Політика конфіденційності

Останнє оновлення: 14 травня 2026

1. Володілець (контролер) персональних даних

Ця Політика конфіденційності (далі — «Політика») описує, як здійснюється обробка персональних даних під час використання сервісу TraineryApp (далі — «Сервіс»), доступного за адресою trainery.app та супутніх піддоменів.

Володілець (контролер) персональних даних: Фізична особа-підприємець [[Прізвище Ім'я По батькові]], РНОКПП [[XXXXXXXXXX]], місцезнаходження: [[поштовий індекс, область, місто, вулиця, будинок]] (далі — «Володілець», «ми»).

Контактна особа з питань захисту персональних даних: privacy@trainery.app.

Обробка персональних даних здійснюється відповідно до Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI, а для суб'єктів персональних даних з ЄС/ЄЕЗ — також відповідно до Загального регламенту про захист даних ЄС (Regulation (EU) 2016/679, GDPR).

2. Розподіл ролей: контролер та процесор

Сервіс має дворівневу модель ролей у питаннях обробки персональних даних:

Дані Замовників (адміністраторів організацій): ім'я, контактна інформація, реквізити, дані для виставлення рахунків. Щодо цих даних Володілець виступає контролером.
Дані Користувачів організацій (учасників, тренерів): ім'я, контакти, історія бронювань, абонементи, відвідуваність. Щодо цих даних Замовник є контролером, а Володілець — процесором (розпорядником), що обробляє дані на доручення Замовника. Умови такої обробки додатково регулюються Угодою про обробку даних (DPA).

3. Які дані ми збираємо

3.1. Дані, які ви надаєте безпосередньо

Реєстраційні дані: ім'я, прізвище, електронна пошта, пароль (зберігається у формі хешу).
Дані профілю: номер телефону, фотографія профілю, мовні налаштування.
Дані організації: назва студії, адреса, логотип, тема оформлення.
Дані бронювання: інформація про заняття, абонементи, відвідування, замітки тренера.
Платіжні дані: сума, дата та призначення платежу. Реквізити банківських карток обробляються виключно платіжним провайдером і у нас не зберігаються.
Звернення: зміст листів та повідомлень, що ви надсилаєте у службу підтримки.

3.2. Дані, які збираються автоматично

Технічні дані: IP-адреса, тип браузера, операційна система, ідентифікатор сесії.
Журнали дій: час доступу, переглянуті сторінки, виконані операції.
Дані про використання: які функції активуються, агреговані метрики продуктивності.

3.3. Дані від третіх сторін

Google OAuth: якщо ви входите через Google, ми отримуємо ваше ім'я, електронну пошту та фото профілю в межах наданих вами дозволів.
Telegram: якщо ви прив'язуєте Telegram-сповіщення, ми отримуємо ваш Telegram ID та (опціонально) ім'я для налаштування каналу сповіщень.

4. Цілі та правові підстави обробки

Ми обробляємо персональні дані лише для визначених, законних цілей, на таких правових підставах:

Мета обробки	Правова підстава (GDPR ст. 6 / ЗУ «Про захист персональних даних»)
Надання Сервісу, виконання Договору	Виконання договору (ст. 6(1)(b) GDPR; ст. 11 ЗУ)
Виставлення рахунків, бухгалтерський облік	Юридичне зобов'язання (ст. 6(1)(c) GDPR)
Безпека Сервісу, запобігання шахрайству	Законний інтерес (ст. 6(1)(f) GDPR)
Сповіщення (email, Telegram, push)	Виконання договору або згода (ст. 6(1)(a)/(b) GDPR)
Аналітика та покращення продукту	Законний інтерес (ст. 6(1)(f) GDPR)
Маркетингові розсилки	Згода (ст. 6(1)(a) GDPR)

5. Розкриття персональних даних третім особам

Ми не продаємо персональні дані. Ми розкриваємо дані лише у наступних випадках:

В межах організації: у обсязі, необхідному для роботи (наприклад, тренер бачить список учасників свого заняття).
Залучені субпроцесори: постачальники інфраструктури, з якими укладено договори про обробку даних (див. п. 6).
Виконання правових вимог: на запит уповноважених державних органів у межах і порядку, передбачених законом.
Бізнес-передачі: у разі реорганізації, продажу бізнесу або злиття з повідомленням суб'єктів даних.

6. Субпроцесори

Ми залучаємо обмежене коло перевірених постачальників послуг, з якими укладено договори про обробку даних. Поточний перелік субпроцесорів:

Субпроцесор	Призначення	Місце обробки
Hetzner Online GmbH	Хостинг застосунку та бази даних	Німеччина (ЄС)
[[SMTP-провайдер електронної пошти]]	Доставка транзакційних листів	[[ЄС / США (з відповідними механізмами передачі)]]
Telegram FZ-LLC	Доставка сповіщень у месенджері (за згодою користувача)	ОАЕ / глобальна інфраструктура
Google LLC (Google OAuth)	Автентифікація через обліковий запис Google	США (Стандартні договірні положення ЄС)

Перелік може бути оновлений; актуальна версія завжди знаходиться на цій сторінці. Про додавання нових субпроцесорів ми повідомляємо Замовників не менш ніж за 30 днів.

7. Транскордонна передача даних

Основні системи TraineryApp розміщені на території ЄС (Hetzner, Німеччина). У разі передачі даних до субпроцесорів за межами ЄС/ЄЕЗ або України ми забезпечуємо належний рівень захисту шляхом укладення Стандартних договірних положень ЄС (SCC) або інших передбачених GDPR/українським законодавством механізмів.

8. Строки зберігання даних

Дані облікового запису: протягом усього часу дії облікового запису та 30 днів після його видалення (для можливого відновлення).
Резервні копії: 30 днів після видалення даних з робочих систем.
Дані бронювань та відвідуваності: протягом дії членства в організації; після виходу — за рішенням Замовника-контролера, але не довше 3 років.
Платіжні документи: 1095 днів (3 роки) відповідно до Податкового кодексу України.
Журнали безпеки: 90 днів.
Звернення у підтримку: 2 роки з моменту закриття звернення.

9. Ваші права

Як суб'єкт персональних даних ви маєте право:

Знати про джерела збирання, цілі та строки обробки своїх даних (ст. 8 ЗУ; ст. 13–14 GDPR).
Доступу: отримати копію своїх даних (ст. 15 GDPR).
Виправлення: вимагати виправлення неточних даних (ст. 16 GDPR).
Видалення («право бути забутим»): вимагати видалення (ст. 17 GDPR), окрім випадків, коли зберігання вимагається законом.
Обмеження обробки (ст. 18 GDPR).
Перенесення даних у структурованому машиночитаному форматі (ст. 20 GDPR).
Заперечення проти обробки на підставі законного інтересу або для маркетингу (ст. 21 GDPR).
Відкликання згоди в будь-який час, якщо обробка базується на згоді.
Скарги до наглядового органу:
- в Україні — Уповноваженого Верховної Ради України з прав людини (ombudsman.gov.ua);
- у ЄС/ЄЕЗ — до національного органу із захисту даних за місцем проживання.

Для реалізації ваших прав надішліть запит на privacy@trainery.app. Ми відповідаємо протягом 30 днів. Для даних, контролером яких є Замовник (ваша організація), запит спочатку слід направити безпосередньо до неї.

10. Заходи безпеки

Шифрування трафіку TLS 1.2+;
Хешування паролів сучасними алгоритмами (Argon2/bcrypt);
Фізична ізоляція баз даних між різними організаціями (database-per-tenant);
Рольова модель доступу та принцип мінімально необхідних привілеїв;
Регулярні резервні копії та моніторинг безпеки;
Контроль доступу персоналу Володільця за принципом «need to know».

У разі витоку даних, що становить ризик для прав і свобод суб'єктів, ми повідомляємо Уповноваженого ВРУ з прав людини протягом 72 годин, а наглядові органи ЄС — у строки, визначені ст. 33 GDPR.

11. Файли cookie та подібні технології

Необхідні: сесійні токени, ідентифікатор тенанта, налаштування CSRF — без них Сервіс не функціонує.
Функціональні: мова інтерфейсу, тема (світла/темна), розмір віджетів.
Аналітичні: [[вкажіть конкретний інструмент, наприклад: Plausible Analytics, який не використовує cookie, або Google Analytics 4]] — анонімізована статистика використання.

Налаштування cookie доступні через параметри браузера. Вимкнення необхідних cookie може зробити Сервіс непрацездатним.

12. Зміни до Політики

Ми можемо оновлювати цю Політику. Про суттєві зміни ми повідомляємо щонайменше за 30 днів через email або повідомлення в Сервісі. Дата «Останнє оновлення» вгорі сторінки відображає актуальність документа.

13. Контакти

Володілець (контролер) даних: ФОП [[Прізвище Ім'я По батькові]]

РНОКПП: [[XXXXXXXXXX]]

Місцезнаходження: [[адреса]]

Email з питань конфіденційності: privacy@trainery.app

Загальна підтримка: support@trainery.app