Політика конфіденційності

1. Вступ

ТОВ "ХЕЛСІ 360" (далі - "ми", "нас" або "наш") керує веб-сайтом health360.com.ua (далі - "Сервіс"). Ця сторінка інформує вас про нашу політику щодо збору, використання та розкриття персональних даних при використанні нашого Сервісу.

2. Володілець персональних даних

3. Підстава для обробки персональних даних

Обробка персональних даних здійснюється на підставі:

• Згоди суб'єкта персональних даних на обробку його персональних даних відповідно до частини 1 статті 11 Закону України "Про захист персональних даних"
• Укладення та виконання договору, стороною якого є суб'єкт персональних даних

4. Мета обробки персональних даних

Ми обробляємо персональні дані з метою:

• Забезпечення реалізації відносин у сфері охорони здоров'я
• Надання телемедичних послуг та психологічної підтримки
• Верифікації статусу пільгових категорій громадян (ВПО, УБД)
• Надання та підтримка нашого Сервісу
• Повідомлення вас про зміни в нашому Сервісі
• Надання підтримки клієнтам
• Збір аналітичних даних для покращення Сервісу
• Обробка платежів та повернень коштів

5. Склад персональних даних

При використанні нашого Сервісу ми можемо запитувати у вас певну особисту інформацію:

• Прізвище, ім'я та по батькові
• Дата народження
• Серія та номер паспорта громадянина України
• Реєстраційний номер облікової картки платника податків (РНОКПП)
• Номер телефону
• Адреса електронної пошти
• Відомості про статус ВПО/УБД
• Медична інформація
• Дані про використання сервісу
• Платіжна інформація

6. Інтеграція з порталом "Дія"

Наш Сервіс інтегрований з Єдиним державним вебпорталом електронних послуг "Дія" для верифікації документів. При використанні функції "Завантажити з Дії":

• Ви надаєте згоду на передачу електронної копії вашого документа (довідки ВПО або посвідчення УБД) через портал "Дія"
• Документи передаються у зашифрованому вигляді та підписані кваліфікованим електронним підписом
• Ми отримуємо лише ту інформацію, яка необхідна для верифікації вашого статусу

7. Безпека даних

Безпека ваших даних важлива для нас. Ми вживаємо належних заходів для захисту персональних даних:

• Шифрування даних при передачі (SSL/TLS)
• Обмеження доступу до персональних даних
• Регулярне резервне копіювання
• Моніторинг безпеки системи

Пам'ятайте, що жоден метод передачі через Інтернет не є на 100% безпечним. Хоча ми прагнемо використовувати комерційно прийнятні засоби для захисту ваших Персональних даних, ми не можемо гарантувати їх абсолютну безпеку.

8. Передача даних третім особам

Ми не передаємо ваші персональні дані третім особам, за винятком:

• Коли це необхідно для надання вам послуг (платіжні системи)
• Коли це передбачено законодавством України
• За вашою згодою

Ми не передаємо персональні дані до держав, визнаних Верховною Радою України державою-агресором чи державою-окупантом.

9. Платежі та фінансова інформація

10. Ваші права

Відповідно до Закону України "Про захист персональних даних", ви маєте право:

• Знати про джерела збору та місцезнаходження своїх даних
• На доступ до своїх персональних даних
• Вимагати зміни або знищення своїх персональних даних
• На захист своїх персональних даних від незаконної обробки
• Відкликати згоду на обробку персональних даних

11. Відповідальна особа

Особа, відповідальна за організацію роботи, пов'язаної із захистом персональних даних:

12. Інтеграція з Instagram (Meta)

Health360 використовує Instagram Graph API (Meta Platforms, Inc.) виключно для управління власним офіційним обліковим записом Health360 в Instagram через внутрішній адміністративний інструмент "Контент-фабрика". Доступ до Instagram надається авторизованими адміністраторами Health360 через офіційний OAuth-процес Meta.

Які дані ми отримуємо від Meta:

• Метадані бізнес-облікового запису Instagram (ID, ім'я користувача, кількість підписників)
• Список Facebook Pages, до яких має доступ адміністратор
• Page Access Token — у зашифрованому вигляді (AES-256), використовується тільки для публікацій
• Метрики опублікованих постів: impressions, reach, likes, comments, shares, saves

Що ми НЕ робимо:

• Не публікуємо контент від імені сторонніх бізнесів або кінцевих користувачів
• Не агрегуємо дані конкурентів
• Не перепродаємо опублікований контент
• Не публікуємо автоматично без схвалення адміністратора

Зберігання та видалення:

Метрики постів зберігаються 365 днів (TTL-індекс автоматично видаляє старі дані). Page Access Token шифрується перед збереженням у базі даних і ніколи не передається третім сторонам.

Право на видалення даних (GDPR/CCPA): Якщо ви відкликаєте доступ Health360 у налаштуваннях Facebook (Settings → Apps and Websites), Meta автоматично сповіщає нашу систему через webhook, і ваші дані Instagram-облікового запису негайно деактивуються. Для повного видалення даних надішліть запит на admin@health360.com.ua або скористайтеся механізмом видалення даних Meta — наша система автоматично обробляє data deletion callbacks від Meta згідно з вимогами GDPR.

13. AI-обробка під час підбору персоналу (/careers)

14. Маркетингові SMS-розсилки

Health360 надсилає маркетингові SMS-повідомлення (анонси нових послуг, безкоштовних консультацій, освітніх заходів) виключно тим користувачам, які надали явну згоду під час реєстрації або в налаштуваннях профілю (Налаштування → Маркетингові комунікації). Транзакційні повідомлення (нагадування про сесії, коди верифікації, статус пакетів) не вимагають окремої згоди — вони є невід'ємною частиною надання послуги.

Які дані ми обробляємо:

• Номер мобільного телефону (нормалізований формат 380XXXXXXXXX)
• Ім'я (для персоналізації звертань, опціонально)
• Час і IP-адреса надання згоди (для аудиту відповідно до GDPR Art. 7)
• Метадані доставки SMS (статус, оператор, timestamp) — від SMS-провайдера
• Історія взаємодій (відкриття STOP, останнє відправлене повідомлення)

SMS-провайдер:

Технічна доставка SMS здійснюється через сервіс TurboSMS (ТОВ "ТурбоСМС", Україна) як data processor. Номер телефону і текст повідомлення передаються провайдеру виключно для одноразової відправки. TurboSMS не зберігає ваші персональні дані поза терміном, необхідним для технічної доставки.

Обмеження частоти:

Ми гарантуємо щомісячний ліміт не більше 6 маркетингових SMS на один номер (не більше 2 на тиждень). Відправка відбувається виключно в робочі години (09:00–21:00 за Київським часом). Транзакційні повідомлення цим лімітом не обмежені.

Як відписатися (opt-out):

Доступні два способи, обидва — миттєві:

1. Відповісти STOP на будь-яке наше SMS (також працюють варіанти «СТОП», «ВІДПИСКА», «ВІДПИСАТИСЬ»). Ваш номер буде додано до глобального блоклиста автоматично, ніяких подальших дій не потрібно.
2. Вимкнути toggle в Налаштуваннях профілю → «Маркетингові комунікації» (тільки для зареєстрованих користувачів).

Опт-аут набуває чинності миттєво — наступна заплановані кампанія автоматично виключить ваш номер. Подальша підписка можлива тільки через явне повторне ввімкнення toggle у налаштуваннях профілю (за SMS назад зайти неможливо для запобігання випадковим reactivation).

Термін зберігання даних:

• Згода на маркетинг: зберігається весь час, поки існує ваш акаунт і ви не відкликали згоду. Audit-trail (timestamp + IP) залишається довічно для юридичного підтвердження.
• Запис у блоклисті (після STOP): зберігається безстроково для гарантії, що ми ніколи не звернемось до вас знову. Це у вашому інтересі.
• Журнал відправлених SMS: автоматично видаляється через 35 днів (TTL-індекс).
• Метадані доставки: зберігаються 90 днів для агрегованої аналітики, потім автоматично видаляються.

Право на повне видалення (GDPR Art. 17):

Ви можете запросити повне видалення всіх історичних даних маркетингових комунікацій (включаючи аудит-trail), надіславши лист на admin@health360.com.ua. Видалення виконується протягом 30 днів від отримання запиту згідно з вимогами GDPR і ЗУ «Про захист персональних даних».

Передача третім особам:

Ми не продаємо і не передаємо ваші контактні дані третім сторонам для їхніх власних маркетингових цілей. Єдиний data processor — це SMS-провайдер TurboSMS у ролі технічного партнера доставки.