Політика конфіденційності

Сервіс JustCRM (crm.justsolution.org) · Чинна з 04 травня 2026 року

Ця Політика конфіденційності (далі — «Політика») описує, які персональні дані збирає, обробляє та зберігає ФОП Маринович Станіслав Степанович (далі — «ми», «Провайдер») під час надання вам доступу до хмарного програмного сервісу JustCRM (далі — «Сервіс»), розміщеного за адресою https://crm.justsolution.org.

Ми ставимося до конфіденційності користувачів і їхніх клієнтів як до однієї з ключових цінностей продукту, орієнтованого на юристів. Політика розроблена з урахуванням Закону України «Про захист персональних даних» № 2297-VI та Регламенту ЄС 2016/679 (GDPR). Якщо ви маєте запитання щодо цієї Політики або ваших даних — пишіть нам на stanislav.marynovych@justsolution.org.

1. Загальні положення

1.1. Фізична особа — підприємець Маринович Станіслав Степанович (ІПН: 3804905572, адреса: 79053, Львівська обл., м. Львів, вул. Перфецького, буд. 5, кв. 11) є володільцем (контролером) персональних даних, що обробляються в рамках надання Сервісу JustCRM.

1.2. Сервіс — це хмарне рішення для управління юридичною практикою (SaaS): ведення матерів/проєктів, клієнтів, договорів, інвойсів, обліку часу, документообігу, кореспонденції та використання AI-помічника. Сервіс призначений для дорослих професіоналів, переважно юристів та юридичних компаній.

1.3. Ця Політика поширюється на всі персональні дані, які ми обробляємо в процесі надання Сервісу, незалежно від того, чи ці дані стосуються самого Користувача (юриста, що зареєструвався), чи його клієнтів та контактів, які він вносить у Сервіс.

1.4. Користуючись Сервісом, ви підтверджуєте, що ознайомились із цією Політикою, розумієте та приймаєте її умови. Якщо ви не погоджуєтесь з будь-яким положенням Політики — будь ласка, не користуйтеся Сервісом.

1.5. Сервіс орієнтований переважно на користувачів з України. Якщо ви перебуваєте на території ЄС — до обробки ваших персональних даних застосовуються положення GDPR, які детально описані в розділах 4, 8 та 11 цієї Політики.

2. Контролер даних та контакти

2.1. Контролером (володільцем) персональних даних є: Фізична особа — підприємець Маринович Станіслав Степанович, ІПН: 3804905572, адреса: 79053, Львівська обл., м. Львів, вул. Перфецького, буд. 5, кв. 11.

2.2.Контактна особа з питань захисту персональних даних / запитів суб'єктів даних: пишіть на stanislav.marynovych@justsolution.org. Окремого Data Protection Officer (DPO) у розумінні ст. 37 GDPR ми не призначали, оскільки наша діяльність не належить до тих, що вимагають обов'язкового призначення DPO. Усі запити обробляє відповідальна особа Провайдера у термін до 30 календарних днів.

2.3. Загальні питання щодо роботи Сервісу: stanislav.marynovych@justsolution.org.

3. Які персональні дані ми збираємо

3.1. Дані Користувача (особи, що зареєструвалась у Сервісі)

Це дані самого юриста або співробітника юридичної фірми, який створив акаунт у JustCRM. Ми збираємо:

  • адреса електронної пошти (використовується як логін);
  • ім'я, прізвище, по батькові (за бажанням);
  • URL аватара (за бажанням);
  • пароль — зберігається виключно у вигляді криптографічного хешу за алгоритмом bcrypt; чистий пароль не зберігається ніколи;
  • обрана мова інтерфейсу (українська або англійська);
  • статус підтвердження email (is_confirmed);
  • технічні токени автентифікації (refresh-токени, токени відновлення паролю з обмеженим терміном дії);
  • приналежність до Організацій (Multi-tenant зв'язки).

3.2. Дані Контактів (клієнтів та контрагентів Користувача)

Це найчутливіша частина даних, що обробляються в Сервісі. Користувач (юрист) вносить у Сервіс дані щодо своїх клієнтів та контрагентів. Стосовно фізичних осіб ми можемо зберігати:

  • прізвище, ім'я, по батькові;
  • ідентифікаційний номер платника податків (РНОКПП/ІПН);
  • паспортні дані (серія, номер, дата видачі, орган видачі, термін дії);
  • дату та місце народження, громадянство;
  • адреси (країна, область, район, місто, вулиця, поштовий індекс);
  • номери телефонів, email-адреси, контакти в месенджерах;
  • банківські реквізити (IBAN, SWIFT, назва банку, криптогаманці);
  • веб-сайт.

Стосовно юридичних осіб ми можемо зберігати:

  • найменування, ЄДРПОУ;
  • організаційно-правову форму;
  • адреси, контактні дані;
  • ПІБ керівника, посаду, документ-підставу для діяльності;
  • банківські реквізити.

Важливо. Користувач (юрист), який вносить ці дані до Сервісу, виступає у ролі володільця (контролера) цих персональних даних щодо своїх клієнтів. Ми, як Провайдер, у цій частині виступаємо розпорядником (процесором) та обробляємо дані виключно за дорученням Користувача та з метою технічного забезпечення роботи Сервісу. Користувач самостійно відповідає за наявність правових підстав для обробки таких даних.

3.3. Дані Договорів, Проєктів, Інвойсів, Завдань

  • Договори: сторони, реквізити, ПІБ уповноважених осіб, IBAN/SWIFT, умови оплати, тарифи, опис послуг, посилання на шаблони.
  • Проєкти/матери: назва, опис, статус, дати, сума та валюта, відповідальні виконавці.
  • Інвойси: номер, дати, сторони, рядки виставлення, суми, ПДВ.
  • Банківські рахунки: IBAN, SWIFT, назва банку, валюта, прив'язка до контакту.
  • Завдання, активність (час-трекінг), нотатки.

3.4. Календар та кореспонденція (інтеграції)

За вашим явним вибором (через OAuth-авторизацію) Сервіс може отримувати доступ до:

  • Google Calendar та Outlook Calendar — для синхронізації подій;
  • Gmail та Outlook (Microsoft Graph) — для перегляду списку та змісту листів і надсилання листів від вашого імені;
  • Google Drive та OneDrive — для прив'язки файлів до записів CRM.

Ми зберігаємо в нашій базі лише OAuth-токени доступу (зашифровано), метадані вашого облікового запису (email, ID акаунта) та шаблони листів. Самі тіла листів та зміст файлів не дублюються в нашій базі. Ви можете відкликати доступ у будь-який момент.

3.5. Файлове сховище

Ви можете завантажувати документи, шаблони, зображення. Файли зберігаються в нашому об'єктному сховищі. Кожен файл доступний лише авторизованим користувачам відповідної Організації.

3.6. AI-помічник, голосові функції та RAG

Ці функції потребують особливої уваги — див. також розділ 7. Ми обробляємо:

  • ai_conversation — повну історію ваших розмов з AI-помічником;
  • transcription — транскрипти ваших голосових повідомлень (через Whisper);
  • rag_chunk, rag_query — фрагменти ваших документів та їх векторні представлення (embeddings) у векторній базі Qdrant;
  • ai_usage — журнал викликів LLM (провайдер, модель, кількість токенів) — без самих текстів промптів.

3.7. Технічні дані та логи

  • IP-адреси (тимчасово в логах для захисту від зловживань);
  • User-Agent браузера, тип пристрою;
  • час запитів та коди відповідей;
  • журнали безпекових подій (невдалі спроби входу).

3.8. Налаштування Організації

  • назва Організації, invite-tag;
  • AI-налаштування (обраний провайдер, модель, температура, ліміти, системний промпт, brand voice);
  • тема брендингу (HEX-кольори).

4. Цілі та правові підстави обробки

Ми обробляємо ваші персональні дані для таких цілей та на таких правових підставах (Закон України № 2297-VI / GDPR ст. 6):

Мета обробкиКатегорії данихПравова підстава
Створення та обслуговування акаунта, надання СервісуДані Користувача (3.1), технічні дані (3.7)Виконання Договору — ст. 6(1)(b) GDPR
Зберігання та обробка даних клієнтів КористувачаДані Контактів (3.2), Договорів, Проєктів (3.3)Виконання Договору з Користувачем; Користувач — самостійний контролер
Інтеграції з Google/MicrosoftOAuth-токени, дані з Google/Microsoft (3.4)Згода Користувача — ст. 6(1)(a) GDPR
Робота AI-помічника, голосових функцій, RAGДані з 3.6, релевантні дані з 3.2-3.5Виконання Договору; згода на передачу LLM-провайдерам
Безпека Сервісу, rate-limitingIP-адреси, журнали (3.7)Законний інтерес — ст. 6(1)(f) GDPR
Транзакційні листиEmail, токени (3.1)Виконання Договору
Дотримання вимог законодавстваБудь-які з вищезазначенихЮридичний обов'язок — ст. 6(1)(c) GDPR

Маркетингові розсилки. Ми не надсилаємо маркетингових листів без вашої окремої згоди. Якщо ми додамо такі розсилки в майбутньому — вони будуть із чітким механізмом opt-in / opt-out.

5. Cookies та локальне сховище браузера

5.1. Сервіс не використовує маркетингових або аналітичних cookies. Ми не передаємо інформацію про вашу поведінку рекламним брокерам.

5.2. Для роботи Сервісу ми використовуємо localStorage браузера для: токенів автентифікації, мови інтерфейсу, технічних налаштувань UI.

5.3. Ці записи є суто технічними — вони не використовуються для трекінгу між сайтами.

5.4. На публічних сторінках ми можемо в майбутньому використовувати cookies для аналітики з cookie-banner (opt-in).

6. Кому ми передаємо дані (підпроцесори)

Для надання Сервісу ми залучаємо третіх сторін (підпроцесорів). Дані не передаються рекламним мережам чи data-брокерам.

ПідпроцесорПризначенняЯкі дані передаютьсяЮрисдикція
Groq, Inc.STT (Whisper) + LLM-інференсТранскрипти голосу, тексти запитів, контекст з CRMСША
OpenAI / Anthropic / Google GeminiАльтернативні LLM-провайдериТе ж, що й для GroqСША / ЄС
Google LLCCalendar, Gmail, Drive (OAuth)OAuth-токени, дані запитів до Google APIСША / ЄС
Microsoft CorporationOutlook, OneDrive, Calendar (OAuth)OAuth-токени, дані запитів до Microsoft GraphСША / ЄС

7. AI-помічник та обробка даних мовними моделями

7.1.Коли ви користуєтесь AI-помічником, система формує промпт, який може містити ваше ім'я, email, назву Організації та релевантні дані з CRM.

7.2. Якщо ви вмикаєте RAG, завантажений документ розбивається на фрагменти, для яких обчислюються embeddings.

7.3. У ai_usage зберігається лише статистика, без текстів запитів. У ai_conversation зберігається повний текст розмов.

7.4. Адміністратор Організації може вимкнути AI-функції в налаштуваннях.

7.5. Ми не тренуємо власні моделі на ваших даних. Підпроцесори за умовами їхніх API-планів не використовують вхідні дані API для тренування.

8. Транскордонна передача даних

8.1. Деякі підпроцесори розташовані за межами України та ЄС (переважно США). Передача здійснюється на підставі стандартних договірних застережень (SCC) та EU-US Data Privacy Framework.

8.2. Ми вживаємо технічних заходів безпеки при передачі (TLS 1.2+, обмежений набір даних).

9. Терміни зберігання даних

Якщо ви видалите акаунт або Організацію — м'яке видалення протягом 30 днів, після чого дані остаточно видаляються. Резервні копії зберігаються не більше 90 днів.

Категорія данихТермін зберігання
Активний акаунт КористувачаДоки акаунт не видалено
Неактивний акаунт (без логіну)12 місяців → попередження; ще 6 місяців → видалення
Дані Контактів та ПроєктівДоки Користувач не видалить; soft-delete 30 днів
Історія розмов з AI-помічником365 днів
Голосові транскрипти90 днів
Журнал ai_usage24 місяці
Токени автентифікаціїДо закінчення терміну дії або відкликання
Технічні логи (IP, User-Agent)До 30 днів
Бухгалтерські документиНе менше 3 років

10. Безпека даних

Ми застосовуємо технічні та організаційні заходи: bcrypt для паролів, JWT з підписом HS256, HTTPS (TLS 1.2+), rate-limiting, multi-tenant ізоляція, CORS, presigned URL для файлів, 2FA (планується). У разі інциденту безпеки ми повідомимо вас та наглядові органи.

11. Ваші права як суб'єкта персональних даних

Згідно із Законом України № 2297-VI та GDPR ви маєте права на: доступ, виправлення, видалення, обмеження обробки, переносимість даних, заперечення, відкликання згоди, подання скарги. Для реалізації прав пишіть на stanislav.marynovych@justsolution.org. Відповідь — до 30 календарних днів.

12. Користувач як контролер даних своїх клієнтів

Якщо ви вносите до JustCRM персональні дані своїх клієнтів, ви виступаєте контролером цих даних. Ми виступаємо процесором. На запит ми готові підписати DPA (ст. 28 GDPR).

13. Діти

Сервіс призначений для дорослих професіоналів і не орієнтований на осіб до 18 років.

14. Зміни до Політики

Ми можемо оновлювати цю Політику. Про істотні зміни повідомимо не пізніше ніж за 30 днів.

15. Контакти

Контролер: ФОП Маринович Станіслав Степанович

ІПН: 3804905572

Адреса: 79053, Львівська обл., м. Львів, вул. Перфецького, буд. 5, кв. 11

Email: stanislav.marynovych@justsolution.org

Сервіс: https://crm.justsolution.org

Дата набрання чинності: 04 травня 2026 року