Політика конфіденційності — Курс AI Advisory Board

Дата набрання чинності: 18 травня 2026 року Версія: 2.0 (для платформи course.aiadvisoryboard.me)

Ця Політика конфіденційності описує, як ТОВ «ТУ ЕВЕНТ ПАРТНЕРС» («ми», «нас», «Виконавець», «Контролер») збирає, використовує, зберігає та розкриває вашу інформацію у зв'язку з використанням платформи course.aiadvisoryboard.me і пов'язаних сервісів (далі — «Сервіс»).

1. Контролер персональних даних

ТОВ «ТУ ЕВЕНТ ПАРТНЕРС»

  • ЄДРПОУ: 43521211
  • Адреса: вул. Тершаковців 5А, Львів, Україна
  • Email: ceo@aiadvisoryboard.me

Для B2B-замовників: коли організація надає нам персональні дані своїх співробітників (студентів) для надання їм доступу — Виконавець виступає процесором для цих даних, а організація-Замовник — Контролером. Виконавець є Контролером щодо власних службових даних (логи, аналітика, технічні метрики).

2. Які дані ми збираємо

2.1. Дані облікового запису

  • ім'я, прізвище;
  • email-адреса;
  • мова інтерфейсу, часовий пояс;
  • Telegram username і чат-ID (якщо користувач під'єднав Telegram-бот @vibevodingbot);
  • Google account ID (якщо логін через Google SSO).

2.2. Дані про навчання та активність

  • прогрес по модулях курсу (переглянуті уроки, виконані домашні завдання, бали);
  • зміст домашніх завдань і фінального проєкту;
  • історія переписки з AI-асистентом;
  • метадані сесій: час входу/виходу, IP-адреса, тип браузера, тип пристрою.

2.3. Дані B2B (для співробітників організацій)

  • роль у організації (Owner / Manager / Member / HR / Observer);
  • факт призначення/відкликання місця менеджером;
  • участь у замінах студентів (як замінюваний або як новий учасник).

2.4. Платіжна інформація

  • факт оплати, сума, дата, унікальний invoiceId;
  • метод оплати (банк / Monobank);
  • ми НЕ зберігаємо номер картки, CVV/CVC або інші конфіденційні платіжні реквізити — вся обробка відбувається на стороні Monobank Acquiring (PCI DSS Level 1).

2.5. Автоматично зібрані дані

  • IP-адреса (зберігається в логах активності 90 днів);
  • cookies та локальне сховище (детально — в Cookie Policy /legal/cookies);
  • аналітичні події (перегляди сторінок, кліки) у анонімізованому або псевдоанонімізованому вигляді.

3. Як ми використовуємо дані

3.1. Надання Сервісу:

  • автентифікація і авторизація;
  • доставка контенту курсу і відстеження прогресу;
  • генерація AI-відповідей на запитання користувача;
  • надсилання нагадувань через Telegram-бот або email.

3.2. Управління B2B-організацією:

  • відображення менеджеру дашборду активності команди;
  • класифікація студентів за статусом (активний / новачок / відстає);
  • забезпечення політики заміни (Replace Policy — див. п. 6).

3.3. Фінансові операції:

  • виставлення рахунків, проведення платежів, повернення коштів;
  • ведення бухгалтерського обліку згідно з вимогами податкового законодавства України.

3.4. Підтримка і покращення:

  • технічна підтримка користувачів;
  • усунення помилок, моніторинг помилок (Sentry-аналог);
  • аналітика для покращення курсу.

3.5. Безпека:

  • запобігання шахрайству, зловживанням, brute-force атакам;
  • детектор підозрілих ротацій місць (anti-abuse).

3.6. Юридичні підстави обробки (GDPR/ЗУ «Про захист персональних даних»):

Категорія данихПідстава
Обліковий запис, активністьВиконання договору (ст. 6(1)(b) GDPR)
Платіжні даніВиконання договору + юридичний обов'язок (фіск.облік)
AI-чат історіяВиконання договору + легітимний інтерес (покращення)
Аналітичні cookiesЗгода користувача (cookie-банер)
Аудит замін, anti-abuse хешіЛегітимний інтерес (захист моделі, безпека)
Маркетингові emailЗгода користувача (opt-in)

4. Хто має доступ до даних

4.1. Усередині Виконавця:

  • засновник і CEO (повний доступ);
  • технічна команда (з логуванням адмін-дій);
  • асистент адміністрації (Olha) — обмежений доступ до feedback і CRM, без модифікації безпекових налаштувань.

4.2. Менеджери організацій-Замовників:

  • бачать дані тільки своїх співробітників;
  • доступ обмежений до email, ім'я, прогрес навчання, статус активності;
  • НЕ бачать: історію AI-чату студента, IP-адреси, технічні логи.

4.3. Субпроцесори (треті сторони, яким передаються дані для надання Сервісу):

СубпроцесорПризначенняЛокація даних
Hetzner Online GmbHХостинг серверів і баз данихНімеччина (EU)
Monobank (Universal Bank)Платіжний шлюзУкраїна
Anthropic, PBCAI-асистент (Claude API)США (DPF/SCC)
OpenRouter Inc.LLM-роутинг для аналітикиСША (DPF/SCC)
Telegram FZ-LLCБот для повідомленьUAE/глобально
Google LLCOAuth SSO, Google CalendarСША (DPF)
ResendТранзакційні emailСША (DPF)
Perplexity AI Inc.Дослідження (внутрішнє використання)США

З усіма субпроцесорами укладені Data Processing Agreements (DPA), а для перенесення даних поза ЄС — стандартні договірні положення (SCC) або сертифікація DPF.

4.4. Державні органи: ми розкриваємо дані тільки на підставі офіційного запиту згідно з законодавством України.

5. Терміни зберігання

КатегоріяТермін
Обліковий запис активного користувачаПоки існує акаунт
Прогрес навчання12 місяців після завершення підписки організації
Зміст AI-чату90 днів (потім анонімізується)
Логи активності (IP, User-Agent)90 днів
Аудит-лог замін (B2BReplaceAudit)Безстроково (див. п. 6)
Анти-абьюз хеші emailБезстроково (доки існує організація)
Платіжні документи (рахунки, чеки)3 роки (вимога фіскального законодавства)
Резервні копії БД14 днів (rolling)
Маркетингові email-спискиДо відкликання згоди

6. Особлива політика щодо замін студентів (Replace Policy)

6.1. Коли менеджер замінює студента у складі організації:

  • Особисті дані замінюваного (email, ім'я, прогрес) анонімізуються через 90 днів після фактичної заміни.
  • Криптографічний хеш email з сіллю організації (sha256(email + per_org_salt)) зберігається безстроково.
  • Запис у аудит-логу про сам факт заміни (тиeр, ID організації, timestamp) зберігається безстроково.

6.2. Юридична підстава збереження хешу і аудит-логу — легітимний інтерес Виконавця у:

  • запобіганні зловживанням функцією заміни (повторне запрошення замінених email);
  • відповідності SOC 2 (рекомендований мінімум 12 місяців аудит-логу для цифрових послуг);
  • захисті бізнес-моделі від обходу ліцензійних обмежень.

6.3. Право бути забутим (ст. 17 GDPR) щодо хешу обмежене:

  • хеш є технічно одностороннім перетворенням і не дозволяє відновити email;
  • видалення хешу зашкодило б легітимним інтересам Виконавця і нашій здатності захистити модель;
  • ми відповідаємо на запити «забути» видаленням саме особистих даних (email, ім'я, прогрес), залишаючи лише непов'язний хеш.

6.4. У разі припинення діяльності організації-Замовника, хеші, пов'язані з цією організацією, можуть бути видалені на запит власника організації (надсилається на ceo@aiadvisoryboard.me).

7. Передача даних за кордон

7.1. Деякі субпроцесори (Anthropic, OpenRouter, Telegram, Google) знаходяться за межами ЄС/України.

7.2. Передача даних до США здійснюється на підставі:

  • EU-US Data Privacy Framework (DPF) — для сертифікованих компаній;
  • Стандартних договірних положень (SCC) Європейської Комісії — для решти.

7.3. Користувач погоджується з такою передачею в обсязі, необхідному для надання Сервісу.

8. Безпека даних

8.1. Технічні заходи:

  • шифрування трафіку (TLS 1.3);
  • паролі зберігаються у вигляді bcrypt-хешу, ніколи не у відкритому вигляді;
  • сесії — JWT з обмеженим терміном (7 днів) і кукі HttpOnly + Secure + SameSite=Lax;
  • ізольовані бази даних у Docker-контейнерах;
  • щоденні резервні копії;
  • регулярні security-аудити коду (cross-review кількох AI-моделей).

8.2. Організаційні заходи:

  • обмеження доступу до production-середовища (тільки засновник);
  • логування всіх адмін-дій з ретенцією 12 місяців;
  • внутрішні правила обробки даних, обов'язкові для команди.

8.3. У разі витоку даних (data breach):

  • Користувача буде сповіщено впродовж 72 годин (вимога GDPR ст. 33-34);
  • сповіщення опубліковано на головній сторінці Сервісу і надіслано на email/Telegram.

9. Ваші права

9.1. Як суб'єкт даних, ви маєте право:

  • на доступ — отримати копію своїх даних, які ми обробляємо;
  • на виправлення — оновити неточні або застарілі дані самостійно через /cabinet/settings або через звернення;
  • на видалення (право бути забутим) — з винятками для аудит-логу замін (п. 6.3) і фіскальних документів (п. 5);
  • на обмеження обробки — призупинити певні види обробки;
  • на портативність — отримати дані у машинно-читаному форматі (JSON);
  • на заперечення — проти обробки на основі легітимного інтересу;
  • відкликати згоду — щодо маркетингових повідомлень і необов'язкових cookies;
  • подати скаргу до Уповноваженого Верховної Ради України з прав людини або іншого наглядового органу EU.

9.2. Для реалізації прав звертайтеся на ceo@aiadvisoryboard.me — ми відповімо впродовж 30 календарних днів.

10. Особливості AI-обробки

10.1. Виконавець використовує AI-моделі (Claude від Anthropic, інші через OpenRouter) для:

  • генерації відповідей у чат-асистенті;
  • аналізу домашніх завдань (за згодою);
  • автоматичних класифікацій (статус студента, тип запитання).

10.2. Користувач підтверджує:

  • введений у AI-чат текст передається стороннім AI-провайдерам;
  • AI-провайдери (Anthropic) НЕ використовують промпти користувачів для тренування своїх моделей за замовчуванням (Enterprise API);
  • AI може помилятися — критичні рішення (юридичні, медичні, фінансові) користувач приймає самостійно.

10.3. Заборонено вводити в AI-чат:

  • комерційні таємниці інших осіб;
  • персональні дані третіх осіб без їхньої згоди;
  • незаконний, образливий або шкідливий контент.

11. Файли cookie

Детально — у Cookie Policy (/legal/cookies).

12. Діти

Сервіс не призначений для осіб віком до 16 років. Якщо ми дізнаємося, що зібрали дані такої особи без згоди законних представників, ми невідкладно видалимо їх.

13. Зміни до Політики

13.1. Ми можемо оновлювати цю Політику. Дата «Версія» вгорі документа відображає останнє оновлення.

13.2. Про суттєві зміни (нові категорії даних, нові субпроцесори, зміна цілей обробки) ми повідомимо:

  • через банер у Сервісі;
  • email-розсилкою на адресу облікового запису;
  • у Telegram-боті (якщо під'єднаний).

13.3. Продовження користування Сервісом після оновлення Політики означає згоду з новою редакцією.

14. Контакти

З питань конфіденційності, реалізації прав суб'єкта даних, скарг та запитів пишіть на: ceo@aiadvisoryboard.me

Опціональний канал: Telegram @vibevodingbot (для авторизованих користувачів — питання адресуються Виконавцю автоматично).

Публічна офертаCookie Policy