Конфіденційність

Ця Політика конфіденційності визначає порядок збирання, обробки, зберігання та захисту персональних даних користувачів онлайн-платформи N40 Academy (далі — «Платформа»), що належить та управляється N40 Agency, LLC.

Ми обробляємо персональні дані відповідно до Загального регламенту про захист даних (Регламент (ЄС) 2016/679, далі — GDPR), Закону штату Каліфорнія про конфіденційність споживачів (CCPA), Закону України «Про захист персональних даних» та інших застосовних нормативних актів у сфері захисту персональних даних.

Контролер (оператор) персональних даних:
N40 Agency, LLC (реєстрація: штат Делавер, США)
Платіжний агент в Україні: ФОП Головіна Т. С.
Електронна пошта для запитів щодо даних: contact@n40.agency

Дані облікового запису

• Адреса електронної пошти (обов'язково; використовується для автентифікації та зв'язку)
• Псевдонім (обов'язково; відображається на таблиці лідерів та в публічному профілі)
• Повне ім'я (за бажанням; використовується для генерації сертифікатів)
• Зображення профілю (за бажанням; завантажується користувачем)

Прогрес навчання

• Перелік завершених уроків (зберігається у вигляді масивів ідентифікаторів)
• Відсоток проходження кожного курсу
• Дата та час завершення уроків і курсів

Контент користувача

• Персональні нотатки до уроків (текстові дані, створені користувачем)
• Закладки уроків (зберігаються локально в localStorage та синхронізуються із сервером після авторизації)

Дані пристрою

• Тип та версія браузера (User-Agent)
• Операційна система та її версія
• Роздільна здатність екрану пристрою
• IP-адреса (збирається виключно через Google Analytics 4, лише за наявності вашої згоди; анонімізується засобами GA4)

Налаштування

• Обрана тема інтерфейсу (темна або світла)
• Обрана мова інтерфейсу (українська або англійська)
• Ваше рішення щодо згоди на використання аналітичних cookies

AI Sandbox

• Текст запитів (промптів), надісланих до AI Sandbox
• Відповіді, згенеровані штучним інтелектом
• Кількість використаних токенів та вартість кожного запиту

Журнал активності

• Події входу в обліковий запис
• Завершення уроків та курсів (дата, час, ідентифікатор курсу/уроку)

Сертифікати

• Видані сертифікати про завершення курсу: ім'я, назва курсу, дата видачі, код верифікації

Платіжна історія

• Записи транзакцій Monobank: сума, дата, статус платежу, ідентифікатор замовлення

Верифікація особи (KYC) для сертифіката

Щоб ваш сертифікат N40 Academy мав вагу для роботодавців, рекрутерів та LinkedIn, ми використовуємо процедуру верифікації особи (KYC) через нашого субпроцесора Didit, Inc. Це гарантує, що сертифікат прив'язаний до підтвердженої особи. Під час проходження верифікації ми збираємо такі біометричні дані:

• Фотографія документа, що посвідчує особу (паспорт, ID-картка, посвідчення водія)
• Селфі-фотографія обличчя
• Дані перевірки живості (liveness detection)

Мета:підтвердження особи власника сертифіката для відображення бейджа "Identity Verified" на публічній сторінці верифікації (/verify) — щоб третя сторона могла довіряти імені на сертифікаті.

Субпроцесор: Didit, Inc. (США/ЄС). Біометричні дані обробляються та зберігаються на серверах Didit у Європейському Союзі.

Строк зберігання:Didit зберігає біометричні дані протягом 90 днів після завершення верифікації, після чого вони автоматично видаляються. На серверах Платформи зберігається лише результат верифікації (так/ні), повне ім'я, дата проходження.

Правова основа:явна згода суб'єкта даних (ст. 9(2)(a) GDPR; ст. 6, 7 ЗУ «Про захист персональних даних»). Верифікація обов'язкова для видачі сертифіката разом із фінальним екзаменом (≥80%) — без її проходження сертифікат не випускається. Якщо ви не плануєте отримувати сертифікат, ви можете користуватися навчальним контентом без KYC.

Право на видалення: ви можете надіслати запит на видалення біометричних даних на contact@n40.agency, і ми передамо його Didit для виконання.

• Забезпечення функціонування Платформи, включаючи автентифікацію та управління обліковим записом
• Відстеження та збереження вашого навчального прогресу
• Синхронізація прогресу, нотаток та закладок між пристроями
• Відображення вашого псевдоніма на таблиці лідерів (адреса електронної пошти не є публічно доступною)
• Генерація іменних сертифікатів про завершення курсу
• Збирання анонімізованої статистики для вдосконалення Платформи та навчального контенту
• Надсилання транзакційних повідомлень щодо вашого облікового запису, придбаних програм та оновлень Платформи
• Забезпечення безпеки Платформи, виявлення та запобігання зловживанням і шахрайству

Згода суб'єкта даних (ст. 6(1)(a) GDPR)

Обробка аналітичних даних (Google Analytics 4) та надсилання маркетингових повідомлень здійснюються виключно на підставі вашої попередньої добровільної згоди. Ви маєте право відкликати згоду в будь-який момент, що не впливає на законність обробки, здійсненої до відкликання.

Виконання договору (ст. 6(1)(b) GDPR)

Обробка даних облікового запису, навчального прогресу, нотаток, закладок та платіжних даних є необхідною для виконання умов договору (Умов використання), стороною якого ви є, та для надання послуг Платформи, на які ви підписалися.

Законний інтерес контролера (ст. 6(1)(f) GDPR)

Забезпечення інформаційної безпеки Платформи, запобігання шахрайству, виявлення зловживань, технічне обслуговування інфраструктури та вдосконалення послуг. Ми проводимо оцінку балансу інтересів, щоб гарантувати, що обробка не порушує ваші фундаментальні права та свободи.

Явна згода для біометричних даних (ст. 9(2)(a) GDPR)

Обробка біометричних даних у рамках процедури верифікації особи (KYC) здійснюється виключно на підставі вашої явної згоди відповідно до ст. 9(2)(a) GDPR та ст. 6, 7 ЗУ «Про захист персональних даних». KYC ініціюється виключно користувачем і обов'язкова для видачі сертифіката (разом із фінальним екзаменом ≥80%). Доступ до навчального контенту не залежить від KYC.

Первинне сховище (серверна частина)

• Supabase — база даних PostgreSQL з увімкненою функцією Row Level Security (RLS), розміщена на інфраструктурі AWS у регіоні Північна Америка
• Усі дані шифруються під час передачі за допомогою протоколу TLS 1.3
• Шифрування даних у стані спокою (at rest) на рівні бази даних засобами AES-256

Локальне сховище (клієнтська частина)

• localStorage вашого браузера зберігає: навчальний прогрес, нотатки, закладки, обрану тему та мову інтерфейсу
• Локальне зберігання забезпечує можливість роботи з Платформою без підключення до мережі (offline-режим)
• Після авторизації дані автоматично синхронізуються із серверами Supabase для резервного копіювання та крос-девайсного доступу
• Дані, що зберігаються у localStorage, не передаються третім особам та не надсилаються на сервер без вашої авторизації

Резервні копії

Supabase автоматично створює зашифровані резервні копії бази даних на інфраструктурі AWS. Доступ до резервних копій обмежений і контролюється механізмами IAM (Identity and Access Management).

Supabase Inc. (США / AWS)

Реляційна база даних (PostgreSQL), автентифікація користувачів, зберігання файлів, серверні функції (Edge Functions). Правова основа передачі: Стандартні договірні положення (SCC) відповідно до Рішення Європейської Комісії 2021/914.

OpenAI, Inc. (Сан-Франциско, США)

AI Sandbox — обробка запитів користувачів за допомогою API OpenAI. Дані, що передаються: текст запиту (промпту) та текст відповіді. Правова основа: виконання договору (ст. 6(1)(b) GDPR). Відповідно до політики OpenAI API, дані не використовуються для навчання моделей.

Google LLC (США)

Google Analytics 4 — веб-аналітика; активується виключно після надання вашої згоди на аналітичні cookies. Ви можете відкликати згоду на сторінці /cookies.

Microsoft Clarity (Microsoft Corporation, США)

Записи сеансів, теплові карти та анонімізовані дані кліків. Хостинг: Azure. Активується виключно після надання згоди.

Facebook Pixel (Meta Platforms Ireland Ltd.)

Відстеження конверсій та створення спеціальних аудиторій. Категорія: маркетинг. Активується виключно після надання згоди.

LinkedIn Insight Tag (LinkedIn Ireland Unlimited Company)

Відстеження конверсій та професійна демографічна аналітика. Категорія: маркетинг. Активується виключно після надання згоди.

Stripe Inc. (США) — заплановано

Stripe заплановано як процесор міжнародних платежів для користувачів за межами України. На момент останнього оновлення інтеграція не активована. Сертифікація PCI DSS Level 1.

Monobank / Universal Bank (Україна)

Платіжний еквайринг для українських банківських карток (через ФОП Головіна Т. С.). Платіжні реквізити обробляються безпосередньо Monobank. Сертифікація PCI DSS.

Resend Inc. (США)

Доставка транзакційних електронних листів (підтвердження реєстрації, скидання паролю, системні сповіщення). Правова основа передачі: SCC.

Netlify Inc. (США)

Хостинг статичних файлів Платформи та CDN з автоматичним SSL-сертифікатом Let's Encrypt. Правова основа: DPA відповідно до GDPR.

Cloudflare Inc. (США)

Управління DNS-записами, захист від DDoS-атак та забезпечення швидкодії мережі. Правова основа: SCC та DPA.

Didit, Inc. (США/ЄС)

Верифікація особи (KYC): обробка фотографій документів, селфі та даних liveness detection. Біометричні дані відповідно до ст. 9 GDPR зберігаються на серверах Didit у ЄС протягом 90 днів. Правова основа: явна згода (ст. 9(2)(a) GDPR).

Трансграничні передавання

Передача персональних даних до США здійснюється на підставі Стандартних договірних положень (SCC), затверджених Рішенням Європейської Комісії 2021/914, із застосуванням додаткових технічних та організаційних заходів безпеки.

Невід'ємні (завжди)

• sb-*-auth-token — токен автентифікації Supabase (сесія)
• LANG / n40_lang — обрана мова інтерфейсу
• n40_theme — обрана тема оформлення
• n40_cookies — ваше рішення щодо аналітичних та маркетингових cookies

Аналітика (за згодою)

• _ga, _ga_*, _gid — Google Analytics 4. Встановлюються виключно після надання вашої явної згоди через банер cookies

Маркетинг / Реклама (за згодою)

• Microsoft Clarity — записи сеансів, теплові карти, дані кліків (Azure US/EU)
• Facebook Pixel — відстеження конверсій, спеціальні аудиторії
• LinkedIn Insight Tag — відстеження конверсій, професійна демографія

Усі маркетингові скрипти активуються виключно після надання вашої згоди (ключ n40_cookies). У разі відхилення згоди жоден із зазначених скриптів не завантажується.

Вичерпний перелік усіх cookies та записів localStorage наведено у нашій Політиці Cookie.

Дані облікового запису

Зберігаються протягом усього періоду дії облікового запису. Після подання запиту на видалення облікового запису всі пов'язані персональні дані видаляються протягом 30 (тридцяти) календарних днів.

Резервні копії

Резервні копії, що містять ваші персональні дані, автоматично видаляються протягом 90 (дев'яноста) календарних днів після видалення облікового запису.

Аналітика

Анонімізовані та агреговані аналітичні дані, що не дозволяють ідентифікувати конкретну особу, зберігаються безстроково для вдосконалення Платформи.

Логи безпеки

Журнали входів, подій безпеки та активності облікового запису зберігаються протягом 12 (дванадцяти) місяців з моменту створення запису.

Платіжна історія

Записи транзакцій (payment_history) зберігаються протягом усього строку дії облікового запису та додатково 3 (три) роки після його видалення для дотримання вимог бухгалтерського обліку.

AI Sandbox

Журнали використання AI Sandbox: текст запитів, відповідей та статистика токенів зберігаються протягом строку дії облікового запису.

Сертифікати

Записи виданих сертифікатів зберігаються безстроково для забезпечення публічної сторінки перевірки (/verify). Після видалення облікового запису персональні дані у сертифікатах анонімізуються за запитом.

Біометричні дані (KYC)

Зберігаються субпроцесором Didit, Inc. протягом 90 (дев'яноста) днів, після чого автоматично видаляються. На серверах Платформи — лише результат верифікації (так/ні) та дата.

• Право на доступ (ст. 15 GDPR) — отримати підтвердження того, чи обробляються ваші персональні дані, а також копію цих даних у структурованому форматі
• Право на виправлення (ст. 16 GDPR) — вимагати виправлення неточних або неповних даних
• Право на видалення (ст. 17 GDPR) — «право на забуття», вимагати видалення ваших даних
• Право на обмеження обробки (ст. 18 GDPR) — вимагати обмеження обробки на час перевірки точності або розгляду заперечення
• Право на перенесення даних (ст. 20 GDPR) — отримати дані у машинозчитуваному форматі (JSON або CSV) та передати іншому контролеру
• Право на заперечення (ст. 21 GDPR) — заперечити проти обробки, включаючи профілювання та маркетинг
• Право на відкликання згоди (ст. 7(3) GDPR) — відкликати надану згоду в будь-який момент
• Право на подання скарги до наглядового органу — звернутися до уповноваженого органу в вашій країні

Порядок подання запитів: надішліть запит на адресу contact@n40.agency. Ми надамо відповідь протягом одного календарного місяця з моменту отримання запиту відповідно до ст. 12(3) GDPR.

Відповідно до Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI, ви маєте такі права:

• Право на доступ — знати про місцезнаходження бази персональних даних
• Право на виправлення — вимагати виправлення неточних або неповних даних
• Право на видалення — вимагати знищення даних, якщо вони обробляються незаконно
• Право на обмеження обробки
• Право на заперечення проти автоматизованої обробки, у тому числі профілювання
• Право на переносимість — отримати дані у структурованому форматі

Наглядовий орган

Якщо ви вважаєте, що ваші права порушено, ви маєте право звернутися зі скаргою до Уповноваженого Верховної Ради України з прав людини через офіційний вебсайт ombudsman.gov.ua.

N40 Agency, LLC дотримується санкційного законодавства та обмежувальних заходів, встановлених:

• США — Управління з контролю за іноземними активами (OFAC)
• Європейський Союз — обмежувальні заходи ЄС відповідно до Спільної зовнішньої та безпекової політики
• Україна — рішення РНБО, введені в дію Указами Президента

Ми не надаємо послуги особам та організаціям, внесеним до санкційних списків. Обмежені юрисдикції: Російська Федерація, Республіка Білорусь, тимчасово окуповані території України.

Ми залишаємо за собою право заблокувати облікові записи, пов'язані із санкційними юрисдикціями, без повернення коштів та без попереднього повідомлення.

Послуги Платформи N40 Academy надаються особам, які досягли 18 (вісімнадцяти) років та мають повну цивільну дієздатність відповідно до ст. 34 Цивільного кодексу України.

Особи, які не досягли 18 років, не мають права самостійно здійснювати оплату та укладати договори на Платформі без письмової згоди батьків або інших законних представників відповідно до ст. 222 Цивільного кодексу України.

У разі виявлення облікових записів, створених особами, які не досягли 18 років, без згоди законних представників, ми залишаємо за собою право призупинити або видалити такі облікові записи.

Повідомлення про порушення безпеки (ст. 33-34 GDPR): у разі порушення безпеки персональних даних, яке може становити загрозу правам і свободам фізичних осіб, ми повідомимо компетентний наглядовий орган протягом 72 годин з моменту виявлення інциденту. Якщо порушення становить високий ризик, ми також повідомимо вас особисто.

Технічні та організаційні заходи безпеки:

• Наскрізне шифрування даних у стані спокою (AES-256) та при передачі (TLS 1.3)
• Регулярні аудити безпеки та тестування на проникнення (penetration testing)
• Захист від DDoS-атак на рівні мережевої інфраструктури (Cloudflare)
• Безперервний моніторинг аномалій та підозрілої активності
• Розмежування доступу на основі ролей (RBAC) та принцип найменших привілеїв

Платформа N40 Academy не призначена для осіб, які не досягли 16 (шістнадцяти) років. Ми свідомо не збираємо та не обробляємо персональні дані неповнолітніх осіб.

Якщо нам стане відомо, що ми випадково зібрали персональні дані особи, яка не досягла 16 років, ми невідкладно вживемо заходів для видалення таких даних з наших систем та повідомимо батьків або законних представників.

Якщо ви є батьком або законним представником і маєте питання щодо обробки даних неповнолітніх: contact@n40.agency

Ми не продаємо та не передаємо ваші персональні дані третім особам з метою отримання прибутку. Ми не здійснюємо «продаж» або «передачу» персональної інформації у значенні, визначеному CCPA/CPRA.

Якщо ви є резидентом штату Каліфорнія (США), відповідно до CCPA та CPRA ви маєте такі додаткові права:

• Право знати: отримати інформацію про категорії та конкретні персональні дані
• Право на видалення: вимагати видалення зібраних персональних даних
• Право на відмову від продажу або передачі даних

Для подання запиту відповідно до CCPA/CPRA надішліть лист на contact@n40.agency з позначкою «CCPA Request» у темі. Ми надамо відповідь протягом 45 днів.

Ми залишаємо за собою право вносити зміни до цієї Політики конфіденційності для відображення змін у нашій практиці обробки даних, вимогах законодавства або функціональності Платформи.

Оновлена версія Політики публікується на цій сторінці із зазначенням нової дати «Останнього оновлення».

У разі внесення суттєвих змін, що стосуються обсягу або способів обробки ваших персональних даних, ми повідомимо вас електронною поштою або через сповіщення на Платформі не менше ніж за 30 днів до набрання змінами чинності.

Продовження використання Платформи після набрання змінами чинності означає вашу згоду з оновленою Політикою конфіденційності.

Якщо у вас виникли питання, зауваження чи запити щодо цієї Політики конфіденційності або порядку обробки ваших персональних даних, будь ласка, зверніться до нас:

N40 Agency, LLC
Delaware, USA
Email: contact@n40.agency
Сайт: n40.agency

Ми зобов'язуємося розглядати всі запити щодо персональних даних протягом одного календарного місяця з моменту їх отримання (ст. 12(3) GDPR).