Privacy Policy

1. Хто ми (Controller)

Сервіс «Душніла» (далі — «Сервіс», «ми») надається фізичною особою-підприємцем Юрій Стецюк, який діє від імені HOW Production. Контакт для будь-яких питань щодо персональних даних: hello@how.agency (резервний: rentall.in.ua@gmail.com).

Сервіс розміщено на власному VPS у Європі (Франція) і призначений для працівників HOW Production та довірених партнерів для збірки документів валютного контролю українських банків.

2. Які дані ми збираємо

Дані з Google-акаунту (під час Sign in with Google):

• email-адреса (для ідентифікації акаунту та відправлення сповіщень про вашу сесію);
• ім'я та фото профілю (показуються в інтерфейсі);
• унікальний Google ID (sub), щоб пов'язати сесію з акаунтом.

Дані, які ви самі вкладаєте у Сервіс:

• інвойси, контракти, акти й інші файли, які ви завантажуєте для аналізу;
• реквізити контрагентів, які ви додаєте через адмінку;
• текст чату з агентом і ваші відповіді на питання preflight-перевірки.

Технічні дані: IP-адреса HTTP-запиту, user-agent браузера, час подій у журналах сервера (потрібні для безпеки та діагностики).

3. Google API Services — і чому ми просимо drive.file

Сервіс використовує обмежений Google Drive scope https://www.googleapis.com/auth/drive.file. Цей scope не дає Сервісу доступу до інших ваших файлів у Drive — тільки до тих документів, які створив сам Сервіс або які ви явно йому передали.

Конкретно ми використовуємо drive.file щоб:

• створити окрему теку «Душніла / [ваше ім'я]» у вашому Drive;
• згенерувати в цій теці Google Docs з документами пакету (заява про купівлю валюти, лист-обґрунтування платежу тощо);
• надати вам посилання на згенеровані документи, щоб ви могли їх редагувати, друкувати чи поширювати.

Сервіс не читає, не списує й не видаляє інших ваших файлів у Drive. Використання даних, отриманих через Google Workspace API, відповідає Google API Services User Data Policy, включно з вимогами Limited Use.

4. Як ми використовуємо ваші дані

• генерація документів валютного контролю для українських банків (основна функція Сервісу);
• збереження історії ваших сесій, щоб ви могли повернутись і завершити роботу;
• надсилання вам службових повідомлень про статус ваших пакетів (тільки на вашу email-адресу);
• забезпечення безпеки Сервісу (виявлення зловживань, аналіз помилок);
• передача завантажених інвойсів стороннім LLM-провайдерам (Anthropic Claude API) винятково для розбору тексту інвойсу й заповнення полів пакету. Дані передаються по HTTPS, не використовуються Anthropic для тренування моделей (відповідно до Anthropic Commercial Terms).

Ми не продаємо ваші дані. Ми не передаємо їх рекламним мережам. Ми не використовуємо їх для будь-якого профілювання чи AI-тренування поза функцією Сервісу.

5. Де зберігаються дані

Усі ваші дані зберігаються у базі SQLite на VPS у OVH (Франція, дата-центр Roubaix). Файли (інвойси, згенеровані пакети) зберігаються на файловій системі того ж сервера. Бекапи — на тому ж сервері (планується перенесення в S3-сумісне сховище у ЄС).

Дані зберігаються поки ваш акаунт активний. Ви можете запросити видалення в будь-який час (див. розділ «Ваші права»).

6. Cookies

Ми ставимо одну session-cookie (duhnila_session), яка містить ідентифікатор вашої сесії. Це необхідно щоб ви залишались залогіненим. Cookies HttpOnly, Secure, SameSite=Lax. Час життя — 30 днів або до явного виходу. Аналітичні чи рекламні cookies не використовуємо.

7. Ваші права (GDPR / Закон про захист персональних даних)

Ви маєте право:

• отримати копію всіх своїх даних;
• виправити неточні дані;
• видалити свій акаунт і всі пов'язані документи;
• обмежити обробку (тимчасово заморозити акаунт);
• відкликати дозвіл на доступ до Google Drive у будь-який час — через myaccount.google.com/permissions.

Для реалізації прав напишіть на hello@how.agency — обробляємо запити протягом 14 днів.

8. Безпека

Трафік шифрується HTTPS (Let's Encrypt). Доступ до VPS — лише по SSH-ключу. Адмінка захищена паролем. Секрети (API-ключі) лежать поза репозиторієм. У разі витоку даних ми повідомимо вас протягом 72 годин на email і опублікуємо інцидент.

9. Зміни цієї політики

Якщо ми внесемо суттєві зміни — повідомимо вам на email щонайменше за 14 днів до набуття чинності. Поточна версія завжди доступна на цій сторінці.

Data Controller

The Duhnila service is operated by Yurii Stetsiuk on behalf of HOW Production. Contact: hello@how.agency.

What we collect

From your Google account, when you sign in with Google: email address, display name, profile picture, and Google subject ID. We use these only to identify your account and personalize the UI. You also upload your own files (invoices, contracts) which we process to generate currency-control document packages required by Ukrainian banks.

Google user data and Limited Use

We request the https://www.googleapis.com/auth/drive.file scope only. We use it solely to create a dedicated folder in your Drive and to generate Google Docs inside that folder containing the documents you asked us to produce. We do not read, list, modify, or delete any other files in your Drive. Our use of information received from Google APIs adheres to the Google API Services User Data Policy, including the Limited Use requirements.

We do not transfer Google user data to third parties except as necessary to provide or improve the service (specifically: rendering the generated Docs back to you), and we never use the data for advertising, AI/ML training outside our own service, or selling.

Storage and retention

Data is stored on a single VPS in France (OVH). It is retained while your account is active and deleted within 30 days of account deletion request.

User rights and revocation

You may revoke our Drive access at any time via Google Account permissions. To request data export or deletion email hello@how.agency.