Політика конфіденційності
§ 1 Відповідальна особа
Відповідальна особа у розумінні GDPR:
Jasser Seyam
Spracho – Dolmetscher Vermittlungsplattform
Індивідуальний підприємець (комерційне підприємство)
Donnerschweer Str. 158
26123 Oldenburg, По всій Німеччині
E-mail support@spracho.de
Телефон: +49 172 8198349
Уповноважений із захисту даних наразі не призначений, оскільки законодавчі передумови (§ 38 BDSG) ще не виконані. З питань захисту даних, будь ласка, звертайтеся за вказаною вище адресою електронної пошти.
§ 2 Цілі, правові підстави та законні інтереси
| Мета обробки | Правова основа | Законний інтерес (якщо ст. 6 ч. 1 п. f) |
|---|---|---|
| Надання платформи, реєстрація, управління обліковим записом | Ст. 6 ч. 1 п. b GDPR (виконання договору / переддоговірні заходи) | — |
| Посередництво у бронюванні, управління зустрічами, передача контактних даних | Ст. 6 ч. 1 п. b GDPR | — |
| Обробка платежів (комісія платформи, гонорар, транзакційні витрати) через Stripe | Ст. 6 ч. 1 п. b GDPR | — |
| SMS-OTP верифікація номера телефону через Twilio | Ст. 6 ч. 1 п. b GDPR | — |
| Зашифрована комунікація в додатку (чат) | Ст. 6 ч. 1 п. b GDPR | — |
| Системні електронні листи (підтвердження бронювання, нагадування, рахунки) | Ст. 6 ч. 1 п. b GDPR | — |
| Сповіщення через Telegram (необов'язково, за згодою) | Ст. 6 ч. 1 п. a GDPR (згода); передача до третіх країн: ст. 49 ч. 1 п. a GDPR | — |
| Оцінки та значки | Ст. 6 ч. 1 п. b/f GDPR | Забезпечення якості, формування довіри |
| Безпека, протидія зловживанням, запобігання шахрайству, відстеження No-Show | Ст. 6 ч. 1 п. f GDPR | Захист платформи та користувачів від шахрайства та зловживань |
| Виставлення рахунків, бухгалтерський облік, податкове зберігання | Ст. 6 ч. 1 п. c GDPR (юридичне зобов'язання: §§ 147 AO, 257 HGB, 14b UStG) | — |
| Обов'язки звітності PStTG/DAC7 (податкова прозорість) | Ст. 6 ч. 1 п. c GDPR (юридичне зобов'язання: PStTG) | — |
| Журналювання (IP-адреси, часові мітки, серверні журнали) | Ст. 6 ч. 1 п. f GDPR | ІТ-безпека, аналіз помилок, захист від атак |
| Обробка особливих категорій персональних даних (ст. 9) | Ст. 9 ч. 2 п. a GDPR (чітка згода) | — |
| Необов'язкові файли cookie (статистика/маркетинг), якщо активовано | Ст. 6 ч. 1 п. a GDPR (згода) | — |
§ 3 Категорії даних та строки зберігання
| Категорія даних | Приклади | Безпечне бронювання |
|---|---|---|
| Основні дані | Ім'я, електронна пошта, номер телефону, пароль (хешований) | До видалення облікового запису; дані, що мають податкове значення: 10 років (§ 147 AO) |
| Знайти перекладача | Фотографія, мови, доступність, погодинна ставка, місто, дата народження | До видалення облікового запису; метадані фотографії видаляються відразу при завантаженні |
| Скасувати бронювання | Зустріч, тривалість, місце зустрічі/адреса, тема/нотатки, статус, дані рахунків | 10 років (податкове зберігання, §§ 147 AO, 14b UStG); ділова кореспонденція: 6 років (§ 257 HGB) |
| Повідомлення чату | Зашифровані повідомлення між клієнтом та перекладачем | Автоматичне видалення через 2 дні після закінчення зустрічі |
| Скасувати бронювання | Ідентифікатори транзакцій Stripe, статус авторизації (номери карток у Spracho не зберігаються) | 10 років (податкове зберігання) |
| Дані верифікації | SMS-OTP-коди, коди підтвердження електронної пошти | 5 або 15 хвилин дійсності; видаляється після використання або закінчення терміну |
| Скасувати бронювання | Рейтинг у зірках (1–5), коментар, прапорець анонімності | До видалення облікового запису або видалення відгуку |
| Дані Telegram | Telegram-Chat-ID, токен прив'язки | До скасування прив'язки |
| Дані журналу | IP-адреса, браузер/User-Agent, часова мітка, відвідані сторінки | 90 днів (серверні логи); довше лише при інцидентах безпеки |
| Дані згоди | Часова мітка згоди із Загальними умовами/Політикою конфіденційності/ст. 9, анонімізована IP-адреса, User-Agent | 3 роки після видалення облікового запису (обов'язок доказування стаття 7 пункт 1 GDPR) |
| Дані звітності PStTG | Податковий ідентифікатор, адреса, дата народження, банківські реквізити, обороти | 10 років (податкове зберігання) |
§ 4 Особливі категорії персональних даних (ст. 9 GDPR)
Через характер послуг усного перекладу (наприклад, при відвідуванні лікаря, державних установ, судових засідань, терапевтичних сеансів) в рамках використання платформи, зокрема в нотатках до бронювання та в зашифрованому чаті, можуть оброблятися особливі категорії персональних даних у розумінні ст. 9 ч. 1 GDPR. До них належать зокрема дані про стан здоров'я, дані про релігійні переконання, етнічне походження або політичні погляди.
Правова підстава: Обробка здійснюється на підставі Вашої чіткої згоди відповідно до ст. 9 ч. 2 п. a GDPR, яку Ви надаєте при реєстрації шляхом активного встановлення окремої позначки.
Відкликання: Ви можете відкликати цю згоду в будь-який час з дією на майбутнє, звернувшись до нас за адресою support@spracho.de. Відкликання не впливає на правомірність обробки, здійсненої до відкликання. Оскільки обробка таких даних при наданні послуг усного перекладу не може бути виключена з технічних причин, відкликання призводить до того, що платформа не може використовуватися далі.
Заходи захисту: Нотатки до бронювання видимі лише для залучених сторін. Повідомлення чату зберігаються в зашифрованому вигляді Fernet і автоматично та безповоротно видаляються через 2 дні після закінчення зустрічі. Перекладачі підлягають договірному обов'язку конфіденційності (§ 13 Загальних умов).
§ 5 Чат у додатку (шифрування та автоматичне видалення)
Платформа надає після прийняття бронювання зашифровану функцію чату між клієнтом та перекладачем.
- Шифрування: Усі повідомлення чату перед збереженням шифруються симетричним шифруванням Fernet (на основі AES-128-CBC з HMAC-SHA256). Spracho не має доступу до відкритого тексту збережених повідомлень.
- Передача: Комунікація між Вашим браузером та нашим сервером здійснюється через HTTPS/TLS.
- Автоматичне видалення: Відповідно до принципу мінімізації даних (ст. 5 ч. 1 п. c GDPR) усі повідомлення чату автоматично та безповоротно видаляються назавжди через 2 дні після закінчення забронованої зустрічі. Відновлення неможливе.
- Правова підстава: Ст. 6 ч. 1 п. b GDPR (виконання договору, координація зустрічі з перекладачем).
§ 6 Передача даних між клієнтом та перекладачем
Для виконання бронювання ми поступово передаємо необхідні дані (багаторівнева модель видимості):
| Фаза | Для перекладачів | Видно клієнту |
|---|---|---|
| Результати пошуку | — | Ім'я + ініціал (напр., «Анна М.»), мови, місто, погодинна ставка, фотографія |
| Мої запити | Деталі зустрічі (дата, місто, установа, тема); ім'я клієнта приховане («Приховано») | Для перекладачів |
| Прийняте бронювання | Ім'я + ініціал, електронна пошта, телефон, точна адреса | Ім'я + ініціал, електронна пошта, телефон, точна адреса |
Це поступове розкриття слугує мінімізації даних. Без передачі даних при прийнятому бронюванні виконання договору неможливе (ст. 6 ч. 1 п. b GDPR).
§ 7 Одержувачі, обробники даних за дорученням та треті особи
Ми передаємо персональні дані лише в обсязі, необхідному для зазначених цілей. З усіма обробниками даних за дорученням ми уклали договори про обробку даних за дорученням (AVV) відповідно до ст. 28 GDPR.
| Служба | Постачальник | Місцезнаходження / Розташування сервера | Мета | Передані дані | Захист при передачі до третіх країн |
|---|---|---|---|---|---|
| Stripe | Stripe, Inc. | США; обробка частково в ЄС (Stripe Payments Europe, Ltd., Ірландія) | Обробка платежів (Auth & Hold, Capture, Refund) | Ім'я, електронна пошта, платіжна інформація, сума бронювання, IP-адреса | EU-US Data Privacy Framework (DPF); AVV зі Stripe |
| Twilio | Twilio, Inc. | США | SMS-OTP верифікація номера телефону | Номер телефону, код верифікації, статус доставки SMS | EU-US Data Privacy Framework (DPF); стандартні договірні застереження (SCCs); AVV з Twilio |
| Telegram | Telegram FZ-LLC | Дубай, ОАЕ (без рішення про адекватність) | Необов'язкові сповіщення про бронювання та прийняття/відхилення | Telegram-Chat-ID, деталі бронювання (дата, час, місце, статус) | Чітка згода відповідно до ст. 49 ч. 1 п. a GDPR; добровільно |
| Відправка електронної пошти (SMTP) | Strato AG | Німеччина (розташування сервера: DE) | Системні електронні листи (підтвердження, нагадування, рахунки) | Адреса електронної пошти, ім'я, деталі бронювання | Без передачі до третіх країн; AVV зі Strato AG |
| Веб-хостинг | Хостинг-провайдер | ЄС / ЄЕП | Серверна інфраструктура, хостинг бази даних, резервні копії | Усі дані, що обробляються на платформі | AVV з хостинг-провайдером; розташування сервера в ЄС |
Крім того, дані можуть передаватися наступним одержувачам, якщо це вимагається законом:
- Фінансова адміністрація / Федеральне центральне податкове управління (звітність PStTG, податкові перевірки)
- Правоохоронні органи (за законодавчим зобов'язанням)
- Податковий консультант (для бухгалтерського обліку, під професійною таємницею)
§ 8 Передача до третіх країн (ст. 44–49 GDPR)
Передача персональних даних до країн за межами Європейського економічного простору (ЄЕП) здійснюється лише за умов, зазначених у ст. 44–49 GDPR:
| По всій Німеччині | Відповідна служба | Гарантія захисту |
|---|---|---|
| США | Stripe, Twilio | Рішення про адекватність для сертифікованих за EU-US Data Privacy Framework (DPF) підприємств (ст. 45 GDPR); додатково стандартні договірні застереження (SCCs, ст. 46 ч. 2 п. c GDPR) |
| ОАЕ (Дубай) | Telegram | Без рішення про адекватність. Передача виключно на підставі Вашої чіткої згоди відповідно до ст. 49 ч. 1 п. a GDPR. Ризик: в ОАЕ не забезпечується рівень захисту даних, порівнянний з правом ЄС. Права суб'єктів даних можуть бути не реалізовані в такому ж обсязі. Прив'язка є добровільною і може бути скасована в будь-який час у налаштуваннях профілю. |
§ 9 Заходи безпеки (ст. 32 GDPR)
Ми вживаємо належних технічних та організаційних заходів (TOM) для захисту Ваших даних, зокрема:
- HTTPS/TLS-шифрування для всіх передач даних та примусове використання безпечних з'єднань (HSTS);
- Шифрування Fernet (AES-128-CBC + HMAC-SHA256) для повідомлень чату у стані зберігання;
- PBKDF2-хешування для паролів (без зберігання у відкритому вигляді);
- CSRF-захист для всіх форм;
- Обмеження частоти відправки SMS (макс. 3 на номер/годину, макс. 5 на IP/годину) для запобігання SMS-пампінгу;
- Дані зворотного виклику Telegram, підписані HMAC-SHA256, для запобігання маніпуляціям;
- Перевірка підпису вебхуків Stripe;
- Автоматичне видалення EXIF-метаданих із фотографій профілю;
- Обмеження доступу та рольові дозволи;
- Автоматичне видалення повідомлень чату через 2 дні (мінімізація даних);
- Автоматичне видалення/знецінення кодів верифікації після закінчення терміну дії;
- Анонімізація IP-адрес при зберіганні доказів надання згоди.
§ 10 Файли cookie та подібні технології
Ми використовуємо технічно необхідні файли cookie. Необов'язкові файли cookie (наприклад, для статистики або маркетингу) встановлюються лише за Вашою чіткою згодою. Без згоди необов'язкові файли cookie не розміщуються. Необов'язкові скрипти завантажуються лише після Вашої згоди (блокування скриптів).
10.1 Технічно необхідні файли cookie
| Ім'я | Мета | Постачальник | Безпечне бронювання | Категорія |
|---|---|---|---|---|
| sessionid | Управління сесією (вхід, статус) | Spracho | Сесія (макс. прибл. 2 тижні) | Обов'язково |
| csrftoken | CSRF-захист для форм | Spracho | до 1 року | Обов'язково |
| django_language | Зберігає обрану мову | Spracho | до 1 року | Обов'язково |
| cookie_consent | Налаштування файлів cookie | Spracho | 6 місяців | Обов'язково |
Примітка щодо Stripe.js: На сторінці оплати завантажується скрипт платіжного провайдера Stripe (js.stripe.com). Це технічно необхідно для безпечної обробки платежів (відповідність PCI DSS) і використовується виключно на сторінці оплати, а не на інших сторінках платформи.
Налаштування файлів cookie
При першому відвідуванні ми показуємо повідомлення про файли cookie. Ви можете прийняти або відхилити необов'язкові файли cookie. Свій вибір Ви можете змінити в будь-який час за посиланням «Налаштування cookie» у нижньому колонтитулі.
§ 11 Ваші права (ст. 15–22 GDPR)
Ви маєте стосовно відповідальної особи наступні права щодо Ваших персональних даних:
| Право | Місце зустрічі (адреса) | Правова основа |
|---|---|---|
| Доступ до інформації | Ви можете вимагати інформацію про дані, що обробляються нами. | Art. 15 DSGVO |
| Виправлення | Ви можете вимагати виправлення неточних або доповнення неповних даних. | Art. 16 DSGVO |
| Видалення | Ви можете вимагати видалення Ваших даних, якщо цьому не перешкоджають законодавчі вимоги щодо зберігання. | Art. 17 DSGVO |
| Обмеження | Ви можете вимагати обмеження обробки Ваших даних. | Art. 18 DSGVO |
| Переносимість даних | Ви можете вимагати надання Ваших даних у структурованому, загальноприйнятому, машинозчитуваному форматі (JSON). | Art. 20 DSGVO |
| Заперечення | Ви можете заперечити проти обробки на підставі законних інтересів (ст. 6 ч. 1 п. f). | Art. 21 DSGVO |
| Відкликання згоди | Ви можете відкликати надані згоди в будь-який час з дією на майбутнє. | Art. 7 Abs. 3 DSGVO |
Для реалізації Ваших прав зверніться до нас за адресою support@spracho.de. Ми відповімо протягом 30 днів (ст. 12 ч. 3 GDPR).
Право на подання скарги до наглядового органу:
Ви маєте право подати скаргу до наглядового органу із захисту даних (ст. 77 GDPR). Відповідним наглядовим органом для нас є:
Уповноважена із захисту даних федеральної землі Нижня Саксонія (LfD Niedersachsen)
Prinzenstr. 5, 30159 Hannover
Телефон: +49 511 120-4500
E-mail poststelle@lfd.niedersachsen.de
Сайт: www.lfd.niedersachsen.de
§ 12 Автоматизоване прийняття рішень та профілювання (ст. 22 GDPR)
Виключно автоматизоване прийняття рішень (включаючи профілювання), яке має юридичні наслідки для Вас або суттєво впливає на Вас аналогічним чином, не здійснюється. Присвоєння бейджів перекладачам ґрунтується на об'єктивних критеріях (наприклад, кількість виконаних замовлень, спеціалізація) і не має негативних наслідків для Ваших прав.
§ 13 Видалення облікового запису
Ви можете ініціювати видалення Вашого облікового запису в будь-який час, надіславши електронний лист на support@spracho.de. Після видалення Ваші дані негайно видаляються, якщо цьому не перешкоджають законодавчі вимоги щодо зберігання (зокрема, податкові зобов'язання згідно з §§ 147 AO, 257 HGB, строк зберігання до 10 років). Дані, на які поширюються вимоги щодо зберігання, блокуються та остаточно видаляються після закінчення строку.
§ 14 Обов'язки оператора платформи (DAC7/PStTG)
Ми зобов'язані відповідно до Закону про прозорість оподаткування платформ (PStTG) збирати певні дані про перекладачів, які пропонують послуги на платформі (наприклад, ім'я, адреса, ідентифікаційний номер платника податків, дата народження, банківські реквізити, обороти), та щорічно повідомляти їх до Федерального центрального податкового управління (BZSt). Правовою підставою є ст. 6 ч. 1 п. c GDPR у поєднанні з PStTG. Деталі та обсяг даних Ви знайдете в процесі реєстрації.
§ 15 Оцінка впливу на захист даних (ст. 35 GDPR)
У зв'язку з обробкою особливих категорій персональних даних (ст. 9 GDPR) та обробкою даних вразливих осіб Spracho проводить оцінку впливу на захист даних (DSFA) відповідно до ст. 35 GDPR. DSFA регулярно переглядається та оновлюється при суттєвих змінах у діяльності з обробки. Результати документуються внутрішньо та надаються наглядовому органу на запит.
Політика конфіденційності
Ми оновлюємо цю Політику конфіденційності при впровадженні нових функцій, змінах у діяльності з обробки або правових змінах. Чинною є опублікована тут версія. Про суттєві зміни ми інформуємо належним чином (наприклад, електронною поштою або повідомленням на платформі).