редакція · 12.05.2026 · альфа
Цей документ пояснює, які персональні дані ми збираємо, для чого, як захищаємо і які ти маєш права. Документ відповідає вимогам:
- Закону України «Про захист персональних даних» №2297-VI від 01.06.2010 (зі змінами)
- Регламенту ЄС 2016/679 (GDPR) — оскільки серед користувачів можуть бути особи з ЄС
- Закону України «Про електронні комунікації» №1089-IX
1. Хто ми
politech.app — некомерційний студентський проєкт КПІ ім. Ігоря Сікорського. Контактний email власника: marikovski@kpi.ua. На період альфа-тестування ми не є зареєстрованою юридичною особою; продукт надається «як є» без гарантій.
2. Які дані ми збираємо
2.1. Дані, які ти надаєш безпосередньо
- Email-адреса — для magic-link автентифікації. Тільки з доменів
@kpi.ua,@iitlt.gov.ua,@gmail.com(тимчасове обмеження альфа-етапу). - Повне імʼя, факультет, рік навчання — заповнюються в онбордингу.
- Username (опційно) — для @згадок у чатах.
- Мова інтерфейсу — uk / en / pl / і т.д.
2.2. Контент, який ти створюєш
- Повідомлення у чатах — текст, час, реакції. Бачать лише учасники чату.
- Photo-стікери — згенеровані твоїм фото (фото на сервер не зберігається, тільки результат генерації).
- Файли матеріалів (PDF, конспекти) — завантажуються у Supabase Storage, доступні лише членам відповідного чату.
- Meeting-пропозиції та RSVP — хто куди йде, відмови, час.
2.3. Технічні дані
- IP-адреса + user-agent — у логах Supabase (зберігається 30 днів).
- Cookies автентифікації від Supabase (необхідні, не можна вимкнути).
- Тема інтерфейсу (DARK/LIGHT/PINK/UA) — у твоєму localStorage, на наші сервери не відправляється.
ⓘ Ми НЕ використовуємо рекламні cookies, fingerprinting або behavior-tracking через сторонні сервіси.
3. Для чого ми використовуємо дані (правові підстави)
| Мета | Підстава (GDPR Art. 6) | Дані |
|---|---|---|
| Автентифікація | Виконання договору · Art. 6(1)(b) | Email, сесійні cookies |
| Робота чатів | Виконання договору · Art. 6(1)(b) | Повідомлення, файли, учасники |
| AI Brief (тижневі підсумки) | Згода · Art. 6(1)(a) | Тексти повідомлень відправляються в Anthropic Claude API (anonymously, без email) |
| Переклад inline | Згода · Art. 6(1)(a) | Один окремий рядок повідомлення → Claude API |
| Безпека + спам-захист | Законний інтерес · Art. 6(1)(f) | IP, user-agent, rate-limiting логи |
4. З ким ми ділимось даними
Ми не продаємо і не передаємо твої дані третім особам у комерційних цілях. Для технічної роботи продукту ми використовуємо:
- Supabase Inc. (USA / Frankfurt EU region) — хостинг бази даних, файлів і автентифікації. Договір DPA (Data Processing Agreement) укладено.supabase.com/privacy
- Anthropic PBC (USA) — API Claude для AI Brief та перекладу. Anthropic не використовує наші запити для тренування моделей (Zero Data Retention default).anthropic.com/legal/privacy
- Netlify Inc. (USA) — CDN і хостинг статичних сторінок.netlify.com/privacy
Передача в США здійснюється на підставі Standard Contractual Clauses (SCC) відповідно до GDPR Chapter V.
5. Скільки ми зберігаємо дані
- Активний акаунт: поки ти його використовуєш + 12 місяців неактивності.
- Видалений акаунт: 30 днів grace period (можна відновити), потім повне видалення всіх PII. Повідомлення в чатах залишаються від імені «видалений користувач».
- Логи Supabase: 30 днів.
- AI Brief згенеровані тексти: доступні тільки автору чату; видаляються разом з чатом.
6. Твої права (GDPR Chapter III)
Ти маєш право:
- Доступу до своїх даних (Art. 15) — можеш запросити повну копію.
- Виправлення (Art. 16) — змінити імʼя, факультет тощо у профілі.
- Стерти ("право на забуття", Art. 17) — видалити акаунт повністю. Кнопка зʼявиться у
/profileнайближчим часом; наразі написати наmarikovski@kpi.uaз темою «GDPR · видалення акаунта». - Перенесення даних (Art. 20) — отримати свої повідомлення у JSON. Запит через email.
- Заперечити проти обробки (Art. 21) — особливо для AI Brief / перекладу; можна вимкнути у
/profile→ Сповіщення. - Подати скаргу до Уповноваженого ВРУ з прав людини (український DPA) або у наглядовий орган своєї країни ЄС.
7. Безпека
- Усі зʼєднання через HTTPS / TLS 1.3.
- Бекенд захищено через Supabase Row-Level Security (RLS) — твої повідомлення не доступні іншим членам мережі.
- Файли матеріалів — приватні signed URLs з 1-годинним строком дії.
- Сесійні токени Supabase JWT, термін життя 1 година (auto-refresh).
- Паролі не зберігаємо — magic-link автентифікація.
8. Діти молодші 16 років
Сервіс призначений для студентів КПІ та інших ЗВО — тобто осіб від 16 років. Ми не обробляємо свідомо дані дітей < 16. Якщо помітиш — повідом нам.
9. Зміни до цієї політики
Ми можемо оновлювати цей документ. Про суттєві зміни повідомимо за 14 днів через email і всередині додатка. Дата останньої редакції — зверху сторінки.
10. Контакт для запитів
З питань захисту даних: marikovski@kpi.ua
Відповідаємо протягом 30 днів (вимога GDPR Art. 12).