Угода про конфіденційність

ПОЛІТИКА КОНФІДЕНЦІЙНОСТІ

​

Редакція від 14.08.2025

​

Ця Політика конфіденційності (надалі — «Політика») розроблена Благодійною організацією «Фундація ЮА Ментал Хелп» (надалі — «Організація», «ми», «наш»), зареєстрованою відповідно до законодавства України, з метою забезпечення дотримання вимог законодавства України у сфері захисту персональних даних, зокрема Закону України «Про захист персональних даних», а також вимог Загального регламенту про захист даних (GDPR), та інших нормативно-правових актів у сфері захисту персональних даних.

​

Ця Політика регулює порядок збору, обробки, використання, зберігання, захисту та передачі персональних даних користувачів (надалі — «Користувачі» або «Суб'єкти персональних даних»), які взаємодіють із нашими цифровими сервісами, включаючи, але не обмежуючись, мобільним застосунком Self-Help App, вебсайтом [www.uamentalhelp.org], іншими онлайн-платформами, інтерфейсами, а також під час отримання безпосередніх послуг з психологічної підтримки та консультування.

​

1. Визначення термінів

​

1.1. Персональні дані — відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

​

1.2. Чутливі персональні дані — персональні дані, що стосуються стану здоров’я, психоемоційного стану, інвалідності, а також інші дані, які за законодавством вимагають підвищеного рівня захисту.

​

1.3. Обробка персональних даних — будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, включаючи з використанням інформаційних (автоматизованих) систем.

​

1.4. Володілець персональних даних — Організація, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки.

​

1.5. Розпорядник персональних даних — фізична або юридична особа, якій Володілець передає персональні дані на підставі договору для їх обробки відповідно до визначеної мети.

​

1.6. CRM-система — інформаційна система для управління взаємодією з користувачами (зокрема Creatio), яка використовується Організацією для адміністрування звернень, реєстрацій, координації діяльності психологів тощо.

​

1.7. Мобільний застосунок — програмне забезпечення Self-Help App, яке адмініструється Організацією та забезпечує надання послуг із психоемоційної підтримки, самодопомоги та зв’язку з консультантами.

​

1.8. Сайт — вебсайт Організації www.uamentalhelp.org.

​

2. Предмет політики

​

2.1. Ця Політика визначає умови, порядок і правові підстави обробки Організацією персональних та чутливих персональних даних, які надаються Користувачами у зв’язку з:

— реєстрацією в мобільному застосунку Self-Help App або на сайті; — заповненням форм, анкет, тестів (у т.ч. GAD-7, PHQ-9);

— участю в онлайн або офлайн консультуваннях;

— зверненням за допомогою до Організації або взаємодією з фахівцями Організації;

— передачею інформації технічного чи адміністративного характеру.

​

2.2. Політика застосовується до всієї інформації, яка може бути зібрана Організацією під час використання цифрових сервісів, незалежно від того, за допомогою яких пристроїв Користувач здійснює доступ.

​

2.3. Ця Політика є публічною офертою для Користувача та невід’ємною частиною умов використання мобільного застосунку, сайту та супутніх сервісів.

​

2.4. Цифрові сервіси Організації призначені виключно для осіб, які досягли 18-річного віку. Реєстрація та використання сервісу неповнолітніми особами без дозволу законного представника заборонені.

​

3. Мета обробки персональних даних

​

3.1. Обробка персональних даних здійснюється виключно з метою:

​

3.1.1. надання психологічної допомоги, психоемоційної підтримки, проведення індивідуальних або групових консультацій (правова підстава: ст. 6(1)(a) GDPR — згода; щодо чутливих даних — ст. 9(2)(a) GDPR — явна згода);

3.1.2. організації, адміністрування та документування процесу консультування (правова підстава: ст. 6(1)(b) GDPR — необхідність для виконання зобов’язань перед Користувачем);

3.1.3. проведення супервізій, внутрішнього аналізу якості наданих послуг (виключно в знеособленому вигляді) (правова підстава: ст. 6(1)(f) GDPR — законний інтерес Організації);

3.1.4. забезпечення обміну інформацією між Користувачем та фахівцями Організації (правова підстава: ст. 6(1)(a), (b) GDPR — згода та/або договірна необхідність);

3.1.5. реалізації законних інтересів Організації, зокрема щодо дотримання вимог чинного законодавства у сфері захисту персональних даних (правова підстава: ст. 6(1)(c) та 6(1)(f) GDPR — юридичний обов’язок та/або законний інтерес).

​

4. Перелік персональних даних, що підлягають обробці

​

4.1. У межах реалізації мети обробки, визначеної цією Політикою, Організація здійснює обробку персональних даних Користувачів, отриманих безпосередньо від суб’єкта персональних даних, або в процесі використання ним мобільного застосунку Self-Help App, вебсайту Організації, інших цифрових сервісів, а також під час особистої чи дистанційної участі у психологічному консультуванні.

​

4.2. До складу персональних даних, що можуть бути оброблені Організацією, входять:

4.2.1. Ідентифікаційні дані, що дозволяють встановити особу Користувача, зокрема прізвище, ім’я, по батькові (у разі добровільного надання), дата народження, стать, а також унікальний системний ідентифікатор, що створюється в межах технічного обліку;

4.2.2. Контактні дані, необхідні для зв’язку з Користувачем, включаючи номер телефону, адресу електронної пошти, а також інші способи зв’язку, які Користувач може вказати під час реєстрації або у процесі отримання послуг (наприклад, акаунти у месенджерах або профілі в застосунку);

4.2.3. Соціально-демографічна інформація, яка надається Користувачем у добровільному порядку або в рамках скринінгових анкет, зокрема вік, регіон проживання, тип зайнятості, соціальний статус;

4.2.4. Відомості, що стосуються психоемоційного стану Користувача, отримані у результаті заповнення стандартизованих інструментів первинної оцінки (у тому числі, але не обмежуючись, GAD-7, PHQ-9), а також інші відповіді на запитання скринінгових форм, анкети або самостійно сформульовані звернення, що містять інформацію про емоційний, ментальний або поведінковий стан;

4.2.5. Інформація, яка повідомляється Користувачем під час проходження психологічних консультацій, включаючи зміст запитів, особисті переживання, опис життєвих ситуацій, які, залежно від контексту, можуть прямо або опосередковано містити чутливі персональні дані;

4.2.6. Чутливі персональні дані, які стосуються стану здоров’я Користувача, у тому числі психічного здоров’я, отримані у межах надання психологічної допомоги. До таких даних належать: відомості про скарги, психоемоційні особливості, попередній досвід психотерапії чи психіатричного втручання, а також будь-яка інформація, яка відповідно до законодавства може вважатися медичною або такою, що становить лікарську таємницю. Збір і обробка таких даних здійснюються виключно за наявності чіткої, інформованої та добровільної згоди суб’єкта персональних даних, з дотриманням особливих гарантій безпеки;

4.2.7. Технічна інформація, що генерується у процесі взаємодії з цифровими сервісами Організації, у тому числі дані про пристрій Користувача, IP-адреса, час і дата сесій, мова інтерфейсу, інформація про версію застосунку, тип операційної системи, браузер, технічні журнали доступу, а також інші відомості, що автоматично фіксуються для забезпечення функціонування сервісу, захисту даних, і покращення якості наданих послуг.

4.2.8. Обробка наведених категорій персональних даних здійснюється виключно в обсязі, необхідному для досягнення цілей, визначених цією Політикою. У разі зміни цілей обробки, Організація зобов’язується попередньо отримати нову інформовану згоду Користувача.

​

5. Механізм збору, підтвердження та відкликання згоди Користувача

​

5.1. Перед початком обробки персональних даних Організація забезпечує отримання належної, вільно наданої, конкретної, поінформованої та однозначної згоди Користувача на таку обробку відповідно до ст. 7 GDPR та Закону України «Про захист персональних даних».

​

5.2. У рамках електронної взаємодії згода Користувача вважається наданою, якщо він вчинив чітку підтверджувальну дію, зокрема (але не виключно):

​

5.2.1. установив позначку (checkbox) в електронній формі вебсайту або мобільного застосунку;

5.2.2. натиснув кнопку «Надіслати», «Підтверджую», «Погоджуюсь» тощо;

5.2.3. надіслав електронну заявку/повідомлення/форму зі своїми персональними даними;

5.2.4. пройшов технічну верифікацію (ідентифікація за ID-кодом, токеном або іншим унікальним параметром);

5.2.5. підтвердив ознайомлення з цією Політикою та прийняв Угоду користувача.

 

5.3. Факт надання згоди фіксується за допомогою CRM-системи або іншого програмного забезпечення Організації, що забезпечує:

​

5.3.1. збереження дати та часу надання згоди;

5.3.2. фіксацію ідентифікатора користувача;

5.3.3. збереження IP-адреси, пристрою та типу взаємодії;

5.3.4. запис механізму надання згоди (checkbox, натискання кнопки, email тощо).

 

5.4. Усі дані, пов’язані з наданням згоди, зберігаються протягом строку, визначеного цією Політикою, та можуть бути використані як доказ належного інформування Користувача про мету та обсяг обробки.

​

5.5. Обробка чутливих персональних даних (зокрема про стан здоров’я, психоемоційний стан) здійснюється виключно на підставі окремо наданої, явно вираженої згоди, відповідно до статті 9 GDPR та статті 7 Закону України «Про захист персональних даних».

​

5.6. Користувач має право:

​

5.6.1. відмовитися від надання згоди до початку обробки;

5.6.2. відкликати раніше надану згоду в будь-який момент, надіславши відповідне повідомлення:

5.6.3. електронною поштою на офіційну адресу Організації;

5.6.4. через Особистий кабінет або відповідну онлайн-форму;

5.6.5. або у письмовій формі (у випадку офлайн-взаємодії).

 

5.7. У разі відкликання згоди:

​

5.7.1. запис у CRM або іншій системі оновлюється з фіксацією дати та часу відкликання;

5.7.2. обробка персональних даних припиняється (крім випадків, передбачених законом);

5.7.3. Користувача може бути обмежено в доступі до послуг, що потребують обробки таких даних (наприклад, психологічних консультацій), про що його буде завчасно поінформовано.

​

6. Способи, строки обробки та зберігання персональних даних

​

6.1. Обробка персональних даних Користувачів здійснюється Організацією з дотриманням принципів законності, добросовісності, прозорості, пропорційності та мінімізації даних.

​

6.2. Персональні дані обробляються як з використанням автоматизованих засобів, так і без них, шляхом здійснення однієї або кількох дій, що включають: збирання, реєстрацію, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), використання, знеособлення, блокування, видалення та знищення.

​

6.3. Обробка даних здійснюється за допомогою цифрових платформ, включаючи, але не обмежуючись, мобільний застосунок Self-Help App, вебсайт Організації, інструменти внутрішнього електронного документообігу, а також CRM-систему Creatio, яка використовується для організаційного адміністрування, технічного супроводу, ведення обліку звернень, комунікації з консультантами та узгодження сесій.

​

6.4. Термін зберігання персональних даних Користувачів не перевищує 36 (тридцяти шести) місяців з дати останньої взаємодії Користувача з Організацією, за винятком випадків, коли триваліший строк обумовлений необхідністю:

​

6.4.1. виконання зобов’язань перед державними органами відповідно до вимог законодавства;

6.4.2. забезпечення захисту законних інтересів Організації у зв’язку з можливими претензіями, зверненнями або судовими спорами;

6.4.3. окремої письмової згоди Користувача на продовження зберігання.

​

6.5. Після завершення строку зберігання, визначеного в п. 5.4 цієї Політики, персональні дані підлягають знищенню або знеособленню, якщо інше не передбачено обов’язковими нормами законодавства України або Європейського Союзу.

​

6.6. Організація не здійснює обробку персональних даних з метою прийняття автоматизованих рішень, що мають правові наслідки для Користувача, включаючи профілювання, без попереднього повідомлення та отримання окремої згоди.

​

6.7. Організація вживає всіх розумних заходів для забезпечення актуальності та достовірності оброблюваних персональних даних, а також своєчасного оновлення такої інформації відповідно до звернень Користувачів.

 

7. Передача персональних даних третім особам

​

7.1. Організація може передавати персональні дані Користувачів третім особам виключно у випадках, передбачених цією Політикою, умовами згоди Користувача, чинним законодавством України та/або положеннями GDPR і виключно у межах досягнення мети обробки таких даних.

​

7.2. Персональні дані можуть бути передані наступним категоріям третіх осіб:

​

7.2.1. Обробникам даних (Data Processors) — юридичним або фізичним особам, які обробляють персональні дані від імені Організації та виключно на підставі відповідного договору про обробку персональних даних. Зокрема, це стосується провайдерів CRM-систем (зокрема, Creatio), хмарних сервісів, інструментів для тестування, сервісів електронної комунікації тощо. Усі такі обробники зобов’язані забезпечити достатній рівень захисту даних та діяти виключно за інструкціями Організації.

7.2.2. Консультантам, психологам, супервізорам — лише в межах інформації, яка необхідна для надання Користувачеві психологічної допомоги та підтримки, та за умови дотримання принципів професійної етики та конфіденційності.

7.2.3. Державним органам влади — виключно на підставі законних вимог, судових рішень або в ситуаціях, коли існує потенційна загроза життю, здоров’ю або безпеці Користувача або інших осіб.

​

7.3. Передача персональних даних за кордон, у тому числі до країн, що не є членами Європейського Союзу чи Європейської економічної зони, може здійснюватися лише у випадку:

​

7.3.1.дотримання вимог статей 29–32 Закону України «Про захист персональних даних»;

7.3.2. забезпечення належного рівня захисту персональних даних у країні призначення;

7.3.3. наявності окремої інформованої згоди Користувача (якщо потрібно згідно з законодавством).

​

7.4. Організація не передає персональні дані для цілей прямого маркетингу або комерційної вигоди третіх осіб.

​

7.5. Усі треті сторони, яким можуть передаватися персональні дані, зобов’язані дотримуватися положень цієї Політики та надавати адекватні організаційні та технічні гарантії безпеки таких даних.

​

8. Захист персональних даних

​

8.1. Організація визнає захист персональних та чутливих персональних даних як один із своїх ключових обов’язків і вживає всіх необхідних правових, організаційних і технічних заходів для забезпечення їх конфіденційності, цілісності та доступності відповідно до вимог Закону України «Про захист персональних даних», Загального регламенту про захист даних (GDPR), а також інших актів, які регулюють цю сферу.

​

8.2. З метою захисту персональних даних ми впроваджуємо комплекс заходів, що включають, зокрема:

​

8.2.1. Організаційні заходи, серед яких:

​

1.  призначення відповідальної особи (або структурного підрозділу) за дотримання вимог у сфері захисту персональних даних;

2. проведення регулярних навчань для співробітників та консультантів щодо конфіденційного поводження з персональними даними;

3. забезпечення доступу до персональних даних лише тим особам, для яких це необхідно для виконання професійних обов’язків;

4. укладення договорів про конфіденційність зі всіма особами, що залучені до обробки персональних даних.

​

8.2.2. Технічні заходи, що включають:

​

1. використання сертифікованих програмних засобів і захищених каналів зв’язку (включаючи HTTPS, SSL/TLS);

2. обмеження доступу до інформаційних систем, що містять персональні дані, за допомогою багатофакторної автентифікації;

3. регулярне оновлення програмного забезпечення, антивірусного захисту та моніторинг спроб несанкціонованого доступу;

4. резервне копіювання та зберігання даних у безпечному середовищі;

5. аудит інформаційних систем на предмет безпеки та відповідності вимогам політики.

​

8.2.3. Процедурні заходи, зокрема:

​

1. ведення внутрішнього журналу обробки персональних даних, у якому фіксуються всі суттєві дії з персональними даними;

2. регулярний перегляд та оновлення внутрішньої документації з питань захисту персональних даних;

3. процедури реагування на інциденти безпеки та повідомлення відповідних державних органів і суб’єктів персональних даних у випадку витоку або порушення цілісності даних.

​

8.3. Ми зобов’язуємось негайно інформувати суб’єктів персональних даних у випадку виявлення порушення безпеки, яке може призвести до ризиків для їхніх прав і свобод, та, за потреби, повідомити Уповноваженого Верховної Ради України з прав людини або наглядовий орган у юрисдикції суб’єкта.

​

8.4. Організація постійно вдосконалює свою систему захисту персональних даних, з урахуванням технологічного розвитку, найкращих практик і змін у законодавстві.

​

9. Права суб’єктів персональних даних

​

9.1. Усі суб’єкти персональних даних, персональні або чутливі персональні дані яких обробляються Організацією, мають передбачені законом права, реалізація яких гарантується відповідно до вимог Закону України «Про захист персональних даних» та Загального регламенту про захист даних (GDPR).

​

9.2. Зокрема, суб’єкт персональних даних має право:

​

9.2.1. Знати про джерела збору, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) Володільця чи Розпорядника персональних даних або надати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, передбачених законом.

9.2.2. Отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані.

9.2.3. Отримувати доступ до своїх персональних даних і змісту таких даних не пізніш як за тридцять календарних днів з дня надходження відповідного запиту, крім випадків, передбачених законом.

9.2.4. Пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних, якщо така обробка є неправомірною або не відповідає задекларованій меті.

9.2.5. Вимагати зміну або знищення своїх персональних даних, якщо такі дані обробляються незаконно чи є недостовірними, шляхом надсилання письмової або електронної вимоги.

9.2.6. Ознайомлюватися з механізмами автоматичної обробки персональних даних, якщо така відбувається, а також отримувати роз’яснення щодо наслідків, які може спричинити таке рішення.

9.2.7. Оскаржувати обробку персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду в порядку, передбаченому законодавством.

9.2.8. Відкликати свою згоду на обробку персональних даних у будь-який момент, шляхом подання письмового або електронного запиту. Відкликання згоди не впливає на правомірність обробки, здійсненої до такого відкликання.

9.2.9. Застосовувати передбачені законом способи захисту своїх прав, у разі порушення порядку обробки або захисту персональних даних.

9.2.10. Суб’єкт персональних даних має право в будь-який момент відкликати надану ним згоду на обробку персональних та/або чутливих персональних даних.

​

Відкликання згоди здійснюється шляхом направлення відповідного повідомлення одним із таких способів:

​

• електронною поштою на офіційну адресу Організації, вказану в Розділі "Контактна інформація" цієї Політики;

• через функціонал Особистого кабінету Користувача (за наявності) — шляхом заповнення відповідної електронної форми;

• письмово — шляхом подання підписаної заяви на адресу місцезнаходження Організації або вручення її уповноваженому представнику.

​​

Повідомлення про відкликання згоди повинно містити:

​

• прізвище, ім’я, по батькові суб’єкта даних (за наявності);

• контактні дані для зворотного зв’язку (електронна адреса або номер телефону);

• чітке формулювання про відкликання згоди;

• дату та підпис (у разі письмового звернення).

• ​

Організація припиняє обробку персональних даних суб’єкта в найкоротший можливий строк, але не пізніше ніж протягом 5 робочих днів із дати отримання повідомлення, якщо інше не передбачено законодавством.

​

Водночас, відкликання згоди не впливає на правомірність обробки, що здійснювалася до її відкликання, і може призвести до неможливості подальшого надання послуг, що потребують обробки відповідних даних.9.3. Якщо Користувач перебуває на території Європейського Союзу, й на нього поширюється дія GDPR, він має додаткові права, зокрема:

​

9.3.1. Право на обмеження обробки персональних даних;

9.3.2. Право на переносимість даних — отримати власні персональні дані в структурованому, загальноприйнятому форматі та передати іншому володільцю;

9.3.3. Право заперечити проти обробки персональних даних, включно із прямим маркетингом;

9.3.4. Право не підлягати автоматизованому рішенню, яке має правові наслідки або суттєво впливає на Користувача;

9.3.5. Право подати скаргу до наглядового органу у відповідній юрисдикції, якщо Користувач вважає, що його права порушено.

​

9.4. Реалізація прав суб’єкта персональних даних

​

9.4.1. Для реалізації своїх прав, передбачених цим Розділом, суб’єкт персональних даних може звернутися до Організації шляхом подання письмового або електронного звернення на контактні дані, вказані в цій Політиці.

9.4.2. З метою належної обробки запиту та недопущення шахрайства, Організація має право запросити підтвердження особи заявника (наприклад, через повторну авторизацію, підтвердження на зареєстровану адресу електронної пошти або інший безпечний засіб верифікації).

9.4.3. Організація зобов’язується надати відповідь протягом 30 календарних днів з моменту отримання звернення. У разі складності або обсягу запиту, цей строк може бути продовжений ще на 30 днів, про що суб’єкт буде проінформований із зазначенням причин затримки.

9.4.4. У разі, якщо запит є явно необґрунтованим або надмірним, зокрема через повторюваність, Організація залишає за собою право вимагати обґрунтовану плату за адміністративні витрати на виконання запиту або відмовити в задоволенні запиту з наданням відповідного обґрунтування.

​

10. Умови передачі персональних даних третім особам

​

10.1. Організація має право передавати персональні та чутливі персональні дані третім особам виключно у випадках, передбачених чинним законодавством України, зокрема Законом України «Про захист персональних даних», а також, за необхідності, відповідно до вимог GDPR.

​

10.2. Передача персональних даних третім особам може здійснюватися виключно у межах визначеної мети обробки та за умови забезпечення такими особами належного рівня захисту персональних даних, не нижчого, ніж встановлено цією Політикою та законодавством.

​

10.3. Зокрема, персональні дані Користувачів можуть бути передані таким категоріям третіх осіб:

​

10.3.1. Розпорядники персональних даних — суб’єкти, з якими Організація уклала відповідні договори про надання послуг або передачу функцій з обробки персональних даних, включаючи, але не обмежуючись, постачальниками програмного забезпечення, хмарних сервісів, CRM-систем, технічної підтримки. Зокрема, Організація використовує CRM Creatio для обробки та адміністрування звернень Користувачів. Усі дані, передані до CRM Creatio, знеособлюються або мінімізуються за обсягом до необхідного.

10.3.2. Консультанти, психологи, фахівці Організації, що залучаються до надання послуг із психоемоційної підтримки, супроводу або супервізії, — в обсязі, необхідному для надання відповідних послуг.

10.3.3. Органи державної влади, правоохоронні або контролюючі органи — виключно у випадках, прямо передбачених законодавством, зокрема у зв’язку з загрозою життю чи здоров’ю Користувача або інших осіб, а також для захисту прав та законних інтересів Організації.

10.3.4. Партнери або донорські організації, які фінансують або адмініструють окремі програми за участю Користувачів, — виключно у знеособленому (анонімізованому) вигляді, що унеможливлює ідентифікацію конкретного Користувача.

​

10.4. Усі треті особи, яким передаються персональні дані, зобов’язуються використовувати їх виключно для визначеної мети, не розголошувати без згоди Користувача та забезпечити належний рівень технічного та організаційного захисту.

​

10.5. Організація не здійснює продаж, оренду, обмін чи іншу комерційну передачу персональних даних третім особам без окремої згоди Користувача.

​

10.6. Передача даних за межі України (трансфер до третіх країн) може здійснюватися за наявності правових підстав, передбачених Законом України «Про захист персональних даних» або відповідними міжнародними актами, зокрема GDPR. У разі передачі даних до країн, що не входять до Європейської економічної зони (ЄЕЗ), така передача здійснюється відповідно до статей 44–49 GDPR, зокрема шляхом застосування Стандартних договірних положень (Standard Contractual Clauses — SCC), обов’язкових корпоративних правил (Binding Corporate Rules — BCR), або за наявності рішення Європейської комісії про належний рівень захисту. Організація гарантує, що будь-яка така передача не вплине негативно на рівень захисту персональних даних Користувача.

​

11. Заходи безпеки та захисту персональних даних

​

11.1. Організація вживає всіх необхідних правових, організаційних та технічних заходів для забезпечення належного рівня безпеки персональних і чутливих персональних даних, що обробляються, відповідно до вимог Закону України «Про захист персональних даних», Загального регламенту про захист даних (GDPR), а також інших застосовних нормативно-правових актів.

​

11.2. Система захисту персональних даних в Організації побудована на принципах законності, пропорційності, мінімізації обробки, обмеження доступу та відповідальності осіб, які залучаються до обробки даних.

​

11.3. З метою недопущення несанкціонованого доступу до персональних даних або їх втрати, неправомірного знищення, підроблення, пошкодження, блокування, розголошення або розповсюдження, Організація впроваджує такі заходи безпеки:

​

11.3.1. використання сучасних технологій шифрування, брандмауерів, систем виявлення вторгнень, антивірусного захисту;

11.3.2. розміщення персональних даних на захищених серверах із багаторівневим контролем доступу;

11.3.3. регулярне резервне копіювання даних;

11.3.4. забезпечення фізичного захисту приміщень, де обробляються або зберігаються персональні дані (у разі неавтоматизованої обробки);

11.3.5. обмеження доступу до персональних даних виключно для уповноважених працівників, які підписали зобов’язання про нерозголошення;

11.3.6. ведення внутрішнього журналу обробки персональних даних, у якому фіксуються всі дії, пов’язані зі збиранням, зміною, доступом, передачею чи видаленням даних, що забезпечує можливість подальшого аудиту;

11.3.7. проведення регулярного навчання працівників щодо дотримання вимог законодавства у сфері захисту персональних даних.

​

11.4. Організація несе відповідальність за дотримання встановлених законодавством вимог щодо обробки та захисту персональних даних і забезпечує функціонування відповідальної особи або структурного підрозділу з питань захисту персональних даних.

​

11.5. У разі порушення конфіденційності або інциденту, пов’язаного з безпекою персональних даних, Організація діє відповідно до внутрішніх процедур реагування, що включають:

​

11.5.1. виявлення, документування та аналіз характеру інциденту, включно з оцінкою обсягу, категорій даних, задіяних осіб, потенційних наслідків для суб’єктів персональних даних та причин інциденту;

11.5.2. оцінку ризику для прав і свобод фізичних осіб, відповідно до статті 33 GDPR, з метою визначення необхідності повідомлення контролюючого органу. У разі, якщо інцидент може призвести до ризику для прав і свобод фізичних осіб, Організація повідомляє компетентний наглядовий орган (у межах його юрисдикції) не пізніше 72 годин з моменту виявлення такого інциденту;

11.5.3. у разі високого ризику для прав і свобод суб’єкта персональних даних (зокрема внаслідок втрати контролю над власними даними, несанкціонованого розголошення чутливих даних або фінансової інформації), Організація без невиправданої затримки інформує суб’єкта персональних даних про характер інциденту, його можливі наслідки, заходи, що вже вжиті або плануються, а також надає контактну інформацію відповідальної особи з питань захисту персональних даних;

11.5.4. документування інциденту у внутрішньому реєстрі порушень захисту персональних даних (Data Breach Log), що зберігається протягом строку, встановленого внутрішніми політиками Організації;

11.5.5. проведення оцінки впливу на захист персональних даних (Data Protection Impact Assessment, DPIA), якщо вид або обсяг обробки, а також характер інциденту, створює ймовірність високого ризику для прав і свобод фізичних осіб, відповідно до статті 35 GDPR. Така оцінка проводиться до або невідкладно після виявлення інциденту;

11.5.6. вжиття заходів щодо усунення наслідків інциденту, мінімізації шкоди, а також запобігання подібним інцидентам у майбутньому, включаючи оновлення технічних або організаційних заходів безпеки.

​

12. Cookies та інші трекінгові технології

​

12.1. Для забезпечення належної роботи вебсайту та/або мобільного застосунку, а також для покращення взаємодії з Користувачем, Організація може використовувати cookies та інші подібні трекінгові технології, що збирають технічну інформацію про Користувача.

​

12.2. До таких технологій можуть належати:

​

Cookies — невеликі текстові файли, що зберігаються у браузері Користувача при доступі до сайту.

SDK-трекери — вбудовані програмні елементи, що інтегруються в мобільний застосунок (наприклад, Firebase, AppMetrica).

Device ID — унікальні ідентифікатори пристрою (наприклад, GAID — Google Advertising ID, IDFA — Identifier for Advertisers в iOS).

Web beacons / пікселі — невидимі графічні об’єкти, що дозволяють відстежувати дії Користувача.

 

12.3. Організація може використовувати такі типи cookies та трекерів:

​

Функціональні — для збереження налаштувань користувача (мова, регіон тощо).

Аналітичні — для збору статистичної інформації про використання сервісу (зокрема Google Analytics, Firebase).

Маркетингові — для персоналізації рекламних повідомлень та вимірювання їх ефективності (використовуються лише за згодою Користувача).

Системні (необхідні) — без яких технічно неможлива повноцінна робота платформи.

 

12.4. Аналітичні та маркетингові трекінгові технології застосовуються лише за попередньою згодою Користувача, яка надається через відповідний банер, спливаюче вікно або інші технічні засоби.

​

12.5. Користувач має право:

​

12.5.1 відмовитися від використання трекінгових технологій (за винятком необхідних);

12.5.2. налаштувати доступ до cookies через налаштування свого браузера або пристрою;

12.5.3. керувати дозволами у межах функціоналу застосунку (наприклад, через системні налаштування iOS або Android).

 

12.6. Вся інформація, зібрана за допомогою трекінгових технологій, не використовується для прямої ідентифікації особи, якщо Користувач не надає її самостійно (наприклад, через форму реєстрації або консультації).

​

13. Внесення змін до Політики

​

13.1. Організація залишає за собою право періодично змінювати або оновлювати цю Політику відповідно до змін законодавства, практики захисту персональних даних, вимог партнерів або внутрішніх процедур.

13.2. У разі внесення істотних змін до умов обробки персональних даних, Організація зобов’язується повідомити Користувачів про такі зміни шляхом публікації нової редакції Політики на офіційному вебсайті [www.uamentalhelp.org], а також, за можливості, шляхом повідомлення електронною поштою або через функціонал мобільного застосунку.

13.3. Користувачеві рекомендується періодично переглядати Політику для ознайомлення з актуальними умовами. Подальше використання цифрових сервісів Організації після публікації змін до Політики вважатиметься прийняттям таких змін.

 

 

14. Контактна інформація та порядок звернення

​

14.1. З усіх питань, пов’язаних із цією Політикою, обробкою, зберіганням, виправленням або видаленням персональних даних, Користувач може звернутися до Організації за такими контактами:

​

Назва організації:

Благодійна організація «Фундація ЮА МЕНТАЛ ХЕЛП» (код ЄДРПОУ: 44794719)

​

Електронна пошта:

support@uamentalhelp.org

​

Вебсайт:
www.uamentalhelp.org

​

Відповідальна особа: 

Нагорна Тетяна В’ячеславівна

Виконавчий директор

tetiana.nahorna@uamentalhelp.org

 

14.2. Звернення може бути подано у письмовій або електронній формі. Для ідентифікації особи Користувача Організація може запитати додаткову інформацію.

14.3. Організація зобов’язується надати відповідь на звернення, запити або вимоги суб’єктів персональних даних протягом строків, установлених чинним законодавством.