MIRKASO
Політика конфіденційності·Версія 2026-05-15·Набирає чинності: 2026-05-15
English version

Політика конфіденційності

Версія: 1.0

Дата набрання чинності: 15 травня 2026 року

Власник персональних даних: ФОП Гайтан Кирило Олександрович

Контакт DPO: support@mirkaso.com

Сайт: https://mirkaso.com

1. Вступ

1.1. Ця Політика конфіденційності (далі — «Політика»») визначає порядок обробки персональних даних користувачів платформи Mirkaso (далі — «Платформа»», **«Сервіс»»»), що належить ФОП Гайтан Кирило Олександрович (далі — «Власник даних»», «ми»», **«нас»»»), зареєстрованому в Україні.

1.2. Mirkaso є SaaS-платформою аналітичних інструментів, що надає користувачам доступ до IT-аналітичних інструментів, інструментів аналізу ринкових даних, data analytics та market research tools. Платформа НЕ є фінансовою установою, брокером чи інвестиційним консультантом. Аналітика надається виключно в інформаційних цілях та НЕ є інвестиційною рекомендацією.

1.3. Ми є власником персональних даних відповідно до Закону України № 2297-VI «Про захист персональних даних» та контролером (controller) за GDPR для користувачів з Європейського Союзу.

1.4. Уповноважена особа з питань захисту персональних даних (DPO): support@mirkaso.com

2. Законодавча база

Ця Політика розроблена відповідно до:

| Законодавчий акт | Застосування | |---|---| | Закон України № 2297-VI «Про захист персональних даних» | Основний закон для всіх користувачів | | Закон України № 524-IX від 04.03.2020 | Уточнення положень № 2297-VI, GDPR-лайнмент | | GDPR (EU) 2016/679 | Для користувачів з Європейського Союзу | | ePrivacy Directive 2002/58/EC | Щодо використання cookies та електронних комунікацій | | Закон України «Про забезпечення функціонування української мови як державної» | Первинна мова документа — українська |

3. Які дані ми збираємо

3.1. Облікові дані

  • Адреса електронної пошти (email)
  • Ім'я та/або псевдонім (display name)
  • Хешований пароль
  • Ідентифікатор облікового запису (UUID)
  • Дата реєстрації та останнього входу

3.2. Платіжні дані

  • Історія транзакцій (дата, сума, тип підписки)
  • Білінгова адреса (якщо надана)
  • Ми НЕ зберігаємо дані платіжних карток. Усі платіжні дані обробляються виключно ліцензованими платіжними провайдерами (Payoneer, PayPal, Stripe).

3.3. Технічні дані

  • IP-адреса (з маскуванням останнього октету для аналітики)
  • User-Agent браузера
  • Тип пристрою та операційна система
  • Мова інтерфейсу

3.4. Аналітичні дані (cookies)

  • Дані про використання платформи (події, перегляди сторінок)
  • Сесії та взаємодія з інтерфейсом
  • Heatmaps та записи сесій (при згоді)

3.5. Дані про використання

  • Логи дій у системі (дата, час, тип дії)
  • Сформовані аналітичні звіти та портфельні дані
  • Налаштування профілю та персоналізації

3.6. Дані щодо віку

  • Сервіс призначений для користувачів віком від 18 років.
  • Користувачі віком 16–17 років можуть використовувати Сервіс лише за письмової згоди батьків або законних представників.

4. Мета обробки даних

| № | Мета обробки | Підстава | |---|---|---| | 1 | Надання доступу до функціоналу Платформи (аутентифікація, авторизація) | Виконання договору | | 2 | Обробка платежів за підписку | Виконання договору | | 3 | Аналітика використання для покращення сервісу | Законний інтерес / Згода | | 4 | Комунікація з користувачами (повідомлення, оновлення) | Виконання договору / Згода | | 5 | AI-обробка анонімізованих портфельних даних для генерації інсайтів | Явна згода | | 6 | Дотримання вимог законодавства (податкове, бухгалтерське) | Юридичний обов'язок | | 7 | Забезпечення безпеки системи | Законний інтерес | | 8 | Відправка email-сповіщень (транзакційних та маркетингових за згодою) | Виконання договору / Згода |

5. Правові підстави обробки

Відповідно до статті 6 Закону України № 2297-VI та статті 6 GDPR, ми обробляємо персональні дані на таких підставах:

5.1. Згода суб'єкта даних

  • Використання аналітичних cookies (PostHog, GA4, Clarity)
  • AI-обробка портфельних даних (через OpenRouter)
  • Маркетингові комунікації
  • Користувач має право відкликати згоду в будь-який момент через налаштування профілю або звернувшись до DPO.

5.2. Виконання договору

  • Реєстрація та підтримка облікового запису
  • Надання доступу до функціоналу Платформи
  • Обробка платежів
  • Відправка транзакційних email

5.3. Законний інтерес

  • Забезпечення безпеки системи (логи, IP-адреси)
  • Технічна підтримка
  • Аналітика для покращення продукту (за умови належної анонімізації)

5.4. Юридичний обов'язок

  • Зберігання платіжних записів відповідно до Податкового кодексу України (7 років)
  • Дотримання вимог фіскального законодавства

6. Cookies

6.1. Платформа використовує файли cookies відповідно до Окремої політики щодо cookies, доступної за адресою /cookies.

6.2. Категорії cookies, що використовуються:

| Cookie | Категорія | Ціль | Термін | |---|---|---|---| | session_id | Essential | Аутентифікація | Сесія | | __stripe_mid | Essential | Обробка платежів Stripe | 1 рік | | __stripe_sid | Essential | Обробка платежів Stripe | 30 хвилин | | theme | Preferences | Темна/світла тема | 1 рік | | locale | Preferences | Мова інтерфейсу | 1 рік | | _ga | Analytics | Ідентифікатор Google Analytics | 2 роки | | _gid | Analytics | Сесія Google Analytics | 24 години | | ph_* | Analytics | Події PostHog | 1 рік | | _clck | Analytics | Microsoft Clarity | 1 рік | | _fbp | Marketing | Meta Pixel | 3 місяці |

6.3. Essential cookies встановлюються автоматично. Analytics та Marketing cookies — лише після отримання згоди через cookie consent banner.

6.4. Користувач може змінити налаштування cookies в будь-який момент через панель налаштувань або налаштування браузера.

7. Треті сторони та субпроцесори

7.1. Ми залучаємо третіх осіб (субпроцесорів) для обробки персональних даних. Повний реєстр субпроцесорів:

| Субпроцесор | Призначення | Регіон | Типи даних | Privacy URL | |---|---|---|---|---| | Payoneer | Основний платіжний процесор | US / EU | Платіжні записи, білінгова адреса | https://www.payoneer.com/privacy-policy/ | | PayPal | Резервний платіжний процесор | US / LU | Платіжні записи | https://www.paypal.com/ua/legalhub/privacy-full | | Stripe | Обробка платежів | US / IE | Платіжні записи, дані карток | https://stripe.com/privacy | | PostHog | Продуктова аналітика | EU / US | Події використання, перегляди сторінок | https://posthog.com/privacy | | Google Analytics 4 | Маркетингова аналітика | US | Перегляди сторінок, сесії, демографія | https://policies.google.com/privacy | | Microsoft Clarity | UX-аналітика (heatmaps, записи сесій) | US | Взаємодія, записи сесій | https://privacy.microsoft.com/privacystatement | | OpenRouter | AI-обробка портфельних даних | US | Анонімізований склад портфеля | https://openrouter.ai/privacy | | Railway | Хостинг backend-інфраструктури | US | Дані користувачів, логи | https://railway.app/legal/privacy | | Vercel | Хостинг frontend-інфраструктури | US | Логи застосунків, дані розгортання | https://vercel.com/legal/privacy-policy | | Resend | Доставка електронної пошти | US | Email-адреси, вміст листів | https://resend.com/legal/privacy |

7.2. Ми укладаємо з кожним субпроцесором договір про обробку персональних даних (DPA), що відповідає вимогам Закону № 2297-VI та, для субпроцесорів поза ЄЕЗ, — Стандартним договірним положенням ЄС (SCC).

7.3. Essential субпроцесори (Payoneer, PayPal, Stripe, Railway, Vercel, Resend) необхідні для надання послуг і не потребують окремої згоди. Analytics субпроцесори (PostHog, GA4, Clarity, OpenRouter) активуються лише за згодою користувача.

7.4. Ми зберігаємо право оновлювати реєстр субпроцесорів. Користувачі отримуватимуть повідомлення про суттєві зміни не пізніше ніж за 30 днів до їх набрання чинності.

8. AI-обробка даних

8.1. Платформа використовує штучний інтелект через субпроцесора OpenRouter (регіон: US) для генерації аналітичних інсайтів на основі портфельних даних користувача.

8.2. Принципи AI-обробки:

  • Анонімізація: до OpenRouter передаються виключно відсоткові співвідношення складу портфеля. Суми в USD або будь-якій іншій валюті НЕ передаються.
  • Приклад: замість «0.5 BTC (~$50,000)» передається «BTC — 40% портфеля».
  • Неможливість ідентифікації: OpenRouter не отримує email, ім'я користувача або будь-які інші ідентифікатори.
  • Неможливість реконструкції: отримані відсоткові дані не дозволяють відновити фактичні суми без доступу до оригінальних даних користувача.

8.3. AI-обробка відбувається тільки за явною згодою користувача, яка запитується окремо при першому використанні AI-функціоналу та може бути відключена в налаштуваннях профілю.

8.4. Якщо користувач відкликає згоду на AI-обробку, всі подальші запити до OpenRouter припиняються, а історія AI-взаємодій видаляється протягом 30 днів.

9. Міжнародна передача даних

9.1. Дані користувачів можуть оброблятися за межами України, зокрема в Сполучених Штатах Америки (US) та Європейському Союзі (EU).

9.2. Правові механізми міжнародної передачі:

| Механізм | Застосування | |---|---| | Рішення про адекватність | Для передачі даних до країн ЄС (визнані адекватними за GDPR) | | Стандартні договірні положення ЄС (SCC) | Для передачі даних до США відповідно до рішення ЄК 2021/914 | | Договори про обробку даних (DPA) | Укладено з усіма субпроцесорами |

9.3. Для користувачів з ЄС ми забезпечуємо захист їхніх даних на рівні, еквівалентному GDPR, незалежно від того, де фізично розташовані сервери.

9.4. Платіжні дані, що обробляються через Payoneer (US/EU), Stripe (US/IE) та PayPal (US/LU), захищені власними механізмами цих платіжних систем, включаючи сертифікацію PCI DSS.

10. Строки зберігання даних

| Категорія даних | Термін зберігання | Підстава | |---|---|---| | Облікові дані (email, профіль, налаштування) | До видалення акаунта користувачем | Виконання договору | | Платіжні дані (історія транзакцій, білінг) | 7 років | Податковий кодекс України, ст. 44 | | Аналітичні дані (cookies) | Згідно з таблицею в розділі 6 | Згода користувача | | Логи дій у системі | 1 рік | Закон № 2297-VI, ст. 11 | | Резервні копії (після видалення акаунта) | 30 днів | Технічна необхідність, потім повне видалення | | AI-взаємодії (запити та відповіді OpenRouter) | До відкликання згоди + 30 днів | Згода користувача | | Email-комунікація | 2 роки | Законний інтерес / Доказова база |

10.1. Після закінчення строків зберігання дані підлягають повному видаленню або безповоротній анонімізації (перетворенню у форму, що не дозволяє ідентифікувати суб'єкта).

11. Права суб'єкта даних

Відповідно до Закону № 2297-VI та GDPR, кожен користувач має такі права:

11.1. Право на доступ до даних

Користувач має право отримати підтвердження того, чи обробляються його персональні дані, а також копію всіх даних, що зберігаються.

11.2. Право на виправлення (rectification)

Користувач може вимагати виправлення неточних або неповних персональних даних через налаштування профілю або звернення до DPO.

11.3. Право на видалення (erasure / «право на забуття»)

Користувач має право вимагати видалення своїх персональних даних, якщо:

  • дані більше не потрібні для цілей обробки;
  • користувач відкликає згоду;
  • обробка була незаконною;
  • дані підлягають видаленню відповідно до закону.

Винятки: дані, що зберігаються на підставі юридичного обов'язку (платіжні записи — 7 років), не підлягають видаленню до закінчення встановленого строку.

11.4. Право на обмеження обробки

Користувач може вимагати призупинення обробки його даних у разі оскарження точності даних або незаконності обробки.

11.5. Право на перенесення даних (data portability)

Користувач має право отримати свої дані в структурованому, машиночитабельному форматі (JSON, CSV) та передати їх іншому контролеру.

11.6. Право на заперечення проти обробки

Користувач може заперечити проти обробки даних на підставі законного інтересу. У цьому випадку ми припинимо обробку, якщо не доведемо наявність вагомих законних підстав.

11.7. Право відкликати згоду

Згода на обробку даних може бути відкликана в будь-який момент через:

  • налаштування профілю на Платформі;
  • звернення до DPO за адресою support@mirkaso.com;
  • cookie consent banner (для analytics cookies).

Відкликання згоди не впливає на законність обробки, що відбулася до моменту відкликання.

11.8. Право на звернення до Уповноваженого ВРУ з прав людини

Користувач має право подати скаргу до Уповноваженого Верховної Ради України з прав людини щодо захисту персональних даних:

  • Сайт: https://ombudsman.gov.ua
  • Адреса: 01008, м. Київ, провулок Рильський, 3
  • Email: hotline@ombudsman.gov.ua

11.9. Право на звернення до суду

Користувач має право звернутися до суду для захисту своїх прав щодо персональних даних.

11.10. Право на звернення до наглядового органу ЄС

Для користувачів з ЄС — право подати скаргу до наглядового органу країни проживання або місцезнаходження.

11.11. Термін відповіді

Ми розглядаємо всі запити щодо прав суб'єктів даних протягом 30 календарних днів з моменту отримання. У складних випадках строк може бути продовжено ще на 60 днів з обов'язковим повідомленням користувача.

12. Процедура видалення облікового запису

12.1. Ініціація видалення

Користувач може ініціювати видалення облікового запису через налаштування профілю або зверненням до DPO.

12.2. Soft delete (м'яке видалення)

  • Обліковий запис деактивується (soft delete).
  • Користувач втрачає доступ до платформи.
  • Дані позначаються як «на видалення».

12.3. Cooling period (охолоджувальний період) — 30 днів

  • Протягом 30 днів користувач може відновити обліковий запис, звернувшись до support@mirkaso.com.
  • Під час цього періоду дані НЕ видаляються остаточно.

12.4. Повне видалення

  • По закінченню 30-денного періоду:
    • Облікові дані підлягають безповоротньому видаленню.
    • Платіжні дані зберігаються у мінімально необхідному обсязі строком 7 років (податкова вимога).
    • Аналітичні дані підлягають анонімізації.
    • Резервні копії видаляються протягом 30 днів.

12.5. Передчасне видалення

Користувач може вимагати негайного остаточного видалення без охолоджувального періоду шляхом явного підтвердження у запиті до DPO.

13. Експорт даних

13.1. Користувач має право експортувати свої дані в машиночитабельному форматі.

13.2. Доступні формати: JSON, CSV.

13.3. Метод отримання: через налаштування профілю на Платформі або запитом до DPO.

13.4. Дані, що включаються до експорту:

  • Облікова інформація (email, ім'я)
  • Історія транзакцій
  • Збережені налаштування
  • Сформовані аналітичні звіти (якщо є)

13.5. Термін надання: протягом 30 днів з моменту запиту.

14. Заходи безпеки

14.1. Ми забезпечуємо належний рівень захисту персональних даних шляхом реалізації таких технічних та організаційних заходів:

| Захід | Опис | |---|---| | TLS 1.3 | Усі з'єднання між користувачем і платформою шифруються | | Шифрування в спокої | Дані на серверах шифруються за допомогою AES-256 | | Хешування паролів | Паролі зберігаються у вигляді криптографічного хешу (bcrypt/Argon2) | | Обмеження доступу | Доступ до даних мають лише уповноважені співробітники за принципом мінімальних привілеїв | | Логування доступу | Всі дії з персональними даними фіксуються в аудит-логах | | Регулярне резервне копіювання | З шифруванням та строком зберігання 30 днів | | Оновлення ПЗ | Регулярне встановлення оновлень безпеки | | Моніторинг | Безперервний моніторинг на предмет підозрілої активності |

14.2. У разі витоку персональних даних (data breach) ми повідомляємо:

  • Уповноваженого ВРУ з прав людини протягом 72 годин з моменту виявлення (якщо це загрожує правам суб'єктів даних).
  • Самих суб'єктів даних — без невиправданої затримки, якщо виток становить високий ризик для їхніх прав.

15. Зміни до Політики

15.1. Ми залишаємо за собою право вносити зміни до цієї Політики.

15.2. Про суттєві зміни користувачі будуть повідомлені:

  • Електронним листом на адресу, пов'язану з обліковим записом;
  • Повідомленням в інтерфейсі Платформи;
  • Не пізніше ніж за 30 днів до набрання змінами чинності.

15.3. Якщо зміни є суттєвими та впливають на права користувачів (зокрема, щодо нових категорій даних, нових субпроцесорів або нових цілей обробки), ми можемо вимагати повторної згоди (forced re-consent) перед продовженням використання Сервісу.

15.4. Продовження використання Платформи після набрання змін чинності означає прийняття оновленої Політики.

16. Контактна інформація

16.1. Уповноважена особа з питань захисту персональних даних (DPO)

  • Email: support@mirkaso.com
  • Тема листа: «DPO / Privacy Request»

16.2. Термін відповіді

  • Стандартні запити: 30 календарних днів
  • Скарги на витоки: 72 години

16.3. Реквізити Власника даних

ФОП Гайтан Кирило Олександрович

  • ІНН: 3097700915
  • Адреса реєстрації: Україна, 65037, Одеська обл., Одеський р-н, село Лиманка, вул. Малинова, буд. 20А
  • КВЕД: 62.01 — Комп'ютерне програмування
  • КВЕД: 62.02 — Консультування з питань інформатизації
  • КВЕД: 62.09 — Інша діяльність у сфері інформаційних технологій і комп'ютерних систем
  • КВЕД: 63.11 — Обробка даних, розміщення інформації на веб-вузлах та пов'язана з нею діяльність
  • КВЕД: 63.12 — Веб-портали
  • Країна реєстрації: Україна
  • Сайт: https://mirkaso.com
  • Email: support@mirkaso.com

Ця Політика конфіденційності набуває чинності з 15 травня 2026 року.

У разі розбіжностей між українською та іншомовною версіями Політики пріоритет має українська версія.