Кушетка← На головну

Політика конфіденційності

Чинна редакція від 13 червня 2026 року.

Кушетка — це CRM-платформа для психологів і психотерапевтів. Ми ставимося до приватності серйозно: чутлива інформація шифрується, а персональні дані не залишають територію Європейського Союзу. Ця політика пояснює, які дані ми обробляємо, навіщо та як ви можете ними керувати.

1. Які дані ми збираємо

  • Дані облікового запису — email, ім'я, роль, належність до організації, налаштування двофакторної автентифікації.
  • Робочі дані — інформація про клієнтів, сесії, нотатки, тести та матеріали, яку спеціаліст вносить у систему. Чутливі поля (нотатки, дані клієнтів) зберігаються в зашифрованому вигляді.
  • Технічні дані — журнали подій безпеки (аудит-лог), IP-адреса та user-agent для захисту від зловживань, дані про помилки.
  • Дані Google — лише якщо ви добровільно підключаєте інтеграцію з Google Calendar (див. розділ 2).

2. Дані Google та інтеграція з Google Calendar

Інтеграція з Google Calendar є опціональною і вмикається спеціалістом вручну в налаштуваннях. Її мета — переносити сесії з Кушетки у ваш Google-календар, щоб уникнути накладок у розкладі. Ми запитуємо мінімально необхідний набір дозволів:

  • Електронна пошта акаунта — щоб показати, який Google-акаунт підключено, і не допустити дублювання підключень.
  • Список календарів (лише читання) — ми читаємо лише назви та кольори ваших календарів, щоб ви могли обрати, у який із них записувати події. Вміст самих подій ми при цьому не читаємо.
  • Події у власних календарях — створення, оновлення та видалення подій у календарях, якими ви володієте, виключно для відображення сесій Кушетки.

Технічні назви дозволів: openid, userinfo.email, calendar.calendarlist.readonly, calendar.events.owned.

Як ми використовуємо ці дані

  • Створюємо подію в календарі, коли ви створюєте сесію в Кушетці.
  • Оновлюємо подію, коли змінюється час сесії.
  • Видаляємо подію, коли сесію скасовано.
  • Показуємо наявні події з обраних вами календарів у дашборді, щоб ви бачили зайнятість і не створювали накладок.

Чого ми НЕ робимо

  • Не зберігаємо вміст ваших Google-подій у нашій базі даних.
  • Не передаємо дані Google третім особам.
  • Не використовуємо дані Google для реклами чи навчання моделей штучного інтелекту.
  • Не передаємо у Google жодної медичної інформації, діагнозів чи нотаток.

Відповідність політиці Google (Limited Use)

Використання та передача Кушеткою інформації, отриманої через Google API, відповідає Google API Services User Data Policy, включно з вимогами Limited Use.

Kushetka's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

Два режими назв подій

  • Нейтральний (за замовчуванням) — у Google потрапляє лише текст «Сесія · Кушетка» та час. Жодних персональних даних клієнта.
  • Повне ім'я (за вибором) — спеціаліст може увімкнути додавання імені клієнта в назву події. Це вимикач, вимкнений за замовчуванням, доступний лише після явного підтвердження згоди, що дані залишать територію ЄС і що спеціаліст має поінформовану згоду клієнта на таку передачу.

Зберігання токенів і відкликання доступу

Токени, що дають доступ до вашого календаря, зберігаються в зашифрованому вигляді та ніколи не передаються у браузер. Ви можете будь-коли відкликати доступ:

3. Як ми використовуємо дані

Дані використовуються виключно для надання сервісу: ведення клієнтів, сесій, нотаток і тестів, синхронізації календаря (за вашим вибором), забезпечення безпеки облікового запису та відправлення транзакційних листів (підтвердження, скидання пароля). Ми не продаємо персональні дані та не використовуємо їх для реклами.

4. Шифрування та безпека

  • Чутливі дані (нотатки, інформація про клієнтів, токени інтеграцій) шифруються згідно з галузевими стандартами.
  • Доступ до даних ізольований: кожна організація бачить лише свої дані.
  • Зміни чутливих даних фіксуються в журналі аудиту.
  • Підтримується двофакторна автентифікація; сесії завершуються за неактивності.

5. Передача даних і субпідрядники

Ми не продаємо ваші дані. Для роботи сервісу ми використовуємо надійних постачальників, які діють як обробники даних за нашими інструкціями:

  • Supabase — база даних, автентифікація, сховище файлів (регіон ЄС).
  • Vercel — хостинг застосунку.
  • Resend — доставка транзакційних листів.
  • Sentry — моніторинг помилок (з фільтрацією чутливих полів).
  • Google — лише за умови підключення інтеграції з Google Calendar (див. розділ 2).

6. Розташування даних (PDPL + GDPR)

Персональні дані зберігаються та обробляються в межах Європейського Союзу (Франкфурт, Німеччина). За замовчуванням персональні дані не залишають територію ЄС. Єдиний виняток — добровільне увімкнення режиму «повне ім'я» в інтеграції з Google Calendar (розділ 2), яке вимагає окремої підтвердженої згоди.

7. Ваші права

Відповідно до GDPR і Закону України «Про захист персональних даних» ви маєте право на доступ до своїх даних, їх виправлення, видалення, обмеження обробки та заперечення проти передачі за межі ЄС. Видалення реалізується знеособленням персональних полів зі збереженням мінімального аудит-сліду, необхідного за законом.

8. Зберігання та видалення

Ми зберігаємо дані стільки, скільки активний ваш обліковий запис або цього вимагає закон. Видалені записи знеособлюються (PII обнуляється), а не стираються повністю, щоб зберегти цілісність аудит-журналу.

9. Контакт

З питань конфіденційності та реалізації ваших прав пишіть на privacy@kushetka.work.