Визначення термінів
У цій Політиці конфіденційності терміни вживаються у значенні, визначеному ст. 4 Загального регламенту про захист даних (GDPR):
«Третя країна» – країна, що не є членом Європейського Союзу або Європейського
«Персональні дані» – будь-яка інформація, що стосується ідентифікованої або такої, що може бути ідентифікована, фізичної особи («суб’єкт даних»).
«Обробка» – будь-яка операція або сукупність операцій, що здійснюється щодо персональних даних, зокрема збирання, реєстрація, організація, структурування, зберігання, адаптація, зміна, використання, розкриття, передача, поширення, обмеження, видалення або знищення.
«Контролер» – фізична або юридична особа, яка визначає цілі та засоби обробки персональних даних; у цьому документі – Васько Василь Васильович (silentus.org).
«Обробник» – фізична або юридична особа, що обробляє персональні дані від імені контролера (наприклад, хостинг-провайдер, платіжний процесор, сервіс розсилок).
«Згода» – вільно надане, конкретне, поінформоване та однозначне волевиявлення суб’єкта даних щодо обробки його персональних даних.
1. Які персональні дані збираються
1.1. При використанні silentus.org ми можемо збирати такі категорії персональних даних:
а) Форма підписки на розсилку
Ім’я (якщо вказано) та email-адреса, що збираються при підписці через форму на головній сторінці.
б) Форми контакту та запитів
Ім’я, email-адреса та текст повідомлення, а також будь-яка інша інформація, яку ви добровільно вказуєте у формі (у тому числі форми ліцензійних або партнерських запитів).
в) Дані замовлень (WooCommerce)
При оформленні замовлення на цифрові продукти: ім’я, email, деталі замовлення, статус оплати, технічна інформація про транзакцію та інша інформація, необхідна для оформлення й адміністрування замовлення.
г) Платіжні дані (Stripe / PayPal)
Платежі обробляються сервісами Stripe та PayPal. Дані банківських карток не зберігаються на silentus.org. Stripe та PayPal передають нам обмежений обсяг даних, необхідних для обробки замовлення, зокрема ім’я клієнта, email-адресу, статус платежу, ідентифікатор транзакції та суму. Повні платіжні дані банківських карток не зберігаються на silentus.org.
д) Технічні дані
При відвідуванні сайту автоматично збираються: IP-адресв, тип браузера, інформація про пристрій, дата та час запиту, у межах стандартних серверних логів.
е) Файли cookie
Сайт використовує технічні та функціональні файли cookie. Детальніше – у розділі 6.
2. Цілі та правові підстави обробки
2.1. Ми обробляємо персональні дані лише за наявності законної підстави відповідно до Загального регламенту про захист даних (GDPR). Цілі обробки та відповідні правові підстави наведені нижче:
а) Обробка підписок на email-розсилку здійснюється на підставі згоди користувача відповідно до ст. 6(1)(a) GDPR, ст. 7 GDPR та § 7 Gesetz gegen den unlauteren Wettbewerb (UWG).
б) Обробка замовлень цифрових продуктів здійснюється на підставі виконання договору відповідно до ст. 6(1)(b) GDPR.
в) Обробка запитів щодо ліцензування або партнерства здійснюється на підставі переддоговірних заходів або згоди відповідно до ст. 6(1)(b) або ст. 6(1)(a) GDPR.
г) Технічне забезпечення роботи та функціонування вебсайту здійснюється на підставі законного інтересу відповідно до ст. 6(1)(f) GDPR.
ґ) Виконання юридичних зобов’язань здійснюється на підставі юридичного обов’язку відповідно до ст. 6(1)(c) GDPR.
2.2. Ми не надсилаємо маркетингові email-повідомлення існуючим клієнтам без отримання окремої та явної згоди.Cookies
3. Треті сторони та передача даних
I3.1. Ми використовуємо послуги сторонніх постачальників для роботи вебсайту та надання послуг. У всіх випадках, де це необхідно, укладені договори про обробку даних (DPA) та застосовуються гарантії відповідно до GDPR.
а) Stripe (платіжний процесор)
Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, США.
Дані платіжних карток обробляються виключно Stripe відповідно до стандарту PCI DSS. З Stripe укладено договір про обробку даних (DPA) згідно зі ст. 28 GDPR.
Детальніше: stripe.com/privacy
б) PayPal (платіжний процесор)
PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxembourg.
Обробка даних регулюється умовами PayPal Business, які включають положення про захист даних.
Детальніше: paypal.com/privacy
в) HOSTiQ (хостинг-провайдер)
Сервери розташовані в Україні та Нідерландах.
Передача даних до України (третої країни поза межами ЄС/ЄЕЗ, щодо якої відсутнє рішення про достатній рівень захисту відповідно до ст. 45 GDPR) здійснюється із застосуванням стандартних договірних положень (SCC) відповідно до ст. 46 GDPR.
г) MailPoet / Brevo (сервіс email-розсилок)
Дані підписників (ім’я та email) зберігаються у базі даних WordPress-сайту та можуть оброблятися із використанням сервісів MailPoet та/або Brevo для організації email-розсилок.
Детальніше: mailpoet.com/privacy-policy
ґ) Технічний підрядник (Україна)
Обмежений доступ до адміністративної панелі WordPress та бази даних надається виключно для технічного обслуговування. Обробка даних регулюється договором із включенням стандартних договірних положень (SCC) відповідно до ст. 46 GDPR.
д) Google Fonts
Шрифти Google завантажуються через Elementor із серверів Google лише після отримання згоди користувача через cookie-банер, що може призводити до передачі IP-адреси користувача на сервери Google у США.
Використання здійснюється на підставі згоди користувача через cookie-банер відповідно до § 25 TTDSG та ст. 6(1)(a) GDPR.
е) Cookiebot (платформа керування згодою)
Керування cookie-згодою здійснюється через Cookiebot (Usercentrics A/S, Havnegade 39, 1058 Copenhagen, Данія).
4. Строки зберігання даних
4.1. Ми зберігаємо персональні дані лише протягом часу, необхідного для досягнення відповідної мети обробки або відповідно до вимог законодавства.
а) Email-адреси підписників зберігаються до моменту відписки та видаляються протягом 30 днів після її здійснення.
б) Дані замовлень зберігаються протягом 10 років відповідно до § 147 Німецького податкового кодексу (AO) та § 257 Німецького комерційного кодексу (Handelsgesetzbuch, HGB), якщо таке зберігання вимагається застосовним законодавством.
в) Дані запитів щодо ліцензування або партнерства зберігаються не довше ніж 2 роки після останньої взаємодії.
г) Журнали доступу до сервера (server log files) зберігаються до 90 днів відповідно до політики хостинг-провайдера та вимог безпеки вебсайту.
4.2. Після завершення відповідного строку зберігання дані видаляються або анонімізуються.
5. Ваші права
5.1. Відповідно до Загального регламенту про захист даних (GDPR), ви маєте такі права:
а) Право на доступ до даних (ст. 15 GDPR);
б) Право на виправлення даних (ст. 16 GDPR);
в) Право на видалення (“право бути забутим”) (ст. 17 GDPR);
г) Право на обмеження обробки (ст. 18 GDPR);
ґ) Право на перенесення даних (ст. 20 GDPR) — доступне у форматі JSON або CSV за запитом;
д) Право на заперечення проти обробки (ст. 21 GDPR);
е) Право відкликати згоду у будь-який момент без впливу на законність обробки до моменту відкликання (відповідно до ст. 7(3) GDPR).
5.2. Для реалізації ваших прав звертайтесь: office@silentus.org. Запити обробляються без невиправданої затримки та, як правило, протягом 30 днів.
5.3. Ви можете у будь-який момент відписатися від розсилки через механізм відписки, передбачений у кожному електронному листі, відповідно до § 7 UWG.
5.4. Запити на видалення даних, пов’язаних із покупками, можуть підпадати під законодавчі вимоги щодо зберігання (зокрема 10 років згідно з § 147 AO).
5.5. Також ви маєте право подати скаргу до наглядового органу, зокрема:
Уповноважений із захисту даних та свободи інформації Північного Рейну-Вестфалії (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf, Німеччина
6. Файли cookie
6.1. Цей вебсайт використовує cookie-файли, керування якими здійснюється через Cookiebot (Usercentrics A/S, Havnegade 39, 1058 Copenhagen, Данія), який виступає основною платформою керування згодою користувача з автоматичним скануванням cookie-файлів у режимі production.
6.2. Нефункціональні cookie-файли та сторонні сервіси блокуються до моменту надання користувачем явної згоди через банер Cookiebot відповідно до § 25 TTDSG та ст. 6(1)(a) GDPR. Користувач може у будь-який момент змінити або відкликати свою згоду через налаштування cookie на сайті.
6.3. Необхідні (технічні) cookie-файли (не потребують згоди згідно з § 25(2) TTDSG)
а) wordpress_logged_in (WordPress) – керування сесією користувача – до завершення сесії;
б) wordpress_test_cookie (WordPress) – перевірка сумісності браузера – до завершення сесії;
в) woocommerce_cart_hash (WooCommerce) – функціонування кошика – до завершення сесії;
г) woocommerce_items_in_cart (WooCommerce) – функціонування кошика – до завершення сесії;
ґ) wp-wpml_current_language – зберігає обрану користувачем мову сайту; строк зберігання – до 1 року;
д) Cookiebot consent cookies (Usercentrics A/S) – збереження налаштувань згоди – до 1 року.
6.4. Сторонні cookie-файли та сервіси (потребують попередньої згоди; заблоковані за замовчуванням).
а) Google Fonts (Google LLC, США) – відображення шрифтів – можливе передавання IP-адреси на сервери Google у США;
б) YouTube embeds (Google LLC, США) – інтеграція відеоконтенту – можливе передавання IP-адреси на сервери Google у США;
в) Elementor scripts (Elementor Ltd, Ізраїль) -забезпечення функціонування конструктора сторінок; залежно від конфігурації сайту можуть здійснювати сторонні запити та обробляти обмежені технічні дані;
г) Stripe (Stripe, Inc., США) – обробка платежів – передача даних відповідно до політики конфіденційності Stripe;
ґ) PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., Люксембург) – обробка платежів – передача даних відповідно до політики PayPal.
6.5. Google Analytics, Meta Pixel, Google Ads, Google Maps та Google reCAPTCHA наразі не використовуються. У разі їх подальшого впровадження вони будуть активовані виключно після отримання згоди користувача через cookie
7. Захист даних
7.1. Сайт працює через HTTPS із чинним SSL-сертифікатом.
7.2. Доступ до бази даних WordPress та даних замовлень обмежений контролером та технічним підрядником відповідно до принципу мінімально необхідного доступу.
7.3. WordPress, Elementor та встановлені плагіни підтримуються в актуальному стані та регулярно оновлюються.
7.4. У разі порушення безпеки персональних даних контролер даних повідомляє компетентний наглядовий орган (LDI NRW) протягом 72 годин відповідно до ст. 33 GDPR. У випадку, коли таке порушення може призвести до високого ризику для прав і свобод фізичних осіб, відповідні суб’єкти даних також повідомляються без невиправданої затримки відповідно до ст. 34 GDPR.
8. Зміни до цієї політики
8.1. Ми залишаємо за собою право оновлювати цю Політику конфіденційності з метою відображення правових, технічних або організаційних змін.
8.2. Актуальна версія завжди доступна на вебсайті silentus.org.
8.3. Дата “останнього оновлення” зазначається при кожній редакції документа.
8.4. У разі істотних змін користувачі або підписники можуть бути додатково повідомлені електронною поштою, якщо це застосовно.