Політика конфіденційності

1. Оператор персональних даних

Оператором персональних даних, що обробляються через сервіс FopTax (далі — Сервіс), є Товариство з обмеженою відповідальністю «ФОПТАКС АІ» (LIMITED LIABILITY COMPANY “FOPtax. ai”), ЄДРПОУ: 46255819, юридична адреса: 01033, Україна, м. Київ, вул. Саксаганського, буд. 30в, офіс 33, керівник — Воронов Роман В'ячеславович, контактний email: [email protected]. Підстава: ст. 4 та ст. 24 ЗЗПД.

2. Категорії персональних даних, які обробляються

• Електронна адреса (email).
• Хеш пароля (зберігається у незворотному вигляді через bcrypt / argon2 — оригінальний пароль Оператор не зберігає і не може відновити).
• Технічні метадані сесії: IP-адреса, User-Agent, час входу, cookie-токен.
• Метадані банківської виписки під час парсингу: дати операцій, контрагенти, суми, призначення платежу. Сам файл виписки НЕ зберігається — видаляється з пам’яті сервера одразу після парсингу.
• Результати скорингу: бал ризику, виявлені фактори ризику, згенеровані рекомендації.
• Дата і факт надання згоди на цю Політику (для аудиту згідно зі ст. 11 ЗЗПД).

3. Мета обробки

• Надання інформаційно-аналітичної послуги (скоринг ризиків ДПС).
• Автентифікація Користувача та контроль доступу до кабінету.
• Запобігання зловживанням: rate-limit, виявлення підозрілої активності, захист від автоматизованих атак.
• Обробка платежу та рекурентних списань за платну підписку через провайдера WayForPay (див. розд. 6).
• Технічна аналітика та виявлення інцидентів безпеки на стороні Оператора.

4. Правова підстава обробки

Обробка здійснюється на підставі:

• Згоди суб’єкта (ст. 11 ЗЗПД), отриманої при реєстрації через явний чекбокс у формі створення кабінету.
• Виконання договору (Умови користування за посиланням /legal/terms та Публічна оферта при оформленні платної підписки за посиланням /legal/offer).

5. Термін зберігання

• Кабінет Користувача та результати скорингу — до видалення кабінету Користувачем АБО протягом 3 років з останнього входу (обирається те, що настане раніше).
• Файли банківських виписок — НЕ зберігаються(видаляються одразу після парсингу).
• Логи безпеки (IP, час входу) — 12 місяців.
• Записи про платежі — згідно з податковим законодавством України (зазвичай 3 роки).

6. Передача третім сторонам

Оператор залучає таких процесорів:

• DigitalOcean Inc. (хостинг та керована БД, регіон FRA1 — Франкфурт-на-Майні, Німеччина) — оператор з GDPR-еквівалентним рівнем захисту.
• ТОВ «ВЕЙФОРПЕЙ» (WayForPay) — обробник платежу та рекурентних списань за підписку через сервіс WayForPay Subscribes. Реквізити картки на сервери Оператора НЕ передаються (PCI-DSS поза скоупом).

Передача за межі України здійснюється лише до операторів, які забезпечують рівень захисту, еквівалентний українському (GDPR / Адекватність).

7. Права суб’єкта персональних даних

Згідно зі ст. 8 ЗЗПД Користувач має право:

• На доступ до своїх персональних даних.
• На виправлення неточних даних.
• На видалення даних (право бути забутим).
• На обмеження обробки.
• На відкликання згоди в будь-який момент.
• На скаргу до Уповноваженого Верховної Ради України з прав людини (Омбудсмен).
• На звернення до суду за захистом своїх прав.

Запит подається на email Оператора, зазначений у розд. 1. Відповідь надається протягом 30 календарних днів.

8. Cookies та трекери

Сервіс використовує необхідні cookies для автентифікації та аналітичні cookies (за згодою). Повний перелік — у Політиці щодо cookie.

9. Безпека даних

• TLS 1.2+ для всіх мережевих з’єднань.
• Хеш паролів через bcrypt / argon2 (за замовчуванням Better-Auth).
• Rate-limit на ендпоїнтах автентифікації.
• Шифрування БД на стороні хостинг-провайдера.
• Регулярний моніторинг інцидентів безпеки.

10. Зміни до Політики

Оператор повідомляє про істотні зміни через email не пізніше ніж за 14 днів до набрання ними чинності. Несуттєві зміни (виправлення опечаток, оновлення посилань) оприлюднюються без окремого повідомлення. Поточна версія завжди доступна за цим URL.

11. Контакти

Email Оператора: [email protected]. Повна назва Оператора: див. розд. 1.