ПОЛІТИКА КОНФІДЕНЦІЙНОСТІ ДЛЯ ПЛАТФОРМИ CRM/ERP CARBOOK
Останнє оновлення: 1 липня 2026 р.
Ця Політика конфіденційності (далі — „Політика”) описує, як компанія ТОВ «Карбук Софт» (далі — „Carbook Soft”, „ми”, „нас” або „наш”) обробляє персональні дані у зв'язку з використанням нашої хмарної SaaS-платформи CRM/ERP, розробленої для автосервісів (далі — „Платформа”).
Ця Політика застосовується виключно к авторизованим користувачам нашої Платформи (нашим Бізнес-клієнтам та їхньому персоналу). Наш публічний веб-сайт (carbook.pro) та пов'язана маркетингова діяльність регулюються окремим повідомленням про конфіденційність.
1. ВЛАСНИК ДАНИХ (CONTROLLER) ТА КОНТАКТНА ІНФОРМАЦІЯ
Щодо діяльності з обробки, описаної в Розділі 3 цієї Політики, Carbook Soft діє як незалежний Власник персональних даних (Data Controller) відповідно до Загального регламенту про захист даних (GDPR/RODO) та Закону України «Про захист персональних даних».
- Повне юридичне найменування: ТОВ «Карбук Софт» (Carbook Soft LLC)
- Юридична адреса: Харківське шосе, буд. 19, оф. 2005, м. Київ, 02090, Україна
- Код ЄДРПОУ: 44322813
- Email з питань конфіденційності: [email protected] (Основна контактна особа для запитів щодо захисту даних)
1.1 Представник в ЄС (ст. 27 GDPR)
Оскільки компанія Carbook Soft заснована за межами ЄС/ЄЕЗ (в Україні) та надає послуги клієнтам у ЄС, ми призначили Представника в ЄС. З будь-яких питань щодо GDPR та ваших прав на приватність ви також можете звертатися до:
- Назва представника в ЄС: Prighter EU Rep GmbH
- Адреса: Schellinggasse 3/10, 1010 Vienna, Austria
- Центр довіри (Trust Center): https://app.prighter.com/portal/18533612568
2. CARBOOK SOFT ЯК РОЗПОРЯДНИК ДАНИХ (PROCESSOR) — ВАЖЛИВА ПРИМІТКА
Зверніть увагу, що коли наші Бізнес-клієнти (автосервіси / СТО) використовують Платформу для керування своїми щоденними операціями, вони завантажують у CRM персональні дані, які стосуються їхніх кінцевих клієнтів (власників авто, водіїв), а також дані власного персоналу СТО.
Відносно таких даних наш Клієнт (СТО) діє як Власник даних (Data Controller), а Carbook Soft діє виключно як Розпорядник персональних даних (Data Processor). Як Розпорядник даних ми забезпечуємо виконання таких функцій від імені Клієнта:
- Ведення бази клієнтів та контактів
- Облік транспортних засобів та реєстраційних логів
- Облік нарядів-замовлень, сервісної історії та планування
- Інтегрована телефонія, журнали дзвінків та SMS-функції
- Касові та фіскальні операції
- Процесингові (сервісні) сповіщення кінцевим клієнтам
- Імпорт даних із зовнішніх файлів (процеси ETL)
- Збір відгуків та зворотного зв'язку від водіїв
- Обробка даних власного персоналу СТО
Обробка цих даних суворо регулюється окремим Договором про обробку даних (Data Processing Agreement — DPA), який укладається між Carbook Soft та Клієнтом, і не охоплюється умовами цієї Політики конфіденційності.
3. РЕЄСТР ДІЯЛЬНОСТІ З ОБРОБКИ (ROPA) — ЯК ВЛАСНИК
Нижче наведено структурований огляд того, як ми обробляємо персональні дані у випадках, коли Carbook Soft діє як Власник персональних даних (в основному це стосується адміністративних та технічних даних облікових записів наших Клієнтів та їхніх користувачів).
| Ціль обробки | Категорії персональних даних | Правова підстава (GDPR) | Термін зберігання |
|---|---|---|---|
| Облікові записи та автентифікація на Платформі | ПІБ, назва компанії, корпоративна адреса електронної пошти, номер телефону, облікові дані користувача (логін), зашифрований пароль, призначена роль у системі. | Ст. 6(1)(b) GDPR — Виконання договору (Умови використання Платформи). | Протягом дії договору + 3 роки. |
| Виставлення рахунків та корпоративний бухоблік | Назва компанії, ІПН/податковий ідентифікатор платника, корпоративні банківські реквізити (IBAN), історія транзакцій. *Примітка: Ми не використовуємо сторонні платіжні шлюзи; оплата здійснюється виключно за рахунком прямо на наш IBAN. |
Ст. 6(1)(c) GDPR — Виконання юридичного зобов'язання (бухгалтерське та податкове законодавство). | 7 років (відповідно до вимог законодавства щодо збереження фінансової документації). |
| Аналітика Платформи та оптимізація продуктивності | Знеособлені та деідентифіковані дані про використання, статистичні метрики, взаємодія з функціями системи. | Ст. 6(1)(f) GDPR — Наш законний інтерес (Legitimate Interest) щодо аналізу роботи ПЗ та покращення функцій нашого SaaS-продукту. | Зберігаються лише у знеособленій формі, яка не дозволяє ідентифікувати особу. |
| Маркетингові та бізнес-комунікації | Ім'я, бізнес-email, робочий номер телефону. *Примітка: Ми не надсилаємо автоматичні масові маркетингові email. Всі звернення обробляються менеджерами вручну через канали, які обере сам клієнт. |
Ст. 6(1)(f) GDPR — Наш законний інтерес щодо підтримання ділових відносин та інформування поточних клієнтів про оновлення платформи. | До моменту, поки клієнт не заперечить проти маркетингових комунікацій або не попросить видалити дані. |
| Журнали безпеки та запобігання шахрайству | IP-адреси, типи браузерів, операційні системи, мітки часу входу (таймстампи), логи активності в системі та технічні дані подій безпеки. | Ст. 6(1)(f) GDPR — Наш законний інтерес щодо забезпечення технічної безпеки, запобігання зловмисним діям (хакерство, шахрайство) та забезпечення стабільної роботи платформи. | Технічні журнали серверів (логи безпеки) автоматично видаляються через 12 місяців. |
| Управління персоналом (Carbook HR) | ПІБ, контактні дані, реквізити контрактів, дані про виплати працівникам та підрядникам Carbook Soft. | Ст. 6(1)(b) & (c) GDPR — Виконання контрактних зобов'язань та дотримання трудового/податкового законодавства. | Протягом періоду співпраці + встановлені законом строки зберігання архівних документів. |
4. ОДЕРЖУВАЧІ ДАНИХ ТА СУБПРОЦЕСОРИ
Ми не продаємо, не здаємо в оренду та не обмінюємося персональними даними з третіми сторонами. Для забезпечення безперебійної роботи Платформи ми ділимося даними лише з перевіреними постачальниками послуг на підставі суворих договірних умов:
- Постачальник інфраструктури та хостингу: Всі продукційні бази даних та дані користувачів безпечно розміщені на території Європейського Союзу на серверах компанії Hetzner Online GmbH (Німеччина).
- Платформи месенджерів та комунікацій: Якщо ви вирішите активувати інтеграцію з месенджерами всередині Платформи (наприклад, Telegram Bot API або UserBot API), необхідні дані для доставки повідомлень (наприклад, номери телефонів, текст сповіщень) будуть передаватися відповідному провайдеру зв'язку (наприклад, Telegram Group Inc.) виключно з метою виконання доставки за вашим запитом.
- Уповноважені державні органи: Дані можуть бути передані правоохоронним чи контролюючим органам лише тоді, коли ми юридично зобов'язані це зробити на підставі офіційного, законного та чинного судового рішення або вимоги законодавства.
5. МІЖНАРОДНА ПЕРЕДАЧА ДАНИХ (ЗА МЕЖІ ЄС/ЄЕЗ)
Основна технічна інфраструктура Платформи фізично розташована в Німеччині (Hetzner). Проте компанія ТОВ «Карбук Софт» юридично зареєстрована в Україні, яка наразі класифікується у GDPR як третя країна без повного рішення Європейської Комісії про адекватність рівня захисту даних (adequacy decision).
Щоб юридично забезпечити легітимність віддаленого доступу та технічної підтримки, яка надається нашим персоналом з України, всі передачі даних та адміністративний доступ повністю покриваються Стандартними договірними положеннями (Standard Contractual Clauses — SCCs), затвердженими Європейською Комісією, у поєднанні з жорсткими додатковими організаційними та технічними заходами безпеки.
6. ЗАХОДИ БЕЗПЕКИ ДАНИХ
Ми вживаємо комплексних технічних та організаційних заходів для захисту ваших даних від несанкціонованого доступу, втрати, зміни або розголошення, зокрема:
- Шифрування під час передачі: Всі з'єднання з Платформою примусово шифруються за допомогою галузевих протоколів Transport Layer Security (TLS/HTTPS).
- Керування ключами (Secret-Store): Системні ключі, паролі та конфігураційні токени суворо ізольовані та управляються за допомогою спеціальних безпечних сховищ секретів.
- Управління доступом на основі ролей (RBAC): Доступ до кластерів баз даних суворо обмежений лише уповноваженим технічним персоналом за принципом «необхідності знання» (need-to-know).
- Безпечне стирання даних: Дані, що зберігаються у нашого хостинг-провайдера (Hetzner), підлягають процедурам гарантованого електронного очищення носіїв після виведення інфраструктури з експлуатації.
7. ПОЛІТИКА СУВОРУ НЕОБХІДНИХ ФАЙЛІВ COOKIE
Платформа використовує виключно суворо необхідні (essential) сесійні файли cookie. Ці файли є обов'язковими для автентифікації користувачів, підтримки безпечного стану сесії та запам'ятовування ваших базових налаштувань інтерфейсу під час активної сесії. Оскільки ці файли cookie потрібні для технічного надання сервісу, який ви свідомо запросили, вони не потребують попередньої згоди користувача відповідно до Директиви про конфіденційність та електронні комунікації (ePrivacy).
Платформа не використовує жодних сторонніх маркетингових, відстежувальних, поведінкових або аналітичних файлів cookie.
8. ВАШІ ПРАВА ЯК СУБ'ЄКТА ДАНИХ (ВІДПОВІДНО ДО GDPR ТА ЗАКОНОДАВСТВА УКРАЇНИ)
Як фізична особа, яка перебуває в ЄС/ЄЕЗ (або є суб'єктом даних за законодавством України), ви маєте такі права, що гарантуються Розділом III GDPR та ст. 8 Закону України «Про захист персональних даних»:
- Право на доступ (ст. 15 GDPR): Запитати копію персональних даних, які ми зберігаємо про вас.
- Право на виправлення (ст. 16 GDPR): Вимагати виправлення неточних або застарілих даних.
- Право на видалення / „Право бути забутим” (ст. 17 GDPR): Вимагати повного видалення ваших даних за наявності законних підстав.
- Право на обмеження обробки (ст. 18 GDPR): Вимагати тимчасового призупинення обробки ваших даних.
- Право на переносність даних (ст. 20 GDPR): Отримати свої дані у структурованому машиночитаному форматі для передачі іншому контролеру.
- Право на заперечення (ст. 21 GDPR): Заперечити проти обробки даних, яка здійснюється на основі нашого законного інтересу.
Для реалізації будь-якого з цих прав, будь ласка, звертайтеся прямо на нашу пошту: [email protected]. Ми перевіримо вашу особу та надамо відповідь на ваш запит протягом встановлених законом 30 календарних днів.
9. ЗМІНИ ДО ЦІЄЇ ПОЛІТИКИ
Ми залишаємо за собою право вносити зміни до цієї Політики конфіденційності відповідно до розвитку технічних процесів або вимог законодавства. Про будь-які суттєві зміни ми повідомимо вас в інтерфейсі Платформи або за допомогою прямого повідомлення щонайменше за 30 днів до набрання ними чинності.
10. ПРАВО НА СКАРГУ ДО НАГЛЯДОВОГО ОРГАНУ
Якщо ви вважаєте, що обробка ваших персональних даних порушує вимоги законодавства, ви маєте безумовне право подати скарб до компетентного наглядового органу із захисту даних у вашій країні проживання або роботи в ЄС (перелік органів: https://edpb.europa.eu), або до Уповноваженого Верховної Ради України з прав людини, якщо ви перебуваєте в Україні.
