Головна / Політика конфіденційності

Політика конфіденційності

Як ми обробляємо ваші персональні дані. GDPR-сумісний документ. Останнє оновлення: 25 травня 2026.

Ця Політика конфіденційності описує, які персональні дані ми збираємо, для чого використовуємо, кому передаємо і які у вас є права. Документ відповідає вимогам GDPR (Regulation (EU) 2016/679) і Закону України «Про захист персональних даних» № 2297-VI.

1. Хто ми (Контролер даних)

Сайт overchenko.studio належить і керується OVERCHENKO STUDIO — приватним підприємцем (ФОП) на території України, що надає послуги веб-розробки, дизайну та брендингу.

Контактні дані контролера:

2. Які персональні дані ми збираємо

2.1 Дані з контактної форми

Коли ви надсилаєте заявку через форму на сторінці /contact, ми збираємо:

  • Імʼя — для звернення в подальшій комунікації
  • Email або телефон — для відповіді на ваш запит
  • Тип проєкту і бюджет — для попередньої оцінки
  • Текст повідомлення — деталі вашого запиту

Поле website у формі — це honeypot для блокування ботів; його заповнення призводить до тихого відхилення запиту.

2.2 Технічні дані (автоматично)

Cloudflare (наш хостинг і CDN) автоматично логує:

  • IP-адресу (для rate limiting і захисту від DDoS)
  • User-Agent (тип браузера і ОС)
  • Referrer (з якої сторінки ви прийшли)
  • Дату і час візиту

2.3 Аналітика

Якщо встановлено Google Analytics 4 або інші analytics-інструменти, вони збирають знеособлені поведінкові метрики: переглянуті сторінки, час на сайті, тип пристрою, географічну область (країна/регіон, без точної адреси).

3. Правові підстави обробки (Art. 6 GDPR)

  • Виконання договору (Art. 6(1)(b)) — обробка ваших контактних даних для відповіді на запит про послуги.
  • Законний інтерес (Art. 6(1)(f)) — захист сайту від атак, аналітика для покращення продукту, rate limiting.
  • Згода (Art. 6(1)(a)) — обробка cookies аналітики (зніметься з вашою відмовою через cookie-банер, коли його буде впроваджено).
  • Юридичне зобовʼязання (Art. 6(1)(c)) — зберігання документів про укладені договори згідно з податковим законодавством України.

4. Cookies та трекінг

Сайт використовує мінімальну кількість cookies:

  • Функціональні cookiessessionStorage ключі os-loaded і os-from-transition (для логіки preloader і page-transition анімацій), localStorage для мови інтерфейсу (UA/EN). Не передаються третім сторонам.
  • Технічні cookies Cloudflare__cf_bm (Bot Management) і подібні, термін дії ~30 хв. Необхідні для роботи захисту сайту.
  • Аналітичні cookies — Google Analytics (якщо ввімкнено): _ga, _gid з терміном 24 год – 2 роки.

Ви можете відключити cookies у налаштуваннях вашого браузера. Це може вплинути на функціональність сайту (наприклад, мова інтерфейсу не запамʼятовуватиметься).

5. Передача даних третім сторонам

Ми використовуємо такі сервіси-процесори даних:

  • Cloudflare, Inc. (США, Privacy Shield + SCCs) — хостинг, CDN, захист. Privacy policy →
  • Telegram FZ-LLC (ОАЕ) — отримання повідомлень з контактної форми через Bot API. Ваше повідомлення передається у наш приватний чат адміністратора. Privacy policy →
  • Google LLC (США, EU-US Data Privacy Framework) — аналітика (GA4) і шрифти (Google Fonts). Privacy policy →

Ми не продаємо ваші персональні дані. Ми не передаємо їх рекламним мережам або data-брокерам.

6. Зберігання даних

  • Заявки з форми — у нашому Telegram-архіві: до 24 місяців з моменту останнього контакту, потім видаляються.
  • Документи за договорами — згідно з податковим законодавством України (3 роки після завершення проєкту мінімум).
  • Cloudflare-логи — за замовчуванням ~30 днів.
  • Аналітика — згідно з налаштуваннями Google Analytics (за замовчуванням 14 місяців знеособлених даних).

7. Ваші права (GDPR Art. 15–22)

Як субʼєкт даних ви маєте право:

  • Отримати доступ до своїх даних (Art. 15) — попросити копію всього, що про вас зберігається.
  • Виправити неточні дані (Art. 16).
  • Видалити свої дані («право бути забутим», Art. 17) — за умови, що нема юридичного зобовʼязання їх зберігати.
  • Обмежити обробку (Art. 18).
  • Переносимість даних (Art. 20) — отримати дані в машинозчитуваному форматі.
  • Заперечити проти обробки (Art. 21) — особливо для маркетингу.
  • Не підпадати під автоматизоване ухвалення рішень (Art. 22). Ми не використовуємо profiling.

Щоб реалізувати будь-яке з цих прав — напишіть на overchenkostudio@gmail.com. Ми відповідаємо протягом 30 календарних днів. Запит безкоштовний.

Якщо ви не задоволені нашою відповіддю, ви маєте право подати скаргу до:

  • В Україні: Уповноваженого Верховної Ради України з прав людини (ombudsman.gov.ua)
  • В ЄС: наглядового органу вашої країни (список тут)

8. Безпека даних

Ми застосовуємо технічні та організаційні заходи для захисту даних:

  • HTTPS/TLS 1.3 для всього трафіку (через Cloudflare).
  • HSTS, CSP, X-Frame-Options та інші security-заголовки.
  • Rate limiting на API-endpoint контактної форми (5 секунд між запитами з одного IP).
  • Honeypot-захист від ботів у формах.
  • Захищене зберігання секретів (Telegram Bot Token тощо) у Cloudflare Environment Variables.
  • Обмежений доступ до даних: лише засновник OVERCHENKO STUDIO має доступ до Telegram-архіву заявок.

Незважаючи на наші зусилля, жодна система не є на 100% безпечною. У разі витоку даних, що становить ризик для ваших прав, ми повідомимо вас і відповідний наглядовий орган протягом 72 годин (Art. 33 GDPR).

9. Діти

Наші послуги не призначені для осіб молодше 16 років. Ми свідомо не збираємо персональні дані дітей. Якщо ви виявили, що ми отримали дані дитини без згоди батьків — напишіть нам, і ми негайно видалимо їх.

10. Передача даних поза ЄС/ЄЕП

Деякі наші процесори (Cloudflare, Google, Telegram) знаходяться поза межами ЄС/ЄЕП. Ми гарантуємо адекватний рівень захисту через:

  • EU-US Data Privacy Framework (Cloudflare, Google).
  • Standard Contractual Clauses (SCCs), затверджені Європейською Комісією.
  • Спеціальні security-сертифікації постачальників (SOC 2 Type II, ISO 27001 для Cloudflare).

11. Зміни до Політики

Ми можемо оновлювати цю Політику. Дата останнього оновлення вказана зверху сторінки. Суттєві зміни оголошуються через email (для активних клієнтів) або через помітний банер на сайті щонайменше за 14 днів до набрання чинності.

Архів попередніх версій можемо надати за вимогою.

12. Контакт з питань конфіденційності

З будь-якими питаннями про обробку ваших персональних даних, реалізацію прав GDPR або скаргами — звертайтеся:

Ми не маємо обовʼязку призначати окремого Data Protection Officer (DPO) згідно з Art. 37 GDPR, оскільки не здійснюємо масштабну обробку особливих категорій даних. Усі запити обробляє безпосередньо засновник студії.

Маєте питання?

Готові відповісти за 24 години.