Політика конфіденційності
Pleso Therapy — pleso.me
Дата набрання чинності: 01/07/2026 — Останнє оновлення: 16/06/2026
Шановний Користувачу
Ця Політика конфіденційності пояснює, як Pleso Therapy збирає, використовує та захищає ваші персональні дані, коли ви користуєтеся нашою платформою за адресою www.pleso.me («Платформа»). Ми прагнемо, щоб цей документ був зрозумілим і легким для читання. Якщо щось видається незрозумілим, будь ласка, зверніться до нашої Уповноваженої особи із захисту даних (контактні дані наведено нижче).
Ця Політика застосовується до користувачів на всіх ринках, де працює Pleso Therapy.
У цій Політиці «Спеціалісти» означає кваліфікованих терапевтів, які проводять сеанси через Платформу (той самий термін використовується в наших Умовах та положеннях).
Ця Політика не називає окремі сторонні інструменти чи постачальників послуг. Натомість вона описує отримувачів ваших даних за конкретними категоріями (вид діяльності, підсектор і місцезнаходження), як це дозволено ст. 13(1)(e) GDPR. Актуальний іменний реєстр конкретних інструментів і постачальників, якими ми користуємося, — включно з файлами cookie, їхніми назвами, строками дії та інструкціями щодо відмови — опубліковано в нашій окремій Політиці щодо файлів cookie та інструментів третіх сторін (Cookie & Third-Party Tools Policy) за адресою pleso.me/en/legal/cookie-policy. Ви також можете в будь-який час запросити назви конкретних обробників, написавши на iod@pleso.me.
Положення, специфічні для кожної юрисдикції, викладені в Додатках A–C наприкінці цього документа. Додаток, який застосовується до вас, визначається вашим місцезнаходженням, а не мовою, якою ви читаєте цю Політику. У разі суперечності між основною частиною та Додатком для користувачів відповідної юрисдикції перевагу має Додаток.
I. Контролер даних та Уповноважена особа із захисту даних
Контролер даних: Pleso Therapy sp. z o.o., ul. 12 Lutego 25/7, 82-300 Elbląg, Польща | KRS: 0000980227 | REGON: 522652856 | NIP: 5783155594 (далі — «Pleso», «ми», «нас»)
Уповноважена особа із захисту даних (DPO): Marta Gajewko | Email: iod@pleso.me
Представник у Великій Британії згідно зі ст. 27 UK GDPR: Legal Nodes Ltd, Office 2, Bennet’s House, 21 Leyton Road, Harpenden, England, AL5 2HU | Email: pleso.rep@legalnodes.com
Загальні запитання: hello@pleso.me
II. Нормативно-правова база
Ми обробляємо персональні дані відповідно до:
Загального регламенту про захист даних ЄС (GDPR) — Регламент (ЄС) 2016/679 — застосовується до всіх користувачів, а до користувачів у Польщі — безпосередньо.
Польського Закону про захист персональних даних — Закон від 10 травня 2018 р. (Dz.U. 2018 poz. 1000, зі змінами).
Загального регламенту про захист даних Великої Британії (UK GDPR) — збереженого у праві Великої Британії на підставі European Union (Withdrawal) Act 2018 (Закон про вихід із Європейського Союзу 2018 року).
Data Protection Act 2018 (Закон Великої Британії про захист даних 2018 року).
UK Privacy and Electronic Communications Regulations (PECR) (Положення Великої Британії про конфіденційність та електронні комунікації).
Закону України «Про захист персональних даних» № 2297-VI (зі змінами 2023 року). Pleso застосовує стандарти, еквівалентні GDPR, як базовий рівень захисту для користувачів з України.
Закону України про систему охорони психічного здоров’я.
Там, де ця Політика посилається на «GDPR», мається на увазі GDPR ЄС. Положення, специфічні для Великої Британії та України, окремо зазначені у відповідних Додатках.
III. Які дані ми збираємо та навіщо
3.1 Відвідувачі Платформи
Дані: IP-адреса, інформація про браузер і пристрій, файли cookie та дані про користування.
Мета: забезпечення належного технічного функціонування Платформи; розуміння того, як використовується Платформа, щоб ми могли її вдосконалювати.
Правова підстава: ст. 6(1)(f) GDPR — законні інтереси.
3.2 Реєстрація на Платформі та терапевтичні сеанси (Клієнти)
Дані: ім’я, прізвище, адреса проживання, електронна пошта, номер телефону, дані про бронювання сеансів, платіжна інформація.
Мета: надання Послуг (організація та проведення терапевтичних сеансів через Платформу від власного імені Pleso); обробка платежів; виставлення рахунків; управління вашим обліковим записом.
Правова підстава:
ст. 6(1)(b) GDPR — виконання договору.
ст. 6(1)© GDPR — виконання юридичних обов’язків (податки, бухгалтерський облік).
ст. 6(1)(f) GDPR — законні інтереси (управління претензіями, безпека платформи).
Планування сеансів здійснюється через власний вбудований інструмент планування Pleso, створений та керований Pleso; жодний сторонній постачальник послуг планування не залучається.
3.3 Підписки, Пакети та платежі
Якщо ви придбаваєте одноразовий сеанс, Пакет (передплачене придбання визначеної кількості сеансів, яке може бути одноразовим або з автоматичним поновленням) або Підписку (Пакет, який автоматично поновлюється наприкінці кожного розрахункового періоду), ми обробляємо додаткові дані для управління розрахунками. Кожна покупка зараховується на ваш обліковий запис у вигляді Токенів — внутрішніх негрошових облікових одиниць балансу, які обмінюються на сеанси; за Підпискою включені до неї Токени зараховуються при кожному поновленні та є дійсними протягом поточного розрахункового періоду. Ваш баланс Токенів та історія транзакцій обробляються як дані облікового запису на підставі ст. 6(1)(b) GDPR.
Дані: ідентифікатори облікового запису та плану (придбаний вами план або Пакет, його статус і розрахунковий період), дати поновлення, історія транзакцій, реквізити для виставлення рахунків і баланс облікового запису (включно з Токенами та будь-якими залишками за раніше виданими Подарунковими ваучерами).
Pleso ніколи не зберігає дані платіжних карток. Дані вашої картки збираються та зберігаються постачальниками платіжних послуг, сертифікованими за стандартом PCI DSS, які діють як наші обробники або як незалежні контролери щодо окремих частин обробки платежів. Ці постачальники названі в реєстрі в Політиці щодо файлів cookie та інструментів третіх сторін за адресою pleso.me/en/legal/cookie-policy.
Мета: стягнення одноразових і регулярних платежів за Підписку; надсилання електронних листів-нагадувань про поновлення щонайменше за 7 календарних днів до кожного списання за Підпискою; надсилання повідомлень про зміну цін; обробка повернень коштів і зарахувань Токенів; виставлення рахунків і бухгалтерський облік.
Правова підстава:
ст. 6(1)(b) GDPR — виконання договору (розрахунки, поновлення, нагадування, повернення коштів).
ст. 6(1)© GDPR — виконання юридичних обов’язків (податки, бухгалтерський облік).
ст. 6(1)(f) GDPR — законні інтереси (запобігання шахрайству, пред’явлення претензій та захист від них).
Подарункові ваучери більше не пропонуються до продажу. Раніше видані Подарункові ваучери залишаються дійсними до первісної дати закінчення їхнього строку дії; ми продовжуємо обробляти пов’язані з ними дані про баланс і використання до цієї дати, а після неї — протягом застосовних строків зберігання, передбачених розділом VII.
3.4 Дані Спеціалістів
Pleso обробляє персональні дані Спеціалістів, які реєструються на Платформі як незалежні субпідрядники. Ці дані обробляються окремо від даних клієнтів.
Дані, що збираються: повне ім’я, стать, дата народження, контактні дані (включно з номером мобільного телефону), професійна кваліфікація та досвід, мови, якими володіє Спеціаліст, зображення профілю та біографія, банківські реквізити для обробки платежів, податковий ідентифікаційний номер (TIN), країна податкового резидентства, зареєстрована адреса ведення господарської діяльності та реєстраційні дані суб’єкта господарювання.
Мета: онбординг і верифікація Спеціалістів; надання клієнтам можливості обрати Спеціаліста; обробка виплат Спеціалістам; дотримання професійних стандартів; виконання податкових звітних обов’язків оператора платформи, включно з Директивою Ради (ЄС) 2021/514 (DAC7) у редакції, імплементованій у Польщі, — звітування ідентифікаційних даних Спеціалістів і даних про їхню винагороду компетентному податковому органу — та інших податкових і бухгалтерських обов’язків.
Правова підстава:
ст. 6(1)(b) GDPR — виконання субпідрядного договору між Pleso та Спеціалістом.
ст. 6(1)© GDPR — виконання юридичних обов’язків, включно з податковим звітуванням оператора платформи згідно з Директивою Ради (ЄС) 2021/514 (DAC7) у редакції, імплементованій у Польщі, та іншими податковими і бухгалтерськими обов’язками.
ст. 6(1)(f) GDPR — законні інтереси (перевірка професійної кваліфікації, доброчесність платформи).
Уточнення ролей: Pleso є контролером даних щодо даних профілю та платіжних даних Спеціалістів, а також щодо роботи Платформи, верифікації Спеціалістів, бронювань, розрахунків, підтримки користувачів і розгляду скарг. Під час терапевтичного сеансу Спеціаліст діє як незалежний контролер даних щодо клінічного змісту сеансу (клінічні нотатки, клінічна оцінка, терапевтичні рішення) з дотриманням своїх обов’язків щодо професійної таємниці. Pleso не має доступу до змісту сеансів. Тією мірою, якою Pleso та Спеціаліст спільно визначають цілі та засоби обробки, вони діють як спільні контролери в розумінні ст. 26 GDPR; суть домовленості про спільне контролювання доступна користувачам за запитом на iod@pleso.me.
3.5 Дані про здоров’я під час терапії
Коли ви користуєтеся терапевтичними послугами Pleso, у процесі надання допомоги обробляються дані про здоров’я та психічне здоров’я.
Правова підстава: ст. 9(2)(h) GDPR — обробка, необхідна для надання медичної або соціальної допомоги, у поєднанні зі ст. 6(1)(b) щодо базового договору.
Гарантія: ці дані обробляються кваліфікованими фахівцями у сфері охорони здоров’я (Спеціалістами) під обов’язком збереження професійної таємниці та підлягають посиленим заходам безпеки. Pleso не має доступу до змісту терапевтичних сеансів.
Будь-яке несанкціоноване розкриття змісту сеансу Спеціалістом становить порушення професійної таємниці та угоди Спеціаліста з Pleso. Pleso розслідує кожне повідомлене порушення та може призупинити роботу Спеціаліста на Платформі або назавжди видалити його з Платформи; крім того, Спеціаліст може нести професійну дисциплінарну, цивільну та кримінальну відповідальність згідно із застосовним законодавством. Якщо таке порушення становить порушення захисту персональних даних, Pleso застосовує процедуру повідомлення, описану в розділі X. Про підозрювані порушення можна повідомляти на iod@pleso.me.
3.6 Контактні звернення
Дані: ім’я, електронна пошта, номер телефону та будь-яка інформація, яку ви добровільно надаєте.
Мета: відповідь на ваше звернення.
Правова підстава: ст. 6(1)(f) GDPR — законні інтереси.
3.7 Соціальні мережі
Pleso підтримує офіційні профілі на сторонніх платформах соціальних мереж, відеохостингу, обміну миттєвими повідомленнями та відгуків клієнтів. Актуальний перелік платформ, на яких Pleso має офіційну присутність, опубліковано в Політиці щодо файлів cookie та інструментів третіх сторін за адресою pleso.me/en/legal/cookie-policy.
Дані: ім’я або ім’я користувача, загальнодоступна інформація профілю, контент, яким ви добровільно ділитеся.
Мета: поширення інформації про наші послуги; відповіді на коментарі та повідомлення; розбудова бренду Pleso.
Правова підстава: ст. 6(1)(f) GDPR — законні інтереси.
3.8 Розсилка новин і маркетинг
Дані: ім’я, адреса електронної пошти.
Мета: надсилання інформації про послуги, пропозиції та оновлення Pleso.
Правова підстава: ст. 6(1)(a) GDPR — ваша згода. Підписка на розсилку здійснюється за принципом opt-in і є цілком добровільною. Для користування Платформою підписуватися не обов’язково.
Відкликання: натисніть «Відписатися» (Unsubscribe) у будь-якому листі або зверніться на hello@pleso.me. Відкликання не впливає на законність попередньої обробки.
3.9 Претензії та правові цілі
Мета: пред’явлення правових претензій, їх розслідування або захист від них.
Правова підстава: ст. 6(1)(f) GDPR — законні інтереси.
3.10 Форма для ділових звернень
Дані, що збираються: ім’я, адреса електронної пошти, номер телефону, назва компанії та будь-яка інформація, яку ви добровільно надаєте.
Мета: відповіді на ділові звернення та оцінка потенційних партнерств.
Правова підстава: ст. 6(1)(b) GDPR — заходи, що вживаються на ваш запит до укладення договору; ст. 6(1)(f) GDPR — законні інтереси.
IV. Дані особливих категорій (дані про здоров’я) — стислий огляд
Дані про психічне здоров’я отримують найвищий рівень захисту згідно зі ст. 9 GDPR:
| Операція обробки | Дані | Правова підстава | Примітки |
|---|---|---|---|
| Терапевтичні сеанси | Зміст сеансів, історія психічного здоров’я | Ст. 9(2)(h) — надання медичної допомоги | Під професійною таємницею; Pleso не має доступу до змісту сеансів |
| Оцінювання якості | Відгуки користувачів зі згадками про здоров’я | Ст. 9(2)(h) + ст. 6(1)(f) | Анонімізуються, де це можливо |
| Реагування на кризу | Дані, необхідні для захисту життя чи здоров’я | Ст. 9(2)(c) — життєво важливі інтереси | Використовуються лише в кризових ситуаціях — див. розділ 4.1 |
Оцінка впливу на захист даних: Pleso провело оцінку впливу на захист даних (DPIA) відповідно до ст. 35 GDPR щодо обробки даних особливих категорій про психічне здоров’я. За інформацією звертайтеся на iod@pleso.me.
Pleso не передає дані про психічне здоров’я рекламним платформам і не використовує їх для формування маркетингових сегментів аудиторії. Інструменти аналітики та відстеження виключені з усіх сторінок, де надаються терапевтичні послуги, — див. розділ V.
4.1 Кризові ситуації та інформація для екстрених випадків
Pleso не є службою екстреної або кризової допомоги. Наша анкета для підбору Спеціаліста не містить запитань про думки щодо позбавлення себе життя чи інші ознаки кризового стану, і ми не збираємо таку інформацію до початку терапії. Натомість Платформа відображає інформаційний екран із контактними даними екстрених служб і кризових ліній допомоги, щоб будь-яка особа, яка перебуває в гострому кризовому стані, могла негайно звернутися по належну допомогу. Відображення цієї інформації не передбачає жодної обробки ваших персональних даних. Якщо ви перебуваєте в безпосередній небезпеці, будь ласка, зверніться до місцевих екстрених служб.
Розкриття в разі ризику для життя. За наявності обґрунтованих підстав вважати, що користувач перебуває під безпосереднім ризиком заподіяння серйозної шкоди собі чи іншим — наприклад, якщо це стає очевидним під час сеансу, — Pleso або Спеціаліст можуть бути зобов’язані або уповноважені розкрити відповідну інформацію екстреним службам чи компетентним органам без попереднього повідомлення та без вашої згоди відповідно до застосовного законодавства. Зокрема: у Польщі розкриття дозволяється згідно зі ст. 9(2)© GDPR, якщо це необхідно для захисту життєво важливих інтересів суб’єкта даних; у Великій Британії розкриття може здійснюватися згідно з UK GDPR і застосовним законодавством про захист уразливих осіб (safeguarding); в Україні розкриття може здійснюватися відповідно до статті 40 Закону України про систему охорони психічного здоров’я, яка дозволяє розкриття для запобігання серйозній шкоді здоров’ю чи життю особи або третіх осіб.
V. Кому ми передаємо ваші дані
Ми передаємо ваші дані лише тоді, коли це необхідно, та з належними гарантіями. Усі сторонні обробники діють на підставі договорів про обробку даних із Pleso. Окремі отримувачі — зокрема постачальники платіжних послуг і платформи відгуків клієнтів — діють як незалежні контролери щодо частини здійснюваної ними обробки; це зазначено в іменному реєстрі, згаданому нижче.
5.1 Категорії обробників даних
Ми описуємо отримувачів за конкретними категоріями; актуальний іменний реєстр опубліковано в нашій Політиці щодо файлів cookie та інструментів третіх сторін, а назви конкретних постачальників ви можете в будь-який час запросити на iod@pleso.me.
| Категорія | Що вони роблять | Розташування |
|---|---|---|
| Постачальники хмарної інфраструктури та хостингу (IaaS/PaaS) | Зберігають та обслуговують дані Платформи на захищених серверах | ЄС і США |
| Постачальники технологій відеоконференцзв’язку | Забезпечують проведення терапевтичних відеосеансів | ЄС |
| Постачальники платіжних послуг (сертифіковані за PCI DSS) | Безпечно обробляють одноразові та регулярні платежі; зберігають дані платіжних карток | ЄС і США |
| Постачальники автоматизації електронної пошти та повідомлень | Надсилають транзакційні листи, розсилки та сповіщення | ЄС і США |
| Постачальники веб- та продуктової аналітики | Допомагають нам зрозуміти, як використовується Платформа, — виключені зі сторінок терапії | ЄС і США |
| Постачальники UX- та поведінкової аналітики (теплові карти, запис сесій користування) | Аналізують користувацький досвід для покращення дизайну Платформи — виключені зі сторінок терапії | ЄС |
| Рекламні мережі та постачальники вимірювання ефективності кампаній (маркетингові пікселі) | Вимірюють ефективність маркетингових кампаній — виключені зі сторінок терапії | США |
| Постачальники платформ відгуків клієнтів | Збирають, відображають відгуки користувачів та управляють ними | ЄС |
| Постачальники моніторингу помилок і продуктивності | Виявляють та усувають технічні проблеми | США |
| Бухгалтерські, юридичні та консультаційні радники | Надають бухгалтерську, юридичну або консультаційну підтримку | Польща / ЄС |
| Державні органи | Якщо цього вимагає судове рішення або застосовне законодавство | Різне |
5.2 Обмеження аналітики
Pleso не передає рекламним або аналітичним інструментам персональні дані, що прямо ідентифікують особу (такі як ваше ім’я чи адреса електронної пошти), і такі інструменти виключені з усіх сторінок, де надаються терапевтичні послуги. Дотримання цього обмеження забезпечується технічними засобами.
5.3 Інші отримувачі
Pleso також може розкривати персональні дані уповноваженим органам державної влади, якщо цього вимагає закон.
VI. Міжнародна передача даних
Деякі з наших обробників розташовані у Сполучених Штатах. Якщо ваші дані передаються за межі ЄЕП, ми забезпечуємо їхній захист за допомогою:
Рамкової угоди ЄС–США щодо конфіденційності даних (EU–US Data Privacy Framework, DPF) — якщо обробник пройшов самосертифікацію за цією рамковою угодою, визнаною рішенням Європейської Комісії про адекватність від 10 липня 2023 року.
Стандартних договірних положень (Standard Contractual Clauses, SCCs) — Рішення Європейської Комісії 2021/914, Модуль 2 (контролер — обробнику).
UK International Data Transfer Addendum — виданого ICO Додатка Великої Британії до SCCs ЄС (березень 2022 року) — для передач, пов’язаних із Великою Британією.
Рішень Європейської Комісії про адекватність — за їх наявності для країн поза ЄЕП.
Для передач, щодо яких немає рішення про адекватність або належних гарантій, ми запитуватимемо вашу явну згоду згідно зі ст. 49(1)(a) GDPR та інформуватимемо вас про пов’язані ризики.
Ви можете запросити деталі щодо конкретних гарантій, застосованих до будь-якої передачі, — включно з тим, який механізм передачі застосовується до конкретного постачальника, — звернувшись на iod@pleso.me.
VII. Строки зберігання даних
| Тип даних | Строк зберігання |
|---|---|
| Дані облікового запису (клієнти) | Строк існування облікового запису + застосовний строк позовної давності (3–6 років залежно від юрисдикції — див. Додатки) |
| Дані терапевтичних сеансів | Метадані бронювань і сеансів, які зберігає Pleso (дати сеансів, історія бронювань і відвідувань): строк існування облікового запису + застосовний строк позовної давності (див. Додатки A–C). Клінічні записи терапії, які зберігає ваш Спеціаліст як незалежний контролер під професійною таємницею (клінічні нотатки, клінічні оцінки, листування, що стосується терапевтичних відносин): зберігаються протягом строку зберігання медичних записів, застосовного у відповідній юрисдикції, — наприклад, щонайменше 7 років після завершення терапії у Великій Британії (або до досягнення клієнтом, який був неповнолітнім, 25 років), відповідно до практики професійних органів; щодо України див. Додаток C. Ці обов’язки щодо зберігання мають перевагу над запитами на видалення — згідно зі ст. 17(3)(b) GDPR право на видалення не застосовується, якщо обробка необхідна для виконання юридичного обов’язку. |
| Дані Спеціалістів | Тривалість субпідрядних відносин + 6 років (податкова та юридична відповідність) |
| Дані про підписки та розрахунки (ідентифікатори планів, дати поновлення, історія транзакцій) | Строк існування облікового запису + застосовний строк позовної давності; документи щодо рахунків — згідно з податковими строками зберігання, наведеними нижче |
| Записи про згоду на розсилку | До відкликання згоди; запис про згоду зберігається до 5 років після відкликання як доказ відповідності |
| Дані контактних звернень | Строк, необхідний для вирішення звернення, + застосовний строк позовної давності |
| Податкові дані та дані рахунків | Польща: 5 років / Велика Британія: 6 років / Україна: 7 років |
| Журнали безпеки | 5 років або до завершення відповідного розслідування чи судового провадження |
| Дані файлів cookie | Відповідно до вашої згоди; строки для кожного інструменту наведено в Політиці щодо файлів cookie та інструментів третіх сторін |
| Ваша ситуація | Як довго ми зберігаємо ваші дані |
|---|---|
| Зареєструвалися, але не почали терапію — без запиту на видалення | 3 роки після вашого останнього входу, потім автоматичне видалення. |
| Почали терапію — без запиту на видалення | Обліковий запис і персональні дані: строк існування облікового запису + застосовний строк позовної давності (див. Додатки A–C). Дані терапевтичних сеансів: з урахуванням триваліших законодавчих вимог до зберігання медичних записів у відповідній юрисдикції. |
| Зареєструвалися, але не почали терапію — подано запит на видалення | Видаляються протягом 30 днів після верифікованого запиту на видалення. |
| Почали терапію — подано запит на видалення | Обліковий запис і персональні дані видаляються протягом 30 днів. Клінічні записи (дати сеансів, клінічні нотатки, листування, що стосується терапевтичних відносин) зберігаються протягом законодавчо встановленого строку зберігання медичних записів, застосовного у відповідній юрисдикції, — згідно зі ст. 17(3)(b) GDPR право на видалення на них не поширюється; після закінчення законодавчо встановленого строку вони видаляються або незворотно анонімізуються. Журнали запитів суб’єктів даних і записи про згоди зберігаються 5 років для цілей відповідності. |
VIII. Ваші права
Щоб скористатися будь-яким із наведених нижче прав, зверніться на iod@pleso.me. Ми надамо відповідь протягом 30 днів. Перед виконанням запитів, що стосуються даних про здоров’я, ми перевіримо вашу особу шляхом підтвердження електронною поштою та додаткового кроку (SMS-код або контрольні запитання).
8.1 Права згідно з GDPR ЄС
Доступ (ст. 15) — отримати копію своїх даних, включно з найменуваннями конкретних отримувачів.
Виправлення (ст. 16) — виправити неточні дані.
Видалення (ст. 17) — вимагати видалення («право бути забутим»). Право на видалення не поширюється на клінічні записи терапії протягом законодавчо встановлених строків зберігання медичних записів (ст. 17(3) GDPR) — див. розділ VII.
Обмеження (ст. 18) — обмежити використання нами ваших даних.
Перенесення (ст. 20) — отримати свої дані в машинозчитуваному форматі.
Заперечення (ст. 21) — заперечити проти обробки на підставі законних інтересів.
Автоматизоване прийняття рішень (ст. 22) — див. розділ XI.
Відкликання згоди (ст. 7(3) / ст. 9) — у будь-який час, без впливу на попередню обробку.
Подати скаргу: Польща — UODO, ul. Stawki 2, 00-193 Warszawa (uodo.gov.pl).
8.2 Права згідно з UK GDPR (Велика Британія)
Користувачі з Великої Британії мають еквівалентні права згідно з UK GDPR та Data Protection Act 2018. Застосовуються всі права, перелічені в пункті 8.1.
Подати скаргу: ICO, Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF | ico.org.uk | 0303 123 1113.
8.3 Права згідно із законодавством України (Україна)
Користувачі з України мають права на доступ, виправлення, видалення та заперечення згідно із Законом № 2297-VI, що відповідають правам, переліченим у пункті 8.1. Додаткові права, специфічні для України, викладено в Додатку C.
Подати скаргу: Уповноважений Верховної Ради України з прав людини (ombudsman.gov.ua).
8.4 Надання даних є добровільним
Надання даних під час реєстрації або придбання послуг на Платформі є добровільним; однак ненадання даних може унеможливити користування окремими функціями чи послугами. Надання даних для маркетингових цілей є цілком добровільним і не впливає на вашу можливість користуватися Платформою.
IX. Дані дітей
Хоча Послуги можуть надаватися Неповнолітнім Користувачам (як визначено у відповідних Умовах та положеннях), захист конфіденційності дітей є для нас надзвичайно важливим. Застосовуються такі умови.
Вікова політика надання послуг. Відповідно до Умов та положень, Послуги надаються Неповнолітнім Користувачам — особам, які не досягли 18 років, — виключно на підставі проактивного письмового запиту, поданого батьком або законним представником на адресу hq@pleso.me. Після отримання такого запиту Pleso Therapy надає відповідну документацію для оформлення згоди та порядок підключення до Платформи. За відсутності такого запиту доступ до Платформи надається лише особам, які досягли 18 років, що підтверджується самостійною декларацією під час реєстрації. Надання послуг Неповнолітнім Користувачам у Великій Британії наразі призупинено до впровадження додаткових засобів захисту, що вимагаються чинним законодавством Великої Британії. Послуги не надаються особам, які не досягли 14 років.
Вік цифрової згоди. Вік, з якого неповнолітній може самостійно надавати згоду на обробку своїх персональних даних щодо послуг інформаційного суспільства, різниться залежно від юрисдикції: 16 років у Польщі (стаття 8 GDPR, реалізована без зниження вікового порогу); 13 років у Великій Британії (стаття 8 UK GDPR); 18 років в Україні (Закон України № 2297-VI «Про захист персональних даних»), де конкретний вік цифрової згоди не встановлено і застосовується загальний вік повноліття. Нижче застосовного вікового порогу використання Платформи та надання персональних даних дозволяється лише за явною згодою та за активної участі батька або законного представника.
Верифікація батьківської згоди. У разі отримання проактивного запиту та надання Послуг Неповнолітньому Користувачеві Pleso залишає за собою право впроваджувати технічні та організаційні заходи для верифікації наявності батьківської згоди або згоди опікуна, пропорційні характеру та ризику обробки. Це може включати вимогу до батька або опікуна надати контактні дані, підтвердити свою особу або вжити інших необхідних заходів, визначених в Умовах та положеннях. Для користувачів зі Сполученого Королівства такі заходи будуть розроблені відповідно до Кодексу відповідного проектування ICO (Children’s Code) та умов захисту, передбачених Додатком 1, Частиною 1 Закону про захист даних 2018 року, після відновлення надання Послуг Неповнолітнім Користувачам у Великій Британії.
Мінімізація даних. Ми збираємо лише мінімальний обсяг даних про здоров’я та ідентифікаційних даних Неповнолітніх Користувачів, що є строго необхідним для надання Послуг. Такі дані обробляються з найвищим рівнем безпеки та конфіденційності і не використовуються для профілювання, маркетингу або будь-яких цілей, окрім підбору Спеціаліста.
Права батьків та опікунів. Батьки або законні представники мають право на доступ до персональних даних, зібраних від їхньої дитини, право вимагати їх виправлення або видалення, а також право в будь-який час відкликати згоду на подальший збір або обробку даних. Для реалізації цих прав, будь ласка, зверніться до нашої Уповноваженої особи із захисту даних за адресою iod@pleso.me. Ми відповімо протягом 30 днів з моменту отримання запиту.
Підтвердження батьків. Подаючи проактивний запит на надання Неповнолітньому Користувачеві доступу до Платформи, батько або законний представник підтверджує свою згоду на обробку чутливих персональних даних неповнолітнього (даних про здоров’я та ідентифікаційних даних) з метою підбору Спеціаліста, як описано в цій Політиці, та підтверджує наявність у нього батьківських прав або рівнозначних повноважень відповідно до застосовного законодавства.
X. Безпека даних
Ми впроваджуємо належні технічні та організаційні заходи для захисту ваших даних, включно з шифруванням під час передачі (TLS 1.3) і зберігання (AES-256), рольовим управлінням доступом, мережевими брандмауерами, регулярним тестуванням на вразливості, журналюванням доступу, навчанням персоналу з питань захисту даних і договірними вимогами щодо безпеки для всіх обробників.
Будь ласка, зберігайте свої облікові дані для входу в таємниці та не повідомляйте свій пароль іншим особам.
Повідомлення про порушення: у разі порушення захисту персональних даних, яке може спричинити ризик для ваших прав, ми повідомимо компетентний наглядовий орган протягом 72 годин (ст. 33 GDPR) і повідомимо вас безпосередньо, якщо ризик є високим (ст. 34 GDPR).
XI. Автоматизоване прийняття рішень і профілювання
Pleso може використовувати обмежене профілювання для статистичного аналізу та маркетингу. Жодні рішення, які істотно впливають на вас, не приймаються виключно на основі автоматизованої обробки. Усі рішення щодо підбору Спеціаліста та надання допомоги передбачають людський контроль.
XII. Файли cookie та технології відстеження
Ми використовуємо файли cookie та подібні технології (веб-маяки, пікселі, локальне сховище) для роботи Платформи, аналізу її використання та надання релевантного контенту. Ми використовуємо платформу управління згодою, яка дозволяє вам прийняти, відхилити або налаштувати свої вподобання. Жодні необов’язкові файли cookie не встановлюються, доки ви активно не надасте згоду.
Важливо: аналітичні та рекламні трекери не використовуються на сторінках, де надаються терапевтичні послуги або де передається інформація про здоров’я.
Повну інформацію — включно з назвами конкретних інструментів і постачальників, назвами файлів cookie, строками дії для кожного інструменту та інструкціями щодо відмови — див. у нашій окремій Політиці щодо файлів cookie та інструментів третіх сторін за адресою pleso.me/en/legal/cookie-policy.
XIII. Зміни до цієї Політики
Ми можемо оновлювати цю Політику конфіденційності, коли запроваджуємо нові функції або коли змінюється законодавство. У такому разі ми оновимо дату набрання чинності у верхній частині цієї сторінки та повідомимо вас електронною поштою або помітним повідомленням на Платформі, якщо зміни є суттєвими. Про суттєві зміни повідомляється щонайменше за 14 календарних днів, відповідно до Умов та положень.
Зміни до іменного реєстру конкретних інструментів і постачальників вносяться до Політики щодо файлів cookie та інструментів третіх сторін, яка може оновлюватися в будь-який час без внесення змін до цієї Політики конфіденційності, за умови що зміна залишається в межах категорій отримувачів, описаних у розділі 5.1.
XIV. Контакти
| Контакт | Деталі |
|---|---|
| Уповноважена особа із захисту даних | iod@pleso.me |
| Загальні запитання | hello@pleso.me |
| Представник у Великій Британії згідно зі ст. 27 | Legal Nodes Ltd / pleso.rep@legalnodes.com |
| Поштова адреса | Pleso Therapy sp. z o.o., ul. 12 Lutego 25/7, 82-300 Elbląg, Польща |
Наглядові органи
| Ринок | Орган | Контакт |
|---|---|---|
| Польща | UODO | uodo.gov.pl |
| Велика Британія | ICO | ico.org.uk / 0303 123 1113 |
| Україна | Уповноважений Верховної Ради України з прав людини | ombudsman.gov.ua |
ДОДАТОК A — ПОЛЬЩА
Цей Додаток доповнює основну Політику конфіденційності для користувачів у Польщі. У разі суперечності перевагу має цей Додаток.
A.1 Додаткова нормативно-правова база
Застосовується польський Закон про захист персональних даних (ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U. 2018 poz. 1000, зі змінами). Pleso Therapy sp. z o.o. зареєстрована в Польщі та безпосередньо підлягає нагляду UODO.
A.2 Зберігання
Податкові документи та рахунки: 5 років із кінця фінансового року (польське податкове законодавство). Дані облікового запису та договірні дані: строк існування облікового запису + 6 років (загальний строк позовної давності, стаття 118 Цивільного кодексу Польщі).
A.3 Наглядовий орган
Urząd Ochrony Danych Osobowych (UODO) | ul. Stawki 2, 00-193 Warszawa | uodo.gov.pl
A.4 Електронний маркетинг
Маркетингові повідомлення користувачам у Польщі надсилаються лише за попередньою згодою згідно зі статтею 398 Закону від 12 липня 2024 року — Право електронних комунікацій (Prawo komunikacji elektronicznej), що діє з 10 листопада 2024 року та замінив попередні правила, передбачені статтею 172 Закону про телекомунікації та статтею 10 Закону про надання послуг електронним шляхом. Згоду можна відкликати в будь-який час, натиснувши «Відписатися» (Unsubscribe) у будь-якому листі або звернувшись на hello@pleso.me.
A.5 Мова
Для користувачів, які перебувають у Польщі, ця Політика доступна польською мовою. У разі розбіжностей між мовними версіями перевагу має польська версія.
ДОДАТОК B — ВЕЛИКА БРИТАНІЯ
Цей Додаток доповнює основну Політику конфіденційності для користувачів у Великій Британії. У разі суперечності перевагу має цей Додаток.
B.1 Нормативно-правова база
Застосовуються UK GDPR (збережений на підставі European Union (Withdrawal) Act 2018), Data Protection Act 2018 та PECR. Дані про здоров’я користувачів з Великої Британії обробляються на підставі ст. 9(2)(h) UK GDPR у поєднанні зі статтею 10 та умовами Частини 1 Додатка 1 (Schedule 1, Part 1) Data Protection Act 2018 (цілі охорони здоров’я або соціальної допомоги), під відповідальність фахівців, на яких поширюється обов’язок збереження професійної таємниці.
B.2 Представник у Великій Британії згідно зі ст. 27
Оскільки Pleso Therapy sp. z o.o. не має осідку у Великій Британії, ми призначили представника у Великій Британії згідно зі ст. 27 UK GDPR:
Legal Nodes Ltd, Office 2, Bennet’s House, 21 Leyton Road, Harpenden, England, AL5 2HU | pleso.rep@legalnodes.com
Користувачі з Великої Британії можуть звертатися до Legal Nodes Ltd із питань, що стосуються обробки їхніх персональних даних.
B.3 Міжнародні передачі з Великої Британії
Передачі з Великої Британії здійснюються на підставі: положень Великої Британії про адекватність (UK adequacy regulations); Міжнародної угоди про передачу даних (International Data Transfer Agreement, IDTA); або Додатка Великої Британії до SCCs ЄС (UK Addendum; ICO, березень 2022 року).
B.4 Зберігання
Податкові документи та рахунки: 6 років із кінця податкового року (податкове законодавство Великої Британії). Дані облікового запису та договірні дані: строк існування облікового запису + 6 років (Limitation Act 1980 (Закон про позовну давність 1980 року)), що застосовується на всій території Великої Британії як операційний стандарт Pleso.
B.5 Електронний маркетинг
Маркетингові повідомлення користувачам з Великої Британії надсилаються лише за попередньою згодою згідно з Положенням 22 PECR. Згоду можна відкликати в будь-який час, натиснувши «Відписатися» (Unsubscribe) у будь-якому листі або звернувшись на hello@pleso.me.
B.6 Наглядовий орган
Information Commissioner’s Office (ICO) | Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF | ico.org.uk | 0303 123 1113
B.7 Реєстрація в ICO
Актуальний статус реєстрації Pleso Therapy в ICO опубліковано на сторінці конфіденційності Платформи для користувачів з Великої Британії.
ДОДАТОК C — УКРАЇНА
Цей Додаток доповнює основну Політику конфіденційності для користувачів в Україні та включає зміст Додатка про конфіденційність UA (Privacy Addendum UA, редакція від 18 березня 2026 року). У разі суперечності перевагу має цей Додаток.
C.1 Додаткова нормативно-правова база
Закон України «Про захист персональних даних» № 2297-VI (зі змінами 2023 року).
Закон України про систему охорони психічного здоров’я.
Податковий кодекс України (щодо зберігання фіскальних даних).
C.2 Контролер даних згідно із законодавством України
Для цілей Закону України «Про захист персональних даних» Pleso Therapy sp. z o.o. виступає володільцем персональних даних у розумінні Закону України «Про захист персональних даних» № 2297-VI. Контакт DPO: iod@pleso.me.
C.3 Професійна таємниця
Зміст терапевтичних сеансів становить професійну таємницю згідно зі статтею 5 Закону України про систему охорони психічного здоров’я і захищається незалежно від форми зберігання. Pleso як оператор Платформи не має доступу до змісту сеансів. Сеанси не записуються, якщо це прямо не погоджено в письмовій формі як користувачем, так і Спеціалістом.
Винятки з професійної таємниці допускаються лише у випадках, передбачених законом, зокрема: (a) безпосередня загроза життю чи здоров’ю користувача або третіх осіб; (b) домашнє насильство або насильство щодо дитини чи особи, яка не має дієздатності, тією мірою, якою розкриття вимагається або дозволяється законодавством України; © рішення суду. Розкриття здійснюється в мінімально необхідному обсязі та лише органам, визначеним законом (див. також пункт 13.4 Умов та положень і розділ 4.1 цієї Політики).
C.4 Дані особливих категорій — посилені положення
Чутливі дані (інформація про психічне здоров’я, зміст анкети під час реєстрації, інформація, надана Спеціалісту під час сеансу) становлять дані про здоров’я згідно зі статтею 7 Закону України «Про захист персональних даних» і ст. 9 GDPR та підлягають посиленому захисту. Правова підстава: явна згода, надана через окремий чекбокс під час реєстрації (стаття 7 Закону № 2297-VI), що застосовується поряд із базовою підставою надання медичної допомоги за стандартом GDPR, описаною в розділах 3.5 та IV цієї Політики (ст. 9(2)(h) GDPR); згода діє як підтверджувальний рівень поверх підстави надання медичної допомоги, як описано в пункті 13.3 Умов та положень. Зберігання: дані анкети та підбору видаляються протягом 30 днів після верифікованого запиту на видалення або закриття облікового запису — залежно від того, що настане раніше. Клінічні записи терапії зберігаються протягом застосовного законодавчо встановленого строку зберігання медичних записів незалежно від будь-якого запиту на видалення (еквівалент ст. 17(3)(b) GDPR); після закінчення цього строку вони видаляються або незворотно анонімізуються. Повну інформацію див. у загальній таблиці строків зберігання в розділі VII.
C.5 Обмеження аналітики
Pleso не передає інструментам веб-аналітики, UX-аналітики, рекламних пікселів чи еквівалентним інструментам відстеження персональні дані українських користувачів, що прямо ідентифікують особу (такі як ім’я чи адреса електронної пошти), і такі інструменти виключені з усіх сторінок, де надаються терапевтичні послуги. Дотримання цього обмеження забезпечується технічними засобами.
C.6 Міжнародна передача даних
Передача персональних даних українських користувачів до держав — членів ЄЕП (включно з Польщею) та до інших держав — учасниць Конвенції Ради Європи № 108 дозволена згідно зі статтею 29 Закону України «Про захист персональних даних» № 2297-VI, оскільки такі держави вважаються такими, що забезпечують належний рівень захисту персональних даних. Якщо дані передаються постачальникам в інших державах (зокрема у Сполучених Штатах — див. розділи V і VI), Pleso покладається на однозначну згоду користувача на таку передачу, надану під час реєстрації, разом із договірними гарантіями, еквівалентними Стандартним договірним положенням ЄС.
C.7 Зберігання
Податкові документи та рахунки: 7 років (Податковий кодекс України). Дані облікового запису: строк існування облікового запису + 3 роки (строк позовної давності). Дані анкети та підбору: видаляються протягом 30 днів після верифікованого запиту на видалення або закриття облікового запису. Клінічні записи терапії: зберігаються протягом застосовного законодавчо встановленого строку зберігання медичних записів незалежно від будь-якого запиту на видалення, після чого видаляються або незворотно анонімізуються (див. C.4). Журнали безпеки: 5 років або до завершення відповідного розслідування.
C.8 Права суб’єктів даних згідно із законодавством України
На додаток до прав, передбачених розділом VIII, користувачі з України мають право:
Знати про джерела збирання, місцезнаходження своїх персональних даних та мету їх обробки (стаття 8 Закону).
Отримувати інформацію про умови надання доступу до персональних даних третім особам (стаття 8 Закону).
Звертатися зі скаргою до Уповноваженого Верховної Ради України з прав людини або до суду.
Перевірка особи для запитів щодо даних про здоров’я: підтвердження через електронну пошту, зареєстровану на Платформі, плюс додатковий крок (SMS-код або контрольні запитання). Pleso веде реєстр запитів суб’єктів даних. Підтвердження отримання запиту надсилається протягом 3 робочих днів.
C.9 Наглядовий орган
Уповноважений Верховної Ради України з прав людини (Омбудсман) | ombudsman.gov.ua
― Кінець Політики конфіденційності ―
Pleso Therapy sp. z o.o. | iod@pleso.me | pleso.me
KRS: 0000980227
REGON: 522652856