Політика конфіденційності

1.1 Контролер персональних даних

Контролером персональних даних відповідно до Регламенту (ЄС) 2016/679 (GDPR) та Закону України «Про захист персональних даних» є:

1.2 Посадова особа з питань захисту персональних даних (DPO)

Для всіх питань, пов'язаних із обробкою персональних даних, суб'єкти даних можуть звертатися до нашого Посадовця з питань захисту персональних даних:

Email DPO: dpo@skyservice.pro

DPO буде реагувати на всі запити в межах 30 днів з моменту отримання.

1.3 Органи контролю

Для обов'язків, що виникають на базі GDPR (для ЄС):

Andmekaitse Inspektsioon (Estonian Data Protection Authority, Естонія) — орган наглядає за дотриманням GDPR у всіх державах ЄС.

Для обов'язків, що випливають з українського законодавства:

Уповноважений ВРУ з прав людини (Омбудсман України) та інші компетентні органи України в межах їх повноважень.

У цій Політиці конфіденційності використовуються наступні терміни:

Персональні дані

— будь-яка інформація, що стосується ідентифікованої або такої, що може бути ідентифікована, фізичної особи (суб'єкта даних).

Суб'єкт даних

— ідентифікована або така, що може бути ідентифікована, фізична особа, чиї персональні дані обробляються.

Обробка

— будь-яка операція або набір операцій, виконуваних із персональними даними або наборами персональних даних, як-то збір, запис, організація, структурування, зберігання, адаптація або зміна, витяг, ознайомлення, використання, передача шляхом передачі, розповсюдження або надання доступу, вирівнювання або комбінація, обмеження, видалення або знищення.

Контролер

— фізична або юридична особа, яка визначає цілі та засоби обробки персональних даних; у цьому випадку — Skyservice POS OÜ.

Процесор

— фізична або юридична особа, яка обробляє персональні дані від імені контролера.

Згода

— добровільна, специфічна, інформована та однозначна вказівка намірів суб'єкта даних, у формі заяви або чіткої позитивної дії, якою суб'єкт даних дає згоду на обробку персональних даних, що його стосуються.

GDPR

— Регламент (ЄС) 2016/679 Європейського Парламенту та Ради про захист фізичних осіб при обробці персональних даних та про вільний рух таких даних.

Skyservice POS обробляє наступні категорії персональних даних у межах надання послуг:

3.1 Дані акаунту

• Адреса електронної пошти користувача
• Номер мобільного телефону
• Повне ім'я користувача / контактної особи

3.2 Дані бізнесу (у разі реєстрації Юридичної особи)

• Назва юридичної особи / найменування закладу
• Адреса реєстрації / місцезнаходження
• Реєстраційний номер (ЄДРПОУ, ОКПО, або номер компанії в Естонії)
• ІПН / податковий ідентифікатор

3.3 Технічні дані

• IP-адреса пристрою
• Тип браузера та версія
• Операційна система пристрою
• Час та дата звернення до системи
• Дані cookies та технології відслідковування

3.4 Дані використання (логи дій користувачів)

• Історія здійснених операцій в системі
• Логи всіх дій, виконаних користувачем
• Дата, час та деталі кожної операції
• Інформація про помилки та сесії користувача

3.5 Фіскальні дані

• Дані про розрахункові документи (чеки, накладні, рахунки)
• Дані про касові операції
• Дані фіскального реєстратора (ПРРО) та їх коди
• Дані про платежі та розрахункові операції

3.6 Дані програм лояльності (якщо підключені)

Дані про програму лояльності, якщо клієнт Мерчанта добровільно взяв участь.

3.7 Дані, які МИ НЕ ЗБИРАЄМО

3.8 Дані, що обробляються ШІ-функціями

Окремі функції Сервісу використовують технології штучного інтелекту (ШІ). У процесі роботи ШІ-функцій можуть оброблятися наступні дані:

• Текстові запити Користувача до ШІ-функцій;
• Дані про товари, меню, замовлення та операції, необхідні для генерації аналітики та рекомендацій;
• Знеособлені та агреговані дані для покращення моделей ШІ.

ШІ-функції можуть використовувати технології та моделі третіх сторін (зовнішніх провайдерів ШІ). Персональні дані, що передаються провайдерам ШІ, захищаються відповідними договорами про обробку даних (DPA) та стандартними контрактними положеннями (SCC). Skyservice не використовує персональні дані Користувачів для тренування моделей ШІ без попередньої явної згоди.

3.9 Контекст обробки даних (B2B)

Skyservice POS є сервісом, призначеним виключно для підприємницької, комерційної або професійної діяльності. Персональні дані обробляються в контексті ділових відносин між Skyservice та Користувачем-підприємцем. Skyservice не обробляє персональні дані фізичних осіб для особистих, сімейних або домашніх потреб. У разі обробки Skyservice персональних даних клієнтів Користувача (кінцевих споживачів), Skyservice виступає в ролі Процесора (Обробника) відповідно до окремого Договору про обробку даних (DPA).

Обробка персональних даних здійснюється на одній або декількох наступних правових підставах:

4.1 Виконання договору (Стаття 6(1)(b) GDPR)

Основна правова підстава для більшості операцій обробки даних — виконання договору про надання послуг Skyservice POS. Це включає:

• Реєстрацію та управління акаунтом користувача
• Надання доступу до ПОС-системи
• Облік операцій, обробку платежів та генерацію чеків
• Технічну підтримку та обслуговування системи

4.2 Законний інтерес (Стаття 6(1)(f) GDPR)

Skyservice POS обробляє персональні дані на базі законного інтересу для:

• Забезпечення безпеки системи та запобігання шахрайству
• Аналітики та покращення якості послуг (на базі анонімних та агрегованих даних)
• Управління ризиками та боротьба з несанкціонованим доступом
• Відправлення пошти про критичні проблеми безпеки та оновлення системи

4.3 Згода (Стаття 6(1)(a) GDPR)

Skyservice POS запитує явну письмову згоду для:

• Маркетингових комунікацій та розсилання інформаційних листів
• Використання Cookies та подібних технологій для аналітики та відслідковування
• Будь-якої іншої обробки, для якої не застосовуються інші правові підстави

Суб'єкт даних має право відкликати згоду в будь-який момент без будь-яких наслідків для обробки, яка здійснювалася до відкликання.

4.4 Юридичний обов'язок (Стаття 6(1)(c) GDPR)

Skyservice POS обробляє персональні дані для виконання юридичних обов'язків, включаючи:

• Дотримання податкового законодавства України та Естонії
• Виконання запитів державних органів влади, судів та органів юстиції
• Дотримання вимог законодавства про боротьбу з шахрайством та відмиванням грошей
• Ведення бухгалтерського та облікового обліку

Персональні дані обробляються для наступних цілей:

5.1 Надання послуг

• Забезпечення функціональності ПОС-системи
• Управління обліком операцій та розрахунків
• Генерація фіскальних документів (чеків, накладних, рахунків)

5.2 Підтримка користувачів

• Відповідь на запити користувачів та надання технічної підтримки
• Вирішення проблем та помилок у системі

5.3 Покращення послуг

• Аналіз використання системи (на анонімізованій та агрегованій базі)
• Розроблення нових функцій і покращення існуючих
• Оптимізація продуктивності та надійності

5.4 Маркетинг

• Відправлення інформаційних матеріалів про нові функції (лише за згодою користувача)
• Розсилання спеціальних пропозицій та новин про компанію (лише за згодою)

5.5 Безпека

• Виявлення та запобігання шахрайству та несанкціонованому доступу
• Моніторинг та запобігання дій, що порушують умови надання послуг
• Забезпечення цілісності та безпеки даних користувачів

5.6 Виконання юридичних обов'язків

• Дотримання податкового та облікового законодавства
• Реагування на запити органів влади, судів та правоохоронних органів
• Ведення необхідних записів для аудиту та контролю

Skyservice POS зберігає персональні дані протягом часу, необхідного для досягнення цілей обробки, але не довше ніж це передбачено застосовним законодавством. Конкретні строки зберігання:

По закінченню строку зберігання персональні дані видаляються або анонімізуються без можливості подальшої ідентифікації суб'єкта даних, крім випадків, коли застосовується юридичний обов'язок подальшого зберігання.

7.1 Категорії одержувачів персональних даних

Skyservice POS передає персональні дані наступним категоріям третіх осіб лише в межах необхідного для надання послуг:

• Провайдери хостингу та хмарних сховищ (для зберігання та обробки даних)
• Платіжні системи та провайдери (Stripe, Fondy та подібні) — тільки для обробки платежів
• Сервіси аналітики та моніторингу (Sentry, Mixpanel та подібні) — тільки анонімні/агреговані дані
• Сервіси комунікацій (email-провайдери, SMS-шлюзи) — для відправлення повідомлень
• Органи державної влади та правоохоронні органи — за обґрунтованим запитом або судовим рішенням

7.2 Умови передачі та захист даних

Skyservice POS укладає договори про обробку персональних даних (DPA — Data Processing Agreements) зі всіма процесорами, які мають доступ до персональних даних. Ці договори гарантують:

• Конфіденційність та безпеку даних
• Виконання принципів GDPR
• Надання обмеженого доступу лише до необхідних даних

Для клієнтів, які обробляють персональні дані своїх кінцевих споживачів через Сервіс, Skyservice пропонує укладення окремого Договору про обробку даних (Data Processing Agreement, DPA) відповідно до статті 28 GDPR. DPA визначає обов'язки Skyservice як Процесора та клієнта як Контролера.

7.3 ВАЖЛИВО: ЧИМ МИ НЕ ЗАЙМАЄМОСЬ

7.4 Міжнародна передача даних

Персональні дані зберігаються та обробляються на серверах в межах Європейського Союзу (Естонія, Німеччина та інші держави-члени ЄС) і захищені Регламентом GDPR.

У разі передачі персональних даних за межі ЄС, Skyservice POS застосовує спеціальні гарантії захисту, включаючи:

• Стандартні контрактні положення (Standard Contractual Clauses — SCC), затверджені ЄК
• Рішення про адекватність (Adequacy Decisions)
• Інші механізми, дозволені GDPR

Кожна фізична особа, чиї персональні дані обробляються Skyservice POS, має наступні права відповідно до GDPR та законодавства України:

8.1 Право на доступ (Стаття 15 GDPR)

Суб'єкт даних має право отримати від контролера підтвердження того, чи обробляються його персональні дані, та право мати доступ до цих даних. Сюди входить право на отримання копії персональних даних в структурованому, загально використовуваному та машинозчитуваному форматі.

8.2 Право на виправлення (Стаття 16 GDPR)

Суб'єкт даних має право на виправлення неточних персональних даних та право мати заповнені неповні персональні дані.

8.3 Право на видалення ('Право на забування') (Стаття 17 GDPR)

Суб'єкт даних має право на видалення персональних даних без невиправданої затримки, однак це право не є абсолютним. Видалення може бути обмежено у випадках, коли:

• Дані необхідні для виконання договору
• Дотримання юридичного обов'язку (наприклад, фіскальні дані повинні зберігатися 3 роки)
• Дані необхідні для здійснення, виконання або захисту судових позовів

8.4 Право на обмеження обробки (Стаття 18 GDPR)

Суб'єкт даних має право вимагати обмеження обробки його персональних даних у таких випадках:

• Коли оспорюється точність персональних даних
• Коли обробка незаконна, але суб'єкт даних заперечує видалення
• Коли контролер більше не потребує дані, але вони потрібні суб'єкту для судових претензій

8.5 Право на портативність даних (Стаття 20 GDPR)

Суб'єкт даних має право отримати персональні дані в структурованому, загально використовуваному та машинозчитуваному форматі і право передачі цих даних іншому контролеру без перешкод.

8.6 Право на заперечення (Стаття 21 GDPR)

Суб'єкт даних має право заперечити обробку персональних даних для цілей маркетингу. Skyservice POS припинить обробку при першому ж запиті.

8.7 Право відкликати згоду (Стаття 7(3) GDPR)

Суб'єкт даних має право відкликати свою згоду на обробку персональних даних в будь-який момент. Відкликання не впливає на законність обробки до його отримання.

8.8 Право на скаргу до Органу нагляду

Без шкоди для будь-якого іншого адміністративного чи судового засобу захисту, суб'єкт даних має право подати скаргу до органу нагляду, зокрема в державі своїх звичайних місцеперебування, місцеперебування роботи або місця допущеного порушення, якщо суб'єкт даних вважає, що обробка його персональних даних порушує GDPR.

• Для ЄС: Andmekaitse Inspektsioon (Естонія)
• Для України: Уповноважений ВРУ з прав людини

8.9 Звернення щодо прав суб'єктів даних

Порядок подання запитів:

Для того щоб здійснити будь-яке з наведених вище прав, суб'єкт даних повинен надіслати письмовий запит на адресу електронної пошти нашого DPO: dpo@skyservice.pro

Запит має включати:

• Чітко визначену вимогу прав (наприклад, 'Запит на доступ до персональних даних')
• Ідентифікаційні відомості (ім'я, email, номер облікового запису, якщо застосовується)
• По можливості підтвердження особистості (копія паспорта/ID для верифікації)

Строк відповіді: Skyservice POS буде реагувати на запити суб'єктів даних протягом 30 днів з моменту отримання запиту (як передбачено Статтею 12(3) GDPR). У деяких випадках, якщо запит є складним або конфліктним, цей строк може бути продовжено на два місяці. У цьому випадку суб'єкта даних буде повідомлено про продовження та причину затримки.

Skyservice POS приділяє велике значення безпеці персональних даних. Ми реалізуємо відповідні технічні та організаційні заходи для захисту персональних даних від випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу.

9.1 Технічні заходи безпеки

• Шифрування при передачі (TLS/SSL 1.2+) — всі передачі даних між клієнтом та сервером зашифровані
• Шифрування у стані спокою (At-rest encryption) — чутливі дані шифруються на серверах за допомогою стійких алгоритмів
• Контроль доступу — доступ до персональних даних обмежується авторизованим персоналом на основі принципу найменших привілеїв
• Аутентифікація і авторизація — двофакторна аутентифікація для облікових записів Адміністраторів

9.2 Організаційні заходи безпеки

• Регулярні бекапи (резервні копії) персональних даних — щодня, з можливістю відновлення
• Сегментація мережі та файрволи для захисту від зовнішніх загроз
• Регулярні внутрішні аудити безпеки та тести на вразливості
• Навчання персоналу з питань конфіденційності та безпеки даних
• Договори конфіденційності з усіма працівниками та контрагентами

9.3 Повідомлення про інциденти

У разі порушення безпеки персональних даних, Skyservice POS:

• Поінформує орган нагляду без невиправданої затримки і, у будь-якому випадку, не пізніше ніж через 72 години після того, як про порушення стало відомо (з деякими винятками);
• За необхідності повідомить суб'єктів даних без невиправданої затримки;
• Зберігатиме записи про всі порушення для аудиту та контролю.

10.1 Що таке Cookies

Cookies — це невеликі текстові файли, які зберігаються на пристрої користувача і використовуються для запам'ятовування інформації про користувача та його переваги.

10.2 Типи cookies, які ми використовуємо

• Обов'язкові cookies — для забезпечення функціональності системи (аутентифікація, управління сесіями)
• Аналітичні cookies — для розуміння того, як користувачі використовують наш сервіс (лише за згодою)
• Маркетингові cookies — для персоналізації реклами (лише за згодою)

10.3 Управління cookies

Користувач може контролювати cookies через налаштування свого браузера. Однак, якщо користувач відключить обов'язкові cookies, деякі функції системи можуть не працювати.

Детальна інформація про cookies знаходиться в нашій окремій Cookie Policy, яка доступна на вебсайті Skyservice POS.

11.1 Вік використання послуг

Skyservice POS не є послугою, призначеною для осіб молодших 16 років. Ми не свідомо збираємо персональні дані від дітей молодших 16 років.

11.2 Дозвіл батьків

У разі якщо особам 13-16 років дозволено використовувати послугу в певних юрисдикціях (за чинним законодавством), необхідна письмова згода батьків або опікунів. Якщо нам стало відомо, що ми обробляємо дані дитини без такої згоди, ми невідкладно видалимо такі дані.

Для повідомлення про такі випадки, будь ласка, напишіть на dpo@skyservice.pro

12.1 Механізм оновлення

Skyservice POS може періодично оновлювати цю Політику конфіденційності для відображення змін у нашій практиці обробки даних, технологіях, законодавстві та з інших причин.

12.2 Повідомлення про зміни

У разі суттєвих змін Політики, ми повідомимо користувачів за 30 днів до набрання чинності змін через:

• Відправлення email на адресу, зареєстровану в обліковому записі користувача
• Оприлюднення оновленої Політики на вебсайті Skyservice POS

Дата останньої суттєвої зміни: 23 лютого 2026 року

Для всіх питань, пов'язаних з цією Політикою конфіденційності, прав суб'єктів даних, або інших питань про обробку персональних даних, будь ласка, зв'яжіться з нами:

Ми розглядатимемо всі запити та скарги без необґрунтованої затримки.