Політика конфіденційності

2.1. Відомості про контролера

Контролером персональних даних є:

• Назва: KoloPlus (ФОП / ТОВ — вказати реквізити)
• Адреса: Україна (вказати повну адресу)
• Email: legal@koloplus.com
• Код ЄДРПОУ: (вказати за наявності)

2.2. Представник у ЄС

Для користувачів з Європейського Союзу призначено представника відповідно до Статті 27 GDPR:

• Назва: (вказати представника)
• Адреса: (вказати адресу в ЄС)
• Email: eu-representative@koloplus.com

3.1. Дані, які ви надаєте безпосередньо

3.2. Дані, які збираються автоматично

3.3. Дані з третіх джерел

• OAuth провайдери: При вході через Google/Facebook — публічний профіль, email
• Платіжні системи: Статус транзакції (без повних платіжних даних)
• Рекламні партнери: Анонімізовані дані про ефективність реклами

4.1. Основні цілі

• Надання послуг: Створення акаунта, доступ до функцій платформи
• Персоналізація: Рекомендації контенту, налаштування інтерфейсу
• Комунікація: Сповіщення, відповіді на запити, розсилки (за згодою)
• Ігрова механіка: Ведення статистики, рейтингів, нагород
• Монетизація: Обробка виплат учасникам програми заробітку

4.2. Безпека та захист

• Виявлення та запобігання шахрайству
• Захист від ботів та автоматизованих атак
• Модерація контенту відповідно до правил
• Виконання законних вимог правоохоронних органів

4.3. Аналітика та покращення

• Аналіз використання для покращення UX
• A/B тестування нових функцій
• Збір зворотного зв'язку

4.4. Реклама (за згодою)

• Показ персоналізованої реклами
• Вимірювання ефективності рекламних кампаній
• Ремаркетинг на зовнішніх платформах

TCF / CMP та режими реклами

Для керування згодою на cookies та рекламу ми можемо використовувати Consent Management Platform (CMP), сумісну з IAB Transparency & Consent Framework (TCF) v2.2. Прикладами CMP провайдерів можуть бути Cookiebot (TCF mode), Usercentrics (TCF) або будь‑який інший IAB‑сумісний CMP.

У межах TCF ми оцінюємо щонайменше такі цілі (purposes): Purpose 1 (зберігання/доступ до інформації на пристрої) та Purpose 3/4 (персоналізація/підбір реклами). До надання згоди реклама не завантажується.

• PA (персоналізована реклама): коли дозволено зберігання (Purpose 1) та персоналізацію (Purpose 3/4).
• NPA (неперсоналізована реклама): коли дозволено зберігання (Purpose 1), але не надано згоди на персоналізацію (Purpose 3/4).
• Без реклами: коли не надано згоди на зберігання (Purpose 1).

Ви можете відкликати або змінити згоду у будь‑який момент через налаштування cookies (кнопка/посилання «Cookie settings»).

5.1. Виконання договору (Art. 6(1)(b))

Обробка необхідна для надання послуг платформи:

• Реєстрація та авторизація
• Функціонал профілю та контенту
• Ігрові механіки та нагороди
• Виплати учасникам монетизації

5.2. Згода (Art. 6(1)(a))

Для певних видів обробки ми запитуємо вашу згоду:

• Маркетингові email-розсилки
• Персоналізована реклама
• Аналітичні та рекламні cookies
• Обробка чутливих даних (якщо застосовно)

5.3. Законний інтерес (Art. 6(1)(f))

Ми маємо законний інтерес у:

• Забезпеченні безпеки платформи
• Запобіганні шахрайству та зловживанням
• Покращенні сервісу на основі аналітики
• Захисті прав та власності KoloPlus

5.4. Юридичний обов'язок (Art. 6(1)(c))

• Виконання запитів правоохоронних органів
• Зберігання фінансових записів згідно законодавства
• Виконання вимог DSA щодо модерації

6.1. Ваші права згідно GDPR

6.2. Як реалізувати права

1. Через налаштування: Більшість прав доступні в розділі «Налаштування → Приватність»
2. Запит до DPO: Надішліть email на privacy@koloplus.com
3. Онлайн-форма: Заповніть форму запиту на сайті

6.3. Строки розгляду

• Стандартний строк: до 30 днів з моменту отримання запиту
• Складні запити: до 60 днів з повідомленням про продовження
• Безкоштовно: перший запит на рік безкоштовний

6.4. Право на скаргу

Якщо ви вважаєте, що ваші права порушено, ви маєте право звернутись до:

• Україна: Уповноважений Верховної Ради України з прав людини (омбудсмен)
• ЄС: Наглядовий орган вашої країни проживання

7.1. Загальні принципи

Ми зберігаємо дані лише стільки, скільки необхідно для досягнення цілей обробки або виконання законних вимог.

7.2. Конкретні строки

7.3. Видалення даних

Після закінчення строку зберігання дані:

• Безповоротно видаляються з основних систем
• Видаляються з резервних копій при черговій ротації
• Анонімізуються для статистичних цілей (де застосовно)

8.1. Категорії отримувачів

• Хостинг-провайдери: Зберігання даних на серверах (ЄС)
• Платіжні системи: Обробка транзакцій (за участі)
• Аналітичні сервіси: Google Analytics (анонімізовані дані)
• Рекламні партнери: Для показу реклами (за згодою)
• CDN/захист: Cloudflare для безпеки та швидкості

8.2. Міжнародна передача

Персональні дані зберігаються на серверах у Європейському Союзі.

У разі передачі до третіх країн ми забезпечуємо:

• Стандартні договірні положення ЄС (SCC)
• Рішення про адекватність Комісії ЄС
• Обов'язкові корпоративні правила (BCR)

8.3. Юридичні запити

Ми можемо розкрити дані на вимогу:

• Судових органів (за наявності рішення суду)
• Правоохоронних органів (у межах закону)
• Регуляторних органів (DSA Coordinator тощо)

9.1. Технічні заходи

• Шифрування: TLS 1.3 для передачі, AES-256 для зберігання
• Хешування паролів: bcrypt з достатньою складністю
• Двофакторна автентифікація: Доступна для всіх користувачів
• WAF та захист від DDoS: Cloudflare
• Регулярні оновлення: Патчі безпеки застосовуються оперативно

9.2. Організаційні заходи

• Обмеження доступу за принципом мінімальних привілеїв
• Регулярне навчання персоналу з питань безпеки
• Аудит доступу до персональних даних
• Політика чистого столу та чистого екрану

9.3. Реагування на інциденти

У разі витоку даних ми:

1. Повідомимо наглядовий орган протягом 72 годин (GDPR Art. 33)
2. Повідомимо постраждалих користувачів без невиправданої затримки
3. Вживемо заходів для мінімізації шкоди
4. Задокументуємо інцидент та вжиті заходи

10.1. Що таке cookies

Cookies — це невеликі текстові файли, які зберігаються у вашому браузері. Вони допомагають нам запам'ятовувати ваші налаштування та покращувати роботу сайту.

10.2. Категорії cookies

10.3. Управління cookies

• Банер згоди: При першому візиті ви можете обрати категорії
• Налаштування: Змінити вибір можна в «Налаштування → Приватність → Cookies»
• Браузер: Ви можете заборонити всі cookies в налаштуваннях браузера

10.4. Сторонні сервіси

• Google Analytics: Аналітика (IP анонімізовано)
• Google Ads: Рекламні cookies (за згодою)
• Cloudflare: Технічні cookies для безпеки

11.1. Вікові обмеження

• Мінімальний вік для реєстрації: 13 років
• Для користувачів 13-16 років (ЄС): потрібна згода батьків
• Повна дієздатність на платформі: з 18 років

11.2. Захист даних дітей

• Ми не збираємо свідомо дані дітей до 13 років
• Неповнолітнім не показується персоналізована реклама
• Профіль неповнолітніх за замовчуванням приватний
• Контент 18+ недоступний для неповнолітніх

11.3. Для батьків

Якщо ви виявили, що ваша дитина зареєструвалась без дозволу:

1. Зв'яжіться з нами за адресою privacy@koloplus.com
2. Надайте підтвердження батьківства
3. Ми видалимо акаунт та всі дані протягом 48 годин

12.1. Процедура оновлення

Ми можемо оновлювати цю Політику для відображення змін у:

• Нашій практиці обробки даних
• Законодавстві та регуляторних вимогах
• Функціоналі платформи

12.2. Повідомлення про зміни

Про суттєві зміни ми повідомляємо через:

• Email-сповіщення (за 30 днів до набуття чинності)
• Банер на платформі
• Push-сповіщення (за наявності згоди)

12.3. Історія версій

• v2.0.0 (21.02.2026) — Повне оновлення для GDPR/DSA
• v1.0.0 — Початкова версія

13.1. Контактні дані DPO

• Email: privacy@koloplus.com
• Тема листа: [GDPR] або [Privacy Request]
• Час відповіді: до 72 годин (робочі дні)

13.2. Що включити в запит

• Ваш email або нікнейм на платформі
• Тип запиту (доступ, видалення, виправлення тощо)
• Детальний опис запиту
• Підтвердження особи (за потреби)

13.3. Інші контакти

• Власник/контролер: KoloPlus (Czech Republic)
• Загальна підтримка: support@koloplus.com
• Юридичний відділ: legal@koloplus.com
• Безпека: security@koloplus.com