Interactive Story

ПОЛІТИКА КОНФІДЕНЦІЙНОСТІ

(редакція від 16 листопада 2025 року)

1. Загальні положення

1.1. Дана Політика конфіденційності (далі — «Політика») розроблена відповідно до вимог Закону України "Про захист персональних даних" від 01.06.2010 р. № 2297-VI, Конституції України, GDPR (для користувачів з ЄС) та регулює обробку персональних даних на платформі інтерактивних історій (далі — «Платформа»/«Сервіс»).

1.2. Адміністратор (власник) персональних даних: [ФОП/ТОВ - повне найменування], зареєстровані за адресою: [юридична адреса], контактна інформація: [email, телефон] (далі — «Виконавець»).

1.3. Ця Політика обов'язково читається разом із Публічною офертою та є її невід'ємною частиною.

1.4. Користування Платформою означає повне прийняття умов цієї Політики. Якщо ви не згодні з будь-якою частиною, припиніть використання Сервісу.

2. Визначення ключових термінів

Персональні дані — будь-яка інформація, що дозволяє ідентифікувати фізичну особу (ФІО, email, пароль, IP-адреса, тощо).

Конфіденційна інформація — персональні дані, обробка яких потребує явної письмової згоди користувача (думки, переконання, дані про здоров'я тощо).

Обробка — збір, запис, організація, зберігання, передача, змінення, видалення персональних даних.

Субʼєкт персональних даних — фізична особа (користувач), якої стосуються персональні дані.

Адміністратор — Виконавець/платформа, що визначає цілі та засоби обробки.

Third-Party — зовнішня організація, яка обробляє дані від імені Адміністратора (OpenAI, LiqPay, Firebase тощо).

3. Які дані ми збираємо

3.1 Дані при реєстрації

Під час створення облікового запису ми збираємо:

  • Email адреса (обов'язково)
  • Пароль (хешований, не вихідна версія)
  • Ім'я користувача / Display Name (обов'язково)
  • Дата реєстрації
  • Firebase UID (унікальний ідентифікатор системи)
  • Часовий пояс (опціонально)

Метод збору: через форму реєстрації на сайті або через OAuth (Google).

Місце зберігання: Firebase Authentication та Firebase Firestore.

3.2 Дані при автентифікації через Google

Якщо ви реєструєтеся через "Sign in with Google":

  • Google email адреса
  • Display Name з Google профілю
  • Google User ID
  • Фото профілю (опціонально)

Третя сторона: Google, Firebase.

Ваше право: Ви завжди можете від'єднати Google account у налаштуваннях.

3.3 Дані про використання сервісу

Під час роботи з Платформою ми збираємо:

A. Контент, створений вами:

  • Назва історії
  • Синопсис / опис
  • Жанр вибору
  • Мова (українська, англійська тощо)
  • Дата створення

B. Дані про взаємодію з історіями:

  • Вибори, які ви робите у історіях
  • Поточна позиція у історії (node ID)
  • Шлях (path history) — послідовність усіх відвіданих сцен
  • Кількість зроблених виборів
  • Дата останнього читання

C. Баланс та трансакції кредитів:

  • Поточний баланс кредитів
  • Історія покупок (яку суму в какой час купили)
  • Видатки кредитів (на якій операції витратили)
  • Дати операцій

D. Технічні дані:

  • IP адреса
  • Тип браузера та операційна система
  • Тип пристрою (мобільний, ПК тощо)
  • User Agent
  • Логи помилок та технічних проблем

3.4 Платіжна інформація

При купівлі кредитів через LiqPay:

  • Order ID (унікальний номер платежу)
  • Сума платежу (у гривнях)
  • Валюта (UAH)
  • Статус платежу (pending, success, failed)
  • Transaction ID від LiqPay
  • Дата платежу

Ми НЕ зберігаємо:

  • Номери кредитних карток
  • CVV коди
  • PIN коди
  • Будь-які фінансові дані, що передаються до LiqPay

Місце зберігання: PostgreSQL база даних (таблиця payments).

3.5 Cookies та Session Data

Ми використовуємо:

A. Session Cookies (обов'язкові):

  • Firebase Authentication tokens (JWT)
  • Session ID
  • CSRF protection tokens

B. Functional Cookies:

  • Language preference (мовні налаштування)
  • UI settings (темна/світла тема)

C. Analytics Cookies (опціонально, потребує згоди):

  • Google Analytics (якщо налаштовано)
  • Page views, clicks, session duration

D. Local Storage (браузер):

  • Cached user data
  • Recent stories list
  • UI preferences

Дія cookies: протягом сесії або до закриття браузера (для session cookies), постійні cookies до 1 року.

Як вимкнути: налаштування браузера, приватний режим.

3.6 FCM Tokens (Push-сповіщення)

Якщо ви дозволите push-сповіщення:

  • Firebase Cloud Messaging token (унікальний для кожного пристрою)
  • Пристрій, на якому активовано (тип, OS)
  • Статус notifications (включено/вимкнено)

Місце зберігання: Firestore users/{uid}.tokens[].

Ви можете видалити токен у будь-який час у налаштуваннях.

4. Для чого ми використовуємо ваші дані

4.1 Надання послуг

  • Реєстрація та автентифікація — перевірка вашої особи
  • Створення та зберігання історій — збереження вашого контенту
  • Генерація AI контенту — передача до OpenAI API для обробки
  • Читання та взаємодія — відстеження вашого прогресу
  • Управління кредитами — облік балансу та видатків
  • Підтримка клієнтів — відповіді на ваші запитання

4.2 Безпека та запобігання зловживанню

  • Виявлення фрода — перевірка на несанкціоновані платежі
  • Запобігання Abuse — виявлення спама, протизаконного контенту
  • Логування та моніторинг — трекінг помилок та подій безпеки
  • Захист від DDoS — захист від атак

4.3 Поліпшення сервісу

  • Analytics — як користувачі використовують Платформу
  • Bug tracking — виявлення та виправлення проблем
  • Feature development — розробка нових функцій на основі потреб
  • Performance optimization — прискорення та оптимізація

4.4 Юридичні та адміністративні цілі

  • Податкова звітність — облік продажів для органів податку
  • Compliance — дотримання законодавства України та ЄС
  • Рішення спорів — збереження доказів при конфліктах
  • Судові вимоги — передача даних органам влади при необхідності

4.5 Комунікація

  • Сповіщення про платежі — підтвердження купівлі кредитів
  • Push-сповіщення — готовність історії до читання
  • Email уведомлення — відновлення пароля, оновлення політики
  • In-app messages — важливі повідомлення про сервіс

Ви можете вимкнути більшість сповіщень у налаштуваннях.

5. Правова основа обробки

Ми обробляємо ваші дані на основі:

5.1 Вашої згоди

  • Сховище даних (cookies, tokens)
  • Push-сповіщення
  • Analytics
  • Marketing emails

5.2 Виконання договору

  • Реєстрація та аутентифікація (необхідні для сервісу)
  • Генерація AI контенту
  • Обробка платежів
  • Зберігання історій та прогресу

5.3 Законодавчих вимог

  • Податкова звітність
  • Судові вимоги
  • Вимоги правоохоронних органів

5.4 Наших законних інтересів

  • Безпека та запобігання фроду
  • Улучшення сервісу
  • Захист прав третіх осіб (борьба з copyright infringement)

6. Передача даних третім сторонам

6.1 OpenAI (AI Generation)

Які дані передаємо:

  • Story title, synopsis, genre
  • Попередні сцени (для контексту)
  • Choices та користувацький input
  • Lore entries

Які дані НЕ передаємо:

  • Email адреса
  • Ім'я користувача
  • User ID або Firebase UID
  • Payment information
  • Персональні профіль дані

Мета: Генерація AI контенту.

Локація: OpenAI серверів (США).

Дія договору: OpenAI API Data Usage Policy — дані НЕ використовуються для навчання моделей (якщо не включено в специфічних умовах).

Тривалість зберігання: Тимчасово під час обробки (максимум 30 днів).

6.2 LiqPay (Payment Processing)

Які дані передаємо:

  • Order ID
  • Amount та currency
  • Description ("Top up X credits")
  • Status URL для callback

Які дані НЕ передаємо:

  • Email адреса (не передається напряму; LiqPay знає мету платежу як анонімний заказ)
  • User ID
  • Історія інших платежів

Мета: Обробка платежів.

Локація: LiqPay серверів (Україна).

Дія договору: LiqPay Terms of Service та Privacy Policy. LiqPay зберігає дані платежу у відповідності з PCI DSS.

Тривалість: у відповідності з українським законодавством (5 років для податків).

6.3 Firebase / Google Cloud

Які дані передаємо:

  • User profile (email, name, Firebase UID)
  • All Firestore data (progress, credits, notifications)
  • Authentication credentials (JWT tokens)
  • FCM tokens

Мета:

  • Authentication
  • Database storage
  • Push-сповіщення
  • Security

Локація: Google Cloud (регіон вибирається; типово EU або US).

Дія договору: Google Cloud Data Processing Agreement з Standard Contractual Clauses (SCC) для передачі даних EU→US.

Шифрування: Дані шифруються при передачі (TLS) та у спокої (Google managed encryption).

6.4 Сервіс аналітики (опціонально)

Якщо включено Google Analytics:

Які дані передаємо:

  • Page views
  • Clicks
  • Session duration
  • Anonymized IP address

Мета: Analytics.

Ви можете відмовитися у cookie consent banner.

6.5 Мова дозволу на передачу даних

ЯК МИ НЕ ПЕРЕДАЄМО ДАНІ:

  • ❌ НЕ продаємо дані третім сторонам за гроші
  • ❌ НЕ передаємо до маркетингових компаній
  • ❌ НЕ передаємо до державних органів без судового наказу (крім податкових даних)
  • ❌ НЕ передаємо競爭никам або компаніям у державах з низьким рівнем захисту

7. Де зберігаються дані

7.1 Firebase Firestore

  • Локація: Google Cloud (EU або US, залежно від налаштування)
  • Шифрування: Google managed encryption (AES-256)
  • Резервні копії: Автоматичні щоденні
  • Дані: User profiles, progress, credit transactions, FCM tokens

7.2 PostgreSQL Database

  • Локація: [вказати вашого хостера] — ПОТРІБНО ВКАЗАТИ
  • Шифрування: [вказати] — ПОТРІБНО ВКАЗАТИ
  • Дані: Stories, nodes, choices, lore, payment records
  • Резервні копії: [вказати]

7.3 Firebase Authentication

  • Сервер: Google Cloud
  • Дані: Email/password хеші, OAuth tokens
  • Шифрування: Google managed

7.4 Local Storage (браузер користувача)

  • Контролюється: Користувачем
  • Дані: Session tokens, preferences
  • Видалення: Очищенням cookies браузера

7.5 Міжнародна передача даних

Дані передаються до США (OpenAI, можливо Firebase) та України (LiqPay).

Для користувачів з ЄС:

  • Передача до США захищена Standard Contractual Clauses (SCC)
  • GDPR Privacy Shield (якщо applicable)
  • Дані обробляються відповідно до найвищих стандартів шифрування

8. Скільки довго зберігаємо дані

| Тип Даних | Період Зберігання | Причина | |-----------|-------------------|---------| | User Profile | До видалення облікового запису | Функціонування сервісу | | Stories та Progress | До видалення користувачем або облікового запису | Збереження контенту користувача | | Payment Records | 5 років | Податкове законодавство України | | Firebase Logs | 90 днів | Security monitoring | | OpenAI Data | 30 днів (у OpenAI) | Processing та abuse prevention | | Analytics Data | 26 місяців (default Google Analytics) | Performance insights | | IP Logs | 30 днів | Security | | Session Tokens | До logout або 1 години | Автентифікація |

Після закінчення терміну: Дані видаляються або анонімізуються.

9. Ваші права щодо персональних даних

9.1 Право на доступ (Right to Access)

Ви можете запитати копію ваших персональних даних.

Як реалізувати:

  • Endpoint: GET /api/users/profile
  • Email: [privacy@platform.com] з темою "Запит на доступ до даних"
  • Відповідь: протягом 30 днів

9.2 Право на виправлення (Right to Rectification)

Ви можете оновити неправильні дані.

Як реалізувати:

  • Endpoint: PUT /api/users/profile
  • In-app settings
  • Email запит

9.3 Право на видалення (Right to Erasure / "Right to be Forgotten")

Ви можете запитати видалення ваших даних.

Як реалізувати:

  • Endpoint: DELETE /api/users/account
  • Email: [privacy@platform.com] з темою "Запит на видалення облікового запису"

Що видалюється:

  • Firebase user profile
  • Firestore progress та credit history
  • FCM tokens
  • Authentication credentials

Що НЕ видалюється (законна необхідність):

  • Payment records (5 років за податковим правом)
  • Stories в PostgreSQL (анонімізуються: author_id → NULL)

Термін обробки: до 30 днів.

9.4 Право на обмеження обробки (Right to Restrict Processing)

Ви можете запросити тимчасове зупинення обробки певних даних.

Як реалізувати:

  • Вимкнення notifications: /api/users/notification-preferences
  • Opt-out analytics
  • Email запит

9.5 Право на портативність даних (Right to Data Portability)

Ви можете отримати ваші дані у структурованому форматі.

Як реалізувати:

  • Endpoint: GET /api/users/data-export (JSON або CSV)
  • Email: [privacy@platform.com] з темою "Запит на портативність даних"

Включається:

  • User profile
  • All created stories
  • Progress history
  • Choices made
  • Credit transactions

Формат: ZIP archive з JSON файлами.

9.6 Право на заперечення (Right to Object)

Ви можете заперечити обробці ваших даних.

Як реалізувати:

  • Opt-out analytics
  • Withdraw consent для cookies
  • Email запит про специфічне використання

9.7 Право не бути об'єктом автоматизованого прийняття рішень

Ви маєте право отримати участь людини при рішеннях, що вас стосуються.

Для нашого сервісу: AI generation — це інструмент, не рішення. Ви контролюєте вихід.

9.8 Як реалізувати свої права

Email: [privacy@platform.com]
Почтова адреса: [юридична адреса Виконавця]
Телефон: [телефон для контакту]
In-app: Меню → Налаштування → Приватність

Час обробки: до 30 днів (GDPR requirement).

Бізплатне — усі запити обробляються безплатно (крім надмірних).

10. Безпека даних

10.1 Технічні заходи

  • Шифрування: TLS/HTTPS для передачі, AES-256 для зберігання
  • Автентифікація: Firebase Authentication (industry-standard)
  • Access Control: Користувачі можуть доступатися ЛИШЕ до своїх даних
  • Database Security:
    • SQL injection protection (prepared statements)
    • Input validation
    • Firewall, DDoS protection
  • Rate Limiting: Обмеження кількості запитів для запобігання abuse

10.2 Адміністративні заходи

  • Staff Training: Персонал навчено з Data Protection
  • Access Restrictions: Лише необхідний персонал має доступ до даних
  • NDAs: Договори конфіденційності з усіма, хто має доступ
  • Audit Logs: Логування усіх операцій з даними

10.3 Що робити при підозрі на злому

Якщо ви підозрюєте, що ваш акаунт скомпрометований:

  1. Змініть пароль негайно
  2. Вимкніть токени у налаштуваннях
  3. Email нам: [security@platform.com] з деталями
  4. Не розповсюджуйте інформацію публічно

11. Дітям та молодим людям

11.1 Вік користувачів

Сервіс призначений для осіб 16+ років (13+ у США).

Якщо вам менше цього віку, ви НЕ можете реєструватися.

11.2 Батьки та опікуни

Якщо батьки помітили, що дитина реєструвалась, вони можуть:

  • Запросити видалення облікового запису
  • Email: [parents@platform.com]

Сервіс видалить облік у відповідності з GDPR (COPPA for USA).

12. Cookies та відстеження

12.1 Яких cookies ми використовуємо

| Тип | Назва | Мета | Цвілість | Потреба в согласі | |-----|-------|------|----------|------------------| | Necessary | Firebase Auth | Реєстрація | До logout | ❌ Ні | | Necessary | Session ID | Сесія користувача | 1 година | ❌ Ні | | Necessary | CSRF Token | Безпека | Сесія | ❌ Ні | | Functional | Language | Мовні налаштування | 1 рік | ❌ Ні | | Analytics | Google Analytics | Usage tracking | 2 години | ✅ Так | | Marketing | (не використовуються) | — | — | — |

12.2 Cookie Consent

Статус: ⚠️ ПОТРІБНО ДОДАТИ

При першому візиті на сайті повинен з'явитись banner:

  • "Accept All"
  • "Reject Non-Essential"
  • "Customize"

12.3 Як вимкнути cookies

  • Браузер: Settings → Privacy → Clear Cookies
  • Приватний режим: InPrivate, Incognito
  • Cookie Extension: cookie managers в App Store

12.4 Do Not Track

Якщо ви встановили "Do Not Track" у браузері — ми будемо намагатися це поважати.

13. Контакти та скарги

13.1 Питання про конфіденційність

Email: [privacy@platform.com]
Відповідь: протягом 48 годин
Адреса: [юридична адреса]

13.2 Скарги на обробку даних

Ви можете подати скаргу:

До нас:

  • Email: [privacy@platform.com]
  • Письмово з описом проблеми

До органу влади:

Україна:

  • Уповноважений Верховної Ради України з прав людини
  • Email: [офіційний email]
  • Адреса: Київ

ЄС (для користувачів з ЄС):

  • Національна Data Protection Authority у вашій країні
  • Або EDPB (European Data Protection Board)

Термін обробки скарги: до 30 днів.

14. Дані від третіх сторін

14.1 Если ви даєте нам дані про інших людей

Якщо ви завантажуєте список друзів або будь-що ще про інших людей:

  • Ви гарантуєте, що у вас є їх згода
  • Ви несете відповідальність за наслідки
  • Ми можемо видалити такі дані без попередження

14.2 Публічна інформація

Якщо ви опублікуєте історію публічно (у майбутньому):

  • Вона доступна всім без реєстрації
  • Інші можуть мати копію
  • Вы все ще 聯络 персональні дані

15. Бізнес-партнери

Якщо ми змінимо власників, бізнес-партнерів або інфраструктуру:

  • Ми повідомимо вас за 30 днів
  • Дані передаються у відповідності з цією Політикою
  • Ви можете вибрати, вилучити дані

16. Зміни до цієї Політики

16.1 Коли ми оновлюємо Політику

Ми можемо оновити цей документ у будь-який час.

Ви будете повідомлені:

  • Email
  • In-app notification
  • Banner на сайті

Grace period: 30 днів перед вступленням у чинність.

Ваше право: Продовження використання = прийняття нової версії.

16.2 Істотні зміни

Для істотних змін (наприклад, нові Third-Party партнери):

  • Можлива forced re-acceptance
  • Ви не зможете користуватися сервісом до переприйняття

16.3 Архів версій

| Версія | Дата | Зміни | |--------|------|-------| | 1.0 | 16.11.2025 | Перша версія |

17. Додаткові умови

17.1 Використання у наукових цілях

Якщо ми плануємо використати ваші дані для наукових досліджень:

  • Попередня письмова згода ПОТРІБНА
  • Дані анонімізуватимуться
  • Ви можете відкликати згоду

17.2 GDPR Data Processing Agreement (DPA)

Для користувачів з ЄС: [посилання на DPA]

17.3 California CCPA (якщо applicable)

Користувачі з Каліфорнії мають додаткові права під CCPA.

Політика конфіденційності розроблена відповідно до чинного законодавства України та ЄС.

Останнє оновлення: 16 листопада 2025 р.

Версія: 1.0

Підтримка та контакти

Маєте питання? Звертайтесь:

  • Email: [privacy@platform.com]
  • Chat Support: In-app chat на Платформі
  • Telegram: [бот якщо є]
  • Телефон: [телефон]

Якщо у вас є питання щодо цього документа, будь ласка, зв'яжіться з нами на legal@interactivestory.com