This Privacy Policy is currently available only in Ukrainian. A translated version is on the way.
Юридичний документ

Політика конфіденційності

Pakto — pakto.pro·Останнє оновлення: 3 липня 2026 р.·Версія 2.1

Коротко про головне

Ваш ключ підпису та сам документ залишаються на вашому телефоні. В офлайн-режимі (обмін QR) зміст вашого договору не потрапляє на наші сервери — за одним винятком: якщо ви вмикаєте LTV-штамп, готовий PDF одноразово передається на наш сервер, обробляється в оперативній пам'яті та не зберігається. В онлайн-режимі ми лише тимчасово передаємо договір іншій стороні. Ми не зберігаємо архів ваших підписаних договорів. Єдиний довгостроковий запис — підтвердження прив'язки вашої особи до вашого ключа підпису (у вигляді криптографічних хешів, без відкритих персональних даних) після ідентифікації через Дія.Підпис; він зберігається, щоб автентичність уже підписаних договорів можна було підтвердити згодом, і видаляється на ваш запит.

1. Загальні положення

Ця Політика конфіденційності описує, які дані збирає та обробляє Pakto («ми», «застосунок»), як вони використовуються та які права ви маєте щодо своїх персональних даних.

Контролер даних: Pakto (Dmitriy Diikun), Hettstedt, Sachsen-Anhalt, Німеччина. З питань конфіденційності: diikunapp@gmail.com. Повні відомості про оператора наведені в Імпресумі.

Користуючись застосунком Pakto, ви погоджуєтеся з умовами цієї Політики. Якщо ви не згодні, будь ласка, припиніть користування застосунком.

Ми діємо відповідно до Регламенту ЄС 2016/679 (GDPR) та чинного законодавства про захист даних. Уся наша серверна інфраструктура розміщена в межах ЄС (Німеччина та Ірландія).

2. Які дані ми збираємо

Pakto дотримується принципу мінімізації даних і побудований так, що за замовчуванням ваші дані обробляються на вашому власному пристрої.

Зміст документа. Текст вашого договору або акта-доказу та додані вами фотографії (зокрема, за вашим вибором, фото майна чи документів) збираються в PDF локально на вашому телефоні. В офлайн-режимі (обмін QR) цей зміст не потрапляє на наші сервери, крім одноразової передачі для LTV-штампа, якщо ви його вмикаєте (див. розділи 3 і 5). В онлайн-режимі він передається тимчасово — див. розділи 3 і 6.

Дані підпису. Відкритий ключ вашого підпису ECDSA P-256 (приватний ключ ніколи не залишає пристрій), сам підпис і його позначка часу, а також SHA-256-хеші документа й доданих фотографій.

Дані ідентифікації особи (Дія.Підпис) — за вашої участі, один раз. Щоб перевести ваш підпис на рівень удосконаленого (УЕП/AES), ви один раз підписуєте документ-запит власним кваліфікованим електронним підписом у застосунку Дія.Підпис і передаєте підписаний файл нашому серверу. Під час перевірки сервер обробляє: підписаний файл (.p7s або ASiC-контейнер), ваші прізвище, ім'я, по батькові (ПІБ) та РНОКПП, які містяться у вашому кваліфікованому сертифікаті. Ця обробка відбувається виключно в оперативній пам'яті сервера: сам підписаний файл, а також ПІБ і РНОКПП у відкритому вигляді не зберігаються на сервері та не записуються в журнали. За результатом перевірки сервер створює і зберігає запис-атестацію, який містить лише: відкритий ключ вашого профілю, SHA-256-хеші ПІБ та РНОКПП (не самі дані), ознаку кваліфікованого підпису, найменування кваліфікованого надавача (КНЕДП «Дія»), дату верифікації, ідентифікатор профілю та контрольну підпис-мітку сервера для захисту цілісності запису. Зверніть увагу: хешовані дані залишаються псевдонімізованими персональними даними в розумінні GDPR, і ми поводимося з ними відповідно.

Атестація пристрою (Apple App Attest / Google Play Integrity). Щоб підтвердити, що ваш ключ підпису створений у захищеному апаратному модулі справжнього пристрою, сервер перевіряє криптографічне свідчення виробника (Apple/Google) і зберігає результат перевірки — технічний запис із відкритим ключем, рівнем захисту та підпис-міткою сервера. Він не містить ваших персональних даних, окрім прив'язки до ключа профілю.

Номер телефону (опціонально, верифікація через Telegram). Під час підтвердження номера ми перевіряємо, чи дійсно він належить вам; на цьому етапі повний номер телефону тимчасово обробляється на нашому верифікаційному бекенді та видаляється з нього протягом 1–3 робочих днів. Потім додаток додає ваш повний номер телефону та його хеш SHA-256 безпосередньо до підписаного документа. Номер залишається видимим у документі, щоб забезпечити можливість прозорої криптографічної перевірки хешу. Ми не читаємо і не збираємо вашу переписку та особисті дані в Telegram.

Email (за бажанням). Якщо ви підтверджуєте адресу електронної пошти, ми надсилаємо одноразовий код і вшиваємо адресу в підписаний документ як ідентифікатор. Записи email-верифікації видаляються з бекенду не пізніше ніж через 7 днів.

Геолокація (за бажанням). Якщо ви вмикаєте геолокацію, координати місця підписання фіксуються в документі як додатковий рівень захисту. Вони зберігаються в документі у вигляді відкритих координат WGS-84, щоб їх можна було подати як доказ.

Технічні дані. Для дотримання лімітів безкоштовного тарифу, запобігання зловживанням і технічної діагностики ми обробляємо технічні дані, такі як ваша IP-адреса, ідентифікатори застосунку/пристрою, а в журналах серверів — IP-адресу, ідентифікатор договору, розмір і хеш файлу (без його змісту). Журнали автоматично видаляються не пізніше ніж через 30 днів.

Дані другої сторони договору. Якщо ви вносите в текст договору персональні дані іншої особи (контрагента), ви відповідаєте за правомірність надання цих даних. В онлайн-режимі такі дані транзитом проходять через нашу сесійну інфраструктуру в складі документа і видаляються разом із сесією (див. розділ 6).

3. Що ми НЕ зберігаємо

Ми свідомо не зберігаємо постійний архів ваших підписаних договорів. Готовий документ залишається на пристроях учасників і там, куди вони вирішать його надіслати (Telegram, AirDrop, email).

В офлайн-режимі (QR) зміст вашого договору та будь-які додані фотографії не потрапляють на наші сервери. Єдиний виняток — LTV-штамп: якщо ви його вмикаєте, готовий PDF одноразово передається на наш сервер позначок часу, обробляється виключно в оперативній пам'яті та не зберігається ні на диску, ні в журналах (у журналах фіксуються лише технічні метадані: IP, ідентифікатор договору, розмір і хеш файлу).

В онлайн-режимі документ зберігається на нашій сесійній інфраструктурі лише тимчасово, щоб інша сторона могла відкрити його за надісланим вами посиланням (наразі до 3 годин). Він не зберігається як довгостроковий архів — див. розділ 6.

Ми не зберігаємо підписаний вами у Дії документ-запит (.p7s/ASiC), а також ваші ПІБ і РНОКПП у відкритому вигляді — після перевірки залишаються лише їхні криптографічні хеші в записі-атестації (див. розділ 2).

Ми ніколи не отримуємо біометричні дані (Face ID / Touch ID), якими розблоковується ваш ключ підпису, — вони обробляються виключно операційною системою та апаратурою вашого пристрою.

Ми не збираємо поведінкові та рекламні дані й ніколи не продаємо ваші дані.

4. Як ми використовуємо дані

Зібрані дані використовуються виключно для: перевірки особи підписувача та підтвердження рівня підпису (УЕП/AES); забезпечення можливості згодом підтвердити автентичність уже підписаних договорів; технічної підтримки та усунення несправностей; запобігання шахрайству та зловживанням.

Правові підстави: виконання запитаної вами послуги підписання та ідентифікації (ст. 6(1)(b) GDPR); ваша згода на додаткові функції, як-от додані фото, телефон, email і геолокація (ст. 6(1)(a)); наш законний інтерес у забезпеченні безпеки сервісу, запобіганні зловживанням та збереженні доказової цінності вже створених підписів (ст. 6(1)(f)).

Ми не продаємо й не передаємо ваші дані та не використовуємо їх для реклами чи маркетингу третіх сторін.

5. Треті сторони та інфраструктура

Pakto взаємодіє з такими зовнішніми сервісами:

Сесійний і верифікаційний бекенд (Supabase) — в онлайн-режимі для передавання документа іншій стороні та для обробки записів email-/телефонної верифікації. Інфраструктура розміщена в регіоні ЄС (eu-west-1, Ірландія); Supabase діє як наш процесор даних на підставі угоди про обробку даних (DPA). Дані тут зберігаються тимчасово (див. розділ 6).

Сервер ідентифікації та LTV (власний сервер, Німеччина) — перевірка підпису Дія.Підпис, атестація пристрою та проставляння LTV-штампа виконуються на нашому власному сервері, розміщеному в Німеччині.

Дія.Підпис (КНЕДП «Дія», Україна) — застосунок, у якому ви власноруч підписуєте документ-запит своїм кваліфікованим підписом. Ми не передаємо Дії ваші дані; ви самостійно користуєтеся Дією згідно з її власними умовами, а нам передаєте лише готовий підписаний файл.

Telegram — верифікація номера телефону через офіційний Bot API, обробляється згідно з Політикою конфіденційності Telegram.

Сервери позначок часу (RFC 3161) — насамперед DFN (zeitstempel.dfn.de, Німеччина). За його недоступності застосунок використовує резервних провайдерів позначок часу, деякі з яких можуть бути за межами ЄС. Ці провайдери отримують лише хеш документа, а не його зміст.

Apple / Google — апаратний модуль Secure Enclave / StrongBox для генерації ключа та атестації пристрою. Ваш ключ ніколи не передається цим компаніям.

Ми не вбудовуємо в застосунок сторонні аналітичні інструменти (Google Analytics, Facebook Pixel тощо).

6. Зберігання та захист даних

В онлайн-режимі на наш сесійний бекенд передаються лише дані, необхідні для процесу підписання. Якщо в документі немає фото, текст контракту тимчасово розміщується на сервері для доступу за посиланням. Якщо документ містить фото, додаток локально формує готовий PDF-файл, який передається другій стороні безпосередньо, оминаючи наш сервер. Під час онлайн-підписання такого PDF стороною Б до нас надходять лише криптографічні дані її підпису, без завантаження самого документа.

Строки зберігання:

— Зміст договору (онлайн-сесія): Supabase (ЄС) — до 3 годин, видаляється автоматично.

— PDF під час LTV-штампування: сервер у Німеччині — не зберігається (обробка в оперативній пам'яті).

— Підписаний у Дії документ-запит (.p7s/ASiC), ПІБ і РНОКПП у відкритому вигляді: не зберігаються (обробка в оперативній пам'яті).

— Запис-атестація особи (хеші ПІБ/РНОКПП, ключ, дата): сервер у Німеччині — до вашого запиту на видалення профілю/даних.

— Запис атестації пристрою: сервер у Німеччині — до вашого запиту на видалення профілю/даних.

— Записи телефонної верифікації (повний номер): Supabase (ЄС) — 1–3 робочі дні.

— Записи email-верифікації: Supabase (ЄС) — до 7 днів.

— Серверні журнали (IP, ідентифікатор договору, хеш): до 30 днів.

— Технічні дані лімітів тарифу: не довше, ніж потрібно для цілей розділу 4.

Чому запис-атестація зберігається довгостроково: підписані договори залишаються у сторін і можуть бути пред'явлені як доказ через роки. Атестація — це єдиний спосіб підтвердити, що ключ, яким підписано договір, був прив'язаний до верифікованої особи. Її дострокове видалення позбавляє і вас, і вашого контрагента можливості такого підтвердження.

Дані під час передавання захищені TLS; дані у стані спокою на нашій інфраструктурі шифруються провайдером. Запис-атестація додатково захищений контрольною підпис-міткою сервера: будь-яка зміна запису виявляється під час перевірки.

Доступ до продакшн-систем обмежено авторизованим персоналом і захищено двофакторною автентифікацією.

7. Ваші права

Відповідно до GDPR ви маєте право на:

— Доступ: отримати інформацію про те, які дані ми про вас зберігаємо.

— Виправлення: виправити неточні дані.

— Видалення («право бути забутим»): вимагати видалення ваших персональних даних. Запит надсилається на diikunapp@gmail.com; ми виконуємо його протягом 30 днів.

— Перенесення: отримати ваші дані в машинозчитуваному форматі.

— Заперечення / обмеження: заперечити проти певної обробки або обмежити її.

Два обмеження, зумовлені природою сервісу. (1) Дані, вшиті у вже підписані документи (ім'я, телефон, email, координати), містяться в копіях документів, що зберігаються у сторін договору, — ми технічно не можемо відкликати чи змінити ці копії, оскільки будь-яка зміна підписаного документа зруйнувала б його криптографічну цілісність. (2) Після видалення запису-атестації ні ви, ні ваш контрагент більше не зможете через наш сервіс підтвердити прив'язку вашої особи до ключа підпису за раніше підписаними договорами. У випадках, коли збереження окремих даних необхідне для встановлення, здійснення або захисту правових вимог, ми можемо відмовити у видаленні в цій частині на підставі ст. 17(3)(e) GDPR, повідомивши вас про це.

Ви також можете будь-коли відкликати згоду з дією на майбутнє. Ви маєте право подати скаргу до наглядового органу із захисту даних — зокрема до органу за місцем нашого розташування (Sachsen-Anhalt) або за місцем вашого проживання.

Щоб скористатися будь-яким із цих прав, надішліть запит на diikunapp@gmail.com. Ми відповімо протягом 30 днів.

8. Файли cookie

Мобільний застосунок Pakto не використовує файли cookie.

Наш вебсайт pakto.pro використовує виключно технічно необхідні cookie (сесійний токен, мовні налаштування) без будь-яких аналітичних або рекламних cookie.

9. Неповнолітні

Pakto призначений для осіб, які досягли 18 років. Ми свідомо не збираємо дані неповнолітніх. Якщо вам стало відомо, що дитина надала нам персональні дані — зв'яжіться з нами для їх видалення.

10. Зміни до Політики

Ми можемо оновлювати цю Політику конфіденційності. Про суттєві зміни ми повідомимо через застосунок або email не менш ніж за 14 днів до набрання ними чинності.

Актуальна версія завжди доступна на цій сторінці. Дата останнього оновлення вказана внизу.

11. Контакти

З питань конфіденційності та захисту персональних даних звертайтесь:

Email: diikunapp@gmail.com

Для загальних питань: diikunapp@gmail.com

Якщо у вас є питання щодо цієї Політики, напишіть нам на diikunapp@gmail.com — ми відповімо зрозумілою мовою, без юридичного жаргону.
Privacy Policy — Pakto