УвійтиПочати

Політика конфіденційності

Дата набрання чинності: 15 березня 2026 року

Дата останнього оновлення: 15 березня 2026 року

Ця Політика конфіденційності описує, як сервіс BossPost збирає, використовує, зберігає та захищає персональні дані користувачів.

1. Загальні положення

1.1. Ця Політика конфіденційності (далі — Політика) застосовується до сайту та сервісу BossPost (далі — Сервіс), який призначений для публікації, планування та керування контентом у соціальних мережах.

1.2. Політика поширюється на всіх користувачів Сервісу, зокрема:

  • відвідувачів сайту;
  • зареєстрованих користувачів;
  • користувачів, які підключають соціальні мережі до Сервісу.

1.3. Використовуючи Сервіс, користувач підтверджує, що ознайомився з цією Політикою та погоджується з її положеннями.

1.4. Якщо користувач не погоджується з умовами цієї Політики, він повинен припинити використання Сервісу.

2. Хто ми

2.1. Володільцем та оператором персональних даних у межах роботи Сервісу BossPost є:

  • ФОП Бондарчук Олександр Юрійович
  • Email для зв’язку: support@bosspost.io
  • Вебсайт: https://bosspost.io

2.2. Якщо у вас є питання щодо обробки персональних даних, ви можете звернутися до нас за контактами, зазначеними в розділі 10. Контакти.

3. Які дані збираємо

Ми збираємо лише ті дані, які необхідні для роботи Сервісу, надання його функцій та виконання юридичних зобов’язань.

3.1. Дані, які користувач надає під час реєстрації та використання Сервісу

  • email-адреса;
  • дані, необхідні для верифікації email (одноразовий код / OTP);
  • інші дані, які користувач може надати добровільно в профілі або під час звернення в підтримку.
  • технічні дані для захисту від зловживань під час OTP-автентифікації (наприклад, IP-адреса, user-agent, кількість спроб, час створення та строк дії коду).

3.2. Дані, отримані через OAuth / підключення соціальних мереж

Під час підключення соціальних платформ ми можемо отримувати та обробляти:

  • ім’я/назву акаунта або каналу;
  • username/handle;
  • зовнішні ідентифікатори акаунта/сторінки/каналу;
  • токени доступу (access token);
  • токени оновлення (refresh token), якщо вони надаються платформою;
  • технічні параметри дозволів (scopes/permissions);
  • службові метадані інтеграції (наприклад, строк дії токенів, статус підключення).

3.3. Дані, пов’язані з контентом та використанням Сервісу

  • тексти постів, чернетки, заплановані публікації;
  • медіафайли (зображення, відео та інші файли, які користувач завантажує для публікації);
  • технічні атрибути медіафайлів (MIME-тип, розмір файлу, службовий шлях/ідентифікатор у сховищі);
  • службові дані публікацій та доставки контенту (часи планування/публікації, статуси доставки, коди та тексти помилок платформи);
  • дані, пов’язані з керуванням контентом, плануванням і командною роботою в межах Сервісу.
  • параметри робочого простору/організації, необхідні для командної роботи, ролей і прав доступу.

3.4. Платіжні та тарифні дані

Якщо користувач користується платними тарифами, ми можемо обробляти:

  • обраний тарифний план;
  • статус підписки;
  • технічні дані про оплату (наприклад, ідентифікатор рахунку/транзакції, статус платежу, валюта, сума, історія білінгових подій);
  • технічні платіжні ідентифікатори, які може повертати платіжний провайдер для повторних списань або синхронізації платежів (наприклад, tokenized card identifier або wallet identifier);
  • дані для обліку білінгу та фінансового обліку.

Важливо: ми не зберігаємо дані банківських карток користувачів. Якщо/коли обробка платежів здійснюється стороннім платіжним провайдером, платіжні реквізити обробляються таким провайдером відповідно до його політик та стандартів безпеки.

3.5. Cookies та подібні технології

BossPost використовує cookies та подібні технології лише в обсязі, необхідному для роботи Сервісу (автентифікація, безпека, інтеграції із соціальними платформами).

3.5.1. Необхідні (технічні) cookies

Ми використовуємо такі cookies:

  • sid — cookie сесії авторизованого користувача (вхід у Сервіс). Строк зберігання: до 30 днів (або до виходу з акаунта / завершення сесії).
  • Тимчасові cookies для OAuth-підключень соціальних платформ (захист від підміни запитів, коректне завершення авторизації), зокрема:
    • meta_oauth_state, meta_oauth_intent, meta_oauth_popup
    • ig_oauth_state, ig_oauth_popup
    • tiktok_oauth_state, tiktok_oauth_popup
    • youtube_oauth_state, youtube_oauth_popup
    • threads_oauth_state, threads_oauth_popup
    Строк зберігання: до 10 хвилин (видаляються після завершення callback-процесу).

Ці cookies не використовуються для реклами або профілювання користувачів.

3.5.2. Атрибути безпеки cookies

Для технічних cookies застосовуються захисні атрибути (залежно від типу cookie та середовища), зокрема:

  • HttpOnly (для захисту від доступу через JavaScript),
  • SameSite=Lax,
  • Secure (у production через HTTPS),
  • обмеження шляху (Path=/).

3.5.3. Local Storage (подібні технології)

Окрім cookies, у веб-додатку може використовуватися localStorage для збереження технічних UI-налаштувань (наприклад, параметрів відображення календаря та фільтрів). Такі дані не використовуються для рекламного трекінгу.

3.5.4. Аналітичні та маркетингові cookies

Станом на дату останнього оновлення цієї Політики BossPost не використовує власні cookies для маркетингового трекінгу або рекламного профілювання.

3.5.5. Керування cookies

Користувач може керувати cookies через налаштування браузера (блокувати або видаляти їх). Водночас відключення технічних cookies може призвести до некоректної роботи авторизації, інтеграцій із соціальними платформами та окремих функцій Сервісу.

4. Як і для чого використовуємо дані

Ми використовуємо дані користувачів виключно для законних цілей, пов’язаних із роботою Сервісу BossPost, зокрема для:

  • реєстрації та автентифікації користувачів;
  • надання доступу до функцій Сервісу;
  • підключення соціальних мереж і керування ними;
  • публікації та планування контенту;
  • аналітики ефективності та формування звітів;
  • роботи командних ролей і доступів;
  • підтримки користувачів;
  • забезпечення безпеки та запобігання зловживанням;
  • покращення продукту та його функціональності;
  • білінгу та обліку оплат;
  • виконання юридичних обов’язків.

Ми не використовуємо персональні дані для цілей, несумісних із зазначеними вище, без додаткового повідомлення користувача, якщо інше не вимагається законом.

4.1. Правові підстави обробки

Залежно від конкретної ситуації, ми можемо обробляти дані на таких підставах: виконання договору або надання сервісу на запит користувача, законний інтерес (зокрема безпека, запобігання зловживанням, підтримка та вдосконалення продукту), виконання юридичних зобов’язань, а також згода користувача там, де вона вимагається застосовним законодавством.

5. Кому передаємо

Ми не продаємо персональні дані користувачів третім особам.

Ми можемо передавати або розкривати дані лише в обсязі, необхідному для роботи Сервісу, зокрема таким категоріям отримувачів:

5.1. Соціальні платформи та API

  • соціальні платформи / API (зокрема Meta, Threads, Instagram та інші, які користувач підключає до Сервісу) — у межах функцій Сервісу, таких як авторизація, публікація, планування контенту, отримання дозволених даних облікового запису.

5.2. Інфраструктурні сервіси та технічні провайдери

  • Supabase — для роботи бази даних та файлового сховища, які використовуються в BossPost;
  • Resend — для доставки OTP-кодів і службових email-повідомлень;
  • Monobank — для обробки платежів і підписок у межах платних тарифів.

5.3. У випадках, передбачених законом

Ми можемо розкрити дані, якщо це вимагається законодавством, рішенням суду або запитом уповноважених органів.

5.4. Email-провайдери та комунікаційні сервіси

Ми можемо передавати email-адресу та службові дані повідомлення провайдерам email-доставки для надсилання OTP-кодів, сервісних та транзакційних листів.

5.5. Хмарна інфраструктура та сховище

Ми можемо передавати дані інфраструктурним провайдерам (зберігання файлів, база даних, хостинг, мережеві сервіси) в обсязі, необхідному для роботи BossPost.

5.6. Платіжна інфраструктура (за наявності інтеграції)

У разі використання зовнішнього платіжного провайдера дані, необхідні для обробки платежу, передаються такому провайдеру в межах платіжного процесу.

6. Зберігання даних

Ми зберігаємо дані лише протягом строку, необхідного для досягнення цілей, зазначених у цій Політиці, якщо інший строк не вимагається законом.

6.1. Орієнтовні строки зберігання

  • акаунтні дані — поки акаунт активний; після запиту на видалення персональні дані видаляються або анонімізуються, однак окремі мінімально необхідні технічні записи можуть зберігатися довше для цілей безпеки, запобігання зловживанням, технічного обліку та виконання юридичних зобов’язань;
  • OTP-коди мають обмежений строк дії (як правило, до 10 хвилин), при цьому технічні записи про запити/спроби можуть зберігатися довше для безпеки та аудиту;
  • сесійні дані автентифікації зберігаються протягом строку дії сесії (зазвичай до 30 днів) або до дострокового завершення сесії (logout/відкликання);
  • контент та медіафайли — поки вони зберігаються користувачем у Сервісі або до їх видалення;
  • токени доступу (access/refresh tokens) — до відкликання користувачем, завершення строку дії, відключення інтеграції або видалення акаунта/підключення.
  • дані підписок, білінгу та фінансового обліку можуть зберігатися довше, якщо цього вимагає законодавство або облікові вимоги.
  • мінімальні технічні маркери, потрібні для безпеки та запобігання зловживанням (наприклад, незворотний hash email після видалення акаунта), можуть зберігатися довше в обмеженому обсязі.

6.2. Після завершення строку зберігання дані видаляються або анонімізуються, якщо інше не вимагається законом чи технічною необхідністю для захисту Сервісу.

7. Захист даних

7.1. Ми застосовуємо розумні технічні та організаційні заходи для захисту персональних даних від несанкціонованого доступу, зміни, втрати, розголошення або знищення.

7.2. Зокрема, ми використовуємо:

  • HTTPS / шифрування під час передачі даних;
  • контроль доступу до систем та даних;
  • обмеження доступу за ролями;
  • криптографічні механізми для захисту чутливих технічних секретів (зокрема токенів інтеграцій);
  • механізми захисту OTP-кодів і сесійних ідентифікаторів, спрямовані на мінімізацію ризику компрометації;
  • технічні та організаційні заходи безпеки, спрямовані на захист інфраструктури та даних.

7.3. Доступ до даних обмежується принципом необхідності доступу (need-to-know).

7.4. Водночас жоден спосіб передавання або зберігання даних в Інтернеті не може гарантувати абсолютну безпеку. Тому ми не можемо гарантувати 100% захист, але постійно працюємо над підвищенням рівня безпеки.

8. Права користувача

Залежно від застосовного законодавства, користувач може мати право:

  • знати, які персональні дані про нього обробляються;
  • отримати доступ до своїх персональних даних;
  • вимагати виправлення неточних або неповних даних;
  • вимагати видалення персональних даних;
  • заперечити проти певної обробки даних або вимагати її обмеження (у випадках, передбачених законом);
  • відкликати згоду на обробку даних (якщо обробка базується на згоді).

Щоб реалізувати свої права, користувач може звернутися до нас за контактами, зазначеними в розділі 10. Контакти.

Користувач також може мати право подати скаргу до уповноваженого органу із захисту персональних даних відповідно до застосовного законодавства.

9. Видалення даних

9.1. Користувач може самостійно ініціювати видалення акаунта в інтерфейсі BossPost у розділі “Налаштування” → “Профіль”.

9.2. Інструкція щодо видалення даних також доступна на окремій публічній сторінці.

9.3. Якщо користувач не має активної платної підписки, видалення акаунта може бути виконане одразу після підтвердження запиту.

9.4. Якщо на акаунті є активна платна підписка, ми спочатку скасовуємо майбутні списання, а саме видалення виконуємо після завершення поточного вже оплаченого періоду.

9.5. Після видалення акаунта ми, залежно від характеру даних та технічної необхідності:

  • видаляємо активні сесії та службові токени доступу;
  • відключаємо або видаляємо інтеграції із зовнішніми платформами;
  • видаляємо або анонімізуємо персональні дані облікового запису;
  • видаляємо або очищаємо пов’язані з акаунтом чернетки, канали, медіаоб’єкти та інші дані, які більше не потрібні для роботи сервісу або виконання юридичних обов’язків.

9.6. Водночас окремі записи можуть зберігатися після видалення акаунта, якщо це необхідно для бухгалтерського, фінансового, юридичного або безпекового обліку, а також для запобігання зловживанням сервісом. У таких випадках ми обмежуємо обсяг даних до мінімально необхідного та, де це можливо, анонімізуємо їх. Для anti-abuse цілей ми також можемо зберігати мінімальний технічний маркер на кшталт незворотного hash email.

9.7. Після видалення акаунта або за окремим запитом ми також обробляємо відключення інтеграцій із соціальними платформами в межах наших технічних можливостей; однак окремі дані можуть продовжувати зберігатися на стороні відповідної платформи згідно з її правилами та політиками.

9.8. Якщо користувач не має доступу до акаунта, він може звернутися із запитом на видалення даних за контактами, вказаними в розділі 10.

10. Контакти

З питань, пов’язаних із цією Політикою конфіденційності, обробкою персональних даних або запитами на видалення даних, будь ласка, звертайтеся:

  • BossPost
  • Email: support@bosspost.io
  • Вебсайт: https://bosspost.io

11. Оновлення політики

11.1. Ми можемо час від часу оновлювати цю Політику конфіденційності, зокрема у зв’язку зі змінами функціоналу Сервісу, вимог законодавства або інтеграцій із третіми сторонами.

11.2. У разі оновлення ми змінюємо дату останнього оновлення, зазначену на початку документа.

11.3. Продовження використання Сервісу після публікації оновленої редакції Політики означає ознайомлення користувача з такими змінами.