Політика конфіденційності

1. Загальна інформація

Ця Політика конфіденційності описує, як ФОП Жолобко Н.Д. (далі — «Maestrico», «ми», «нас»), що здійснює діяльність під торговою маркою Maestrico, збирає, використовує та захищає персональні дані у зв'язку з:

відвідуванням вебсайту maestrico.com;
використанням нашого сервісу AI-менеджера (далі — «Сервіс»);
спілкуванням з нами будь-яким способом.

Ми дотримуємось вимог Загального регламенту ЄС про захист даних (GDPR, Regulation 2016/679) та Закону України «Про захист персональних даних» від 01.06.2010 №2297-VI.

Важливо: дві окремі ролі

Стосовно даних відвідувачів нашого сайту і наших B2B-клієнтів — ми виступаємо Контролером даних. Стосовно даних кінцевих користувачів (гостей, клієнтів) наших партнерів-підприємств — ми виступаємо Обробником даних. Це важлива різниця, яку докладно описано в Розділі 5.

2. Хто ми

Контролер / Обробник даних:

Назва	ФОП Жолобко Н.Д.
ІПН / ЄДРПОУ	2690113688
Адреса	алея Хохтіф 14/1, м. Старокостянтинів, Хмельницька область, Україна
Бренд	Maestrico
Вебсайт	maestrico.com
Email з питань конфіденційності	privacy@maestrico.com

Ми не призначаємо окремого Відповідального за захист даних (DPO) у зв'язку з масштабом поточної діяльності. З усіх питань щодо обробки персональних даних звертайтеся на privacy@maestrico.com.

3. Які дані ми обробляємо

3.1 Відвідувачі сайту та потенційні клієнти

Коли ви заповнюєте форму заявки або зв'язуєтесь з нами, ми отримуємо:

Категорія даних	Конкретні поля	Мета
Контактні дані	Ім'я, email або номер телефону	Обробка заявки, зв'язок з вами
Дані про бізнес	Назва готелю / підприємства	Кваліфікація заявки
Повідомлення	Зміст вашого запиту / коментаря	Обробка запиту
Технічні дані	Для аналітики переглядів — адреса сторінки, джерело переходу, UTM-мітки, узагальнений тип браузера (без IP, без ідентифікації особи). Для форм та безпеки — IP-адреса й User-Agent.	Аналітика, безпека, запобігання спаму

3.2 Клієнти-партнери (B2B)

Після укладання договору про надання послуг ми обробляємо дані представників вашого підприємства:

Категорія даних	Приклади	Мета
Ідентифікаційні дані	Ім'я контактної особи, посада	Виконання договору
Контактні дані	Email, телефон	Підтримка, комунікація
Платіжні реквізити	Реквізити для виставлення рахунків	Виставлення рахунків-фактур
Комунікаційні дані	Листування, Telegram-переписка	Підтримка, документування

3.3 Кінцеві користувачі (гості / клієнти партнерів)

Особлива категорія обробки

Ця категорія стосується даних третіх осіб, які взаємодіють з AI-менеджером нашого партнера. Ми обробляємо їх виключно за дорученням партнера як Обробник даних (Data Processor). Докладніше — в Розділі 5.

Категорія даних	Приклади	Мета
Ідентифікаційні дані	Ім'я, яке вказав гість у переписці	Персоналізація відповідей
Контактні дані	Номер телефону, якщо вказано	Виставлення рахунку, підтвердження
Дані про бронювання	Дати, тип номера, кількість осіб, вартість	Обробка запиту на бронювання
Зміст переписки	Повний текст діалогу з AI-менеджером	Надання відповідей, покращення якості
Дані платежів	Статус оплати (але не платіжні реквізити картки)	Підтвердження бронювання

Ми не обробляємо спеціальні категорії персональних даних (дані про здоров'я, расу, релігію, біометрику тощо) і просимо партнерів не передавати нам такі дані.

4. Правові підстави обробки (GDPR Art. 6)

Контекст обробки	Правова підстава	Пояснення
Обробка заявок з сайту	Art. 6(1)(b) — виконання договору / переддоговірні заходи	Ви надаєте дані для отримання комерційної пропозиції
Виконання B2B-договору	Art. 6(1)(b) — виконання договору	Необхідно для надання замовленого сервісу
Надсилання ділових комунікацій	Art. 6(1)(f) — законний інтерес	Законний інтерес у підтриманні ділових відносин
Обробка даних гостей (за дорученням партнера)	Art. 6(1)(b) — виконання договору з гостем (сторона — партнер)	Партнер несе відповідальність за правову підставу; ми виконуємо його доручення
Безпека та захист від зловживань	Art. 6(1)(f) — законний інтерес	Захист системи від несанкціонованого використання
Виконання юридичних зобов'язань	Art. 6(1)(c) — виконання правового зобов'язання	Зберігання документів відповідно до законодавства України

5. Ролі у обробці даних: Контролер і Процесор

Розуміння ролей є ключовим для правильного застосування прав суб'єктів даних.

5.1 Де ми є Контролером (Data Controller)

Для даних відвідувачів нашого сайту, потенційних клієнтів і B2B-партнерів ми самостійно визначаємо цілі та засоби обробки. Саме тому ми є Контролером, і суб'єкти даних можуть безпосередньо звертатись до нас із запитами про реалізацію своїх прав.

5.2 Де ми є Процесором (Data Processor)

Коли ми налаштовуємо AI-менеджера для партнера (готелю, клініки, салону краси тощо), ми обробляємо дані кінцевих користувачів (гостей, пацієнтів, клієнтів) за дорученням партнера. У цьому контексті:

Партнер (готель тощо) — Контролер: він визначає цілі обробки і несе відповідальність перед гостями.
Maestrico — Процесор: ми обробляємо дані виключно відповідно до документованих інструкцій партнера.

Практичний наслідок для гостей

Якщо ви — гість готелю (або клієнт іншого нашого партнера) і хочете скористатись правами щодо ваших персональних даних, зверніться насамперед до закладу, в якому ви обслуговувались. Партнер є Контролером і зобов'язаний відповісти на ваш запит. За необхідності ви можете також написати нам на privacy@maestrico.com.

Відносини між Maestrico та кожним партнером регулюються окремою Угодою про обробку даних (DPA), що відповідає вимогам ст. 28 GDPR. Шаблон DPA доступний на сторінці dpa.maestrico.com.

6. Субпроцесори

Для надання Сервісу ми залучаємо наступних перевірених підрядників, які обробляють персональні дані від нашого імені:

Постачальник	Роль	Місцезнаходження	Договір про захист даних
Hetzner Online GmbH	Хостинг серверів, зберігання даних	ЄС (Нюрнберг, Німеччина)	DPA за Art. 28 GDPR, підписаний через кабінет Hetzner
OpenAI Ireland Ltd / OpenAI, LLC	Обробка природної мови (LLM) через API	Ірландія / США	DPA OpenAI зі Стандартними договірними умовами (SCCs)
Anthropic, PBC	Обробка природної мови (LLM) через API	США	DPA Anthropic зі Стандартними договірними умовами (SCCs)

Жоден із субпроцесорів не використовує дані, отримані через наш API, для навчання своїх моделей (детальніше — в Розділі 10).

Ми повідомляємо партнерів про будь-які зміни у складі субпроцесорів не менш ніж за 30 днів до змін, надаючи можливість заперечити. Актуальний список субпроцесорів також відображений у шаблоні DPA (Додаток B).

Рекомендована дія для клієнтів

Переконайтесь, що ваша власна Політика конфіденційності містить інформацію про передачу даних гостей до AI-сервісів. Ми можемо надати рекомендований текст для вашої Privacy Policy — напишіть на privacy@maestrico.com.

7. Міжнародна передача даних

Наш основний сервер знаходиться в ЄС (Hetzner, Нюрнберг, Німеччина) — дані зберігаються на території ЄС.

Однак при обробці запитів через мовні моделі дані можуть передаватись до США (OpenAI та Anthropic). Відповідно до ст. 46 GDPR така передача здійснюється на підставі Стандартних договірних умов ЄС (SCCs, Рішення Комісії 2021/914/EU), включених до DPA кожного з провайдерів.

Для резидентів та організацій, розташованих в Україні: передача здійснюється з дотриманням ст. 29 Закону України «Про захист персональних даних» — до держав, що забезпечують належний рівень захисту персональних даних, або на підставі договірних гарантій.

Що надсилається до LLM-провайдерів

Зміст діалогу (включно з іменем та іншими даними, які гість зазначив у переписці) передається до API мовної моделі для генерації відповіді. Дані не використовуються для тренування моделей. Докладніше — Розділ 10.

8. Строки зберігання даних

Тип даних	Строк зберігання	Підстава
Заявки з сайту (потенційні клієнти)	3 роки від дати подачі заявки	Законний інтерес (ділові відносини)
Дані B2B-клієнтів (договірна документація)	7 років після закінчення договору	Вимоги податкового / бухгалтерського законодавства України
Дані кінцевих користувачів (гості партнерів)	Відповідно до інструкцій Контролера (партнера); за замовчуванням — до 90 днів після завершення договору з партнером	DPA з партнером
Технічні логи форм і безпеки (IP, доступ)	До 90 днів	Безпека системи
Дані у LLM-провайдерів (OpenAI, Anthropic)	До 30 днів (у OpenAI — за замовчуванням, з можливістю zero-retention; Anthropic — аналогічно)	Умови DPA провайдерів

По закінченні строків зберігання дані видаляються або знеособлюються. На вмотивований запит партнера дані можуть бути видалені достроково (за умови відсутності законодавчих вимог до зберігання).

9. Ваші права як суб'єкта даних

Відповідно до GDPR та Закону України «Про захист персональних даних», ви маєте наступні права:

Право	Зміст
Право на доступ (Art. 15)	Отримати підтвердження і копію персональних даних, що нами обробляються
Право на виправлення (Art. 16)	Вимагати виправлення неточних або доповнення неповних даних
Право на видалення (Art. 17)	Вимагати видалення ваших персональних даних («право бути забутим»)
Право на обмеження обробки (Art. 18)	Вимагати тимчасового обмеження обробки у певних випадках
Право на портативність (Art. 20)	Отримати ваші дані у машиночитаному форматі та передати їх іншому постачальнику
Право на заперечення (Art. 21)	Заперечити проти обробки, що ґрунтується на законному інтересі
Право не бути об'єктом автоматизованих рішень (Art. 22)	Не підпадати під рішення, що приймаються виключно автоматизовано і мають суттєвий вплив

Як подати запит

Надішліть запит на privacy@maestrico.com. Ми відповімо протягом 30 календарних днів (у разі складних запитів — до 90 днів з повідомленням про продовження).

Для верифікації особи ми можемо попросити вас надати підтвердження. Реалізація прав є безкоштовною, крім явно необґрунтованих або надмірних запитів.

Право на скаргу

В Україні: Уповноважений Верховної Ради України з прав людини (Омбудсмен), вул. Інститутська, 21/8, м. Київ, 01008. Сайт: ombudsman.gov.ua

У ЄС: Наглядовий орган з захисту даних у вашій країні (наприклад, UODO у Польщі: uodo.gov.pl).

10. AI та мовні моделі: що відбувається з даними

10.1 Яка інформація передається до LLM

Для генерації відповідей AI-менеджера зміст повідомлень (включно з персональними даними, які гість вказав у переписці — ім'я, номер телефону, деталі бронювання) передається до API мовних моделей.

Ми прагнемо до мінімізації даних: у промпт включається лише та інформація, яка необхідна для надання якісної відповіді.

10.2 Тренування моделей

Дані не використовуються для тренування

Жоден з наших LLM-провайдерів (OpenAI, Anthropic) не використовує дані, надіслані через API, для тренування або вдосконалення своїх моделей (за замовчуванням). Це зафіксовано у їхніх публічних DPA та умовах для бізнес-клієнтів.

10.3 EU AI Act — прозорість щодо AI (стаття 50)

Відповідно до Регламенту ЄС про штучний інтелект (EU AI Act, Regulation 2024/1689), зокрема ст. 50, що набуває чинності 2 серпня 2026 року, системи AI, призначені для взаємодії з людьми (чат-боти, AI-асистенти), зобов'язані повідомляти користувачів про те, що вони взаємодіють з AI.

Maestrico надає технічні засоби для забезпечення такого розкриття в інтерфейсі чату. Обов'язок налаштувати і забезпечити коректне відображення disclosure покладається на партнера (Контролера) відповідно до ToS та DPA.

Рекомендований нами текст disclosure для чату (на початку кожного діалогу або при першому контакті):

Привіт! Я — AI-асистент [Назва готелю]. Я можу допомогти з бронюванням, відповістями на питання та виставленням рахунків. У складних ситуаціях — з'єдную вас з менеджером. Чим можу допомогти?

Цей текст може бути адаптований партнером з урахуванням тону бренду.

10.4 Класифікація Maestrico за EU AI Act

Maestrico класифікується як система обмеженого ризику (Limited Risk) — до неї застосовуються виключно вимоги прозорості (ст. 50). Нами не застосовуються заборонені практики AI (ст. 5) — маніпулювання, соціальний скоринг, biometric surveillance тощо.

Потребує перевірки юристом

Точна класифікація за EU AI Act залежить від конкретного сценарію використання у кожного партнера. При масштабуванні на ринки ЄС рекомендуємо провести індивідуальну оцінку ризиків.

11. Файли cookie

Детальна інформація міститься в окремій Політиці Cookie.

Ми використовуємо технічно необхідні файли cookie (сесійні, захист форм) та власну знеособлену аналітику переглядів, яка не використовує cookies, не зберігає IP-адресу й не ідентифікує вас. Сторонні аналітичні та маркетингові інструменти (Google Analytics 4, Microsoft Clarity) наразі не підключені — якщо вони будуть додані, лише за вашою явною згодою через cookie-банер.

12. Безпека даних

Ми вживаємо технічні та організаційні заходи захисту відповідно до ст. 32 GDPR:

Шифрування даних при передачі (TLS 1.3);
Сервери в сертифікованому дата-центрі ЄС (Hetzner, ISO 27001);
Обмежений доступ до даних за принципом мінімальних привілеїв;
Захист від ін'єкцій та XSS на рівні додатку;
Rate limiting та honeypot-захист форм;
Регулярний перегляд заходів безпеки.

У разі виявлення порушення безпеки персональних даних ми повідомимо відповідний наглядовий орган у строк 72 годин (ст. 33 GDPR) та, за необхідності, — постраждалих суб'єктів даних (ст. 34 GDPR).

13. Зміни до цієї Політики

Ми можемо оновлювати цю Політику конфіденційності у зв'язку зі змінами законодавства, розширенням функціоналу або за іншими причинами. Дата «Останнє оновлення» у заголовку документу вказує на актуальну версію.

Для B2B-партнерів суттєві зміни будуть повідомлятись електронною поштою не менш ніж за 30 днів до набрання чинності. Актуальна версія завжди доступна за адресою maestrico.com/privacy.

14. Контакти

З усіх питань, пов'язаних із захистом персональних даних:

Email	privacy@maestrico.com
Загальний email	hello@maestrico.com
Поштова адреса	ФОП Жолобко Н.Д., алея Хохтіф 14/1, м. Старокостянтинів, Хмельницька область, 31100, Україна

Ми відповімо на ваш запит протягом 30 календарних днів.