Політика конфіденційності та захисту персональних даних
Останнє оновлення: січень 2026
1. Контролер даних
Construction Team — це хмарна платформа для управління будівельними проектами, що надається як послуга (SaaS). Для цілей Регламенту (ЄС) 2016/679 (GDPR) контролером даних є юридична особа, зазначена у розділі 17 цієї політики.
Контролер визначає цілі та засоби обробки персональних даних, зібраних через Платформу.
Коли Клієнт (юридична особа) використовує Платформу для управління даними про своїх працівників, субпідрядників або партнерів, Клієнт виступає як незалежний контролер щодо таких даних, а Construction Team діє як обробник даних у розумінні ст. 28 GDPR.
Відносини між Construction Team та Клієнтом як обробником регулюються Угодою про обробку даних (DPA), яка є невід'ємною частиною договору про підписку.
2. Визначення
Для цілей цієї Політики конфіденційності:
«Персональні дані» — будь-яка інформація, що стосується ідентифікованої або такої, що може бути ідентифікована, фізичної особи (суб'єкта даних).
«Обробка» — будь-яка операція з персональними даними: збирання, фіксація, упорядкування, структурування, зберігання, адаптація, отримання, ознайомлення, використання, розголошення, видалення або знищення.
«Суб'єкт даних» — фізична особа, персональні дані якої обробляються (користувачі, працівники клієнтів, контактні особи партнерів).
«Обробник даних» — особа, яка обробляє персональні дані від імені контролера.
«Субобробник» — третя сторона, якій обробник делегував частину обробки.
«Порушення безпеки персональних даних» — порушення, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розголошення або доступу до персональних даних.
3. Сфера застосування
Ця Політика конфіденційності застосовується до:
Усіх осіб, які відвідують вебсайт constructionteam.app.
Користувачів, які створюють обліковий запис і користуються Платформою.
Контактних осіб юридичних осіб — клієнтів, постачальників і партнерів, дані яких внесено до Платформи.
Осіб, які звертаються до нас через контактну форму, електронну пошту або інші канали.
Працівників та представників компаній-клієнтів, дані яких обробляються відповідно до договору про підписку.
Ця Політика не поширюється на анонімізовані або агреговані дані, які не дозволяють ідентифікувати фізичну особу.
4. Категорії персональних даних, які ми збираємо
4.1. Ідентифікаційні та контактні дані
Під час реєстрації та використання Платформи ми збираємо:
Ім'я та прізвище користувача.
Робочу адресу електронної пошти.
Номер телефону (за умови надання).
Найменування компанії, реєстраційний номер та адресу юридичної особи-клієнта.
Посаду/роль в організації.
4.2. Технічні дані
Збираються автоматично під час доступу до Платформи:
IP-адреса та приблизне географічне розташування (на рівні країни/міста).
Тип і версія браузера, операційна система.
Ідентифікатори пристрою.
Дата, час і тривалість сесій.
Відвідані сторінки та функції.
4.3. Бізнес-дані
У процесі роботи з Платформою можуть оброблятися:
Дані з рахунків-фактур, договорів, пропозицій та інших документів, внесених Клієнтом.
Імена та контакти працівників, субпідрядників і партнерів, внесені Клієнтом.
Фінансова інформація (банківські рахунки, суми за рахунками), внесена Клієнтом.
Дані про будівельні майданчики, відомості об'ємів робіт та інвентар.
Важливо: щодо бізнес-даних, внесених Клієнтом, контролером даних є Клієнт. Construction Team обробляє ці дані виключно за вказівками Клієнта та відповідно до Угоди про обробку даних.
4.4. Платіжні дані
Для обробки платежів за підписку:
Construction Team НЕ зберігає повні номери банківських карток.
Платежі обробляються сертифікованим платіжним оператором (Stripe), який відповідає стандартам PCI DSS рівня 1.
Ми зберігаємо лише: останні 4 цифри картки, тип картки, термін дії та ідентифікатор транзакції.
5. Цілі та правові підстави обробки
Ми обробляємо персональні дані лише за наявності дійсної правової підстави згідно зі ст. 6(1) GDPR:
5.1. Виконання договору (ст. 6(1)(b))
Створення та управління обліковими записами користувачів.
Надання послуги підписки та технічної підтримки.
Обробка платежів та виставлення рахунків-фактур.
Комунікація щодо послуги (системні сповіщення, зміни умов).
5.2. Законний інтерес (ст. 6(1)(f))
За умови проведення тесту на врівноваження, який гарантує, що наш інтерес не переважає над правами суб'єкта даних:
Удосконалення Платформи через аналіз використання (агреговані дані).
Забезпечення безпеки — виявлення несанкціонованого доступу, зловживань та кібератак.
Запобігання шахрайству та неналежному використанню послуги.
Внутрішня звітність та аудит.
5.3. Юридичний обов'язок (ст. 6(1)(c))
Зберігання бухгалтерських документів відповідно до Закону про бухгалтерський облік (10 років).
Надання даних у разі вимоги закону або розпорядження компетентного органу.
Виконання податкових зобов'язань.
5.4. Згода (ст. 6(1)(a))
Лише за відсутності іншої правової підстави:
Надсилання маркетингових повідомлень і розсилок (з правом відмовитися у будь-який час).
Використання необов'язкових файлів cookie для аналітики та реклами.
Участь у опитуваннях задоволеності та дослідженнях.
Згоду може бути відкликано у будь-який час без впливу на правомірність обробки, здійсненої до її відкликання.
6. Файли cookie та технології відстеження
Ми використовуємо такі категорії файлів cookie:
6.1. Строго необхідні (згода не потрібна)
Сесійні cookie для автентифікації та підтримки сесії користувача.
Cookie для захисту від CSRF (безпека форм).
Cookie для запам'ятовування мовних налаштувань.
6.2. Аналітичні (за згодою)
Google Analytics — для аналізу трафіку та поведінки відвідувачів.
Внутрішня аналітика — для покращення користувацького досвіду.
6.3. Управління файлами cookie
Ви можете керувати файлами cookie через налаштування браузера або через банер cookie під час першого відвідування. Вимкнення строго необхідних cookie може порушити функціонування Платформи.
7. Строк зберігання даних
Ми зберігаємо персональні дані лише стільки, скільки це необхідно для досягнення цілі, для якої їх було зібрано:
Дані облікового запису — до припинення підписки плюс 30 днів для експорту даних.
Бізнес-дані Клієнта — до припинення договору плюс 30 днів для експорту, після чого їх остаточно видаляють.
Бухгалтерські документи — 10 років відповідно до Закону про бухгалтерський облік.
Журнали безпеки — до 12 місяців.
Маркетингова згода — до відкликання суб'єктом даних.
Дані з контактної форми — до 6 місяців після вирішення запиту.
Резервні копії — до 90 днів, після чого вони автоматично перезаписуються.
Після закінчення строків зберігання дані видаляють або безповоротно анонімізують. У разі спору чи правової претензії дані можуть зберігатися до остаточного завершення провадження.
8. Передача даних третім особам
Ми не продаємо, не здаємо в оренду та не торгуємо персональними даними. Ми передаємо дані лише у таких випадках:
8.1. Субобробники
Ми використовуємо надійних постачальників послуг для надання сервісу, з якими укладено угоди відповідно до ст. 28 GDPR:
Хостинг та інфраструктура — для зберігання даних на серверах ЄС.
Платіжні послуги (Stripe) — для обробки платежів за підписку.
Послуги електронної пошти — для надсилання системних і транзакційних листів.
Обробка ШІ (OpenAI) — для інтелектуального розпізнавання документів (див. розділ 12).
Моніторинг і відстеження помилок — для забезпечення стабільності сервісу.
8.2. Юридичні вимоги
Ми можемо розкривати персональні дані у разі вимоги:
Чинного законодавства або нормативного акта.
Судового рішення або акта компетентного органу.
Захисту прав, майна або безпеки Construction Team, його користувачів або громадськості.
9. Міжнародна передача даних
Ваші дані зберігаються на серверах у Європейському Союзі.
Коли необхідна передача за межі ЄЕЗ (наприклад, субобробникам у США), ми забезпечуємо належний рівень захисту через Стандартні договірні положення (SCC), затверджені Європейською Комісією (Рішення 2021/914).
Обробка ШІ (OpenAI) може передбачати передачу до США. OpenAI сертифікована відповідно до EU-US Data Privacy Framework і застосовує додаткові технічні заходи захисту.
Перед кожною передачею ми проводимо Оцінку впливу передачі (TIA) відповідно до настанов EDPB.
Перелік субобробників та їх місцезнаходження доступний за запитом на адресу info@constructionteam.app.
10. Ваші права згідно з GDPR
Відповідно до Регламенту (ЄС) 2016/679 ви маєте такі права:
Право на доступ (ст. 15)
Ви маєте право отримати підтвердження щодо обробки ваших персональних даних, доступ до них та інформацію про цілі, категорії даних, одержувачів і строк зберігання.
Право на виправлення (ст. 16)
Ви маєте право вимагати виправлення неточних персональних даних або доповнення неповних даних без необґрунтованої затримки.
Право на видалення (ст. 17)
Ви маєте право вимагати видалення ваших персональних даних, коли: дані більше не потрібні для досягнення мети; ви відкликаєте свою згоду; ви заперечуєте проти обробки; або дані оброблялися незаконно. Це право не застосовується, якщо обробка необхідна для виконання юридичного обов'язку.
Право на обмеження (ст. 18)
Ви маєте право вимагати обмеження обробки, коли ви оспорюєте точність даних, обробка є незаконною або ви заперечили проти обробки до завершення перевірки.
Право на перенесення даних (ст. 20)
Ви маєте право отримати свої дані у структурованому, загальновживаному та машиночитаному форматі (JSON, CSV) і передати їх іншому контролеру. Платформа надає функцію експорту даних з панелі користувача.
Право на заперечення (ст. 21)
Ви маєте право заперечувати проти обробки даних на підставі законного інтересу. У разі заперечення ми припиняємо обробку, якщо не доведемо переконливі законні підстави, що переважають над вашими інтересами. Ви можете у будь-який час безумовно заперечувати проти обробки для цілей прямого маркетингу.
Право не підлягати автоматизованому ухваленню рішень (ст. 22)
Ви маєте право не підлягати рішенню, що ґрунтується виключно на автоматизованій обробці, у тому числі профілюванні, яке має для вас юридичні наслідки. Construction Team не ухвалює автоматизованих рішень з юридичними наслідками без втручання людини.
11. Здійснення ваших прав
Для здійснення будь-якого з ваших прав ви можете звернутися до нас такими каналами:
Електронна пошта: info@constructionteam.app (з темою «Запит GDPR»).
Через контактну форму на constructionteam.app/contact.
Листом за адресою, зазначеною у розділі 17.
Для вашого захисту ми можемо запросити підтвердження вашої особи перед обробкою запиту.
Ми відповідаємо на кожен запит протягом 30 днів. У разі складності або численних запитів цей строк може бути продовжений до 60 днів, про що вас буде повідомлено.
Здійснення прав є безкоштовним. За явно необґрунтованих або надмірних запитів (зокрема у зв'язку з повторюваністю) ми можемо встановити розумну плату або відмовити у вчиненні дій.
12. Обробка ШІ та автоматизоване ухвалення рішень
Платформа використовує штучний інтелект (ШІ) у таких цілях:
Автоматичне розпізнавання та витяг даних зі сканованих документів (рахунків-фактур, відомостей об'ємів робіт, протоколів).
Інтелектуальне зіставлення номенклатурних позицій через семантичні вектори (embeddings).
Пропозиції щодо категоризації та класифікації документів.
Запобіжні заходи для обробки ШІ
Результати ШІ завжди мають характер пропозицій — остаточне рішення ухвалює користувач, який переглядає та схвалює/відхиляє результати.
Не ухвалюються автоматизовані рішення з юридичними або суттєвими наслідками без втручання людини.
Документи, надіслані для обробки ШІ, обробляються в режимі реального часу і не зберігаються постачальником ШІ для навчання моделей.
Обробка ШІ може передбачати передачу даних субобробнику (OpenAI), як описано у розділі 9.
Ви маєте право у будь-який час вимагати втручання людини або відмовитися від обробки ШІ.
13. Захист даних за задумом і за замовчуванням
Відповідно до ст. 25 GDPR ми застосовуємо принципи Data Protection by Design and by Default:
Мінімізація даних — ми збираємо лише дані, необхідні для конкретної мети.
Ізоляція даних (multi-tenancy) — дані кожного Клієнта суворо ізольовані на рівні бази даних. Жоден Клієнт не може отримати доступ до даних іншого Клієнта.
Контроль доступу на основі ролей (RBAC) — кожен користувач має доступ лише до тих даних, на які має дозвіл, визначений Адміністратором облікового запису.
Шифрування за замовчуванням — усі дані зашифровано під час передачі (TLS 1.3) та у стані спокою.
Журнал аудиту — кожна дія користувача фіксується для забезпечення простежуваності та підзвітності.
Псевдонімізація — там, де це можливо, ми використовуємо внутрішні ідентифікатори замість прямих персональних даних.
14. Технічні та організаційні заходи безпеки
Ми застосовуємо такі заходи відповідно до ст. 32 GDPR:
14.1. Технічні заходи
Шифрування даних під час передачі через TLS 1.3 та HSTS.
Шифрування даних у стані спокою (AES-256) для баз даних і резервних копій.
Багатофакторна автентифікація (MFA) для адміністративного доступу.
Web Application Firewall (WAF) та захист від DDoS.
Автоматичне виявлення аномалій та підозрілої активності.
Регулярне сканування вразливостей та тестування на проникнення.
Регулярні автоматичні резервні копії з географічною реплікацією.
14.2. Організаційні заходи
Принцип найменших привілеїв для доступу працівників.
Навчання персоналу з питань захисту даних.
Політика управління інцидентами щодо персональних даних.
Регулярний перегляд та оновлення заходів безпеки.
Угоди про конфіденційність з усіма працівниками та субпідрядниками.
15. Повідомлення про порушення
У разі порушення безпеки персональних даних:
Ми повідомляємо Комісію із захисту персональних даних (CPDP) протягом 72 годин з моменту виявлення, якщо порушення може спричинити ризик для прав і свобод фізичних осіб (ст. 33 GDPR).
Ми повідомляємо постраждалих суб'єктів даних без необґрунтованої затримки, якщо порушення може спричинити високий ризик (ст. 34 GDPR).
Ми документуємо кожне порушення, включаючи факти, наслідки та вжиті коригувальні заходи.
Коли Construction Team діє як обробник, ми повідомляємо Клієнта (контролера) без необґрунтованої затримки, щоб він міг виконати свої обов'язки щодо повідомлення.
16. Уповноважений із захисту даних (DPO)
З усіх питань, пов'язаних із захистом персональних даних, ви можете звертатися до нашого Уповноваженого із захисту даних:
Електронна пошта: info@constructionteam.app
Тема: «DPO / Захист даних»
Уповноважений розглядає всі запити та звернення, пов'язані з обробкою персональних даних, і координує реалізацію прав суб'єктів даних.
17. Право на скаргу та зв'язок з наглядовим органом
Якщо ви вважаєте, що обробка ваших персональних даних порушує GDPR, ви маєте право подати скаргу до наглядового органу:
Комісія із захисту персональних даних (CPDP)
Адреса: бул. «Проф. Цветан Лазаров» 2, Софія 1592
Телефон: 02/91-53-518
Електронна пошта: kzld@cpdp.bg
Вебсайт: www.cpdp.bg
Рекомендуємо спочатку звернутися до нас на info@constructionteam.app для безпосереднього вирішення питання.
18. Дані дітей
Construction Team — це B2B-платформа, призначена для юридичних осіб та їхніх працівників. Ми свідомо не збираємо персональні дані осіб, які не досягли 16 років. Якщо ми виявимо, що зібрали дані дитини, ми негайно їх видалимо. Якщо ви вважаєте, що дитина надала персональні дані через Платформу, будь ласка, зверніться до нас за адресою info@constructionteam.app.
19. Зміни до Політики конфіденційності
Ми залишаємо за собою право оновлювати цю Політику у разі:
Змін у чинному законодавстві або настановах наглядового органу.
Змін у послугах, функціях або субобробниках.
Технологічних змін, що вимагають адаптації заходів захисту.
Рекомендацій за результатами аудитів або оцінок впливу.
Про суттєві зміни ми повідомимо вас електронною поштою та/або сповіщенням у Платформі щонайменше за 30 днів. Подальше використання Платформи після набрання чинності змінами є прийняттям оновленої Політики.
20. Застосовне право та контактна інформація
Ця Політика конфіденційності регулюється Регламентом (ЄС) 2016/679 (GDPR), Законом Республіки Болгарія про захист персональних даних та чинним європейським і національним законодавством.
Контакт з питань захисту даних:
Електронна пошта: info@constructionteam.app
Вебсайт: constructionteam.app
Тема: «Захист персональних даних»
Ми використовуємо файли cookie для забезпечення коректної роботи платформи та покращення вашого досвіду. Дізнатися більше про файли cookie