Політика конфіденційності

Дата набрання чинності: 17 травня 2025 · Остання редакція: 25 травня 2026

    Evaxify — це особистий проєкт. Ваші медичні дані є чутливими — ця політика пояснює, що саме ми збираємо, з якою метою та як ви можете в будь-який момент керувати своїми даними або видалити їх.
  

1. Хто ми

Evaxify («Застосунок», «ми», «нас») розробляється та управляється Олександром Місуною, незалежним розробником. Застосунок доступний користувачам у Європейському Союзі, і ця політика написана відповідно до вимог Загального регламенту захисту даних (GDPR) (Регламент (ЄС) 2016/679).

Контролер даних та контакт з питань захисту даних:
Алекс Місуна
a.misuna@yahoo.com
Термін відповіді: до 30 днів з моменту отримання запиту.

2. Дані, які ми збираємо

2.1 Дані облікового запису

Адреса електронної пошти — надана безпосередньо під час реєстрації або передана вашим Apple ID / обліковим записом Google при вході через соціальні мережі.
Унікальний внутрішній ідентифікатор користувача (генерується власним бекендом Evaxify) для зв'язку ваших даних.
Пароль — зберігається як безпечний односпрямований хеш (bcrypt). Якщо ви входите через Apple або Google, пароль не зберігається.

2.2 Дані профілю

Для кожного члена сім'ї або домашнього улюбленця, якого ви додаєте: ім'я, дата народження, тип профілю (дорослий, дитина, собака, кіт) та країна.
Порядок профілів (для функції перетягування).

2.3 Записи про вакцинації

Назва вакцини, номер дози, дата введення, статус (виконано / заплановано / пропущено).
Необов'язково: назва клініки або лікаря, текстові нотатки.

2.4 Фотографії документів (необов'язково, запланована функція)

Якщо ви фотографуєте картку щеплень, зображення завантажується до захищеного хмарного сховища (AWS S3, регіон: eu-central-1, Франкфурт). Лише ви маєте доступ до своїх документів — посилання для завантаження є часово обмеженими (15 хвилин) та генеруються на запит.
Фотографії документів можуть аналізуватися сервісом ШІ (OpenAI GPT-4o або Anthropic Claude) для вилучення даних про вакцинацію. Ви завжди переглянете та підтвердите вилучені записи перед їх збереженням. Зображення не використовуються для навчання моделей ШІ.

2.5 Технічні дані

Токен пристрою Firebase Cloud Messaging (FCM) — використовується для доставки push-сповіщень (нагадування про щеплення) на Android. Не передається третім сторонам за межами функції доставки FCM.
Стандартні журнали доступу сервера (IP-адреса, мітка часу, метод HTTP/шлях). Зберігаються до 30 днів з метою безпеки та налагодження, після чого автоматично видаляються.

Ми не збираємо дані про місцезнаходження, рекламні ідентифікатори, історію перегляду або будь-які дані, не зазначені вище.

3. Правова підстава для обробки (GDPR)

Виконання договору (ст. 6(1)(b)): Дані облікового запису та дані профілю необхідні для надання основної послуги.
Згода (ст. 6(1)(a), ст. 9(2)(a)): Дані про здоров'я (записи про вакцинацію, фотографії документів) обробляються на підставі вашої явної згоди, наданої при створенні запису або завантаженні документа. Ви можете відкликати згоду в будь-який момент, видаливши дані або свій обліковий запис.
Законний інтерес (ст. 6(1)(f)): Журнали доступу сервера для моніторингу безпеки.

4. Як ми використовуємо ваші дані

Для генерування персоналізованого розкладу щеплень («Розумний Календар»).
Для зберігання та відображення історії щеплень на різних пристроях.
Для надсилання транзакційних листів (OTP-коди для верифікації облікового запису та скидання пароля).
Для надсилання push-сповіщень про майбутні або прострочені щеплення (лише якщо ви увімкнули сповіщення).
Для вилучення записів про вакцинацію з фотографій, які ви обираєте для сканування (обробка ШІ — запланована функція).
Ми не продаємо, не передаємо в оренду та не передаємо ваші дані рекламодавцям або брокерам даних.
Ми не використовуємо ваші медичні дані для профілювання, досліджень або будь-якої іншої мети, крім надання Застосунку.

5. Сторонні сервіси

Apple Sign In — необов'язковий вхід через Apple ID. Apple може передавати нам вашу адресу електронної пошти або адресу приватного ретранслятора. Політика конфіденційності Apple.
Google Sign In — необов'язковий вхід через обліковий запис Google. Політика конфіденційності Google.
Resend — доставка транзакційних листів (OTP-верифікація та скидання пароля). Resend обробляє вашу адресу електронної пошти виключно для доставки цих повідомлень. Політика конфіденційності Resend.
Amazon Web Services (AWS S3) — зашифроване зберігання документів. Регіон: eu-central-1 (Франкфурт, Німеччина). Дані не виходять за межі ЄС. Політика конфіденційності AWS.
Google Firebase Cloud Messaging (FCM) — доставка push-сповіщень на Android. FCM отримує токен вашого пристрою для маршрутизації сповіщень; медичні дані не передаються. Конфіденційність Firebase.
OpenAI / Anthropic — ШІ-вилучення записів про вакцинацію з фотографій (запланована функція). Зображення обробляються тимчасово та не використовуються для навчання моделей. Конфіденційність OpenAI / Конфіденційність Anthropic.

Усі обробники зобов'язані договірно (через угоди про обробку даних або Стандартні договірні положення) обробляти ваші дані лише відповідно до наших інструкцій та з дотриманням вимог GDPR.

6. Міжнародна передача даних

Ваші дані облікового запису, профілю та щеплень зберігаються на серверах у ЄС (AWS eu-central-1, Франкфурт). Деякі сторонні сервіси (Firebase FCM, Apple, Google, OpenAI) можуть обробляти дані за межами Європейського економічного простору (ЄЕП). У таких випадках ми покладаємося на Стандартні договірні положення (SCC), затверджені Європейською комісією, для забезпечення рівноцінного рівня захисту.

7. Зберігання даних

Дані вашого облікового запису та профілю зберігаються протягом усього часу активності облікового запису.
Записи про вакцинацію та фотографії документів зберігаються до їх видалення або видалення облікового запису.
OTP-коди (для верифікації електронної пошти / скидання пароля) є короткочасними та автоматично видаляються після закінчення терміну дії.
Журнали доступу сервера видаляються через 30 днів.
Після видалення облікового запису (доступне в застосунку в розділі Налаштування) всі персональні дані назавжди видаляються протягом 30 днів, крім випадків, коли зберігання вимагається чинним законодавством.

8. Ваші права за GDPR

Якщо ви перебуваєте в ЄС/ЄЕП, ви маєте такі права:

Доступ Запит копії всіх даних, які ми зберігаємо про вас.

Виправлення Виправлення неточних або неповних даних.

Видалення («право бути забутим») Видаліть обліковий запис і всі пов'язані дані безпосередньо в застосунку або написавши нам.

Обмеження Запит на призупинення обробки ваших даних.

Перенесення Отримання ваших даних у машинозчитуваному форматі.

Заперечення Заперечення проти обробки на підставі законного інтересу.

Відкликання згоди Відкличте згоду на медичні дані в будь-який момент, видаливши відповідні записи.

Скарга Подайте скаргу до національного наглядового органу з питань захисту даних.

Для реалізації будь-якого з цих прав напишіть на адресу a.misuna@yahoo.com. Ми відповімо протягом 30 днів.

9. Безпека даних

Усі дані передаються через HTTPS/TLS.
Паролі зберігаються як хеші bcrypt — ніколи у відкритому вигляді.
Фотографії документів зберігаються в зашифрованих бакетах S3 (шифрування на стороні сервера) без публічного доступу; посилання для завантаження є часово обмеженими.
JWT токени доступу є короткочасними; токени оновлення забезпечують безперервність сесії без повторного входу.
Доступ до виробничих даних обмежений виключно розробником.

10. Конфіденційність дітей

Evaxify дозволяє створювати профілі для дітей у вашій сім'ї; однак сам обліковий запис у Застосунку повинен бути створений дорослим (18+). Ми свідомо не збираємо дані безпосередньо від дітей. Якщо ви вважаєте, що дитина створила обліковий запис без батьківської згоди, будь ласка, негайно зв'яжіться з нами за адресою a.misuna@yahoo.com.

11. Зміни до цієї політики

Ми можемо періодично оновлювати цю політику. Про суттєві зміни ми повідомимо вас через сповіщення в застосунку або електронною поштою щонайменше за 14 днів до набрання ними чинності. Дата «Останньої редакції» у верхній частині цієї сторінки завжди відображає поточну версію.

12. Контакти та наглядовий орган

З будь-яких питань щодо конфіденційності, запитів на дані або скарг:
Алекс Місуна (Контролер даних)
a.misuna@yahoo.com

Ви також маєте право подати скаргу безпосередньо до наглядового органу. В Польщі: Urząd Ochrony Danych Osobowych (UODO).