Політика конфіденційності

Версія 2.0 — оновлено 22 травня 2026

MiVi (далі — «ми», «MiVi» або «додаток») — маркетплейс б'юті-послуг, що з'єднує клієнтів з майстрами краси. Контролер даних: ФОП Олег Кошик, Україна, контакт [email protected]. Ця політика пояснює, які дані ми збираємо, на яких правових підставах, кому передаємо та як ви можете реалізувати свої права згідно з GDPR (Регламент ЄС 2016/679) та Законом України «Про захист персональних даних».

1. Які дані ми збираємо

Обліковий запис: номер телефону, ім'я, фото профілю, пароль (зберігаємо лише bcrypt-хеш).
Telegram-OAuth: Telegram ID, username, ім'я (якщо ви обрали вхід через Telegram).
Sign in with Apple / Google: ідентифікатор користувача та email (якщо ви обрали ці способи).
Геолокація: широта/довгота для пошуку майстрів поруч (тільки з вашого явного дозволу системи).
Фото: аватари, портфоліо майстрів, фото послуг та товарів — завантажуєте ви.
Записи та платежі: майстер, послуга, дата, ціна, статус, відгуки. Платежі готівкою/особисто — ми не обробляємо банківські реквізити.
Push-токени: Expo + OneSignal player ID — для сповіщень про записи.
Технічні дані: IP-адреса, версія додатку, тип пристрою, локаль, мова, аналітика збоїв (Sentry).
Контент розмов з ботом: ваші повідомлення Telegram-боту MiVi (якщо взаємодієте з ним).

2. Правові підстави обробки (GDPR Art. 6)

Виконання договору (Art. 6(1)(b)): створення акаунту, пошук майстрів, бронювання, відгуки.
Законний інтерес (Art. 6(1)(f)): запобігання шахрайству, аналітика збоїв, безпека сервісу. Ви можете заперечити цю обробку.
Згода (Art. 6(1)(a)): маркетингові push, доступ до камери/геолокації/фото — кожна окремо запитується системою. Згоду можна відкликати у налаштуваннях.
Юридичний обов'язок (Art. 6(1)(c)): відповіді на запити правоохоронних органів за рішенням суду.

3. Хто отримує ваші дані (процесори)

Ми ніколи не продаємо ваші дані. Передаємо лише обраним процесорам:

Процесор	Мета	Юрисдикція
Hetzner Online GmbH	Хостинг сервера, БД	Німеччина (ЄС)
Cloudflare R2 / Cloudflare Inc.	Зберігання фото, CDN, DNS	США (SCC + DPF)
OneSignal Inc.	Доставка push-сповіщень	США (SCC + DPF)
Telegram FZ-LLC	OAuth, повідомлення бота, нотифікації	ОАЕ / Велика Британія
Sentry (Functional Software Inc.)	Збір збоїв і помилок для діагностики	США (SCC + DPF)
OpenAI L.L.C.	AI-розпізнавання послуг/товарів за фото (за вашою ініціативою)	США (SCC + DPF)
Apple Inc., Google LLC	Доставка додатку, Sign in with Apple/Google	США (SCC + DPF)
Expo / EAS	Push-доставка через APNs/FCM, OTA-оновлення	США (SCC + DPF)

4. Передача даних за межі ЄС/України

Деякі процесори (OneSignal, Sentry, OpenAI, Cloudflare, Apple, Google, Expo) розташовані в США. Передачі здійснюються на підставі Standard Contractual Clauses (SCC) та програми EU-US Data Privacy Framework (для сертифікованих учасників). Telegram — на підставі SCC. Жодні дані не передаються до країн без належного рівня захисту.

5. AI-функції (важливо)

Коли майстер натискає «Розпізнати послуги за фото прайс-листа» або «Розпізнати товар», зображення передається до OpenAI (модель GPT-4 Vision) для отримання структурованих даних. OpenAI обробляє запит згідно з API DPA (data processing addendum) і не використовує його для навчання моделей. Якщо ви не використовуєте AI-функції — дані до OpenAI не передаються.

6. Telegram-userbot (важливо)

Для прискореної доставки сповіщень користувачам, що не мають додатку, MiVi використовує Telegram-userbot (MTProto-сесія). Userbot працює від імені сервісного акаунту MiVi і пише лише користувачам, які самостійно надали свій Telegram ID через OAuth-вхід або кнопку «Підписатись на нагадування». Якщо ви не хочете отримувати повідомлення — заблокуйте бот або вимкніть Telegram-сповіщення в профілі.

7. Зберігання та строки

Категорія даних	Строк зберігання
Обліковий запис, фото, інтереси	До видалення акаунту
Записи (bookings), відгуки	3 роки після завершення (для статистики майстра)
Сесії веб-входу	30 днів неактивності
Push-токени	До скасування користувачем / 180 днів неактивності
Telegram-OAuth токени	15 хв (одноразові) / постійні — до відкликання
Логи помилок (Sentry)	90 днів
Запити правоохоронних органів	Згідно з законодавством України

Дані хостяться на серверах у Німеччині (Hetzner). Паролі — bcrypt cost 10. Передача — HTTPS. Сесійні куки — HTTPOnly + Secure + SameSite=Lax. Доступ до прод-БД — лише з whitelisted IP по SSH-ключу.

8. Ваші права (GDPR Art. 15–22)

Доступ: запит копії ваших даних — на email [email protected], відповідь протягом 30 днів.
Виправлення: через «Профіль» у додатку або email.
Видалення («право бути забутим»): /delete-account або «Видалити акаунт» у профілі додатку. Видалення каскадне: акаунт, фото, токени, ваші відгуки (анонімізуються лише відгуки на майстрів, щоб не пошкодити їхню репутацію — без вашого імені).
Переносимість: експорт у JSON — email-запит.
Заперечення: можете заперечити маркетинг-комунікації одним кліком; legitimate-interest обробку — після перевірки.
Обмеження: на час розгляду спору.
Відкликання згоди: у налаштуваннях пристрою (камера/локація/фото) та в профілі (маркетинг).
Скарга: до Уповноваженого Верховної Ради України з прав людини або до DPA країни ЄС.

9. Cookies та трекери

Мобільний додаток не використовує cookies, але використовує device identifiers (push-token, OneSignal player ID, Expo install ID) і повідомляє Sentry про збої. Веб-сайт (mivi.uk, admin.mivi.uk, cabinet.mivi.uk) використовує лише сесійні cookies для входу — без third-party аналітики / трекерів / реклами.

10. Безпека

Ми застосовуємо: HTTPS на всіх endpoints, Helmet CSP, rate-limiting, CSRF-захист, session regeneration після логіну, helmet/CORS, щоденні DB backups, моніторинг Sentry, ізольований Redis для сесій. Інциденти безпеки повідомляємо протягом 72 годин (GDPR Art. 33).

11. Діти

Сервіс розрахований на осіб 16 років або старше. Ми не збираємо свідомо дані осіб молодше 16. Якщо ви опікун і вважаєте, що ваша дитина зареєструвалась — напишіть на [email protected], видалимо акаунт протягом 7 днів.

12. Зміни політики

При суттєвих змінах ми попередимо: push-сповіщенням, банером у додатку, або листом на email. Користування сервісом після оновлення = згода з новою редакцією.

Контакти DPO та запити

Email для всіх privacy-запитів: [email protected]
Загальна підтримка: [email protected]
Telegram: @mivi_today_bot