Політика конфіденційності

1. Контролер обробки даних

Контролером Ваших персональних даних є PIKAP2 EOOD, що діє під торговою маркою PickUp2, розташований за адресою: Stara Planina 1, 7900 Omurtag, Municipality of Omurtag, Region of Targovishte, Bulgaria, ідентифікаційний номер ПДВ: BG207937426. Для отримання додаткової інформації, будь ласка, перегляньте наше Юридичне повідомлення.

2. Відповідальний за захист даних

Нашим призначеним Відповідальним за захист даних (DPO) є Dobromir Ivanov. DPO забезпечує дотримання норм захисту даних та готовий відповісти на будь-які питання стосовно Ваших персональних даних. Ви можете зв'язатися з нашим DPO за адресою:

1. Електронна пошта: [email protected]
2. Адреса: вул. Stara Planina 1, Omurtag, 7900, Municipality of Omurtag, Region of Targovishte, Bulgaria

3. Персональні дані, які ми збираємо

Ми збираємо наступні категорії персональних даних залежно від того, як Ви взаємодієте з нашою Платформою: (a) Дані реєстрації облікового запису: електронна адреса, пароль (зберігається лише як хеш bcrypt — ми ніколи не зберігаємо паролі у відкритому вигляді), ім'я, прізвище, номер телефону, звертання, тип користувача (вантажовідправник, перевізник або експедитор) та дата прийняття наших умов. (b) Дані компанії: назва компанії, номер ПДВ, країна, вулична адреса, поштовий індекс, місто, номер телефону та тип діяльності компанії. (c) Дані верифікації: результати перевірки ПДВ (через EU VIES та, для компаній Великої Британії, UK Companies House), завантажені документи (свідоцтва про реєстрацію бізнесу, сертифікати ПДВ, транспортні ліцензії, страхові сертифікати), ім'я власника та результати аналізу документів за допомогою ШІ. Одноразовий верифікаційний платіж у розмірі 1 EUR обробляється через Stripe. (d) Дані використання сервісу: вантажні замовлення (місця завантаження/розвантаження, включаючи GPS-координати, дати, час, описи вантажів, вага, габарити, вимоги до транспортних засобів, ціни, контактні особи), пропозиції автопарку, ставки та пропозиції, записи угод та реєстрації транспортних засобів (включаючи номерні знаки). (e) Дані комунікацій: повідомлення чату між користувачами, вкладені файли, цінові пропозиції, підтвердження прочитання та індикатори набору тексту. (f) Дані рейтингів та відгуків: зіркові оцінки (1-5), коментарі та оцінки статусу оплати. Рейтинги видимі всім зареєстрованим користувачам. (g) Платіжні та транзакційні дані: статус підписки, назва плану, історія транзакцій, суми платежів, валюта, тип платіжного методу та посилання на інвойси Stripe. Ми не зберігаємо номери кредитних карток або реквізити платіжних карток — вся обробка карток здійснюється Stripe. (h) Технічні дані: IP-адреси, тип та версія браузера, операційна система, тип пристрою, платформа (веб, iOS або Android), мітки часу входу та приблизне географічне розташування на основі IP-адреси. (i) Дані працівників та команди: коли власники компаній запрошують працівників — електронна адреса, призначена роль, посада та налаштування дозволів. (j) Дані зворотного зв'язку: тип зворотного зв'язку, текст повідомлення, контактна електронна адреса (за бажанням) та знімки екрана (за бажанням). (k) Біометричні дані (лише мобільні пристрої): якщо Ви активуєте біометричний вхід (Face ID або Touch ID) на підтримуваному мобільному пристрої, біометрична автентифікація обробляється повністю на Вашому пристрої за допомогою безпечного модуля пристрою. Ми не отримуємо, не передаємо та не зберігаємо жодних біометричних шаблонів. (l) Дані розсилки: електронна адреса, дата підписки, мітка часу згоди та мовні налаштування.

4. Сторонні постачальники послуг

Ми залучаємо наступних сторонніх постачальників послуг, які обробляють персональні дані від нашого імені відповідно до Угод про обробку даних: (a) Stripe (stripe.com) — Обробка платежів. Stripe безпечно обробляє Ваші платіжні дані карток. Ми отримуємо лише підтвердження транзакцій і не зберігаємо реквізити карток. Конфіденційність: https://stripe.com/privacy (b) Amazon Web Services (AWS) — Хмарна інфраструктура, файлове сховище (S3) та доставка електронної пошти (SES). Дані зберігаються в регіонах ЄС (eu-north-1, Стокгольм). Конфіденційність: https://aws.amazon.com/privacy (c) Sentry (sentry.io) — Моніторинг помилок та відстеження продуктивності. Запис сесій активується лише після Вашої згоди на Статистичні файли cookie. Конфіденційність: https://sentry.io/privacy (d) Google Analytics — Веб-аналітика (лише після згоди на Статистику через Cookiebot). Ми використовуємо Google Analytics 4 з Google Consent Mode v2. IP-адреси анонімізуються. Конфіденційність: https://policies.google.com/privacy (e) Meta Pixel (Facebook) — Відстеження конверсій (лише після згоди на Маркетинг). Конфіденційність: https://www.facebook.com/privacy (f) Cookiebot (Cybot A/S) — Управління згодою на файли cookie відповідно до GDPR. Конфіденційність: https://www.cookiebot.com/en/privacy-policy (g) OpenAI Inc. — Аналіз документів за допомогою ШІ для верифікації компаній. Витягнутий текст документів (назва компанії, адреса, номер ПДВ, імена директорів) обробляється для перевірки реєстрації бізнесу. Конфіденційність: https://openai.com/privacy (h) DeepL SE — Машинний переклад контенту, створеного користувачами (вантажні замовлення, пропозиції автопарку, ставки, повідомлення, рейтинги) для підтримки нашої багатомовної платформи. Дані обробляються в Німеччині (ЄС). Конфіденційність: https://www.deepl.com/privacy (i) IPInfo Inc. — IP-геолокація для надання локалізованого контенту та визначення мови. Конфіденційність: https://ipinfo.io/privacy (j) Google Maps (Google LLC) — Автозаповнення адрес та геокодування для пошуку місцезнаходження. Конфіденційність: https://policies.google.com/privacy (k) Apple Push Notification Service (APNs) — Push-сповіщення для мобільного додатку iOS. (l) Cloudflare Inc. — CDN, захист від DDoS та DNS-сервіси. Конфіденційність: https://www.cloudflare.com/privacypolicy/ (m) Google Firebase Storage — Доставка відеоконтенту на нашому веб-сайті. Конфіденційність: https://firebase.google.com/support/privacy

5. Автоматичний збір даних

Коли Ви відвідуєте наш веб-сайт або використовуєте наші додатки, ми автоматично збираємо: (a) Технічну інформацію: IP-адресу, тип/версію браузера, операційну систему, тип пристрою, роздільну здатність екрана та мовні налаштування. (b) Дані використання: відвідані сторінки, час перебування на сторінках, шаблони кліків та джерела переходів. (c) Дані про місцезнаходження: приблизне географічне розташування на основі IP-адреси (через службу IPInfo) для надання локалізованого контенту. Ці дані збираються на підставі законних інтересів, включаючи забезпечення безпеки веб-сайту, запобігання шахрайству, покращення користувацького досвіду та підтримку якості послуг. Правова основа для цієї обробки — Стаття 6(1)(f) GDPR.

6. Контактні форми та запити на послуги

Коли Ви використовуєте нашу контактну форму, форму запиту на транспортування або підписуєтесь на нашу розсилку, ми збираємо: (a) Контактна форма: ім'я, електронна пошта, телефон (необов'язково), тип запиту та зміст повідомлення. Ці дані обробляються для відповіді на Ваш запит (правова основа: Стаття 6(1)(b) GDPR — переддоговірні заходи). (b) Форма запиту на транспортування: повне ім'я, електронна пошта, телефон, країна, місця завантаження/розвантаження, опис товарів, вага, габарити та бажані дати. Ці дані використовуються для надання Вам транспортних пропозицій та з'єднання з відповідними перевізниками або експедиторами. (c) Розсилка: електронна адреса та мовні налаштування. Ми надсилаємо розсилки лише за Вашою явною згодою (Стаття 6(1)(a) GDPR). Ви можете відписатися в будь-який час, скориставшись посиланням у кожному листі розсилки.

7. Обмін даними з користувачами платформи

Як вантажна логістична платформа, певні дані передаються між користувачами для забезпечення надання послуг: (a) Коли Ви публікуєте вантажне замовлення або пропозицію автопарку, назва Вашої компанії, ім'я контактної особи та деталі оголошення видимі іншим зареєстрованим користувачам. (b) Коли Ви подаєте цінову пропозицію через чат, реквізити Вашої компанії та умови пропозиції передаються отримувачу. (c) Повідомлення чату видимі лише учасникам розмови. (d) Рейтинги та відгуки видимі всім зареєстрованим користувачам. (e) Статус верифікації компанії (верифікована/неверифікована) відображається іншим користувачам. Ми не продаємо персональні дані третім особам. Обмін даними з іншими користувачами є необхідним для основної функціональності платформи (правова основа: Стаття 6(1)(b) GDPR — виконання договору).

8. Запрошення працівників та управління командою

Власники компаній та адміністратори можуть запрошувати працівників приєднатися до облікового запису компанії на PickUp2. При запрошенні працівника ми збираємо: електронну адресу, призначену роль, посаду та налаштування дозволів. Листи-запрошення містять безпечні токени з обмеженим терміном дії. Облікові записи працівників пов'язані з обліковим записом компанії, і адміністратори компанії можуть керувати дозволами працівників щодо доступу до вантажних замовлень, пропозицій автопарку, угод, чату, рейтингів та управління автопарком. Якщо працівник залишає компанію, його обліковий запис може бути деактивований адміністратором компанії.

9. Файли cookie та технології відстеження

Ми використовуємо файли cookie та подібні технології відповідно до Ваших налаштувань згоди. Категорії файлів cookie: (a) Суворо необхідні файли cookie: Необхідні для функціонування веб-сайту, включаючи токени автентифікації (JWT у HTTP-only cookie), мовні налаштування (i18n_redirected), стан згоди Cookiebot та функції безпеки. Вони не потребують згоди. (b) Файли cookie налаштувань: Зберігають Ваші налаштування, такі як режим теми (темний/світлий) та збережені фільтри пошуку. Активуються за Вашою згодою на Налаштування. (c) Статистичні файли cookie: Відстеження Google Analytics та запис сесій Sentry для розуміння поведінки користувачів та покращення наших послуг. Активуються лише за Вашою згодою на Статистику через Cookiebot. (d) Маркетингові файли cookie: Meta Pixel для вимірювання реклами. Активуються лише за Вашою згодою на Маркетинг. Ми впроваджуємо Google Consent Mode v2, що означає, що всі аналітичні та маркетингові файли cookie блокуються за замовчуванням до отримання Вашої згоди. Ви можете керувати своїми налаштуваннями файлів cookie в будь-який час, натиснувши посилання налаштувань файлів cookie в підвалі нашого сайту. Ми також використовуємо localStorage браузера для функціональних цілей: мовні налаштування, налаштування теми та збережені фільтри пошуку. Вони не відстежують Вас на інших веб-сайтах.

10. Розсилка та маркетингові комунікації

Коли Ви підписуєтесь на нашу розсилку, ми зберігаємо Вашу електронну адресу, дату підписки, мітку часу згоди та мовні налаштування. Ми використовуємо ці дані для надсилання Вам оновлень про наші послуги, галузевих новин та функцій платформи. Правова основа: Ваша явна згода (Стаття 6(1)(a) GDPR). Ви можете відкликати згоду та відписатися в будь-який час: (1) натиснувши посилання для відписки в будь-якому листі розсилки, (2) зв'язавшись з нами за адресою [email protected], або (3) керуючи своїми налаштуваннями в налаштуваннях облікового запису. Після відписки ми зберігаємо запис Вашої електронної адреси в нашому списку виключень, щоб гарантувати, що ми більше не будемо зв'язуватися з Вами, якщо Ви не підпишетесь знову.

11. Аналітика та моніторинг помилок

Ми використовуємо наступні інструменти аналітики та моніторингу: (a) Google Analytics 4: Відстежує використання веб-сайту, включаючи перегляди сторінок, шляхи користувачів та події конверсії. Ми впровадили Google Consent Mode v2, що означає, що відстеження починається лише після Вашої згоди на Статистику. IP-адреси анонімізуються. Дані зберігаються протягом 14 місяців. (b) Sentry: Моніторить помилки додатків та проблеми продуктивності. Для відстеження помилок (необхідного для стабільності сервісу) ми спираємося на законний інтерес. Для запису сесій (запис взаємодій користувачів для розуміння помилок) ми вимагаємо Вашої згоди на Статистику. Конфіденційні дані (паролі, токени, платіжні реквізити) автоматично фільтруються перед надсиланням будь-яких даних до Sentry. (c) Meta Pixel: Відстежує події конверсії для оптимізації реклами. Активується лише після згоди на Маркетинг. Ви можете відмовитися в будь-який час, відкликавши свою згоду через налаштування файлів cookie.

12. Інтеграція з соціальними мережами

Ми ведемо профілі в LinkedIn, Facebook, Instagram та X (Twitter). Коли Ви взаємодієте з нами через ці платформи: (a) Посилання на соціальні мережі: Натискання посилань на наші профілі в соціальних мережах може передавати Вашу IP-адресу платформі. (b) Функції поширення: Використання кнопок поширення на статтях блогу створює з'єднання з відповідною платформою. (c) Конфіденційність платформ: Кожна платформа має власну політику конфіденційності. Ми рекомендуємо переглянути: Facebook (https://www.facebook.com/privacy), LinkedIn (https://www.linkedin.com/legal/privacy-policy), Instagram (https://help.instagram.com/519522125107875), X/Twitter (https://twitter.com/en/privacy).

13. Ваші права на захист даних

Згідно з GDPR, UK GDPR та швейцарським FADP, Ви маєте наступні права щодо Ваших персональних даних:

1. Право на доступ (Стаття 15 GDPR): Запросити копію персональних даних, які ми зберігаємо про Вас
2. Право на виправлення (Стаття 16): Запросити виправлення неточних або неповних даних. Ви можете оновити більшість даних безпосередньо в налаштуваннях облікового запису
3. Право на видалення (Стаття 17): Запросити видалення Ваших даних. Ви можете видалити свій обліковий запис з Налаштувань > Небезпечна зона, що запускає 30-денний пільговий період з подальшим остаточним видаленням
4. Право на обмеження обробки (Стаття 18): Запросити обмеження способу обробки Ваших даних за певних обставин
5. Право на портативність даних (Стаття 20): Запросити Ваші дані в структурованому, машиночитаному форматі
6. Право на заперечення (Стаття 21): Заперечити проти обробки на основі законних інтересів або для прямого маркетингу. Ви можете відписатися від розсилки в будь-який час

Щоб скористатися цими правами, будь ласка, зв'яжіться з нами за адресою [email protected]. Ми відповімо протягом 30 днів. Ви також маєте право подати скаргу до місцевого органу захисту даних. Для Болгарії: Комісія із захисту персональних даних (CPDP) — https://www.cpdp.bg. Для Великої Британії: Офіс Комісара з інформації (ICO) — https://ico.org.uk. Для Швейцарії: Федеральний уповноважений із захисту даних та інформації (FDPIC) — https://www.edoeb.admin.ch. [email protected]

14. Заходи безпеки даних

Ми впроваджуємо наступні заходи безпеки для захисту Ваших даних: (a) Шифрування при передачі: Усі дані, передані між Вашим пристроєм та нашими серверами, використовують шифрування TLS/SSL (HTTPS). (b) Безпека паролів: Паролі хешуються за допомогою bcrypt з 10 раундами солі перед зберіганням. Ми ніколи не зберігаємо паролі у відкритому вигляді. (c) Контроль доступу: Рольовий контроль доступу з чотирма попередньо визначеними рівнями та можливістю налаштування. (d) Автентифікація: Короткострокові JWT-токени доступу (30 хвилин) з HTTP-only, secure, SameSite=strict refresh-token cookies (7 днів). Refresh-токени можуть бути індивідуально відкликані. (e) Безпека OTP: Одноразові паролі для верифікації електронної пошти та скидання пароля хешуються та закінчуються через 15 хвилин з максимум 3 спробами. (f) Безпека файлів: Завантажені документи зберігаються в AWS S3 з приватним контролем доступу та підписаними URL з обмеженим терміном дії. Верифікаційні документи мають водяний знак. (g) Безпека платежів: Ми відповідаємо стандарту PCI-DSS через Stripe — ми ніколи не зберігаємо, не обробляємо і не передаємо дані кредитних карток на наших серверах. (h) Мобільна безпека: На пристроях iOS конфіденційні облікові дані зберігаються в апаратно захищеному iOS Keychain. (i) Виявлення зловживань: Автоматичний моніторинг спроб злому паролів, підозрілих шаблонів доступу та обмеження швидкості на декількох рівнях. (j) Блокування входу: Поступове збільшення тривалості блокування після невдалих спроб входу.

15. Зберігання даних

Ми зберігаємо Ваші дані протягом наступних періодів: (a) Дані облікового запису: Зберігаються протягом терміну існування Вашого облікового запису. Після запиту на видалення обліковий запис переходить у 30-денний пільговий період відновлення, після чого Ваші дані остаточно видаляються. (b) Записи транзакцій: Платіжні записи зберігаються протягом 7 років для податкових та бухгалтерських цілей відповідно до вимог законодавства. (c) Повідомлення чату: Зберігаються протягом терміну існування Вашого облікового запису. Видалені повідомлення м'яко видаляються (позначаються як видалені, але зберігаються для вирішення спорів протягом терміну існування облікового запису). (d) Рейтинги: Зберігаються протягом терміну існування Вашого облікового запису. Видаляються при остаточному видаленні облікового запису. (e) Серверні журнали: Технічні журнали зберігаються до 90 днів для моніторингу безпеки. (f) Дані сесій: Refresh-токени закінчуються через 7 днів. Сесії видаляються при виході або закінченні терміну дії токена. (g) Підписка на розсилку: Електронна адреса зберігається до відписки, потім переміщується до списку виключень. (h) Подання контактних форм: Зберігаються до 2 років, потім видаляються. (i) Верифікаційні документи: Зберігаються протягом терміну існування Вашого облікового запису. (j) Записи згоди на файли cookie: 12 місяців (керується Cookiebot). Після 30-денного пільгового періоду видалення облікового запису остаточне видалення поширюється на: профіль користувача, сесії, повідомлення, рейтинги, вантажні замовлення, пропозиції автопарку, ставки, чат-кімнати, документи компанії, дані верифікації компанії та транспортні засоби. Платіжні записи та історія транзакцій зберігаються для дотримання законодавчих вимог.

16. Міжнародна передача даних

Ваші дані можуть передаватися та оброблятися в країнах за межами Європейського економічного простору (ЄЕП), Великої Британії або Швейцарії. Ми забезпечуємо належні гарантії через: (a) EU-US Data Privacy Framework: Stripe. (b) Стандартні договірні положення (SCC): Google (Analytics, Maps, Firebase), Meta, OpenAI, IPInfo, Apple (APNs), Cloudflare. (c) Обробка в ЄС (передача не потрібна): AWS (eu-north-1, Стокгольм), Sentry (de.sentry.io, Німеччина), DeepL (Німеччина), Cookiebot (Данія). Ми уклали Угоди про обробку даних (DPA) з усіма обробниками, зазначеними в Розділі 4.

16.1 Автоматизоване прийняття рішень

Наш процес верифікації компаній використовує аналіз документів за допомогою ШІ (на базі OpenAI) для витягування та порівняння інформації із завантажених верифікаційних документів з Вашими реєстраційними даними. Цей автоматизований аналіз створює оцінку відповідності, яка впливає на Ваш статус верифікації. Однак жодне повністю автоматизоване рішення не призводить до відхилення облікового запису без перевірки людиною. Наша команда переглядає всі подання на верифікацію. Ви маєте право запросити перевірку людиною будь-якої автоматизованої оцінки, висловити свою точку зору та оскаржити рішення, зв'язавшись з нами за адресою [email protected].

16.2 Політики конфіденційності третіх сторін

Для детальної інформації про те, як наші постачальники послуг обробляють Ваші дані, будь ласка, перегляньте їхні політики конфіденційності:

1. Facebook: https://www.facebook.com/about/privacy
2. Instagram: https://help.instagram.com/519522125107875
3. X (Twitter): https://twitter.com/en/privacy
4. YouTube: https://policies.google.com/privacy
5. LinkedIn: https://www.linkedin.com/legal/privacy-policy

17. Дані дітей та зміни в цій Політиці

Наша Платформа є B2B-сервісом для підприємств у галузі вантажної логістики. Ми свідомо не збираємо персональні дані осіб молодше 18 років. Якщо нам стане відомо, що ми зібрали персональні дані особи молодше 18 років, ми негайно їх видалимо. Ми можемо оновлювати цю Політику конфіденційності для відображення змін у наших практиках, правових вимогах або послугах. У разі суттєвих змін ми: (1) Оновимо дату «Останнє оновлення» на початку цієї політики. (2) Повідомимо зареєстрованих користувачів електронною поштою про значні зміни. (3) Відобразимо помітне повідомлення на нашому веб-сайті. Ваше подальше використання Платформи після набрання чинності змінами означає прийняття оновленої політики.

Якщо у Вас є питання щодо цієї Політики конфіденційності або наших практик обробки даних, будь ласка, зв'яжіться з нами за адресою [email protected] або напишіть на: PIKAP2 EOOD, Stara Planina 1, 7900 Omurtag, Bulgaria.