізованої реклами.

5. Скільки часу ми зберігаємо дані

  • Обліковий запис: поки ви користуєтеся сервісом. Після видалення акаунта — до 30 днів на бекапах.
  • Відгуки та фотографії: публікуються до явного видалення вами або модератором. При видаленні акаунта відгуки анонімізуються (ім'я замінюється на «Видалений користувач»), фото видаляються повністю.
  • Аудиторські журнали: до 24 місяців.
  • Журнали переглядів закладів: до 30 днів.
  • Заявки на роль власника: зберігаються для аудит-цілей; PII видаляється через 12 місяців після фінального рішення.
  • Відхилені фото та їх оригінали: оригінальні файли видаляються через 7 днів; метадані модерації — до 30 днів.

6. Ваші права

Згідно зі статтями 15–22 GDPR і статтею 8 Закону № 2297-VI, ви маєте право:

  • Доступ. Отримати копію даних, які ми про вас зберігаємо. Кнопка «Експортувати мої дані» в розділі Налаштування.
  • Виправлення. Змінити неточні дані в профілі.
  • Видалення («право бути забутим»). Видалити обліковий запис разом з контентом. Кнопка «Видалити акаунт» у розділі Налаштування. Ми завершуємо обробку запиту протягом 30 днів.
  • Обмеження обробки. Призупинити певні види обробки за вашим запитом.
  • Перенесення. Експорт у машинно-зчитуваному форматі (JSON / ZIP).
  • Заперечення. Заперечити проти обробки на підставі законних інтересів (6(1)(f)).
  • Відкликання згоди. Відкликати згоду на обробку у будь-який момент (не впливає на правомірність попередньої обробки).
  • Скарга в наглядовий орган. Уповноважений Верховної Ради України з прав людини (для України), або відповідний DPA вашої країни ЄС.

7. Безпека

Ми застосовуємо такі технічні та організаційні заходи:

  • Шифрування на транспорті (HTTPS / TLS 1.3) для всіх з'єднань.
  • Шифрування у спокої — за стандартами Google Cloud / Firebase.
  • Строгі правила доступу (Firestore Rules, Storage Rules).
  • App Check (захист від несанкціонованих клієнтів).
  • Авто-модерація фото (SafeSearch, виявлення PII та облич).
  • Аудиторські журнали з фіксацією IP/User-Agent для всіх дій персоналу.
  • CSP, HSTS, X-Frame-Options, Permissions-Policy на рівні хостингу.
  • Регулярна ротація ключів API.

8. Файли cookie та локальне сховище

Ми використовуємо такі дані у вашому браузері. Аналітичні та інші необов'язкові технології вмикаються лише після вашої згоди через банер cookie (опт-ін); налаштування можна змінити будь-коли.

  • Суворо необхідні: Firebase Auth (сесія входу), App Check (антифрод). Без них сервіс не працює.
  • Функціональні:places.city, places.geo — обране місто та геолокація для зручності. Можна вимкнути в Налаштуваннях.
  • Безпекові: reCAPTCHA — антифрод при авторизації за номером телефону.

9. Передача даних за межі України / ЄЕЗ

Деякі субпроцесори (Google, Algolia) можуть обробляти дані за межами ЄЕЗ та України. Ми гарантуємо рівень захисту, що відповідає GDPR, через:

  • Стандартні договірні умови ЄК 2021/914;
  • DPA з кожним субпроцесором;
  • Технічні заходи (шифрування, мінімізація даних).

10. Зміни до Політики

Ми можемо оновлювати цю Політику. При суттєвих змінах ми сповістимо вас через email або при наступному вході в Сервіс і запитаємо повторну згоду. Архів попередніх версій надається за запитом.

11. Контакти

Запити суб'єктів даних, скарги, повідомлення про порушення: privacy@places-ua.web.app. Ми відповідаємо протягом 30 днів.

Умови користування · На головну