Політика конфіденційності програми
Статус: Березень 2026
Важливе повідомлення – Переклад
Цей текст є машинним перекладом, наданим для вашої зручності. Він не є юридично обов’язковим.
Юридично обов’язкові версії цієї Політики конфіденційності доступні за адресою:
Німецька – для користувачів, мова програми яких встановлена на німецьку: alma-app.eu/datenschutz
Англійська – для всіх інших користувачів: alma-app.eu/privacy
Якщо що-небудь у цьому перекладі відрізняється від німецької чи англійської версії, застосовується відповідна обов’язкова версія. Якщо ви не впевнені, яка версія до вас застосовується, застосовується англійська версія.
Ключові факти з першого погляду
Хто я: Бастіан Матцен / Alma Softwareentwicklung (Одноосібне підприємство), Kienitzer Str. 113, 12049 Берлін, Німеччина. Контакт: privacy@alma-app.eu | www.alma-app.eu
Ваші дані зі мною:
✅ Безпечно: Зашифрована зберігання виключно в межах ЄС (Франкфурт-на-Майні).
✅ Приватно: Немає передачі даних третім сторонам (крім як вашим контактам екстреної помощи у разі надзвичайної ситуації).
✅ Добровільно: Дані про здоров’я та багато інших деталей повністю необов’язкові.
✅ Контрольовано: Ви можете переглядати, змінювати або видаляти все в будь-який час.
✅ Прозоро: Без прихованого використання даних, без продажу ваших даних.
Ваші права: Доступ, виправлення, видалення, портативність даних, заперечення, відкликання згоди – все можливе в будь-який час.
Скарги можна подати до: Комісара з питань захисту даних і свободи інформації Берліна (datenschutz-berlin.de). Користувачі в ЕЕЗ можуть також звернутися до органу нагляду у своій країні звичайного місця проживання. Користувачі у Великобританії можуть звернутися до Управління Комісара з інформації (ico.org.uk). Користувачі у Швейцарії можуть звернутися до Федерального комісара з питань захисту даних та інформації (FDPIC).
1. Контролер та контакт
Я є контролером, відповідальним за обробку даних у контексті програми Alma, в значенні Загального регламенту про захист даних (GDPR), Загального регламенту про захист даних Великобританії (UK GDPR), Швейцарського федерального закону про захист даних (FADP/DSG) та інших застосовних законів про захист даних:
Бастіан Матцен Alma Softwareentwicklung (Одноосібне підприємство) Kienitzer Str. 113 12049 Берлін Німеччина
Варіанти контакту Для запитань про конфіденційність (переважно): privacy@alma-app.eu
Для технічної підтримки: support@alma-app.eu
Веб-сайт: www.alma-app.eu
1a. Представник у Великобританії
Відповідно до статті 27 UK GDPR ми призначили наступного представника у Великобритані для питань захисту даних:
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ London United Kingdom
Email: privacy@alma-app.eu
2. Огляд програми та її функцій
Alma – це програма особистої безпеки та комунікації з двома основними функціями:
2.1 Alma Safety Net (Тільки з підпискою Connect+)
Автоматичні перевірки безпеки в певні часові вікна.
Автоматичне повідомлення ваших контактів екстреної помощи у разі пропущеної перевірки.
Необов’язкова передача інформації про місцезнаходження та здоров’я у разі надзвичайної ситуації.
2.2 Alma Moments (Безплатно)
Соціальна мережа для обміну моментами з до 30 контактами.
Автоматичний пост у соціальній стрічці у разі пропущеної перевірки (якщо включено).
Взаємне підтвердження дружби потрібне.
2.3 Мінімальний вік
Використання програми Alma дозволено особам віком 16 років і старше. Особи молодше 16 років не можуть використовувати програму. Реєструючись, ви підтверджуєте, що вам виповнилося щонайменше 16 років.
3. Які дані обробляються?
3.1 Обов’язкові дані при реєстрації
Для використання програми мені потрібні наступні дані (Правова основа: Ст. 6(1)(b) GDPR – Виконання контракту):
Адреса електронної пошти – для створення облікового запису, спілкування та скидання пароля.
Пароль – зберігається в зашифрованому вигляді та використовується для безпеки облікового запису.
Ім’я – для персоналізації та відображення для ваших контактів.
Прізвище – для повної ідентифікації.
3.2 Необов’язкові дані профілю
Ви можете добровільно надати наступні дані (Правова основа: Ст. 6(1)(a) GDPR – Згода):
Фото профілю – для персоналізації та соціальних функцій.
Дата народження – для перевірки віку.
Номер телефону – як альтернативний спосіб зв’язку.
Адреса – для інформації про надзвичайні ситуації.
Біо – для соціальних функцій.
Місто – для соціальних функцій та пошуку.
3.3 Дані про здоров’я (Connect+ тільки, абсолютно необов’язково)
Ці спеціальні категорії даних відповідно до Ст. 9 GDPR обробляються тільки з вашою явною згодою.
Зібрані дані: Група крові, алергії, ліки, медичні умови, домашні тварини, інформація про ключи від будинку, інша інформація для надзвичайних ситуацій.
Правова основа: Ст. 9(2)(a) GDPR (Явна згода).
Безпека: Ці дані зберігаються за допомогою шифрування AES-256 і передаються лише вашим підтвердженим контактам екстреної помощи у разі надзвичайної ситуації.
3.4 Дані про місцезнаходження (Необов’язково)
Відстеження місцезнаходження повністю необов’язково і може працювати в трьох режимах (Правова основа: Ст. 6(1)(a) GDPR – Згода):
Зберегти при перевірці – Місцезнаходження фіксується вручну тільки при перевірці.
Завжди надсилати – Місцезнаходження оновлюється на фоні. Технічно зберігається лише останнє відоме місцезнаходження; попереднє перезаписується.
Вимкнено – Місцезнаходження не фіксується і не передається.
Примітка: Дані про місцезнаходження автоматично видаляються через 30 днів неактивності.
3.5 Дані перевірки
Під час перевірок фіксуються наступні дані:
Час перевірки – для контролю безпеки (Збереження: 90 днів для Connect+).
Інформація про пристрій – для аналізу помилок (Збереження: 90 днів).
Останнє відоме місцезнаходження – для сповіщень про надзвичайні ситуації (Збереження: макс. 30 днів, перезаписується).
3.6 Соціальні дані (Alma Moments)
При використанні соціальних функцій обробляються наступні дані: Посади (текст, зображення, відео), коментарі, вподобання, зв’язки та мудрі смайли.
Правова основа: Ст. 6(1)(b) GDPR (Виконання контракту для надання соціальних функцій) та Ст. 6(1)(a) GDPR (для добровільного вмісту).
3.7 Технічні дані
Наступні технічні дані обробляються для роботи програми:
Тип пристрою та ОС – для оптимізації програми та аналізу помилок (Правова основа: Ст. 6(1)(f) GDPR).
Версія програми – для підтримки та оновлень (Правова основа: Ст. 6(1)(f) GDPR).
Маркер FCM – для push-сповіщень (Правова основа: Ст. 6(1)(b) GDPR).
Часовий пояс – для правильного часу перевірок (Правова основа: Ст. 6(1)(b) GDPR).
Файли логів сервера – для безпеки інфраструктури та захисту від атак (Правова основа: Ст. 6(1)(f) GDPR).
3.8 Маркетингові повідомлення (Необов’язково)
Тільки якщо ви дали згоду при реєстрації або згодом у параметрах, позначивши поле, я буду обробляти вашу адресу електронної пошти та ім’я для надсилання порад, новин програми та оновлень (Новинна розсилка).
Правова основа: Ст. 6(1)(a) GDPR (Згода).
Відписатися: Ви можете відписатися в будь-який час через посилання для відписки в кожному листі або у параметрах сповіщень програми. Відкликання згоди не впливає на законність обробки на основі згоди перед її відкликанням.
4. Цілі обробки даних
Я обробляю ваші дані для наступних цілей:
Виконання контракту (Ст. 6(1)(b) GDPR): Надання програми, перевірки, сповіщення, управління підписками.
Згода (Ст. 6(1)(a) GDPR): Дані про здоров’я, обмін місцезнаходженням, необов’язкова інформація профілю, маркетинг.
Законні інтереси (Ст. 6(1)(f) GDPR): Запобігання шахрайству, технічна безпека, усунення неполадок.
Правові зобов’язання (Ст. 6(1)(c) GDPR): Обов’язки збереження, запити органів влади.
Примітка про автоматизовану процес прийняття рішень: Не здійснюється автоматизована процес прийняття рішень або профілювання в значенні Ст. 22 GDPR, яке призводить до юридичних наслідків щодо вас. Спрацьовування тривог грунтується виключно на часових вікнах та правилах (If-Then логіці), визначених вами особисто.
5. Одержувачі даних та обробники
5.1 Постачальники послуг
Я співпрацюю з наступними постачальниками послуг для роботи програми:
Google Firebase (Google Ireland Ltd.) – для хостингу, бази даних та автентифікації. Місцезнаходження: Франкфурт-на-Майні (europe-west3). Гарантія захисту даних: EU-US Data Privacy Framework (DPF), Google Cloud DPA.
RevenueCat – для управління підписками (обробляють дані: статус підписки, час покупки, псевдонімний App User ID, метадані транзакцій). Місцезнаходження: США (AWS). Гарантія захисту даних: EU Standard Contractual Clauses (SCCs), DPA. Для передач з Великобританії: UK International Data Transfer Agreement (IDTA) або UK Addendum до EU SCCs. Для передач зі Швейцарії: дотримання вимог FADP/DSG.
Mailgun (Sinch) – для доставки електронної пошти. Місцезнаходження: ЄС. Гарантія захисту даних: DPA, GDPR compliant.
Algolia – для пошуку користувачів. Місцезнаходження: ЄС. Гарантія захисту даних: DPA, GDPR compliant.
5.2 Умовна передача даних (Канали сповіщень)
Передача цим послугам відбувається тільки якщо ваш контакт екстреної помощи явно вибере ці канали:
Meta (WhatsApp Cloud API) – тільки якщо WhatsApp обраний контактом. Meta сертифікована під EU-US Data Privacy Framework. Для передач з Великобританії додатково застосовується UK Extension до EU-US DPF.
Telegram – Використання Telegram відбувається тільки якщо ваш контакт екстреної помощи активно виберіть цей канал самостійно. У цьому випадку ваш контакт безпосередньо дає згоду на обробку даних Telegram (потенційно на серверах поза межами ЄС).
5.3 Немає передачі даних третім сторонам
Ваші дані не продаються.
Без передачі для цілей реклами третіх сторін.
Без передачі посередникам даних.
Виключення: Ваші контакти екстреної помощи отримують інформацію, яку ви розкрили у разі надзвичайної ситуації.
6. Зберігання та видалення даних
6.1 Місцезнаходження зберігання
Всі дані в першу чергу зберігаються в Європейському союзі (Франкфурт-на-Майні, регіон Google Cloud europe-west3).
6.2 Тривалість зберігання та автоматичне видалення
Історія перевірок: Автоматично видаляється через 90 днів.
Дані про місцезнаходження: Автоматично видаляються через 30 днів неактивності (або постійно перезаписуються).
Файли логів сервера: Автоматично видаляються через 90 днів (для аналізу помилок/захисту від атак).
Посилання для запрошення: Автоматично видаляються через 7 днів.
Дані про здоров’я: Видалення через 12 місяців неактивності.
Дані облікового запису: Видалення через 24 місяці неактивності.
Нагадування перед видаленням неактивності:
Через 12 місяців без входу: Автоматичне видалення даних про здоров’я; надішлюється нагадування електронною поштою.
Через 13 місяців без відповіді: Подальше нагадування.
Через 23 місяці неактивності: Остаточне попереджувальне повідомлення.
Через 24 місяці без відповіді: Повне видалення облікового запису.
Виключення для активних підписок: Поки активна платна підписка Connect+, не відбувається автоматичне видалення неактивності.
Платіжні дані: Платіжні дані (ім’я, адреса, інформація про операції) зберігаються 10 років відповідно до податкових обов’язків збереження (§ 147 AO). Ці дані зберігаються окремо від даних про використання.
Видалені облікові записи постійно та невідворотно видаляються після періоду милості 30 днів.
Важливо: Після запиту на видалення облікового запису використання припиняється негайно. З цього моменту не будуть спрацьовуватись нагадування перевірки, тривоги або інші сповіщення – ні вам, ні вашим контактам екстреної помощи. Крім того, ваш профіль в Alma Moments більше не буде видимим. Остаточне фізичне видалення всіх даних відбувається після періоду милості 30 днів.
7. Безпека даних
Я використовую сучасні стандарти безпеки:
Шифрування: TLS 1.2+ для передачі даних (Transit) та зберігання на серверах з шифруванням AES-256 (At Rest) для чутливих даних.
Контроль доступу: Firebase Security Rules, суворі перевірки автентичності.
Безпека програми: Firebase App Check, необов’язковий біометричний захист (Connect+), окремий замок параметрів.
8. Ваші права
Ви маєте наступні права в будь-який час (відповідно до Ст. 15-21 GDPR):
Доступ та експорт даних: У програмі в Параметрах → Приватність.
Виправлення: Ви можете самостійно редагувати всі дані профілю та здоров’я у програмі.
Видалення: Ви можете видалити окремі дані або весь облік безпосередньо у програмі.
Обмеження обробки (Ст. 18 GDPR): Ви можете запитати обмеження обробки, наприклад якщо ви оспорюєте точність ваших даних або якщо обробка є незаконною.
Відкликання згоди: Ви можете відкликати згоду (наприклад місцезнаходження, дані про здоров’я, маркетинг) в будь-який час у параметрах. Відкликання не впливає на законність обробки, проведеної до відкликання.
Право на заперечення (Ст. 21 GDPR): Якщо обробка даних грунтується на законних інтересах (Ст. 6(1)(f) GDPR), ви маєте право заперечити в будь-який час з причин, що виникають з вашої конкретної ситуації.
Право на подання скарги: Ви можете звернутися до компетентного органу нагляду за захистом даних. Для користувачів у Німеччині це Комісар з питань захисту даних і свободи інформації Берліна (datenschutz-berlin.de). Користувачі в Європейській економічній зоні (ЕЕЗ) можуть звернутися до органу нагляду у своїй країні звичайного місця проживання, місця роботи або місця передбачуваного порушення. Список органів нагляду доступний за адресою edpb.europa.eu. Користувачі у Великобританії можуть звернутися до Управління Комісара з інформації (ICO): ico.org.uk. Користувачі у Швейцарії можуть звернутися до Федерального комісара з питань захисту даних та інформації (FDPIC): edoeb.admin.ch.
9. Спеціальні ситуації обробки
9.1 Сповіщення про надзвичайну ситуацію (Connect+ тільки)
У разі пропущеної перевірки ваші контакти екстреної помощи буде сповіщено. Передаватимуться тільки дані, які ви зберегли у своєму профілі та авторизували для розкриття (наприклад, місцезнаходження, інформація про здоров’я). Правова основа:
Ст. 6(1)(b) GDPR (Виконання контракту)
Ст. 9(2)(a) GDPR (Явна згода на дані про здоров’я)
Додатково Ст. 9(2)(c) GDPR (Захист життєво важливих інтересів), щоб забезпечити фізичну цілісність у надзвичайній ситуації.
9.2 Запрошення контактів екстреної помощи
Щоб захистити приватність третіх сторін, ви не вводите контактні дані інших осіб безпосередньо у програму.
Створення посилання: Ви генеруєте особисте посилання для запрошення у програмі.
Надсилання: Ви надсилаєте це посилання вашій довіреній особі через канал вибору (наприклад, WhatsApp, Email).
Реєстрація: Ваша довірена особа відкриває посилання та незалежно вводить свої контактні дані та бажаний канал сповіщення. Поки посилання не використовується, жодні дані ваших контактів не зберігаються. Невикористані посилання закінчуються через 7 днів.
9.3 Ви як контакт екстреної помощи
Якщо ви приймаєте запрошення, ви даєте згоду на те, щоб ваші надані контактні дані (Ім’я, Email/Phone/Handle) зберігалися для цілей сповіщення про надзвичайні ситуації. Ви можете відписатися в будь-який час через посилання для вибування в повідомленнях.
9.4 Дистанційне налаштування (Connect+)
Ви можете тимчасово надати довіреній особі доступ (через згенерований код) для налаштування програми для вас та управління параметрами. Після успішного підключення цей доступ залишається до тих пір, поки ви його не відкличете у програмі. Для вашої безпеки всі зміни, внесені довіреною особою, реєструються (Audit Log).
Правова основа: Ст. 6(1)(b) GDPR (Виконання контракту, функція, ініційована користувачем).
10. Аутентифікація третіх сторін
Google Sign-In: Передані дані включають електронну пошту, ім’я, фото профілю. (Приватність: policies.google.com/privacy)
Apple Sign-In: Передані дані включають електронну пошту (або адресу реле) та ім’я. (Приватність: apple.com/legal/privacy)
11. Push-сповіщення
Я використовую push-сповіщення для нагадування перевірок, тривог та соціальних взаємодій.
Правова основа: Ст. 6(1)(b) GDPR (для договірних функцій, таких як сповіщення) та Ст. 6(1)(f) GDPR (для соціальних оповіщень).
Контроль: Ви можете керувати більшістю типів сповіщень у параметрах програми. Критичні сповіщення про безпеку є частиною основної служби.
12. Аналіз та усунення неполадок
12.1 Firebase Analytics
Я використовую Firebase Analytics у конфігурації, мінімізованої за обсягом даних, щоб забезпечити стабільність програми та виправляти помилки.
Заходи щодо конфіденційності: Не збираються ідентифікатори реклами (IDFA/AAID). Анонімізація IP увімкнена.
Мета: Анонімізовані статистики падінь та використання для технічної оптимізації.
Правова основа: Ст. 6(1)(f) GDPR (Законний інтерес у безпомилковій роботі та безпеці програми).
12.2 Firebase Crashlytics
У разі збою програми технічні деталі (stack trace, інформація про пристрій) надсилаються для виправлення помилки. Жодні безпосередньо ідентифікуючі дані не зберігаються у звіті про збій.
12.3 ePrivacy та електронні комунікації
Доступ до певних функцій пристрою та зберігання технічної інформації на пристрої (наприклад, FCM токени) може підлягати національним законам, що впроваджують Директиву ePrivacy (2002/58/EC). У Великобританії застосовуються Положення про приватність та електронні комунікації 2003 (PECR). У Швейцарії застосовуються положення Закону про телекомунікації (TCA/FMG). Де необхідна згода відповідно до застосовного закону, вона отримується перед відповідним доступом.
13. Зміни в цій Політиці конфіденційності
Я залишаю за собою право змінювати цю Політику конфіденційності. У разі значних змін ви будете інформовані через програму або електронною поштою. Поточна версія завжди доступна в програмі та на веб-сайті.
14. Міжнародна передача даних
Основне зберігання даних відбувається в Європейському союзі (Франкфурт-на-Майні). Там, де дані передаються постачальникам послуг за межами ЕЕЗ (див. Розділ 5), я покладаюся на наступні гарантії:
EU-US Data Privacy Framework (DPF): Для передач до США базованих компаній, сертифікованих під DPF (наприклад, Google, Meta).
EU Standard Contractual Clauses (SCCs): Для передач до компаній, не сертифікованих під DPF (наприклад, RevenueCat).
Для передач з Великобританії: Я використовую UK International Data Transfer Agreement (IDTA) або UK Addendum до EU SCCs, а також UK Extension до EU-US DPF, де застосовується.
Для передач, що стосуються Швейцарії: Я дотримуюся вимог Швейцарського федерального закону про захист даних (FADP/DSG), включаючи визнання рішень про адекватність Федеральною радою та використання типових договірних положень, де потрібно.
Для додаткової інформації про окремих постачальників послуг див. Розділ 5.
15. Користувачі за межами ЄС/ЕЕЗ, Великобританії та Швейцарії
Для користувачів у країнах, не охоплених GDPR, UK GDPR або швейцарським FADP, Постачальник застосовує такі ж технічні та організаційні заходи, як для користувачів у межах обсягу GDPR. Обов’язкові положення про захист даних у країні звичайного місця проживання користувача залишаються без змін.
16. Контакт
Бастіан Матцен Alma Softwareentwicklung Kienitzer Str. 113 12049 Берлін
Email: privacy@alma-app.eu
Веб-сайт: www.alma-app.eu