Ця Політика конфіденційності (далі — «Політика») визначає порядок збирання, використання, зберігання та захисту персональних даних Фізичною особою-підприємцем Галичем Сергієм Сергійовичем (ФОП Галич Сергій Сергійович), що здійснює діяльність під торговельною маркою LapaHub («LapaHub», «Компанія», «ми», «нас» або «наш»), у зв'язку з наданням Lapa Clinic — хмарної платформи для управління ветеринарною практикою (далі — «Сервіс»), доступної за адресою https://clinic.lapahub.com (далі — «Сайт») та через мобільний застосунок Lapa Clinic (далі — «Застосунок»).

Lapa Clinic є продуктом для бізнесу (B2B), призначеним для ветеринарних клінік та їх персоналу. Ця Політика поширюється на Власників Тенантів, Адміністраторів Білінгу та Авторизованих Користувачів — фахівців клінік, які працюють із Сервісом від імені своєї ветеринарної практики (далі спільно — «Користувачі Клініки» або «ви»). Якщо ви є власником тварини, ця Політика на вас не поширюється; будь ласка, зверніться до політики конфіденційності споживчого застосунку Lapa.

LapaHub діє у подвійній ролі щодо персональних даних:

• Контролер даних — стосовно персональних даних Користувачів Клініки (дані облікового запису, дані автентифікації, аналітика використання).
• Обробник даних — стосовно персональних даних, які Користувачі Клініки вносять до Сервісу від імені своєї ветеринарної практики (картки пацієнтів, контактні дані клієнтів, медичні історії). Ці дані належать Тенанту та контролюються ним.

Створюючи обліковий запис, отримуючи доступ до Сервісу або надаючи іншим особам право доступу до Сервісу від вашого імені, ви підтверджуєте, що ознайомилися з цією Політикою та зрозуміли її зміст. Якщо ви не погоджуєтеся з її умовами, будь ласка, не використовуйте Сервіс. Запитання та зауваження можна надсилати на адресу legal@lapahub.com.

СТИСЛИЙ ОГЛЯД КЛЮЧОВИХ ПОЛОЖЕНЬ

Які персональні дані ми збираємо? Ми збираємо інформацію облікового запису, яку ви надаєте (ім'я, електронна пошта, номер телефону), облікові дані автентифікації, дані про посаду та роль у клініці, а також технічну інформацію, що генерується під час використання Сервісу. Дізнатися більше →

Які дані ми обробляємо від імені клінік? Як Обробник даних, ми обробляємо картки пацієнтів, контактні дані клієнтів, дані про прийоми, рахунки та завантажені файли від імені Тенанта. Ці дані належать Тенанту та регулюються його власними зобов'язаннями щодо захисту персональних даних. Дізнатися більше →

Як забезпечується ізоляція даних Тенантів? Дані кожного Тенанта зберігаються у виділеній ізольованій схемі бази даних. Міжтенантний доступ відсутній — одна клініка не має змоги переглядати дані іншої клініки. Дізнатися більше →

Чи продаємо ми персональні дані? Ні. Ми ніколи не продаємо, не здаємо в оренду та не обмінюємо персональні дані Користувачів Клініки або дані Тенантів із третіми особами.

Які ваші права? Залежно від вашої юрисдикції, ви можете мати право на доступ, виправлення, видалення, обмеження обробки, переносимість та заперечення проти обробки ваших персональних даних. Дізнатися більше →

Під час реєстрації у Сервісі, використання його функцій або звернення до нашої служби підтримки ми можемо збирати наступні категорії персональних даних безпосередньо від вас або в результаті вашого використання Сервісу.

1.1 Дані облікового запису та профілю

• Повне ім'я (ім'я, прізвище)
• Адреса електронної пошти
• Номер телефону
• Фотографія профілю (за умови завантаження)
• Налаштування мови інтерфейсу

1.2 Дані про посаду та роль

• Роль у Тенанті (наприклад, Власник Тенанта, Адміністратор Білінгу, ветеринарний лікар, технік, реєстратор)
• Професійна посада або спеціалізація
• Історія участі та приналежності до Тенантів

1.3 Дані автентифікації

• Хешовані облікові дані пароля (для автентифікації за допомогою електронної пошти та пароля)
• Токени OAuth та ідентифікатори провайдера (для входу через Google)
• Ідентифікатори Firebase Authentication
• Токени сесій та токени оновлення

1.4 Дані про використання та активність

• Дії, виконані в Сервісі (наприклад, створені записи, заплановані прийоми)
• Патерни та частота використання функцій
• Мітки часу входу, виходу та подій активності
• Журнали помилок та звіти про збої

1.5 Дані про пристрій та технічні дані

• IP-адреса
• Тип та версія браузера
• Операційна система та тип пристрою
• Роздільна здатність екрана та розміри області перегляду
• URL-адреса переходу та історія переглядів сторінок у Сервісі
• Унікальні ідентифікатори пристрою (для мобільного Застосунку)

У процесі надання Сервісу ми обробляємо дані, які Користувачі Клініки вносять, завантажують або генерують у робочому просторі свого Тенанта. Ці дані належать Тенанту та контролюються ним, а LapaHub обробляє їх виключно як Обробник даних від імені Тенанта.

Категорії даних, що контролюються Тенантом (далі — «Дані Клініки»), включають:

• Картки пацієнтів — профілі тварин, вид, порода, дата народження, ідентифікатори мікрочіпів, медичні історії, записи про лікування, діагнози, призначення та записи про вакцинацію.
• Контактні дані клієнтів — імена, номери телефонів, адреси електронної пошти та поштові адреси власників тварин і клієнтів, яких обслуговує клініка.
• Дані прийомів — інформація про розклад, типи прийомів, призначені ветеринарні лікарі, нотатки консультацій та інтеграції з календарями.
• Фінансові дані та рахунки — вартість послуг, записи про оплату, позиції рахунків та історія транзакцій.
• Завантажені файли та медіа — фотографії, документи, результати лабораторних досліджень та інші файли, прикріплені до карток пацієнтів або клієнтів.
• Дані інвентаризації та продукції — залишки на складі, описи продукції, ціни, дані виробників та записи ланцюга постачання.

Власник Тенанта несе відповідальність за те, щоб збирання та внесення Даних Клініки відповідало всім чинним законам про захист персональних даних, включно з отриманням необхідних згод від власників тварин, чиї персональні дані зберігаються у Сервісі. LapaHub самостійно не визначає цілі та засоби обробки Даних Клініки — ми діємо виключно згідно з інструкціями Тенанта.

Ми обробляємо персональні дані на підставі наступних правових підстав, передбачених Загальним регламентом захисту даних (GDPR) та Законом України «Про захист персональних даних»:

3.1 Виконання договору

Обробка даних вашого облікового запису, даних автентифікації та призначень ролей є необхідною для виконання договору між вами (або вашою організацією) та LapaHub — а саме Умов надання послуг. Без такої обробки надання Сервісу неможливе.

3.2 Законний інтерес

Ми спираємося на законний інтерес при здійсненні операцій обробки, що забезпечують безпеку, стабільність та вдосконалення Сервісу, зокрема:

• Моніторинг та захист від шахрайства, зловживань та загроз безпеці
• Аналіз узагальнених патернів використання з метою покращення функціональності та користувацького досвіду
• Ведення системних журналів для відлагодження, реагування на інциденти та аудиторського контролю
• Забезпечення дотримання Умов надання послуг та політик допустимого використання

У випадках, коли ми спираємося на законний інтерес, ми проводимо оцінку балансу інтересів для того, щоб переконатися, що наші інтереси не переважають над вашими основоположними правами та свободами.

3.3 Згода

У випадках, передбачених чинним законодавством, ми отримуємо вашу явну згоду перед обробкою певних категорій даних — наприклад, перед надсиланням необов'язкових маркетингових повідомлень або використанням необов'язкових технологій відстеження. Ви маєте право відкликати свою згоду в будь-який час, звернувшись до нас за адресою legal@lapahub.com.

3.4 Юридичний обов'язок

Ми можемо обробляти персональні дані, якщо це необхідно для виконання юридичних зобов'язань LapaHub, зокрема для відповіді на правомірні правові запити, виконання податкових або бухгалтерських вимог чи звітування перед регуляторними органами.

Ми використовуємо персональні дані, описані у цій Політиці, з наступною метою:

4.1 Надання та забезпечення роботи Сервісу

• Створення та управління вашим Глобальним обліковим записом та прив'язками до Тенантів
• Автентифікація вашої особи та авторизація доступу до відповідних робочих просторів Тенантів
• Обробка Даних Клініки від імені вашого Тенанта як Обробник даних
• Синхронізація даних прийомів з інтегрованими сторонніми календарями (наприклад, Google Calendar)

4.2 Покращення та розвиток Сервісу

• Аналіз узагальнених та анонімізованих патернів використання для визначення пріоритетів розвитку функціональності
• Діагностика технічних проблем за допомогою звітів про помилки та збої
• Проведення внутрішніх досліджень і розробок

4.3 Комунікація

• Надсилання транзакційних повідомлень щодо вашого облікового запису, Тенанта чи підписки
• Надсилання сповіщень безпеки та оновлень Сервісу
• Відповіді на ваші запити до служби підтримки
• Надсилання необов'язкових маркетингових повідомлень (виключно за вашою згодою, де цього вимагає закон)

4.4 Безпека та відповідність вимогам

• Захист Сервісу від несанкціонованого доступу, шахрайства та зловживань
• Забезпечення дотримання Умов надання послуг
• Дотримання вимог чинного законодавства

Lapa Clinic використовує архітектуру бази даних за принципом «окрема схема для кожного тенанта». Це означає, що Дані Клініки кожного Тенанта зберігаються у виділеній, логічно ізольованій схемі бази даних. Ця архітектура забезпечує такі гарантії:

• Відсутність міжтенантного доступу — Дані Клініки одного Тенанта ніколи не доступні користувачам іншого Тенанта. Запити до бази даних обмежені єдиною схемою тенанта і не можуть перетинати межі схем.
• Авторизація на рівні Тенанта — кожен запит даних перевіряється відносно контексту Тенанта автентифікованого користувача. Запити без дійсного контексту Тенанта відхиляються ще до звернення до рівня даних.
• Ізольована конфігурація — кожен Тенант має власний реєстр користувачів, призначення ролей, налаштування та операційні дані, незалежні від усіх інших Тенантів на платформі.

Дані Глобального облікового запису (ім'я, електронна пошта, облікові дані автентифікації) зберігаються у спільній схемі платформи. Ці дані не є Даними Клініки та управляються LapaHub як Контролером даних.

Lapa Clinic є частиною ширшої екосистеми LapaHub, яка включає споживчий (B2C) застосунок для власників тварин. Нижче описано, яким чином дані можуть передаватися між B2C- та B2B-продуктами.

6.1 Зв'язування за ініціативою власника тварини

Власник тварини, що використовує споживчий застосунок Lapa, може обрати зв'язування профілю своєї тварини з ветеринарними записами, що зберігаються в одному або кількох Тенантах на платформі Lapa Clinic. Таке зв'язування завжди ініціюється власником тварини — Тенанти та Користувачі Клініки не можуть ініціювати або примусово встановити таке з'єднання.

Коли власник тварини ініціює зв'язування, обмежені дані про тварину та її медичну інформацію з записів Тенанта можуть стати доступними для перегляду власником тварини у споживчому застосунку, з можливістю агрегації даних з різних клінік, які лікували ту саму тварину.

6.2 Вплив на Тенантів

Контрольований власником обмін даними може надати Користувачам Клініки доступ лише для читання до глобального профілю тварини — зведеного подання даних, якими власник тварини вирішив поділитися з інших клінік. Цей доступ регулюється налаштуваннями обміну, визначеними власником тварини, і може бути відкликаний ним у будь-який час.

Тенанти зберігають повне право власності та контроль над створеними ними Даними Клініки. Зв'язування в екосистемі не передає право власності на Дані Клініки та не надає іншим Тенантам права на запис до записів Тенанта.

Ми не продаємо, не здаємо в оренду та не обмінюємо ваші персональні дані або Дані Клініки з третіми особами. Ми можемо передавати персональні дані лише за таких обмежених обставин:

7.1 Постачальники послуг (Субобробники)

Ми залучаємо перевірених сторонніх постачальників послуг для забезпечення роботи та надання Сервісу. Ці субобробники зв'язані договірними зобов'язаннями обробляти дані виключно згідно з нашими інструкціями та вживати належних заходів безпеки. Категорії субобробників включають:

• Провайдери хмарної інфраструктури — для хостингу, зберігання та обчислювальних ресурсів (наприклад, Google Cloud Platform)
• Сервіси автентифікації — для перевірки особи та безпечного входу (наприклад, Firebase Authentication)
• Платіжні процесори — для обробки підписок та платежів
• Комунікаційні сервіси — для надсилання транзакційних електронних листів та push-повідомлень
• Моніторинг помилок та аналітика — для звітності про збої, моніторингу продуктивності та узагальненої аналітики використання

7.2 Розкриття на вимогу закону та регуляторних органів

Ми можемо розкрити персональні дані, якщо цього вимагає закон, нормативний акт, судовий процес або обов'язковий запит державного органу, а також якщо розкриття обґрунтовано необхідне для захисту прав, власності або безпеки LapaHub, наших користувачів чи громадськості.

7.3 Реорганізація бізнесу

У разі злиття, поглинання, реорганізації або продажу активів персональні дані можуть бути передані правонаступнику. Ми повідомимо вас до того, як ваші персональні дані стануть предметом іншої політики конфіденційності.

LapaHub зареєстрований в Україні. Однак субобробники, яких ми залучаємо для надання Сервісу, можуть обробляти дані в юрисдикціях за межами України, зокрема в Європейському економічному просторі, Сполучених Штатах Америки та інших країнах, де провайдери хмарної інфраструктури розміщують свої центри обробки даних.

Коли персональні дані передаються до юрисдикції, що не забезпечує рівнозначного рівня захисту даних, ми впроваджуємо відповідні гарантії, які можуть включати:

• Стандартні договірні умови, затверджені відповідними органами
• Обов'язкові угоди із субобробниками, що встановлюють рівнозначні зобов'язання щодо захисту даних
• Посилання на рішення про адекватність захисту, де такі наявні

Ви можете запросити інформацію про гарантії, що застосовуються до конкретної міжнародної передачі даних, звернувшись до нас за адресою legal@lapahub.com.

Ми зберігаємо персональні дані протягом строку, необхідного для досягнення цілей, описаних у цій Політиці, з урахуванням наступних правил:

9.1 Дані облікового запису Користувача Клініки

Інформація вашого облікового запису зберігається, поки ваш Глобальний обліковий запис залишається активним. Якщо ви бажаєте видалити свої персональні дані, ви можете надіслати запит на адресу legal@lapahub.com. Після підтвердження отримання запиту ми видалимо або анонімізуємо ваші персональні дані у розумний строк, за винятком випадків, коли їх збереження вимагається законом.

9.2 Дані Клініки (Дані Тенанта)

Дані Клініки зберігаються протягом дії активної підписки Тенанта. Після припинення облікового запису Тенанта Дані Клініки зберігаються протягом обмеженого пільгового періоду (визначеного в Умовах надання послуг) для можливості експорту даних, після чого остаточно видаляються.

9.3 Юридичні зобов'язання щодо зберігання

Окремі дані можуть зберігатися понад строки, зазначені вище, якщо цього вимагає чинне законодавство — наприклад, для виконання податкових, бухгалтерських або регуляторних вимог щодо ведення обліку.

9.4 Узагальнені та анонімізовані дані

Ми можемо зберігати узагальнені або анонімізовані дані без обмеження строку для статистичного аналізу та вдосконалення Сервісу. Такі дані не дозволяють ідентифікувати жодну фізичну особу.

Ми впроваджуємо технічні та організаційні заходи, спрямовані на захист персональних даних та Даних Клініки від несанкціонованого доступу, зміни, розголошення або знищення. Ці заходи включають:

• Шифрування — дані шифруються під час передачі (TLS) та у стані спокою в нашій хмарній інфраструктурі.
• Контроль автентифікації — доступ до Сервісу вимагає автентифікованих облікових даних; може підтримуватися багатофакторна автентифікація.
• Ізоляція за принципом «окрема схема для кожного тенанта» — Дані Клініки розмежовані на рівні бази даних, що унеможливлює міжтенантний доступ навіть за наявності вразливостей на рівні застосунку.
• Рольовий контроль доступу — Власники Тенантів визначають, які Авторизовані Користувачі мають доступ до їхнього Тенанта та з яким рівнем дозволів.
• Безпека інфраструктури — наші провайдери хмарної інфраструктури мають сертифікати SOC 2, ISO 27001 та еквівалентні сертифікації.
• Оцінка безпеки — ми проводимо регулярний аналіз стану безпеки, включно з перевіркою коду та аудитом залежностей.
• Реагування на інциденти — ми маємо процедури виявлення, розслідування та реагування на інциденти безпеки. Постраждалі Тенанти та фізичні особи будуть повідомлені відповідно до вимог чинного законодавства.

Попри наші зусилля щодо захисту ваших персональних даних, жоден метод електронної передачі або зберігання не є абсолютно безпечним. Ми не можемо гарантувати абсолютну безпеку, проте зобов'язуємося постійно вдосконалювати наші заходи захисту.

Сервіс використовує файли cookie та подібні технології для забезпечення основної функціональності, зокрема автентифікації, управління сесіями та безпеки.

Наш підхід до необов'язкових технологій відстеження (зокрема, інструментів аналітики та моніторингу продуктивності) наразі перебуває на стадії остаточного визначення. Ми прагнемо до прозорості та оновимо цей розділ — або опублікуємо окрему Політику щодо файлів cookie — після затвердження наших практик відстеження.

Як мінімум, Сервіс використовує:

• Суто необхідні файли cookie — необхідні для автентифікації, підтримки сесій та безпеки. Їх вимкнення унеможливлює коректну роботу основних функцій Сервісу.
• Токени Firebase Authentication — зберігаються локально на вашому пристрої для підтримки автентифікованої сесії.

У разі впровадження додаткових технологій відстеження в майбутньому ми надамо чітке повідомлення та, якщо це вимагається законом, отримаємо вашу згоду перед їх активацією. Для отримання додаткової інформації зверніться до нашої Політики щодо файлів cookie, коли вона стане доступною, або напишіть нам на адресу legal@lapahub.com.

Залежно від вашої юрисдикції, ви можете мати право на реалізацію наступних прав стосовно ваших персональних даних відповідно до GDPR, Закону України «Про захист персональних даних» або іншого застосовного законодавства:

• Право на доступ — вимагати підтвердження того, чи обробляємо ми ваші персональні дані, та отримати копію таких даних.
• Право на виправлення — вимагати виправлення неточних або неповних персональних даних.
• Право на видалення («право бути забутим») — вимагати видалення ваших персональних даних, якщо вони більше не потрібні для цілей, для яких були зібрані, або якщо ви відкликаєте згоду.
• Право на обмеження обробки — вимагати обмеження обробки ваших персональних даних за певних обставин (наприклад, під час перевірки точності оскаржених даних).
• Право на переносимість даних — отримати ваші персональні дані у структурованому, загальновживаному та машинозчитуваному форматі та передати їх іншому контролеру.
• Право на заперечення — заперечити проти обробки ваших персональних даних, якщо обробка ґрунтується на законному інтересі, включно з профілюванням на основі законного інтересу.
• Право на відкликання згоди — якщо обробка базується на згоді, відкликати цю згоду в будь-який час, при цьому законність попередньої обробки не порушується.

Як реалізувати ваші права: надішліть запит електронною поштою на адресу legal@lapahub.com. Ми підтвердимо вашу особу перед опрацюванням запиту та надамо відповідь у строк, передбачений чинним законодавством (як правило, протягом 30 днів). Якщо нам буде потрібен додатковий час, ми повідомимо вас про продовження строку та його причини.

Запити щодо Даних Клініки: якщо ви є власником тварини або клієнтом ветеринарної клініки, що використовує Lapa Clinic, і бажаєте реалізувати свої права щодо захисту даних стосовно інформації, що зберігається у Тенанті, будь ласка, зверніться безпосередньо до клініки (Контролера даних для цієї інформації). Ми надаватимемо Тенанту допомогу у відповіді на такі запити відповідно до наших зобов'язань як Обробника даних.

Якщо ви вважаєте, що обробка ваших персональних даних порушує чинне законодавство про захист даних, ви маєте право подати скаргу Уповноваженому Верховної Ради України з прав людини (Омбудсману) або іншому відповідному наглядовому органу.

Сервіс є платформою для бізнесу (B2B), призначеною для ветеринарних фахівців та персоналу клінік. Він не орієнтований на дітей віком до 16 років (або іншого віку цифрової згоди, встановленого у вашій юрисдикції). Ми свідомо не збираємо персональні дані дітей.

Якщо нам стане відомо, що ми зібрали персональні дані дитини без належної згоди батьків або опікунів, ми вживемо заходів для невідкладного видалення такої інформації. Якщо ви вважаєте, що дитина надала нам свої персональні дані, будь ласка, зв'яжіться з нами за адресою legal@lapahub.com.

Ми можемо час від часу оновлювати цю Політику для відображення змін у наших практиках, технологіях, правових вимогах або з інших операційних причин. Вносячи зміни, ми:

• Оновимо дату «Останнє оновлення» на початку цієї Політики.
• Опублікуємо оновлену Політику на Сайті та в Застосунку.
• У разі суттєвих змін надамо помітне повідомлення — наприклад, сповіщення у застосунку або електронний лист Власникам Тенантів та Адміністраторам Білінгу — щонайменше за 14 днів до набуття змінами чинності.

Продовження використання Сервісу після дати набуття чинності оновленої Політики означає ваше підтвердження ознайомлення з оновленими умовами. Ми рекомендуємо періодично переглядати цю Політику.

Якщо у вас є запитання, зауваження чи запити щодо цієї Політики конфіденційності або наших практик обробки даних, будь ласка, зв'яжіться з нами:

• Суб'єкт: ФОП Галич Сергій Сергійович, що здійснює діяльність під торговельною маркою LapaHub
• Електронна пошта: legal@lapahub.com
• Застосовується до: clinic.lapahub.com та мобільного застосунку Lapa Clinic

Ми прагнемо відповідати на всі звернення протягом 30 днів. У разі невідкладних питань захисту даних, будь ласка, зазначте терміновість у темі листа.