1. Контролёр данных
Контролёр персональных данных (по GDPR — data controller):
- Олег Кузубов, физическое лицо, Латвия;
- контакт по вопросам данных: support@gettaskzen.eu.
При переходе на юридическое лицо (LV SIA) мы заранее уведомим пользователей о смене контролёра.
2. Какие данные мы собираем
- E-mail и имя — для аутентификации и идентификации в паре;
- контент задач, сообщения чата, вложения — данные, которые вы сами добавляете;
- служебные данные: время регистрации, IP последнего входа, user-agent — для безопасности;
- необязательно: город для виджета погоды.
Мы не используем рекламные cookies и не передаём данные рекламным сетям.
3. Цели обработки
- предоставить функции сервиса вам и вашему партнёру по паре;
- обеспечить безопасность (rate-limit, защита от ботов);
- присылать сервисные уведомления по e-mail (приглашения, сброс пароля, существенные изменения).
4. Правовое основание
Обработка осуществляется на основании ст. 6(1)(b) GDPR — исполнение договора, заключённого через принятие Условий использования.
5. Получатели данных
- Supabase Inc. (хранилище БД и аутентификация) — серверы в ЕС (eu-central-1, Frankfurt). DPA по требованию.
- Vercel Inc. (хостинг приложения) — обработка запросов; задействуются как ЕС-, так и US-edge-узлы.
- Resend (Resend Labs Inc.) — отправка e-mail (подтверждение, magic-link).
Для передачи данных в США используются Standard Contractual Clauses Европейской комиссии.
6. Сроки хранения
- активный аккаунт — пока вы пользуетесь сервисом;
- после удаления аккаунта — до 30 дней (резервные копии) с последующим полным удалением;
- архив отменённой пары — заказчик сохраняет архив до явного удаления (см. п. 4 Условий использования); исполнитель теряет доступ сразу.
7. Ваши права (GDPR)
- право доступа к своим данным (ст. 15);
- право на исправление (ст. 16);
- право на удаление — «право быть забытым» (ст. 17);
- право на ограничение обработки (ст. 18);
- право на переносимость данных (ст. 20) — выгрузка в CSV/ZIP;
- право на возражение (ст. 21).
Как удалить аккаунт (GDPR ст. 17): в личном кабинете «Настройки → Опасная зона» нажмите «Удалить аккаунт». Удаление происходит мгновенно. Если вы — заказчик: все ваши пары и данные в них (задачи, переписка, файлы) удаляются полностью; исполнители теряют доступ. Если вы — исполнитель: ваши активные пары переводятся в архив заказчика, ваше имя в существующих сообщениях и файлах заменяется на «Удалённый пользователь». Журнал удаления с хэшем e-mail (без самого e-mail) хранится 30 дней для целей compliance. Резервные копии очищаются в течение 30 дней.
Прочие запросы (доступ, исправление, переносимость, возражение) — на тот же адрес. Срок ответа — до 14 дней.
8. Cookies и аналогичные технологии
Мы делим cookies и браузерное хранилище на три категории. При первом визите вы выбираете, какие категории разрешить, через cookie-баннер. Изменить выбор можно в любой момент по ссылке «Настройки cookie» в подвале сайта.
- Строго необходимые — сессионный cookie аутентификации Supabase и записи в localStorage, которыми управляет
@supabase/ssr. Нужны для входа. Пока сервис используется, отключить нельзя. Правовое основание: ст. 6(1)(b) GDPR (исполнение договора); освобождены от предварительного согласия по ст. 5(3) Директивы ePrivacy. - Аналитика (по согласию) — продуктовая аналитика через PostHog Cloud EU (Франкфурт). Отслеживает просмотры страниц и использование функций, чтобы мы улучшали нужное. Профили — только
identified_only, autocapture и запись сессий отключены. Правовое основание: ст. 6(1)(a) GDPR (ваше согласие). - Сбор ошибок (по согласию) — отчёты об ошибках в браузере через Sentry. Отправляют stack trace, URL и breadcrumbs (последние действия за секунды до сбоя), чтобы мы могли чинить баги. Могут попутно содержать параметры URL и подписи полей форм. Cookies/IP отсекаются на стороне сервера (
sendDefaultPii: false, кастомный фильтрbeforeSend). Правовое основание: ст. 6(1)(a) GDPR (ваше согласие).
Ваше согласие хранится в браузере в localStorage под ключом taskzen_cookie_consent_v1. Отказ от аналитики или сбора ошибок не ограничивает доступ ни к одной функции сервиса. Серверные операционные логи ошибок (внутренние ошибки приложения, которые возникают без пользовательского запроса и не содержат пользовательского контента) ведутся на основании законного интереса (ст. 6(1)(f) GDPR) и не подпадают под cookie-согласие выше.
9. Безопасность
Шифрование TLS на транспорте, шифрование at-rest на стороне Supabase, row-level security на уровне базы данных, rate-limit на попытки входа. Полную безопасность гарантировать невозможно — используйте сильный пароль и не передавайте доступ.
10. Жалоба в надзорный орган
Если вы считаете, что обработка ваших данных нарушает GDPR, вы вправе подать жалобу в Государственную инспекцию данных Латвии (Datu valsts inspekcija) или в надзорный орган страны вашего проживания в ЕС.
11. Изменения
Существенные изменения политики мы анонсируем по e-mail не позднее чем за 14 дней до вступления в силу.
12. Контакт
По всем вопросам: support@gettaskzen.eu.