Facebook-f Linkedin Instagram
Facebook-f Linkedin Instagram

Захист даних

Політика конфіденційності – Чатбот «Sportellino»

Це повідомлення надається відповідно до статей 13 і 14 Регламенту (ЄС) 2016/679 («GDPR») і описує, як обробляються персональні дані користувачів «Sportellino» – інформаційного чатбота, що керується Асоціацією соціального просування Buonsenso.

Сервіс призначений лише для користувачів, старших 18 років, які проживають на території Європейського Союзу; використання особами, молодшими 18 років, або тими, хто знаходиться поза межами ЄС, заборонене.

Персональні дані (включаючи дані, що належать до спеціальних категорій у розумінні статті 9 GDPR, наприклад, етнічне походження, релігійні переконання, дані про здоров’я тощо) оброблятимуться відповідно до чинного законодавства та з дотриманням зобов’язань щодо конфіденційності.

Контролер даних та контакти
Контролером даних є Associazione di Promozione Sociale Buonsenso, юридична адреса: Via Casilina 3, 00182 Roma (Італія), податковий код 96625890585.

Для будь-яких запитів щодо конфіденційності або для здійснення прав, зазначених нижче, ви можете звертатися до відповідальної особи за такою електронною адресою: info@sportellino.it.

(Мета обробки та правові підстави)

Персональні дані користувачів збираються та використовуються виключно для наступних цілей, відповідно до відповідних правових підстав:

  • Надання послуги чатбота: забезпечення доступу користувача до Sportellino та використання функціоналу інформаційного чатбота (включно з управлінням розмовами та запитами про допомогу).

  • Правова підстава: виконання послуги, запитаної користувачем (ст. 6, п.1, літ. b) GDPR). Для обробки спеціальних категорій даних (наприклад, інформації про здоров’я, етнічне походження, релігійні переконання, які користувач може надати) додатковою правовою підставою є явна згода користувача (ст. 9, п.2, літ. a) GDPR), надана шляхом прийняття цієї політики.

  • Покращення сервісу та навчання ШІ: аналіз у зведеній або псевдонімізованій формі розмов та взаємодій користувачів з чатботом для покращення якості відповідей, тренування алгоритмів штучного інтелекту та розробки нових функцій.

  • Правова підстава: законний інтерес контролера даних у вдосконаленні послуги та його системи ШІ (ст. 6, п.1, літ. f) GDPR). У будь-якому разі, для обробки спеціальних категорій даних використовується явна згода користувача та застосовуються додаткові заходи захисту (наприклад, псевдонімізація).

  • Дотримання законодавства та захист прав: виконання юридичних або регуляторних зобов’язань (наприклад, ведення журналів доступу, перевірка віку чи географічного походження повнолітніх користувачів ЄС) та, у разі потреби, встановлення, здійснення чи захист прав у суді. Це може включати використання чи зберігання даних для вирішення спорів, запобігання зловживанням чи шахрайству або для виконання законних вимог компетентних органів.

  • Правова підстава: дотримання юридичних зобов’язань (ст. 6, п.1, літ. c) GDPR) та законний інтерес контролера у захисті своїх прав (ст. 6, п.1, літ. f) GDPR). Для спеціальних даних застосовуються винятки, передбачені ст. 9, п.2, літ. f) GDPR (необхідність встановлення чи захисту права в суді).

Примітка: надання даних, необхідних для використання чатбота, є обов’язковою умовою для доступу до сервісу. Відмова від надання цих даних або від прийняття цієї політики унеможливить використання Sportellino. Зокрема, користувач має підтвердити свою повнолітність та проживання в ЄС; контролер може здійснювати перевірку (наприклад, перевірка віку та географічної зони підключення) для дотримання цих вимог.

(Види оброблюваних персональних даних)

Для цілей, описаних вище, Sportellino обробляє різні категорії персональних даних, наданих безпосередньо користувачем або зібраних під час використання сервісу:

  • Дані ідентифікації та контакту: інформація, надана під час використання Sportellino, така як ім’я, прізвище, адреса електронної пошти, номер телефону (особливо, якщо доступ здійснюється через платформи на кшталт WhatsApp), ім’я користувача або ID, вік/дата народження (для підтвердження повноліття), а також підтвердження проживання в ЄС.

  • Дані розмов: текстовий зміст запитів і повідомлень, обміняних з чатботом. Ці розмови можуть містити як звичайні персональні дані (наприклад, інформацію про особисті, професійні чи освітні ситуації, які користувач повідомляє у своїх запитаннях), так і дані спеціальних категорій, якщо користувач вирішує добровільно їх надати (наприклад, дані про расове чи етнічне походження, релігійні переконання, стан здоров’я тощо). Система не вимагає від користувача надавати ці чутливі дані, проте вони можуть з’являтися у змісті розмов, залежно від потреб користувача, і будуть оброблятися з додатковими гарантіями, передбаченими законом.

  • Технічні та експлуатаційні дані: інформація, яка автоматично збирається під час використання чатбота, наприклад, журнали активності (час і тривалість сесій), дані про пристрій або застосунок, які використовуються (наприклад, тип браузера чи месенджера), а також IP-адреса користувача. Зокрема, IP-адреса або інші приблизні дані геолокації можуть використовуватися лише для обмеження доступу до сервісу користувачам, які знаходяться в межах ЄС (згідно з умовами користування), а також для забезпечення безпеки платформи.

  • Дані з зовнішніх платформ: якщо користувач отримує доступ до Sportellino через сторонні сервіси (наприклад, WhatsApp або інші месенджери), деякі персональні дані, що належать до цих платформ, можуть оброблятися. Наприклад, використовуючи WhatsApp, адміністратор може мати доступ до номера телефону та облікових даних користувача, а також до повідомлень, надісланих через цей канал. Ці дані будуть використовуватися лише в обсязі, необхідному для надання сервісу через цю платформу.

    Примітка: WhatsApp (сервіс, що надається WhatsApp Inc./WhatsApp Ireland Ltd.) діє як окремий контролер даних для персональної інформації, яку він обробляє у своїй платформі згідно зі своєю політикою конфіденційності. Це означає, що WhatsApp може самостійно обробляти такі дані, як номери телефонів, метадані комунікацій і, у деяких випадках, зашифрований вміст чатів, відповідно до власних умов. Рекомендуємо користувачам ознайомитися з політиками конфіденційності зовнішніх платформ (наприклад, політикою конфіденційності WhatsApp), щоб зрозуміти, як треті сторони обробляють їхні дані.

У будь-якому випадку дані, які ці платформи передають APS Buonsenso (наприклад, повідомлення користувача, необхідні для відповіді чатбота), оброблятимуться відповідно до цілей і методів, описаних у цій політиці.

 

(Зберігання даних)

Персональні дані, зібрані Sportellino, зберігатимуться лише протягом часу, строго необхідного для досягнення цілей, для яких вони були зібрані, згідно з принципами мінімізації та обмеження строків зберігання.

Зокрема, строки зберігання визначаються наступним чином:

  • Дані, пов’язані з наданням послуги: уся інформація облікового запису (дані реєстрації та профілю) і розмови користувачів зберігаються доти, доки користувач залишається зареєстрованим та/або користується сервісом. Якщо обліковий запис видаляється користувачем або якщо він відкликає свою згоду на обробку, відповідні персональні дані будуть видалені або анонімізовані протягом короткого часу (зазвичай протягом 30 днів з моменту запиту на видалення/відкликання). У разі тривалої неактивності (наприклад, більше 12 місяців), контролер може звернутися до користувача для підтвердження зацікавленості у збереженні акаунта, і за відсутності відповіді – закрити його та видалити дані, якщо інші юридичні зобов’язання не вимагають більш тривалого зберігання.

  • Дані розмов для покращення сервісу: розмови та журнали, використані для покращення сервісу або тренування системи ШІ, зберігаються в ідентифікованій формі лише на період, необхідний для аналізу й навчання. Як правило, ці дані псевдонімізуються або агрегуються незабаром після збору, шляхом видалення елементів, які дозволяють ідентифікувати користувача. Необроблені версії розмов видаляються протягом [наприклад, 6 або 12 місяців] з моменту отримання. Анонімізовані дані (які більше не дозволяють ідентифікувати користувача) можуть зберігатися довше для статистичного аналізу та вдосконалення алгоритмів.

  • Дані для дотримання закону та захисту прав: інформація, необхідна для виконання регуляторних обов’язків або для захисту прав контролера (наприклад, журнали згоди, журнали доступу, дані для підтвердження надання послуги чи запобігання зловживанням) зберігаються протягом часу, визначеного законодавством, або протягом періоду, строго необхідного для вирішення можливих претензій. У відсутності конкретних зобов’язань ці дані зазвичай не зберігаються довше 10 років після останнього використання сервісу користувачем (за аналогією зі строками позовної давності для договірних прав). У разі судових спорів чи перевірок дані зберігатимуться до завершення процесу й вичерпання строків оскарження, після чого будуть негайно видалені.

По закінченню зазначених строків персональні дані будуть видалені, безповоротно анонімізовані або оброблені у спосіб, що унеможливлює їх пов’язання з особою користувача. У будь-якому випадку контролер зобов’язується не зберігати персональні дані користувача довше, ніж це необхідно.

 

(Методи обробки та заходи безпеки)

Персональні дані обробляються з використанням переважно електронних та автоматизованих інструментів. Взаємодія користувача зі Sportellino обробляється системами штучного інтелекту для формування інформаційних відповідей.

Ця автоматизована обробка обмежується лише наданням запитуваних користувачем відповідей; жодних автоматизованих рішень, які мали б юридичні наслідки або суттєво впливали б на користувача (відповідно до ст. 22 GDPR), не ухвалюється.

У будь-якому разі, контролер запровадив суворі технічні й організаційні заходи безпеки для захисту оброблюваних даних і запобігання несанкціонованому доступу, розкриттю, зміні чи втраті персональних даних.

Зокрема, Sportellino застосовує такі заходи:

  • Шифрування даних: комунікація між користувачем і чатботом захищена протоколами шифрування (наприклад, HTTPS/TLS для веб-інтерфейсу, наскрізне шифрування при використанні WhatsApp), щоб гарантувати конфіденційність повідомлень під час передачі. Де це технічно можливо, також застосовується шифрування персональних даних, що зберігаються на серверах, аби вони були непридатними для читання сторонніми особами.

  • Псевдонімізація чутливих даних: для даних, зібраних під час розмов (особливо якщо вони містять дані спеціальних категорій), застосовуються техніки псевдонімізації перед аналізом чи використанням для навчання ШІ. Практично це означає, що прямі ідентифікатори користувачів замінюються кодами або видаляються, щоб аналітики чи системи вдосконалення не могли прямо визначити особу користувача.

  • Контрольований доступ і авторизований персонал: персональні дані доступні лише тим співробітникам або підрядникам, яких контролер прямо уповноважив (наприклад, для управління та технічного обслуговування сервісу), і тільки для визначених цілей. Запроваджені політики контролю доступу та автентифікації гарантують, що будь-який доступ до даних відслідковується і дозволяється лише в межах службових обов’язків. Усі уповноважені особи зобов’язані дотримуватися конфіденційності та пройшли відповідне навчання із захисту даних.

  • Додаткові заходи: контролер також застосовує інші технічні й організаційні рішення, наприклад, системи брандмауерів та захисту від вторгнень, регулярне резервне копіювання даних для забезпечення їх цілісності та доступності, а також внутрішні процедури перевірки й регулярного оновлення заходів безпеки. Рівень безпеки переглядається та оновлюється з урахуванням технологічних змін і принципу пропорційності ризикам (ст. 32 GDPR).

(Розкриття даних третім сторонам)

Персональні дані користувачів ні в якому разі не будуть поширені або оприлюднені публічно. Проте вони можуть передаватися третім сторонам у межах цілей, описаних вище, зокрема:

  • Зовнішні підрядники: контролер може залучати зовнішніх постачальників послуг для технічної та організаційної підтримки платформи Sportellino. Ці сторонні компанії (наприклад, провайдери хостингу серверів, постачальники хмарних сервісів чи розробники програмного забезпечення) оброблятимуть персональні дані від імені контролера і виключно за його інструкціями, виконуючи роль обробників даних відповідно до ст. 28 GDPR. Контролер забезпечує укладення відповідних договорів із цими постачальниками (угоди про обробку даних) та вимагає від них дотримання заходів безпеки, не нижчих за описані в цій політиці. Оновлений список зовнішніх обробників можна отримати, звернувшись до контролера.

  • Зовнішні платформи та інші автономні контролери: якщо користувач обирає взаємодію з Sportellino через сторонні платформи (наприклад, WhatsApp, Facebook Messenger, Telegram тощо), частина даних також обробляється цими платформами як окремими контролерами. Зокрема, WhatsApp збирає та обробляє дані користувачів для власних цілей відповідно до своїх умов. Те саме стосується й інших каналів, які можуть бути використані для доступу до Sportellino. У такому випадку застосовуються політики конфіденційності відповідних сервісів. Контролер, зі свого боку, обмежує передачу персональних даних цим платформам лише необхідним мінімумом (наприклад, чатбот отримує лише повідомлення, надіслані користувачем, і повертає відповідь).

  • Розкриття з метою виконання юридичних зобов’язань: дані можуть передаватися державним органам, правоохоронним структурам або судовим органам виключно у випадках, коли це прямо передбачено законом чи офіційними вимогами (наприклад, у рамках кримінального розслідування чи судового процесу). У таких випадках контролер надаватиме лише ті відомості, які прямо вимагаються і в межах, дозволених законодавством про захист даних.

Окрім зазначених випадків, жодна інша третя сторона не матиме доступу до персональних даних користувачів. Зокрема, дані не передаватимуться для маркетингових цілей, профілювання чи інших неузгоджених використань.

 

(Передача даних за кордон)

Обробка даних здійснюється переважно в офісах контролера та за допомогою серверів/хмарних інфраструктур, розташованих повністю в межах Європейського Союзу. Контролер не передає і не має наміру передавати персональні дані користувачів до третіх країн поза межами Європейського економічного простору чи міжнародним організаціям. Це гарантує, що дані завжди захищені суворими правилами ЄС у сфері конфіденційності.

У разі використання зовнішніх сервісів, таких як WhatsApp чи інші, дані, які ви надсилаєте через ці платформи, можуть передаватися або зберігатися на серверах, розташованих поза межами ЄС, залежно від глобальної інфраструктури цих постачальників. Проте така передача відбувається під відповідальність сторонніх платформ (автономних контролерів), відповідно до їхніх політик конфіденційності.

APS Buonsenso гарантує, що, наскільки це залежить від нього, усі дані, які він обробляє безпосередньо, зберігаються на серверах у Європі. Якщо в майбутньому виникне необхідність передати певні дані до третіх країн (наприклад, для використання специфічних хмарних сервісів), це відбуватиметься лише за наявності відповідних гарантій, передбачених главою V GDPR (наприклад, рішення Єврокомісії про належний рівень захисту, стандартні договірні положення тощо), і після інформування відповідних користувачів.

 

(Права суб’єкта даних)

Як суб’єкт персональних даних, ви маєте всі права, передбачені статтями 15–22 GDPR. Зокрема, користувач має право на:

  • Доступ: отримати від контролера підтвердження, чи обробляються його персональні дані, і якщо так – доступ до цих даних та всієї супровідної інформації (включаючи копію даних у загальноприйнятому електронному форматі).

  • Виправлення: вимагати змін або оновлення своїх даних, якщо вони є неточними чи неповними, без необґрунтованої затримки.

  • Видалення: вимагати видалення («право на забуття») своїх персональних даних, наприклад, якщо вони більше не потрібні для цілей, з якими були зібрані; якщо ви відкликаєте свою згоду (і відсутня інша правова підстава для обробки); якщо ви заперечуєте проти обробки з обґрунтованих причин; або у випадках незаконної обробки. Видалення не застосовується, якщо зберігання даних необхідне для виконання юридичного обов’язку чи захисту права в суді.

  • Обмеження обробки: вимагати, щоб ваші дані оброблялися лише для зберігання та зупинити будь-яку іншу обробку, за умов, визначених статтею 18 GDPR (наприклад, коли користувач оскаржує точність даних – на період перевірки; або якщо обробка незаконна, але користувач заперечує проти видалення і просить обмеження; або якщо дані потрібні для здійснення чи захисту права в суді).

  • Портативність даних: отримати у структурованому, загальноприйнятому та машиночитаному форматі свої персональні дані, надані контролеру, і передати їх іншому контролеру без перешкод. (Право застосовується лише до даних, що обробляються автоматизованими засобами на підставі згоди користувача або договору).

  • Заперечення: у будь-який момент заперечити проти обробки своїх персональних даних з причин, пов’язаних із вашою конкретною ситуацією, якщо обробка ґрунтується на законному інтересі контролера. У разі заперечення контролер припиняє обробку, якщо не доведе існування переконливих законних підстав, що переважають права та свободи користувача, або для встановлення чи захисту права в суді (ст. 21 GDPR).

  • Відкликання згоди: якщо обробка здійснюється на підставі згоди, користувач має право відкликати цю згоду в будь-який момент, без шкоди для законності попередньої обробки. Відкликання згоди може призвести до неможливості надання сервісу, оскільки дані більше не можуть оброблятися для основних цілей.

  • Скарга: якщо ви вважаєте, що обробка ваших даних порушує законодавство про захист конфіденційності, ви маєте право подати скаргу до Італійського гаранта із захисту даних (Garante Privacy) або до наглядового органу країни ЄС, де ви проживаєте чи працюєте. Це не впливає на право звернення безпосередньо до суду для захисту своїх прав.

(Порядок реалізації прав)

Користувач може реалізувати вищезазначені права у будь-який момент, звернувшись до контролера даних.

Запит можна надіслати:

  • електронною поштою на адресу info@sportellino.it, вказавши право, яке ви хочете реалізувати, та надавши інформацію, необхідну для вашої ідентифікації (за потреби додаючи копію документа, що посвідчує особу, згідно з чинними процедурами);

  • або поштою на адресу: APS Buonsenso – Via Casilina 3, 00182 Roma (RM), Italia.

Контролер зобов’язується відповідати на запити суб’єктів даних без надмірних затримок і, у будь-якому разі, протягом 30 днів з моменту отримання запиту (відповідно до ст. 12 GDPR). Цей термін може бути продовжений ще на 60 днів у випадку особливо складних чи численних запитів, але у такому разі контролер повідомить користувача про продовження і причини затримки протягом перших 30 днів.

Реалізація прав є безкоштовною для користувача, за винятком випадків, коли запити є явно необґрунтованими чи надмірними; тоді контролер може стягнути розумну адміністративну плату (як дозволяє GDPR).

Зверніть увагу, що відкликання будь-якої наданої згоди (включно із згодою на обробку спеціальних категорій даних) може бути здійснене через ті ж самі канали, що й надання. Відкликання згоди не впливає на законність обробки, здійсненої до цього моменту, і не потребує обґрунтування.

 

(Використання зовнішніх платформ (наприклад, WhatsApp) – Пояснення)

Як вже зазначалося, Sportellino також доступний через зовнішні платформи обміну повідомленнями.

Ми нагадуємо, що коли користувач користується цими каналами, одночасно застосовуються правила конфіденційності відповідних сторонніх сервісів.

Наприклад, WhatsApp самостійно обробляє дані користувачів (зокрема номер телефону, фото профілю, інформацію про пристрій, а також зашифрований вміст чатів) для власних потреб. Ця обробка здійснюється незалежно від APS Buonsenso і робить WhatsApp окремим контролером даних.

Те саме стосується й усіх інших зовнішніх каналів (наприклад, соціальних мереж або інших застосунків для обміну повідомленнями), якщо вони інтегровані до сервісу Sportellino.

APS Buonsenso, як власник Sportellino, гарантує, що дані, які він отримує безпосередньо від користувачів через ці платформи, обробляються згідно з цією політикою.

Разом з тим, користувачам рекомендується перевіряти налаштування конфіденційності у відповідному сервісі та ознайомитися з його політикою, щоб зрозуміти, як їхні дані обробляються поза межами Sportellino.

Наприклад, користувач може переглянути політику конфіденційності WhatsApp, щоб дізнатися, як WhatsApp Inc. обробляє персональні дані (доступна на офіційному сайті WhatsApp або в налаштуваннях застосунку).

 

(Зміни до політики)

Ця політика може оновлюватися або переглядатися з часом, зокрема у зв’язку зі змінами законодавства або оновленнями сервісу Sportellino.

У разі суттєвих змін зареєстровані користувачі будуть повідомлені через відповідні канали (наприклад, електронною поштою або сповіщеннями в застосунку/на вебсайті) з розумним терміном попередження.

Користувачам рекомендується періодично переглядати розділ «Конфіденційність» на вебсайті Sportellino, щоб ознайомитися з останньою версією політики.

Дата останнього оновлення буде зазначена внизу цього повідомлення.