Політика конфіденційності
Ця Політика конфіденційності пояснює, як LexiPanel збирає, використовує і захищає персональні дані під час користування Сервісом. Вона написана відповідно до Регламенту ЄС про захист персональних даних (GDPR) та Закону України «Про захист персональних даних».
1. Контролер даних
Контролером персональних даних, що обробляються через LexiPanel, є Ярослав Баєнко (Україна), практикуючий Senior Associate і одноосібний оператор Сервісу.
Контакт із питань приватності: zerhug@gmail.com. Письмовий запит буде опрацьовано протягом тридцяти (30) днів.
Офіційного Data Protection Officer не призначено. З огляду на масштаб та характер обробки це не є обов'язковим відповідно до ст. 37 GDPR; перегляд відбуватиметься разом із зростанням бізнесу.
2. Які дані ми збираємо
Дані акаунту — email-адреса, display name, назва фірми, роль, хеш паролю. Надаєте ви при реєстрації.
Usage data — часові мітки входу, тривалість сесії, лічильники використання функцій. Збираються автоматично для безпеки та якості продукту.
Matter content — юридичні справи, time entries, клієнти, нотатки, які ви завантажуєте в Сервіс. Ви є контролером цього контенту; ми — процесор. Див. Data Processing Addendum (доступний на запит для Enterprise).
Платіжні дані — обробляються повністю Stripe. Ми зберігаємо лише ваш Stripe customer ID та статус підписки. Ми не бачимо номерів карток.
Технічні дані — IP-адреса (використовується коротко для rate limiting та виявлення зловживань), user-agent рядок.
Cookies — тільки суворо необхідні: `NEXT_LOCALE` (мовна преференція), преференція теми (`localStorage`), зашифрована сесія аутентифікації. Жодних analytics cookies, advertising cookies, cross-site tracking.
3. Цілі та правова підстава
Надання Сервісу — виконання договору (ст. 6(1)(b) GDPR).
Білінг та податкова звітність — договір + юридичне зобов'язання (ст. 6(1)(b) і (c)).
Моніторинг безпеки, rate limiting, виявлення зловживань — наш законний інтерес у підтриманні безпеки Сервісу (ст. 6(1)(f)).
Відповідь на ваші запити (підтримка, права суб'єкта даних) — договір + юридичне зобов'язання.
Покращення продукту — на основі агрегованих, неідентифікуючих метрик використання; наш законний інтерес (ст. 6(1)(f)). Ви можете заперечити будь-коли.
Ми не використовуємо ваші дані для marketing, profiling, або автоматизованого прийняття рішень, що мають юридичні наслідки.
4. Суб-процесори
Stripe Payments Europe, Ltd. — обробка платежів. Сертифікований GDPR compliant; Standard Contractual Clauses для будь-яких трансферів.
Hetzner Online GmbH (Німеччина) — хмарний хостинг. Весь первинний storage даних відбувається на серверах фізично в Німеччині (ЄС).
Supabase / PostgreSQL (self-hosted) — БД. Керується нами на Hetzner інфраструктурі вище; дані не залишають ЄС при нормальній роботі.
Google Fonts — доставка веб-шрифтів (Montserrat, JetBrains Mono). Google LLC бачить заголовки запитів, але вони не містять персональних даних.
Цей перелік актуальний на дату "Востаннє оновлено". Будь-яка суттєва зміна буде оголошена з 30-денним повідомленням.
5. Міжнародні трансфери
Ваші персональні дані зберігаються та обробляються в межах Європейського Союзу (Німеччина). Ми не здійснюємо регулярних трансферів персональних даних поза ЄС/ЄЕЗ.
Обмежені винятки: заголовки запитів, що досягають Stripe (Ірландія) та Google Fonts (Ірландія/США через Google LLC зі SCC) під час нормальних завантажень сторінки. Жоден matter content, дані акаунту, або usage logs не передаються за межі ЄС.
6. Строк зберігання
Дані акаунту — зберігаються поки ваша підписка активна та протягом 30 днів після скасування. За письмовим запитом видалимо раніше, з урахуванням юридичних вимог зберігання (податкові записи: 7 років).
Matter content — зберігається впродовж життєвого циклу вашої підписки. Експорт доступний будь-коли. При скасуванні — видалення протягом 30 днів, якщо ви не вкажете інакше.
Usage logs — 90 днів.
Backups — зашифровані, rolling window 90 днів. Бекапи є частиною нашої business-continuity posture; видалення поширюються через ротацію бекапів.
7. Ваші права
Відповідно до GDPR та українського законодавства ви маєте право:
— доступу до ваших персональних даних та отримання копії;
— виправлення неточних даних;
— видалення даних (право бути забутим), з урахуванням юридичного зберігання;
— обмеження обробки під час розгляду скарги;
— перенесення даних до іншого провайдера у machine-readable форматі (CSV + JSON);
— заперечення проти обробки на підставі законних інтересів;
— відкликання згоди будь-коли, коли обробка базується на згоді;
— подати скаргу Уповноваженому Верховної Ради України з прав людини (національний наглядовий орган) або будь-якому Data Protection Authority ЄС.
Для реалізації будь-якого з цих прав надішліть email на zerhug@gmail.com. Для безпеки може бути запитано підтвердження особи. Відповідь протягом 30 днів, безкоштовно (якщо запити не є явно необґрунтованими або надмірними).
8. Безпека
Сервіс має 616 автоматизованих тестів у continuous integration, включно з 32 live integration тестами проти production бази даних.
Multi-tenant data isolation enforced server-side, не client.
Весь трафік шифрується in transit (TLS 1.3). Дані at rest шифруються на рівні storage-volume.
Вісім ітерацій внутрішнього security gate задокументовані внутрішньо; summary report доступний Enterprise prospects під NDA.
У разі порушення персональних даних, що ймовірно матиме ризик для ваших прав та свобод, ми повідомимо наглядовий орган протягом 72 годин та постраждалих користувачів без невиправданої затримки, відповідно до ст. 33–34 GDPR.
10. Діти
LexiPanel — це B2B legal SaaS призначений для ліцензованих юристів та юрфірм. Він не спрямований на, і не повинен використовуватися, особами віком до 18 років. Ми свідомо не збираємо дані від неповнолітніх.
11. Зміни до цієї політики
Ми можемо оновлювати цю Політику конфіденційності час від часу. Суттєві зміни будуть оголошені email активним власникам акаунтів щонайменше за 30 днів до набуття чинності. Дата "Востаннє оновлено" вище відображає останню редакцію.
12. Контакт
Питання, запити або скарги щодо практик приватності: zerhug@gmail.com.
Якщо вас не задовольнить наша відповідь, ви можете подати скаргу Уповноваженому Верховної Ради України з прав людини (ombudsman.gov.ua) або вашому місцевому Data Protection Authority ЄС.