Редакція від 22 квітня 2026 року.
Попередня редакція: червень 2023 року.
---
1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
1.1. Ця Політика конфіденційності (далі — Політика) визначає порядок обробки персональних даних клієнтів і користувачів послуг торгової марки GMhost (далі — Виконавець). Реквізити Виконавця — суб'єкта господарювання, що надає послуги під торговою маркою GMhost, — зазначені на веб-сайті gmhost.ua у розділі «Документи».
1.2. Виконавець обробляє персональні дані відповідно до:
- Регламенту (ЄС) 2016/679 (GDPR);
- Закону України «Про захист персональних даних» №2297-VI від 01.06.2010;
- Закону України «Про електронні комунікації» №1089-IX;
- Закону України «Про захист прав споживачів» №1023-XII;
- інших нормативно-правових актів, що застосовуються до діяльності Виконавця.
1.3. Політика поширюється на веб-сайт gmhost.ua, особистий кабінет, усі послуги, продукти та додатки, що надаються під торговою маркою GMhost.
1.4. Починаючи користування послугами або реєструючи обліковий запис, користувач підтверджує, що ознайомлений із цією Політикою та надає згоду на обробку своїх персональних даних відповідно до її умов і застосовного законодавства.
1.5. Контролером (володільцем) персональних даних є Виконавець.
2. ЯКУ ІНФОРМАЦІЮ МИ ЗБИРАЄМО
2.1. Реєстраційні дані
- Прізвище, ім'я, по батькові (для фізичних осіб);
- Найменування, ЄДРПОУ/ІПН, юридична адреса (для юридичних осіб і ФОП);
- Адреса електронної пошти;
- Номер телефону;
- Платіжна адреса (billing address).
2.2. Платіжні дані
- Реквізити рахунків для оплати;
- Номери платіжних карток не зберігаються Виконавцем. Обробка карткових даних відбувається безпосередньо у ліцензованих платіжних шлюзів, що відповідають стандарту PCI DSS. Виконавець отримує лише токен карти для повторних списань.
2.3. KYC / верифікаційні дані
На вимогу законодавства (AML, валютного контролю, правил окремих юрисдикцій, політики anti-fraud) Виконавець має право запитувати:
- документи, що посвідчують особу;
- документи, що підтверджують місце проживання або місце реєстрації;
- документи, що підтверджують право користування майном;
- витяги з ЄДР для юридичних осіб та ФОП;
- фотографію користувача з документом у руках (selfie з ID);
- інші документи, передбачені законодавством.
2.4. Технічні дані
- IP-адреса;
- Тип пристрою, операційна система, версія браузера (User-Agent);
- Ідентифікатори сесій, файли cookie;
- Географічна локація на рівні міста (на підставі IP);
- Мовні налаштування.
2.5. Експлуатаційні дані
- Логи доступу до послуг (входи, дії в особистому кабінеті);
- Логи платежів, провіжну, зверненнь у службу підтримки;
- Історія замовлень і рахунків.
2.6. Комунікації
- Зміст звернень до служби підтримки (тікети, e-mail, чати);
- Записи телефонних розмов (за попереднього повідомлення).
3. МЕТА ТА ПРАВОВА ПІДСТАВА ОБРОБКИ
Виконавець обробляє персональні дані на підставі та з метою, визначених ст. 6 GDPR і ст. 11 Закону №2297-VI:
3.1. Виконання договору (ст. 6(1)(b) GDPR)
- керування обліковим записом;
- надання замовлених послуг і їх технічне забезпечення;
- обробка платежів і виставлення рахунків;
- комунікація з питань надання послуг;
- сервісні повідомлення (зміни у порядку надання послуг, технічні оновлення, плановані роботи).
3.2. Виконання юридичних обов'язків (ст. 6(1)(c) GDPR)
- фінансова та податкова звітність;
- виконання вимог законодавства у сфері електронних комунікацій;
- виконання вимог законодавства щодо AML, санкційного комплаєнсу та валютного контролю;
- надання інформації на законні запити правоохоронних органів, судів, суб'єктів владних повноважень.
3.3. Законні інтереси Виконавця (ст. 6(1)(f) GDPR)
- запобігання шахрайству, зловживанням і зламам;
- забезпечення безпеки інфраструктури та даних користувачів;
- внутрішня аналітика для покращення якості послуг;
- захист прав Виконавця у разі спорів.
3.4. Згода (ст. 6(1)(a) GDPR)
- маркетингові розсилки про новини, акції, нові послуги;
- використання нестрого необхідних cookie (аналітика, ретаргетинг);
- використання зображень та відгуків клієнтів у маркетингових матеріалах (окремо).
Згоду можна відкликати у будь-який момент через особистий кабінет або написавши у підтримку.
4. ФАЙЛИ COOKIE
4.1. Веб-сайт Виконавця використовує такі категорії cookie:
- Технічно необхідні (сесія, автентифікація, захист від CSRF) — без згоди, бо без них сайт не працює;
- Функціональні (мова, регіон, налаштування інтерфейсу) — за згодою;
- Аналітичні (Google Analytics/Matomo або подібні) — за згодою;
- Маркетингові / ретаргетинг — за згодою.
4.2. Керування згодою на cookie здійснюється через банер під час першого відвідування сайту та у налаштуваннях особистого кабінету. Детальний перелік cookie — на сторінці gmhost.ua/cookies.
5. ТЕРМІНИ ЗБЕРІГАННЯ
Категорія | Термін | Підстава |
Дані активного облікового запису | Термін дії договору + 3 роки | Ст. 257 ЦКУ (позовна давність) |
Первинні документи, рахунки, акти | 7 років | П. 44.3 ПКУ |
Платіжні транзакції | 5 років | ЗУ «Про запобігання та протидію легалізації...» |
KYC-документи | 5 років після закриття відносин | AML-законодавство |
Логи безпеки та доступу | 12 місяців | Законні інтереси |
Тікети служби підтримки | 3 роки | Законні інтереси |
Cookie | Від сесії до 12 місяців | Залежно від типу |
Після спливу відповідних термінів дані видаляються або анонімізуються.
6. ПЕРЕДАЧА ТРЕТІМ ОСОБАМ
6.1. Ми не продаємо персональні дані.
6.2. Виконавець залучає суб-оброблювачів (процесорів), які обробляють дані від імені Виконавця на підставі укладених договорів відповідно до ст. 28 GDPR. До категорій суб-оброблювачів належать:
- платіжні шлюзи та еквайри;
- провайдери email-розсилок (transactional mail);
- агрегатори SMS;
- провайдери моніторингу, error-tracking та логування;
- провайдери хмарної інфраструктури (якщо застосовуються);
- зовнішні розробники і консультанти — у межах виконання технічних завдань.
6.3. Передача даних за межі України / ЄЕП здійснюється лише:
- у країни з адекватним рівнем захисту за рішенням Європейської комісії; **або**
- на підставі Стандартних договірних умов (SCC) Європейської комісії; **або**
- за наявності інших гарантій, передбачених главою V GDPR.
6.4. Виконавець може надати персональні дані та інформацію про обліковий запис у відповідь на законні запити правоохоронних органів, судів та інших суб'єктів владних повноважень на підставі чинного законодавства.
6.5. Якщо ви заперечуєте проти обробки ваших даних у зазначений спосіб — просимо не користуватися послугами Виконавця.
7. ПРАВА СУБ'ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
Відповідно до GDPR та Закону №2297-VI ви маєте право:
- на доступ — отримати копію своїх даних;
- на виправлення — виправити неточні або неповні дані;
- на видалення («право бути забутим») — крім випадків, коли обробка необхідна для виконання юридичного обов'язку або захисту прав;
- на обмеження обробки — у передбачених законом випадках;
- на перенесення даних — отримати дані у структурованому машинно-читабельному форматі;
- на заперечення — проти обробки на підставі законних інтересів або для цілей маркетингу;
- на відкликання згоди — якщо обробка базується на згоді;
- не бути об'єктом виключно автоматизованого рішення, яке має юридичні наслідки;
- подати скаргу до наглядового органу:
- в Україні — Уповноважений Верховної Ради України з прав людини (ombudsman.gov.ua);
- у ЄС — наглядовий орган за місцем проживання або роботи.
Спосіб реалізації прав: через особистий кабінет або електронним листом у підтримку. Термін розгляду звернень — 30 календарних днів.
Зверніть увагу: видалення персональних даних може унеможливити подальше надання послуг.
8. НЕПОВНОЛІТНІ
Послуги Виконавця не призначені для осіб віком до 16 років. Якщо виявиться, що персональні дані неповнолітнього було отримано без згоди батьків або законних представників, такі дані буде видалено.
9. АВТОМАТИЗОВАНА ОБРОБКА ТА ПРОФІЛЮВАННЯ
9.1. Виконавець застосовує автоматизовані системи для:
- виявлення шахрайських дій (fraud scoring);
- фільтрації спаму та зловмисної активності;
- персоналізації сервісу.
9.2. У разі, якщо автоматизоване рішення негативно впливає на можливість користування послугами, ви маєте право вимагати перегляду рішення людиною, звернувшись у підтримку.
10. БЕЗПЕКА
10.1. Виконавець застосовує організаційні та технічні заходи для захисту персональних даних:
- шифрування каналів передачі даних (TLS);
- шифрування чутливих даних при зберіганні;
- система розмежування доступу за ролями (RBAC);
- багатофакторна автентифікація для персоналу;
- ведення журналу доступу та дій (audit log);
- регулярні резервні копії;
- періодичні тести на проникнення (penetration tests);
- навчання персоналу з питань безпеки.
10.2. У разі виявлення витоку персональних даних, що становить ризик для прав і свобод суб'єктів даних, Виконавець повідомляє:
- наглядовий орган — протягом 72 годин після виявлення;
- постраждалих суб'єктів даних — без невиправданої затримки, якщо ризик високий.
11. ВІДПОВІДАЛЬНІСТЬ ЗА НАДАНУ ІНФОРМАЦІЮ
11.1. Користувач несе відповідальність за достовірність і актуальність наданої ним інформації.
11.2. Виконавець залишає за собою право відмовити у наданні послуг або призупинити їх, якщо надана інформація є недостовірною, містить викрадену особисту інформацію або документи, або якщо виявлено ознаки шахрайської активності.
12. ЗМІНИ ДО ПОЛІТИКИ
12.1. Виконавець може оновлювати цю Політику. Істотні зміни набирають чинності через 30 календарних днів після повідомлення користувачів електронним листом та розміщення нової редакції на сайті. Неістотні редакційні зміни можуть набирати чинності з моменту публікації.
12.2. Дата останньої редакції вказана на початку документа. Архів попередніх редакцій доступний за запитом.
13. КОНТАКТИ
- Виконавець: реквізити суб'єкта господарювання — у розділі «Документи» на сайті gmhost.ua.
- Телефон: +380 44 221 33 43
14. ЗАСТОСОВНЕ ПРАВО І ЮРИСДИКЦІЯ
Ця Політика регулюється правом України. Спори, що виникають у зв'язку з обробкою персональних даних, підлягають вирішенню судами України за місцезнаходженням Виконавця, якщо інше не передбачено імперативними нормами законодавства про захист прав споживачів чи GDPR.