Налаштування

Українська

العربية

中文

English

Eesti

Français

Deutsch

Ελληνικά

हिन्दी

Italiano

日本語

Қазақ

Latviešu

Lietuvių

Polski

Português

русский

Español

ไทย

Головна
Політика конфіденційності

Політика конфіденційності

Ця Політика конфіденційності («Політика») визначає, яким чином компанія Costless Inc. («Costless», «ми») збирає, використовує та захищає інформацію, що обробляється в рамках платформи Costless для бізнесу, доступної за адресою https://costless.business, через кінцеві точки API Costless, а також через будь-які пов'язані панелі керування, мобільні чи десктопні застосунки, що використовуються для адміністрування Бізнес-Акаунтів (разом — «Сервіс»). БУДЬ ЛАСКА, УВАЖНО ПРОЧИТАЙТЕ ЦЮ ПОЛІТИКУ. СТВОРЮЮЧИ АБО ВИКОРИСТОВУЮЧИ БІЗНЕС-АКАУНТ АБО ІНТЕГРУЮЧИСЬ З НАШИМ API, ВИ ПОГОДЖУЄТЕСЯ З ОБРОБКОЮ, ОПИСАНОЮ НИЖЧЕ. ЯКЩО ВИ НЕ ЗГОДНІ — НЕ РЕЄСТРУЙТЕСЯ В СЕРВІСІ ТА НЕ ВИКОРИСТОВУЙТЕ НАШ API. Ця Політика поширюється на інформацію, яка обробляється у зв'язку з платними та пробними Бізнес-Акаунтами. Вона не поширюється на costless.online (споживчий сайт) — у цього ресурсу є власна Політика конфіденційності. 1. Хто ми (Контролер та контактна інформація) Сервіс надається: Costless Inc. 1207 Delaware Avenue, 2979, Wilmington, DE 19806, USA Загальні питання: mail@costless.online Запити щодо захисту даних: data.controller@costless.online Стосовно Даних Акаунту (персональні дані адміністраторів, контактних осіб з оплати та авторизованих користувачів вашого акаунту) Costless виступає «Контролером» згідно з Загальним регламентом захисту даних ЄС (GDPR), GDPR Великої Британії та аналогічними законами. Стосовно даних, які ви завантажуєте, передаєте або іншим чином доручаєте нам обробляти від вашого імені — наприклад, зображення чеків, надіслані до API верифікації чеків, електронні адреси клієнтів, зареєстрованих у вашій програмі лояльності 5+1, або фотографії цінників, зроблені вашими співробітниками («Клієнтські Дані») — Costless виступає «Обробником», а ви (власник Бізнес-Акаунту) — «Контролером». Стандартні умови обробки даних, що застосовуються до цих відносин, включені до наших Умов та положень і можуть бути доповнені окремою Угодою про обробку даних на запит. 2. Визначення «Бізнес-Акаунт» означає платну або пробну підписку на Сервіс, зареєстровану на юридичну особу (або фізичну особу-підприємця, що діє в комерційних цілях). «Дані Акаунту» означають інформацію про ваш Бізнес-Акаунт та фізичних осіб, авторизованих для його використання, включно з назвою компанії, адресою для виставлення рахунків, ПДВ/EIN/ЄДРПОУ, ім'ям адміністратора, бізнес-електронною поштою, телефоном, посадою, паролем (зберігається у вигляді хешу з сіллю), токенами автентифікації та журналами адміністративних дій. «Клієнтські Дані» означають дані, які ви (або ваші Кінцеві Клієнти за вашим дорученням) завантажуєте до Сервісу або генеруєте через нього, включно з зображеннями чеків та витягнутими з них структурованими даними, бонусами та рівнями лояльності для Кінцевих Клієнтів, фотографіями цінників, фідами цін на продукти, що передаються через API передачі даних, а також метаданими кампаній. «Кінцевий Клієнт» означає фізичну особу — клієнта вашого бізнесу (наприклад, учасника програми лояльності 5+1 або покупця, чий чек обробляється у вашій кампанії), персональні дані якого ви обробляєте за допомогою Сервісу. «Персональні Дані» мають значення, наведене в GDPR (стаття 4(1)). «Субобробник» означає будь-яку третю сторону, залучену Costless, що обробляє Клієнтські Дані від нашого імені. 3. Категорії інформації, яку ми обробляємо 3.1 Дані Акаунту (ми — Контролер) - Ідентифікація: повне ім'я та бізнес-електронна пошта адміністраторів і авторизованих користувачів; посада; мова інтерфейсу. - Інформація про компанію: повна юридична назва, адреса реєстрації, адреса для виставлення рахунків, ПДВ/EIN/ЄДРПОУ або еквівалентний податковий ідентифікатор, ім'я та електронна пошта контактної особи з оплати. - Автентифікація та безпека: хешовані паролі, JWT-токени сесій, API-ключі (хешуються в зберіганні), секрети 2FA, токени відновлення паролів, IP-адреса та user-agent останніх входів, CSRF-токени. - Біллінг: тип методу оплати (бренд картки, останні чотири цифри та термін дії зберігає Stripe — повні номери карток ніколи не потрапляють до Costless), історія рахунків, тариф підписки та її статус, дата поновлення. - Підтримка та комунікація: повідомлення, надіслані на mail@costless.online, тікети підтримки, надсилання через контактну форму, а також транскрипти телефонних або відеодзвінків, якщо ви оберете їх записати. 3.2 Дані використання Сервісу (ми — Контролер) - Телеметрія: час та шлях кожного авторизованого запиту до панелі або API, код відповіді, затримка, код помилки (якщо є), розмір запиту. - Пристрій та з'єднання: IP-адреса (скорочується для аналітики), user-agent браузера, операційна система, розмір екрана, тип пристрою. - Cookies та подібні технології: див. розділ 9. 3.3 Клієнтські Дані (ви — Контролер, Costless — Обробник) - API верифікації чеків: зображення чеків, завантажені вашими Кінцевими Клієнтами або вашими співробітниками; структуровані дані, які ми витягуємо (позиції, ціни, суми, фіскальні номери, метод оплати, ідентифікатор магазину, час); оцінки впевненості; будь-який ідентифікатор Кінцевого Клієнта, який ви передаєте разом з чеком (наприклад, внутрішній ідентифікатор клієнта, хеш номера телефону або електронна адреса). - Лояльність 5+1: ідентифікатор Кінцевого Клієнта (зазвичай електронна пошта чи телефон), кількість штампів, рівень, історія обмінів, місце кожної події нарахування штампу, QR-токен, використаний для сканування, та бариста/співробітник, який зафіксував штамп. - Кампанія цінників: фотографії цінників, зроблені вашими співробітниками в магазинах, геолокація зйомки (якщо ваші співробітники надали відповідний дозвіл), розпізнаний SKU та ціна. - Аналітика / Виробники: списки SKU, фіди цін, календарі акцій та будь-які інші комерційні дані, які ви передаєте нам для моніторингу чи моделювання. - Дані чеків та анотацій з мобільного застосунку: коли ви даєте інструкцію поділитися чеком з вашим бізнесом через застосунок Кінцевого Клієнта, ми отримуємо копію чеку та ідентифікатор Кінцевого Клієнта. Ми обробляємо Клієнтські Дані лише так, як це задокументовано у вашій підписці та в наших письмових інструкціях; ми не отримуємо доступ і не використовуємо Клієнтські Дані для власних цілей, крім: (a) надання Сервісу; (b) виставлення рахунків та планування потужностей у агрегованому вигляді; (c) безпеки та запобігання шахрайству; (d) виконання вимог закону; (e) статистичних досліджень з використанням повністю анонімізованих даних. 4. Чому ми обробляємо інформацію (цілі та правові підстави) Для Даних Акаунту ми спираємося на такі правові підстави згідно з GDPR: - Виконання договору (ст. 6(1)(b)): для реєстрації Бізнес-Акаунту, автентифікації адміністраторів, надання Сервісу, виставлення рахунків та збору платежів. - Законний інтерес (ст. 6(1)(f)): для функціонування, захисту, налагодження та вдосконалення Сервісу; виявлення та запобігання шахрайству чи зловживанням; ведення резервних копій; виконання Умов; захисту правових претензій; надсилання сервісних оголошень та обмеженого бізнес-релевантного маркетингу про функції, що доповнюють те, чим ви вже користуєтесь. - Юридичний обов'язок (ст. 6(1)(c)): збереження облікових записів для податкових цілей; реагування на правомірні запити компетентних органів. - Згода (ст. 6(1)(a)): коли необхідно — для неосновних cookies та для маркетингових листів неклієнтам. Ви можете відкликати згоду в будь-який час. Для Клієнтських Даних правовою підставою є ваші письмові інструкції в Умовах та конфігурації вашої підписки. Ви підтверджуєте, що маєте правомірну підставу згідно з застосовним законодавством про захист даних надавати нам Клієнтські Дані та інструктувати нас обробляти їх. 5. Як ми ділимося інформацією Ми не продаємо Персональні Дані та не передаємо їх рекламодавцям. Розкриваємо інформацію лише так, як описано нижче. 5.1 Субобробники Ми залучаємо такі категорії Субобробників за письмовими угодами, що включають умови ст. 28 GDPR та Стандартні Договірні Положення ЄС, де це застосовно: - Хмарна інфраструктура: Amazon Web Services, Inc. (регіони Франкфурт та Ірландія для європейських Клієнтських Даних; Північна Вірджинія для неєвропейських Клієнтських Даних) — хостинг, об'єктне зберігання, доставка контенту. - Платежі: Stripe, Inc. та її афілійовані особи в ЄС і Великій Британії — обробка підпискових платежів. Stripe виступає незалежним Контролером для своїх власних цілей запобігання шахрайству. - Edge / захист від DDoS: Cloudflare, Inc. — TLS-термінація, веб-фаєрвол, захист від ботів, обфускація email-адрес. - Машинне навчання: Google Cloud Platform / Vertex AI — OCR чеків, OCR цінників, класифікація зображень. Дані, що надсилаються до цих сервісів, шифруються при передачі і не використовуються провайдером для тренування його моделей загального призначення. - Транзакційна електронна пошта: Amazon SES (або порівнянний провайдер) — доставка листів відновлення паролів, біллінг-нотифікацій, рахунків, запланованих звітів. - Інструменти підтримки клієнтів та аналітика: аналітика на costless.business, що поважає приватність (серверна, без сторонніх трекерів за замовчуванням). Актуальний перелік Субобробників та регіонів, у яких вони працюють, надається на запит за адресою data.controller@costless.online. Ми завчасно повідомлятимемо вас про залучення нового Субобробника, що оброблятиме Клієнтські Дані. 5.2 Інші категорії одержувачів - Афілійовані особи: компанії групи Costless, на умовах, не менш захисних, ніж ця Політика. - Професійні консультанти: юристи, аудитори, бухгалтери, страховики у зв'язку з веденням нашого бізнесу. - Правонаступники: у зв'язку з злиттям, придбанням, продажем активів або неплатоспроможністю, з дотриманням конфіденційності та продовженням дії цієї Політики. - Виконання вимог закону: суди, регулятори та правоохоронні органи у разі, коли цього вимагає закон або коли це необхідно для захисту прав, життя, безпеки чи майна. 6. Міжнародна передача даних Costless зареєстрована у США. Дані Акаунту та частина Клієнтських Даних можуть оброблятися за межами Європейської економічної зони, Великої Британії або вашої країни розташування. Передаючи Персональні Дані за межі ЄЕЗ або Великої Британії, ми спираємося на: - Стандартні Договірні Положення Європейської Комісії (2021/914) та Додаток про передачу даних Великої Британії; - Рамкову угоду ЄС-США про захист даних (EU-US Data Privacy Framework), якщо одержувач сертифікований; - Додаткові технічні заходи (шифрування при передачі та зберіганні, журналювання доступу, принцип мінімальних привілеїв). Якщо вам потрібна копія заходів захисту, що застосовуються до конкретної передачі — звертайтеся за адресою data.controller@costless.online. 7. Терміни зберігання - Дані Акаунту: зберігаються протягом терміну існування Бізнес-Акаунту та ще до 36 місяців після його припинення, після чого видаляються або анонімізуються, за винятком облікових та податкових записів, які зберігаються протягом строку, передбаченого застосовним законодавством про бухгалтерський облік (зазвичай 7 років). - Зображення чеків та цінників: за замовчуванням зберігаються 90 днів після обробки, якщо ваш тариф не передбачає іншого терміну або якщо ви письмово не доручите видалити їх раніше. - Витягнуті дані чеків та записи лояльності: зберігаються протягом терміну існування вашого Бізнес-Акаунту і видаляються протягом 90 днів після його припинення, якщо ви заздалегідь не скористаєтеся правом експорту даних, описаним у розділі 8. - Сервісні журнали: зберігаються до 90 днів для безпеки та планування потужностей. - Резервні копії: шифровані резервні копії зберігаються на 35-денному циклі ротації. Ви можете запросити видалення раніше в будь-який час, з урахуванням обов'язкових законом термінів зберігання та технічних обмежень вашої підписки. 8. Ваші права та права ваших Кінцевих Клієнтів Згідно з GDPR, GDPR Великої Британії та подібними законами, особи, чиї Персональні Дані ми обробляємо, мають право: на доступ; виправлення; видалення; обмеження обробки; заперечення проти обробки; перенесення даних; подання скарги до компетентного наглядового органу (в ЄС — до національного органу захисту даних; у Великій Британії — до Information Commissioner's Office; в Україні — до Уповноваженого Верховної Ради з прав людини). Щодо Даних Акаунту — звертайтеся за адресою data.controller@costless.online; ми відповімо протягом 30 днів. Щодо Клієнтських Даних — запити мають у першу чергу адресуватися вам (Контролеру). Якщо ваш Кінцевий Клієнт звернеться напряму до Costless, ми перенаправимо його до вас і допоможемо вам, на ваш розумний запит та на умовах, узгоджених у вашій підписці, відповісти на такі запити. Резиденти Каліфорнії (CCPA / CPRA): ви маєте право знати, видаляти, виправляти та обмежувати; право відмовитися від «продажу» чи «обміну» персональної інформації; право не зазнавати дискримінації за реалізацію цих прав. Costless не продає та не обмінює Персональні Дані у значенні CCPA/CPRA. Запити надсилайте на data.controller@costless.online або на поштову адресу, вказану в розділі 1. 9. Cookies та подібні технології на costless.business Ми використовуємо лише cookies, що є строго необхідними для роботи панелі (автентифікація, захист CSRF, налаштування мови та валюти). На costless.business ми не використовуємо рекламні cookies. Анонімна аналітика працює на серверній стороні і не потребує згоди. Якщо ми коли-небудь запровадимо опціональні аналітичні чи маркетингові cookies, ми відобразимо банер згоди, що відповідає вимогам ЄС/Великої Британії з ePrivacy, і обробка буде залежати від вашої згоди (opt-in). 10. Безпека Ми підтримуємо технічні та організаційні заходи, відповідні ризикам нашої обробки, включно з: - шифруванням даних при передачі (TLS 1.2+) та зображень чеків і цінників у сховищі; - хешуванням паролів із сіллю за допомогою функції з високими вимогами до пам'яті; - принципом мінімальних привілеїв для доступу персоналу; журналюванням доступу; квартальним переглядом прав доступу; - мережевим обмеженням частоти запитів, веб-фаєрволом, виявленням ботів; - розділеними середовищами для розробки, тестування та продакшну; - регулярним скануванням вразливостей та оновленням залежностей; - задокументованими процедурами реагування на інциденти, включно з повідомленням постраждалих Контролерів без необґрунтованої затримки та в межах строків, що вимагає застосовний закон. Жоден захист не є ідеальним. Ви відповідаєте за збереження облікових даних адміністраторів та виданих вам API-ключів, за оновлення операційних систем і браузерів, що використовуються для доступу до Сервісу, а також за оперативне повідомлення нас про будь-яке підозрюване компрометування. 11. Діти Сервіс не призначений для дітей віком до 16 років, і ми свідомо не збираємо Персональні Дані дітей. Якщо ви вважаєте, що дитина зареєструвалася або взаємодіяла з Бізнес-Акаунтом, звертайтеся на data.controller@costless.online — ми вживемо відповідних заходів. 12. Автоматизоване прийняття рішень Costless не приймає рішень, що мають правові чи подібні значущі наслідки для суб'єктів даних, виключно на основі автоматизованої обробки. Оцінки впевненості, що видають наші API верифікації чеків та OCR цінників, є оцінками, призначеними допомогти вашому ручному перегляду; їх не слід вважати замінником вашого ділового судження. 13. Зміни до цієї Політики Ми можемо час від часу оновлювати цю Політику. Дата оновлення внизу позначає поточну версію. Якщо ми вносимо суттєві зміни, що впливають на ваші права чи категорії оброблюваних даних, ми повідомимо адміністраторів Бізнес-Акаунту електронною поштою та розмістимо банер у панелі щонайменше за 14 днів до набрання чинності. Подальше використання Сервісу після дати набрання чинності означає вашу згоду. 14. Контакти Costless Inc. 1207 Delaware Avenue, 2979 Wilmington, DE 19806, USA Загальні питання: mail@costless.online Захист даних: data.controller@costless.online Дата останнього оновлення: 29 квітня 2026 року.