Палітыка канфідэнцыяльнасці
1. Каго гэтая Палітыка датычыцца
Мы апрацоўваем персанальныя даныя карыстальнікаў сайта khut.by і дадатка «Хут-Мова» (далей — «Сэрвіс»).
Гэты дакумент напісаны для:
- рэзідэнтаў Рэспублікі Беларусь — на падставе Закона Рэспублікі Беларусь ад 07.05.2021 № 99-З «Аб абароне персанальных даных» (далей — Закон № 99-З).
- рэзідэнтаў Еўрапейскага Саюза (у тым ліку беларускай дыяспары) — на падставе Рэгламенту (ЕС) 2016/679 (GDPR), арт. 3(2)(a).
Калі вы карыстаецеся Сэрвісам, вы пацвярджаеце, што прачыталі і зразумелі гэтую Палітыку.
2. Якія даныя мы збіраем
2.1. Даныя, якія вы нам даяце
Пры ўваходзе праз Google OAuth мы атрымліваем:
- Email-адрас (абавязкова — для ідэнтыфікацыі акаўнта)
- Імя (display name з профілю Google)
- URL фота профілю (адрас выявы; саму выяву мы не захоўваем)
Мы не збіраем: нумар тэлефона, паштовы адрас, дату нараджэння, геалакацыю, даныя плацежных карт.
2.2. Даныя, якія ствараюцца падчас карыстання
- Тэкст дыялогаў з AI-рэпетытарам (вашы паведамленні і адказы мадэлі)
- Рэакцыі на паведамленні (👍 / 👎)
- Водгукі, якія вы пакідаеце праз форму зваротнай сувязі
- Час стварэння / абнаўлення запісаў (timestamps)
2.3. Тэхнічныя даныя
- Cookies і localStorage для аўтарызацыі (токены сесіі Supabase Auth) — абавязкова-неабходныя
- IP-адрас — часова (да 30 дзён) захоўваецца хостынг-партнёрам hostfly.by для мэтаў бяспекі і дыягностыкі; Аператар доступу да IP пастаянна не мае
2.4. Што мы НЕ збіраем і НЕ захоўваем
- Аўдыязапісы галасу (агучванне выкарыстоўваецца толькі для прайгравання, запіс не робіцца)
- Фатаграфіі карыстальніка (захоўваецца толькі URL аватары з Google)
- Звычайную геалакацыю
- Даныя плацежных карт (плацяжы праходзяць праз bePaid — мы да іх не маем доступу)
3. На якіх падставах мы апрацоўваем даныя
Паводле арт. 6 Закона № 99-З і арт. 6 GDPR мы спіраемся на:
| Мэта | Прававая падстава (Закон № 99-З) | Прававая падстава (GDPR) |
|---|---|---|
| Стварэнне і вядзенне акаўнта | Згода субʼекта (арт. 6) | Арт. 6(1)(b) — выкананне дагавора |
| AI-дыялог, захаванне гісторыі | Згода субʼекта | Арт. 6(1)(b) — выкананне дагавора |
| Аналітыка і паляпшэнне сэрвісу | Згода субʼекта | Арт. 6(1)(f) — законны інтарэс |
| Адказ на запыты ў службу падтрымкі | Згода субʼекта | Арт. 6(1)(b) / 6(1)(f) |
| Выкананне абавязкаў заканадаўства (напр., уліковая справаздачнасць ІП) | Арт. 6 п. 6 — выкананне НПА | Арт. 6(1)(c) — юрыдычны абавязак |
Згоду вы даяце, націскаючы чэкбокс на экране ўваходу. Згода можа быць адклікана ў любы момант (глядзі раздзел 7).
4. Каму мы перадаём даныя (апрацоўшчыкі і атрымальнікі)
Мы не прадаём вашы даныя і не перадаём іх трэцім асобам для маркетынгу. Для працы Сэрвісу мы карыстаемся інфраструктурнымі партнёрамі («апрацоўшчыкі» / «processors»):
| Партнёр | Функцыя | Месцазнаходжанне серверу | Што перадаецца |
|---|---|---|---|
| ТАА «Суппорт чейн» (Рэспубліка Беларусь, УНП 190625072) — hostfly.by | Хостынг VPS, рэгістрацыя ў БелГІЭ, тэхнічная інфраструктура | Дата-цэнтр у Рэспубліцы Беларусь | IP-адрас, HTTP-загалоўкі, серверныя логі, рэзервовыя копіі базы дадзеных |
| Supabase Inc. (ЗША) | База даных, аўтэнтыфікацыя | eu-west-1 (Дублін, Ірландыя) | Профіль, дыялогі, рэакцыі, водгукі |
| Google LLC (ЗША) — OAuth | Уваход праз Google | ЗША / глабальна | Запыт праверкі пасля вашай згоды ў Google |
| Google LLC (ЗША) — Gemini API | AI-мадэль (галоўная) | ЗША / глабальна | Тэкст вашых паведамленняў у чаце |
| OpenAI LLC (ЗША) — GPT-4o-mini | AI-мадэль (рэзервовая) | ЗША | Тэкст паведамленняў, калі Gemini недаступны |
| Portkey Inc. (ЗША) | LLM-роўтэр (маршрутызацыя запытаў) | ЗША | Тэкст паведамленняў (транзітам) |
| ТАА «Бі.Пэй» — bePaid | Прыём плацяжоў (плануецца) | Рэспубліка Беларусь | Рэквізіты плацяжу (мы карту не бачым) |
| PostHog Inc. (ЗША) — плануецца | Прадуктовая аналітыка | Рэгіён EU (пры ўключэнні) | Агрэгаваныя падзеі (без тэксту дыялогаў) |
Некаторыя партнёры (OpenAI, Google AI Studio) не ўключаюць Беларусь у афіцыйны спіс падтрымоўваемых краін. Доступ да Сэрвісу з тэрыторыі РБ тэхнічна магчымы, але мы не гарантуем бесперабойнасць працы AI-функцыяналу з прычыны знешніх абмежаванняў. Мы працуем над альтэрнатыўнымі варыянтамі і пра змены паведамім у абнаўленні гэтай Палітыкі.
5. Трансгранічная перадача даных
Частка апрацоўшчыкаў (Supabase, Google, OpenAI, Portkey) знаходзіцца па-за межамі Рэспублікі Беларусь (у ЕС і ЗША).
Для рэзідэнтаў РБ (арт. 10 Закона № 99-З): краіны-атрымальнікі персанальных даных:
- Ірландыя (ЕС) — Supabase Inc., рэгіён eu-west-1. Краіна ўваходзіць у спіс дзяржаў з належным узроўнем абароны паводле Прыказа НЦЗПД №14 ад 15.11.2021 (на аснове Канвенцыі Савета Еўропы №108 ад 28.01.1981 «Аб абароне асоб у сувязі з аўтаматызаванай апрацоўкай ПД»). Спецыяльны дазвол НЦЗПД для перадачы не патрабуецца.
- ЗША — Google LLC (OAuth, Gemini API), OpenAI LLC (GPT-4o-mini fallback), Portkey Inc. (LLM-роўтэр). Перадача адбываецца на падставе інфармаванай згоды Карыстальніка (арт. 9 Закона № 99-З).
- Рэспубліка Беларусь — ТАА «Суппорт чейн» (hostfly.by), ТАА «Бі.Пэй» (bePaid). Перадача ўнутры краіны — без дадатковых умоў.
Патрабаванні да апрацоўшчыкаў мы ўстанаўліваем у дамовах аб апрацоўцы персанальных даных (DPA).
Для рэзідэнтаў ЕС (арт. 44–49 GDPR): перадача ў ЗША адбываецца:
- на падставе Standard Contractual Clauses (SCC) — Рашэнне Еўракамісіі 2021/914, або
- у рамках EU-U.S. Data Privacy Framework для сертыфікаваных атрымальнікаў.
Пералік актуальных DPA і SCC даступны па запыце на hello@khut.by.
6. Як доўга мы захоўваем даныя
| Катэгорыя | Тэрмін |
|---|---|
| Профіль (email, імя, URL аватары) | Увесь час дзеяння акаўнта |
| Дыялогі з AI, рэакцыі, водгукі | Увесь час дзеяння акаўнта |
| Пасля выдалення акаўнта — асноўная база | Выдаленне на працягу 24 гадзін |
| Пасля выдалення акаўнта — рэзервовыя копіі | 30 дзён, пасля чаго цалкам выдаляюцца |
Лічыльнікі дзённага выкарыстання (user_daily_usage) | 90 дзён з даты запісу |
| Тэхнічныя логі сервера hostfly.by | 30 дзён |
| Уліковыя дакументы (пасля пачатку манетызацыі) | Паводле заканадаўства РБ аб бухгалтарскім уліку і падатках (норма патрабуе праверкі па НК РБ на pravo.by) |
Пасля выдалення акаўнта мы стандартнай працэдурай выдаляем даныя з асноўнай базы; з рэзервовых копій — на працягу 30 дзён.
7. Вашы правы
Паводле Закона № 99-З (арт. 11–15) і GDPR (арт. 15–22) вы маеце права:
- Атрымаць даступ да сваіх персанальных даных і інфармацыю пра іх апрацоўку
- Выправіць няправільныя або няпоўныя даныя
- Выдаліць даныя («права быць забытым»)
- Абмежаваць апрацоўку (прыпыніць, але не выдаляць)
- Перанесці даныя (атрымаць копію ў машынначытальным фармаце — JSON)
- Запярэчыць супраць апрацоўкі на падставе законнага інтарэсу
- Адклікаць згоду ў любы момант (не ўплывае на папярэднюю законнасць апрацоўкі)
- Падаць скаргу у нагляднае ўстанаўленне:
- РБ: Нацыянальны цэнтр абароны персанальных даных
- ЕС (па краіне пражывання): напрыклад, UODO (Польшча), VDAI (Літва), BfDI (Германія)
Як скарыстацца правамі: напішыце на hello@khut.by з тэмай «DSAR». Мы адкажам на працягу 15 каляндарных дзён (арт. 11–15 Закона № 99-З; для запытаў паводле GDPR — да 30 каляндарных дзён з магчымасцю падаўжэння на 60 дзён пры абгрунтаванай складанасці запыту).
8. Бяспека
- Даныя захоўваюцца ў зашыфраваным выглядзе (TLS падчас перадачы, шыфраванне дыска ў Supabase і на VPS hostfly.by)
- Доступ да базы ёсць толькі ў Аператара
- Мы не запісваем галасавыя дыялогі
- Для ўваходу карыстаемся OAuth-правайдэрам (Google) — мы не бачым і не захоўваем ваш пароль
У выпадку інцыдэнту (ўцечка, несанкцыянаваны доступ):
- Паведамленне ў НЦЗПД — на працягу 72 гадзін з моманту выяўлення (паводле Закона № 99-З)
- Паведамленне ў нагляднае ўстанаўленне ЕС — на працягу 72 гадзін (GDPR арт. 33)
- Паведамленне субʼектаў даных, калі інцыдэнт стварае рызыку іх правам і свабодам (GDPR арт. 34)
9. Cookies
Мы выкарыстоўваем:
- Тэхнічна неабходныя cookies (сесія Supabase Auth) — без згоды, інакш Сэрвіс не працуе
- Аналітычныя cookies (PostHog — калі будзе ўключана) — толькі пасля вашай згоды ў банеры
Поўная інфармацыя: Cookie Policy.
10. AI і аўтаматызаваная апрацоўка
Вы размаўляеце з AI-рэпетытарам — гэта аўтаматызаваная сістэма, якая выкарыстоўвае вялікія моўныя мадэлі (Google Gemini як асноўная, OpenAI GPT-4o-mini як рэзервовая).
Важна:
- Гэта не вырашэнне, якое мае прававыя наступствы для вас (арт. 22 GDPR не прымяняецца)
- Тэкст вашых паведамленняў перадаецца апрацоўшчыкам (гл. раздзел 4)
- Мадэлі не навучаюцца на вашых дыялогах — мы карыстаемся API-доступам, дзе навучанне адключана ў стандартных умовах пастаўшчыкоў
Мы пазначаем AI-адказы значком 🤖 (у адпаведнасці з арт. 50 EU AI Act — Рэгламент 2024/1689).
11. Змены ў Палітыцы
Мы можам абнаўляць гэтую Палітыку. Дата ў загалоўку — апошняя рэдакцыя.
Пры істотных зменах (новыя апрацоўшчыкі, новыя мэты) мы паведамім вам праз email і/або банер у інтэрфейсе не менш як за 14 дзён да ўступлення ў сілу.
12. Рэквізіты Аператара
ІП Кузьмін Сяргей Аляксандравіч
- УНП: 193816863
- Дата рэгістрацыі ІП: 02.12.2024 г.
- Рэгіструючы орган: Мінскі гарадскі выканаўчы камітэт
- Юрыдычны адрас: Рэспубліка Беларусь, г. Мінск, вул. Нікалы Тэслы, д. 21, кв. 78
- Email (агульны і па ўсіх юрыдычных пытаннях): hello@khut.by
- Сайт: https://khut.by
13. Спасылкі на нарматыўныя акты
- Закон РБ № 99-З ад 07.05.2021 «Аб абароне персанальных даных» — pravo.by (⚠️ актуальную рэдакцыю правярайце на афіцыйным партале)
- Прыказ НЦЗПД №14 ад 15.11.2021 «Аб дзяржавах з належным узроўнем абароны персанальных даных» — cpd.by / pravo.by (⚠️ актуальную рэдакцыю правярайце)
- Канвенцыя Савета Еўропы №108 ад 28.01.1981 «Аб абароне асоб у сувязі з аўтаматызаванай апрацоўкай ПД»
- GDPR (Рэгламент ЕС 2016/679) — eur-lex.europa.eu
- ePrivacy Directive 2002/58/EC — eur-lex.europa.eu
- EU AI Act (Рэгламент 2024/1689) — eur-lex.europa.eu