Політика конфіденційності

Останнє оновлення: 2026-05-12

Ця політика пояснює, як lawcheck.io обробляє ваші персональні дані. Вона надається відповідно до GDPR / DSGVO та німецького TDDDG.

1. Контролер даних

Контролер, відповідальний за обробку даних на цьому сайті, вказаний в Impressum.

2. Які дані ми обробляємо

  • Зміст договору — текст або файл, який ви завантажуєте для аналізу. Зберігається в базі у псевдонімізованій формі, прив'язаний до вашого акаунту якщо ви увійшли.
  • Дані акаунту — email-адреса, час входів, хеш паролю (якщо є). Magic-токени зберігаються хешованими і мають термін дії.
  • Технічні дані — IP-адреса (обробляється для обмеження частоти запитів і запобігання зловживанням; зберігається у вашій підписаній сесії та в ротованих журналах доступу сервера, не в довготривалому сховищі), user-agent, мітки часу запитів. Журнали сервера ротуються.
  • Результати аналізу — висновки по пунктах, витягнутий текст та події обробки.

3. Правова основа

  • Ст. 6 (1) (b) GDPR — виконання договору (ви надсилаєте текст для аналізу).
  • Ст. 6 (1) (f) GDPR — законний інтерес у роботі та безпеці сервісу.
  • Ст. 6(1)(a) GDPR — згода, для опційних вимірювальних cookies Google Ads та Microsoft Advertising, описаних у розділі 7. Ви можете відкликати цю згоду будь-коли через посилання «Налаштування cookies» у футері.

4. Одержувачі ваших даних

Для класифікації пунктів вашого договору ми передаємо витягнутий текст до Anthropic, PBC (Сан-Франциско, США) через Claude API. Anthropic діє як наш процесор (Auftragsverarbeiter) за DPA, який автоматично інтегрований у комерційні умови та містить EU SCC; передача в США додатково покрита сертифікацією Anthropic за EU–US Data Privacy Framework. Anthropic за замовчуванням не навчає свої моделі на даних API. Юридичне зіставлення з BGB і BGH-практикою виконується на наших серверах у регіоні eu-central-1 (Німеччина) і ніколи не покидає ЄС.

Повний DPA Anthropic доступний за адресою anthropic.com/legal/data-processing-addendum.

Перед передачею тексту договору ми автоматично видаляємо прямі ідентифікатори, які можемо надійно виявити — email-адреси, IBAN, BIC, міжнародні телефонні номери — і замінюємо їх плейсхолдерами. Жоден автоматичний фільтр не ловить усього, тому деякі персональні дані можуть залишитися. Імена та адреси навмисно не чіпаються, бо автоматичні правила не можуть відрізнити їх від звичайних німецьких іменників без спотворення змісту пунктів.

Транзакційні листи надсилаються через AWS EMEA SARL (Amazon SES, Frankfurt, eu-central-1). Хостинг — AWS у тому ж регіоні.

Платежі за кредитні пакети обробляються Stripe Payments Europe, Ltd. (Дублін) та Stripe, Inc. (Сан-Франциско, США). Дані карток вводяться на Stripe-хостинг сторінках і не потрапляють до нас. Ми отримуємо лише session ID, payment intent ID, customer ID, суму та статус. Stripe діє як наш процесор за DPA; передача в США покрита EU–US Data Privacy Framework та SCC.

Якщо — і лише якщо — ви натиснете "Прийняти" в банері згоди на cookies, факт і вартість вашої покупки (transaction id, сума, валюта) також передаються до Google Ireland Ltd. (Gordon House, Дублін, Ірландія), щоб ми могли виміряти ефективність наших Google Ads. Google Ireland є контролером даних для користувачів з ЄЕЗ і може передавати дані до Google LLC (Mountain View, США) за EU SCC та сертифікацією EU–US Data Privacy Framework. Обробка ґрунтується на вашій згоді (ст. 6 (1) (a) GDPR), і дані не використовуються для навчання AI-моделей Google. Без згоди жодних Google Ads cookies не встановлюється і дані про покупку не надсилаються до Google.

На підставі тієї самої згоди — і лише якщо ви натиснете «Прийняти» — ті самі дані про покупку (ID транзакції, сума, валюта) та стандартні HTTP-метадані, які надсилає ваш браузер (IP-адреса, user-agent), також передаються Microsoft через тег Universal Event Tracking (UET), щоб ми могли вимірювати ефективність наших кампаній Microsoft Advertising (Bing). Microsoft Ireland Operations Ltd. (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ірландія) є контролером даних для користувачів у ЄЕП і може передавати дані до Microsoft Corporation (Редмонд, США) на підставі Стандартних договірних положень ЄС та сертифікації Microsoft за EU-US Data Privacy Framework. Обробка здійснюється на підставі вашої згоди (ст. 6(1)(a) GDPR). Без згоди cookies Microsoft не встановлюються і дані про покупку не надсилаються Microsoft. Додатково діють рекламні умови конфіденційності Microsoft: privacy.microsoft.com/privacystatement.

5. Зберігання

  • Завантажені договори та результати аналізу зберігаються, поки існує ваш акаунт. Ви можете видалити акаунт у будь-який час.
  • Анонімні перевірки (без акаунту) зберігаються до 30 днів і автоматично видаляються.
  • Логи доступу до сервера зберігаються до 14 днів.
  • Записи платежів (Stripe session id, сума, статус, дата) зберігаються 10 років після покупки згідно § 147 AO і § 257 HGB. При видаленні акаунту ці записи зберігаються, але відв'язуються від профілю — їх можна ідентифікувати лише через архів інвойсів Stripe. DSGVO ст. 17 (2) (b) дозволяє таке зберігання як необхідне для дотримання правового зобов'язання.

6. Ваші права

За GDPR ви маєте право на доступ, виправлення, видалення, обмеження обробки, заперечення проти обробки та перенесення даних. Також ви маєте право подати скаргу до наглядового органу.

Як скористатися вашими правами

  • Доступ і перенесення (ст. 15 + ст. 20): увійти в Налаштування та скористайтеся "Експортувати мої дані (JSON)", щоб завантажити архів акаунту, перевірок і токенів.
  • Видалення (ст. 17): увійти в Налаштування та скористайтеся розділом "Видалити акаунт". Видалення негайне та незворотнє — акаунт, усі перевірки, результати, події обробки та API-токени видаляються.
  • Виправлення, обмеження або заперечення: напишіть нам за адресою в Impressum.

7. Cookies та локальне сховище

Ми розрізняємо дві групи сховища на вашому пристрої:

  • Суворо необхідні — встановлюються без згоди згідно з § 25 (2) TDDDG. Охоплюють вхід, захист CSRF, ваші мовні та темові налаштування, а також збереження самого вибору в банері cookies.
  • Опційні (вимірювання Google Ads та Microsoft Advertising) — встановлюються лише якщо ви натиснете «Прийняти» у банері cookies. Правова підстава — ст. 6(1)(a) GDPR. Доки ви не зробите вибір, і gtag.js від Google, і тег UET від Microsoft працюють у режимі згоди з ad_storage=denied — cookies Google чи Microsoft не записуються; надсилаються лише агреговані, безкукові пінги моделювання.

Ви можете змінити вибір у будь-який час через посилання "Налаштування cookies" у футері. Відкликання згоди забуває попередню відповідь і зупиняє запис Google Ads cookies при наступних завантаженнях; вже наявні cookies можна видалити в налаштуваннях браузера.

Що саме збирається і навіщо

Якщо ви приймаєте, gtag.js зберігає один first-party cookie (_gcl_au) на вашому пристрої. У ньому випадковий ідентифікатор, що зв'язує сесію з кліком Google Ads. Cookie не містить імені, email, платіжних даних або змісту договору.

Коли ви завершуєте покупку, до Google передається: Stripe session ID як ідентифікатор транзакції, сума, валюта, ідентифікатор конверсії Google Ads та стандартні HTTP-метадані (IP, user-agent, referer).

Ці дані використовуються Google виключно для: (a) підрахунку і атрибуції конверсій до кампанії, групи оголошень та ключового слова, (b) оптимізації стратегії ставок для подібних кліків ("Smart Bidding"), (c) побудови агрегованих, анонімних оцінок для користувачів без згоди. Дані не використовуються для навчання моделей Google і не передаються іншим рекламодавцям.

Google зберігає записи конверсій до 26 місяців у нашому акаунті Google Ads. Додатково застосовуються їхні власні правила реклами: policies.google.com/technologies/ads.

Якщо ви погоджуєтесь, тег UET від Microsoft так само зберігає на вашому пристрої cookies (MUID, _uetsid, _uetvid), які пов'язують ваш браузер із кліком по рекламі Microsoft/Bing, що привів вас сюди, і передає ті самі дані про покупку, щоб конверсію можна було віднести до відповідної кампанії та оптимізувати майбутні ставки. Cookies не містять вашого імені, e-mail-адреси, платіжних даних чи змісту договору. Додатково діють рекламні умови конфіденційності Microsoft: about.ads.microsoft.com.

Окрім покупок, конверсійна подія також спрацьовує, коли ви надсилаєте договір на безкоштовну перевірку, щоб ми могли виміряти, через яку кампанію Google Ads чи Microsoft Advertising ви до нас потрапили. Ця подія передає лише сигнал конверсії та стандартні HTTP-метадані вашого браузера — без вмісту договору і без імені, електронної адреси чи платіжних даних — і підпадає під ту саму згоду та ту саму поведінку Consent Mode, що описані вище.

Ім'я Тип Призначення Термін зберігання
_lawcheck_key Cookie сесії (необхідний) Тримає вас в системі, зберігає CSRF та локаль. Сесія (очищається при закритті браузера) або 60 днів з 'запам'ятати мене'
phx:theme localStorage (необхідне) Запам'ятовує ваш вибір світлої/темної теми. Поки ви не очистите
lawcheck_consent_marketing localStorage (необхідне) Зберігає ваш вибір Прийняти/Відхилити для Google Ads cookies. Поки ви не очистите або не зміните через "Налаштування cookies"
_gcl_au Google Ads (потрібна згода) Вимірює, чи привели наші Google Ads до покупки. Встановлюється gtag.js — лише після натискання Прийняти. 90 днів
MUID, _uetsid, _uetvid Microsoft Advertising (потрібна згода) Вимірює, чи привела наша реклама Microsoft/Bing до покупки. Встановлюється тегом UET від Microsoft — лише після натискання «Прийняти». _uetsid: 1 день; MUID та _uetvid: до 390 днів

8. Безпека

Трафік шифрується TLS (Let's Encrypt). Паролі (якщо встановлені) хешуються bcrypt. Magic-токени одноразові та короткочасні.

9. Зміни

Ми можемо оновлювати цю політику. Поточна версія завжди доступна за цим URL; дата вгорі — останнє оновлення.

Імпресум · Юридичне застереження