Політика конфіденційності
Ця Політика конфіденційності описує, як KnowStack («ми», «нас» або «наш») збирає, використовує, зберігає та захищає вашу інформацію, коли ви користуєтеся нашою платформою управління знаннями.
Останнє оновлення: 22 березня 2026 р.
1. Вступ
Ця Політика конфіденційності поширюється на всіх користувачів KnowStack, доступного за адресою knowstack.ai. Вона описує наші практики щодо збору, використання, зберігання, обміну та захисту ваших персональних даних.
Контролер даних: Nest Artem Dolmatov, ul. Wroclawska 79, 30-017 Kraków, Польща
Контакт: [email protected]
Ми зобов'язуємося захищати вашу конфіденційність та обробляти ваші персональні дані законно, справедливо й прозоро. Якщо у вас є запитання щодо цієї політики, зв'яжіться з нами за наведеними вище контактами.
2. Які дані ми збираємо
Дані облікового запису
Під час створення облікового запису ми збираємо:
- Адресу електронної пошти
- Ім'я
- Пароль (зберігається у вигляді хешу bcrypt — ми ніколи не зберігаємо паролі у відкритому вигляді)
- Назву компанії / організації
- Аватар профілю (за бажанням, у хмарному сховищі)
- Секрет двофакторної автентифікації (зашифрований, якщо ви ввімкнете 2FA)
Дані з підключених сервісів
За вашою явною згодою ми отримуємо доступ і обробляємо дані з сервісів, які ви підключаєте:
- Дані електронної пошти (Gmail, IMAP): повідомлення електронної пошти, включно з темами, інформацією про відправника/отримувача, тілом повідомлень і часовими мітками. Для Gmail використовується OAuth 2.0 з областю тільки для читання — ми ніколи не бачимо й не зберігаємо ваш пароль Google.
- Контент вебсайтів: публічно доступний вміст вебсторінок із URL-адрес, які ви надаєте для індексування.
- Завантажені документи: файли, які ви завантажуєте (PDF, DOCX, TXT, CSV, Markdown) — до 50 МБ на файл.
- Повідомлення Slack: повідомлення каналів, треди й метадані з робочих просторів, підключених через OAuth.
- Повідомлення Telegram: повідомлення чатів і метадані з облікових записів, які ви автентифікуєте.
- Транскрипти зустрічей: вміст транскриптів і метадані (назва, дата, учасники, тривалість) із завантажених файлів.
Дані використання
Ми автоматично збираємо:
- IP-адреси й приблизне геопозиціонування (на рівні країни/міста)
- Тип браузера, операційну систему та інформацію про пристрій
- Відвідані сторінки, використовувані функції та виконані дії в межах Сервісу
- Виконані операції AI (тип, використана модель, оброблені токени, вартість)
- Часові мітки ваших взаємодій із Сервісом
Платіжні дані
Коли ви оформляєте платний план, ми збираємо й зберігаємо:
- Ідентифікатор клієнта Stripe (обробку платежів виконує Stripe — ми не зберігаємо повних номерів кредитних карток)
- Деталі способу оплати (бренд картки та лише останні 4 цифри)
- Історію рахунків і суми платежів
- Журнал використання AI (тип операції, вартість, період оплати)
3. Правові підстави обробки (стаття 6 GDPR)
Ваші персональні дані ми обробляємо на таких правових підставах:
| Правова підстава | Діяльність з обробки |
|---|---|
| Виконання договору (ст. 6(1)(b)) |
Створення облікового запису й керування ним; надання Сервісу, включно з генерацією Бази знань, AI-функціями та підключенням джерел даних; обробка підписок і платежів; підтримка клієнтів |
| Законний інтерес (ст. 6(1)(f)) |
Моніторинг безпеки та запобігання шахрайству; покращення сервісу та налагодження; журналювання активності для аудиту; аналітика використання для покращення функцій платформи |
| Згода (ст. 6(1)(a)) |
Аналітичні файли cookie (Google Analytics) — лише за вашою явною згодою через банер cookie; підключення необов'язкових сторонніх джерел даних; маркетингові комунікації (за наявності) |
| Юридичне зобов'язання (ст. 6(1)(c)) |
Ведення податкових і платіжних записів; реагування на законні запити органів влади; дотримання правил захисту даних |
4. Як ми використовуємо ваші дані
Зібрані дані ми використовуємо для:
- Надання, підтримки й удосконалення Сервісу
- Генерування й організації Баз знань із підключених джерел даних
- Обробки запитів AI з використанням вмісту вашої Бази знань як контексту
- Автентифікації вашої особи й керування обліковим записом і дозволами
- Обробки платежів і керування вашою підпискою
- Надсилання сервісних комунікацій (підтвердження облікового запису, попередження безпеки, платіжні повідомлення, оновлення тікетів підтримки)
- Відповідей на ваші запити та звернення в підтримку
- Моніторингу й аналізу шаблонів використання для покращення платформи
- Виявлення, запобігання й усунення загроз безпеці й технічних проблем
- Дотримання юридичних зобов'язань
Чого ми НЕ робимо:
- Не продаємо ваші персональні дані третім сторонам — ніколи
- Не використовуємо ваші дані для реклами чи націлювання
- Не використовуємо ваші дані для тренування, розробки чи покращення моделей AI загального призначення
- Не передаємо вміст вашої Бази знань іншим користувачам чи організаціям
- Не отримуємо доступ до ваших підключених облікових записів без явної згоди
- Не використовуємо дані, отримані через API Google, для цілей, що виходять за межі надання Сервісу
5. Обробка даних AI
Коли ви користуєтеся функціями на основі AI, ваші дані обробляються наступним чином:
Які дані надсилаються до постачальників AI
- Текстовий вміст із підключених джерел даних, документів або Баз знань — лише фрагменти, що стосуються конкретної ініційованої вами AI-операції
- Ваші пошукові запити під час використання пошуку на основі AI
- Системні підказки та параметри конфігурації (вони не містять персональних даних)
Які дані НЕ надсилаються до постачальників AI
- Ваші облікові дані, пароль або токени автентифікації
- Ваші платіжні дані чи деталі оплати
- Вашу IP-адресу або відбиток браузера
- Дані з інших Корпоративних облікових записів чи інших користувачів
Робота з даними постачальниками AI
- Дані передаються постачальникам AI через зашифровані з'єднання (TLS)
- Постачальники AI обробляють дані лише для генерування запитуваного результату (виокремлення знань, узагальнення, результати пошуку тощо)
- Ми вимагаємо, щоб постачальники AI не зберігали ваші дані за межами вікна обробки, необхідного для генерування відповіді
- Ми вимагаємо, щоб постачальники AI не використовували ваші дані для тренування, удосконалення або розробки своїх моделей
Мінімізація даних
Ми застосовуємо принципи мінімізації даних, надсилаючи лише вміст, необхідний для конкретної операції. Наприклад, генеруючи Базу знань із електронних листів, ми надсилаємо текст листів, але не заголовки, метадані вкладень чи облікові дані.
6. Субоператори
Для надання Сервісу ми використовуємо наведених нижче третіх сторін як субоператорів. Кожен з них пройшов перевірку щодо практик захисту даних:
| Постачальник | Призначення | Оброблювані дані | Місцезнаходження |
|---|---|---|---|
| Railway | Хостинг застосунку та інфраструктура | Усі дані застосунку | ЄС |
| AWS S3 | Зберігання файлів (документи, експорти, аватари) | Завантажені файли, експорти БЗ | ЄС |
| Stripe | Обробка платежів | Платіжні дані, спосіб оплати | США |
| OpenRouter | Маршрутизація моделей AI та API-шлюз | Контент, надісланий для AI-обробки | США |
| Anthropic | Обробка AI (моделі Claude) | Контент, надісланий для AI-обробки | США |
| OpenAI | Обробка AI (моделі GPT) | Контент, надісланий для AI-обробки | США |
| Google AI | Обробка AI (моделі Gemini) | Контент, надісланий для AI-обробки | США |
| Meta AI | Обробка AI (моделі Llama) | Контент, надісланий для AI-обробки | США |
| Firecrawl | Виокремлення вмісту вебсайтів | URL-адреси, надані користувачем | США |
| OAuth-автентифікація та Gmail API | Адреса електронної пошти, профіль, вміст листів | США | |
| Resend | Доставка транзакційних електронних листів | Адреса електронної пошти, вміст повідомлень | США |
| Sentry (опціонально) | Моніторинг помилок і діагностика | Дані про помилки, стек-треси (без вмісту користувача) | США |
| Google Analytics | Аналітика використання вебсайту (на основі згоди) | Анонімізовані дані використання, IP-адреса (скорочена) | США |
| Hotjar | Запис сесій і поведінкова аналітика лише на публічних маркетингових сторінках (на основі згоди) | Анонімізовані взаємодії, рухи миші, глибина прокручування, перегляди сторінок; видимий текст і значення полів форм маскуються | ЄС |
Ми надсилатимемо повідомлення електронною поштою щонайменше за 14 днів до залучення нового субоператора, який суттєво змінює спосіб обробки ваших персональних даних. Якщо ви заперечуватимете проти нового субоператора, ви можете припинити підписку протягом 30 днів від отримання повідомлення.
7. Міжнародні передачі даних
Наша основна інфраструктура розміщена в Європейському Союзі (Railway EU). Дані вашого облікового запису, Бази знань і підключені джерела даних зберігаються в ЄС.
Однак деякі види обробки передбачають передачу даних субоператорам, що знаходяться в Сполучених Штатах, зокрема:
- Обробка AI (OpenRouter, Anthropic, OpenAI, Google AI, Meta AI)
- Обробка платежів (Stripe)
- Доставка електронної пошти (Resend)
- Сканування вебсайтів (Firecrawl)
Для передачі персональних даних з ЄЕЗ до країн, які не отримали рішення про адекватність від Європейської Комісії, ми спираємось на:
- Стандартні договірні умови ЄС (SCC), ухвалені Європейською Комісією (Імплементаційне рішення Комісії (ЄС) 2021/914), що включені до наших угод із субоператорами
- Рішення про адекватність, де це застосовно
- Додаткові заходи, включно з шифруванням під час передачі (TLS 1.2+) і договірними зобов'язаннями постачальників не використовувати дані для тренування моделей
8. Строки зберігання даних
Ми зберігаємо ваші дані протягом мінімального періоду, необхідного для мети збору:
| Тип даних | Період зберігання | Підстава |
|---|---|---|
| Дані облікового запису | Активний обліковий запис + 30 днів після видалення | Виконання договору; пільговий період видалення |
| Бази знань і вміст | До видалення або закриття облікового запису | Виконання договору |
| Підключені джерела даних | До від'єднання або закриття облікового запису | Виконання договору |
| Журнали активності | 120 днів; анонімізуються при видаленні облікового запису | Законний інтерес (безпека, аудит) |
| Сповіщення в застосунку | 90 днів | Виконання договору |
| Журнали AI-обробки | Зберігаються для тарифікації; видаляються при видаленні облікового запису | Виконання договору; юридичне зобов'язання |
| Платіжні та податкові записи | 7 років від дати транзакції | Юридичне зобов'язання |
| Експорти БЗ | 7 днів після створення | Виконання договору |
| Запрошення в команду | 7 днів (автоматичне закінчення) | Виконання договору |
| Тікети підтримки | До вирішення + розумний період архівування | Виконання договору; законний інтерес |
Коли дані більше не потрібні для початкової мети та немає юридичної вимоги щодо їх збереження, вони видаляються або анонімізуються.
9. Ваші права (GDPR)
Якщо ви знаходитеся в Європейському економічному просторі (ЄЕЗ), Великій Британії або в юрисдикції з подібним законодавством про захист даних, у вас є наступні права щодо ваших персональних даних:
- Право на доступ (ст. 15): запросити копію персональних даних, які ми про вас зберігаємо, та інформацію про те, як вони обробляються
- Право на виправлення (ст. 16): запросити виправлення неточних або неповних персональних даних
- Право на видалення (ст. 17): запросити видалення своїх персональних даних («право бути забутим»), з урахуванням юридичних вимог щодо зберігання
- Право на обмеження (ст. 18): запросити обмеження обробки своїх персональних даних за певних обставин (наприклад, поки ми перевіряємо їх точність)
- Право на портативність даних (ст. 20): запросити свої персональні дані у структурованому, поширеному, машинозчитуваному форматі або запросити передачу їх іншому контролеру
- Право на заперечення (ст. 21): заперечити обробку, що базується на наших законних інтересах. Ми припинимо обробку, якщо не доведемо переважних законних підстав
- Право відкликати згоду (ст. 7(3)): якщо обробка ґрунтується на згоді, ви можете відкликати її в будь-який час, не впливаючи на правомірність попередньої обробки
- Автоматизоване ухвалення рішень (ст. 22): KnowStack не приймає автоматизованих рішень із юридичними чи іншими подібно значущими наслідками для вас. AI-функції — це інструменти, що потребують вашої ініціації та перегляду.
Як скористатися своїми правами
Щоб скористатися будь-яким із цих прав, зв'яжіться з нами за адресою [email protected], вказавши «Privacy Request» у темі. Ми:
- Перевіримо вашу особу перед обробкою запиту
- Відповімо протягом 30 днів (з можливістю продовження до 60 днів для складних запитів, із повідомленням)
- Виконаємо запит безкоштовно, за винятком явно необґрунтованих або надмірних запитів
Право подати скаргу
Якщо ви вважаєте, що наша обробка ваших персональних даних порушує чинне законодавство про захист даних, у вас є право подати скаргу до місцевого наглядового органу із захисту даних. Перелік наглядових органів ЄС доступний за адресою edpb.europa.eu.
Відкликання доступу до підключених сервісів
Ви можете відключити інтегровані сервіси в будь-який час через налаштування облікового запису KnowStack. Для сервісів Google ви також можете відкликати доступ через дозволи облікового запису Google.
10. Видалення облікового запису
Ви можете видалити свій обліковий запис у будь-який час через налаштування облікового запису. Процес видалення працює так:
- Пільговий період: після запиту видалення передбачено 10-денний пільговий період, протягом якого ви можете скасувати видалення та відновити обліковий запис
- Нагадування: ви отримаєте електронні нагадування за 3 дні та за 1 день до видалення
- Рішення компанії: якщо ви єдиний адміністратор Корпоративного облікового запису, ви маєте або передати право власності іншому користувачеві, або підтвердити видалення даних компанії
- Що видаляється: дані вашого облікового запису, Бази знань, підключені джерела даних, документи, журнали AI, сповіщення та пов'язані корпоративні дані (якщо позначено для видалення)
- Відкликання токенів Gmail: якщо ви підключили Gmail, ми відкличемо наші OAuth-токени доступу
- Анонімізація журналів активності: журнали активності анонімізуються (видаляються особисті ідентифікатори), а не видаляються — для збереження цілісності аудиту
- Платіжні записи: записи транзакцій зберігаються 7 років, як того вимагає закон
- Завершення: усі персональні дані видаляються або анонімізуються протягом 30 днів після завершення пільгового періоду
11. Відповідність сервісам API Google
Використання й передача інформації, отриманої з API Google, у KnowStack відповідає Політиці Google API Services User Data Policy, включно з вимогами Limited Use.
Інтеграція з Gmail
Коли ви підключаєте свій обліковий запис Gmail:
- Ми використовуємо OAuth 2.0 для безпечної автентифікації — ми ніколи не бачимо й не зберігаємо ваш пароль Google
- Ми запитуємо лише область
gmail.readonly— доступ для читання ваших листів задля виокремлення знань - Вміст листів обробляється для виокремлення знань і побудови ваших Баз знань
- Ми не використовуємо дані Gmail у рекламних цілях
- Ми не передаємо дані Gmail третім сторонам, окрім випадків, необхідних для надання Сервісу (наприклад, надсилання вмісту до постачальників AI на ваш запит)
- Ви можете відкликати доступ у будь-який час через налаштування KnowStack або через дозволи облікового запису Google
Google OAuth (вхід)
Якщо ви використовуєте «Увійти через Google»:
- Ми отримуємо вашу адресу електронної пошти й базову інформацію профілю
- Ми використовуємо цю інформацію лише для створення й автентифікації вашого облікового запису
- Ми не отримуємо доступу до інших сервісів Google без додаткової явної згоди
12. Файли cookie та відстеження
Ми використовуємо файли cookie й подібні технології у трьох категоріях:
- Необхідні файли cookie: потрібні для автентифікації, безпеки (захист CSRF) і базової функціональності сайту. Їх неможливо вимкнути.
- Збереження налаштувань: запам'ятовує ваші налаштування, як-от тему оформлення (світла/темна). Використовує localStorage браузера.
- Аналітичні файли cookie: файли Google Analytics, які встановлюються лише за вашою явною згодою через банер cookie. Допомагають нам зрозуміти, як відвідувачі користуються нашим сайтом.
Ми не використовуємо файли cookie для реклами, міжсайтового відстеження чи продажу даних третім сторонам.
Повні відомості щодо кожного використовуваного файлу cookie, його призначення й керування налаштуваннями дивіться у нашій Політиці щодо файлів cookie.
Ви можете відмовитися від Google Analytics на всіх вебсайтах, встановивши додаток для браузера для відмови від Google Analytics.
13. Безпека даних
Ми впроваджуємо комплексні технічні й організаційні заходи безпеки для захисту ваших даних:
- Шифрування під час передачі: усі дані, що передаються між вашим браузером і нашими серверами, шифруються за допомогою TLS 1.2 або вище
- Шифрування в спокої: чутливі дані, включно з обліковими даними третіх сторін і токенами автентифікації, шифруються за допомогою AES-256-GCM (автентифіковане шифрування)
- Безпека паролів: паролі хешуються за допомогою bcrypt із належним коефіцієнтом — ми ніколи не зберігаємо паролі у відкритому вигляді
- Ізоляція даних: дані кожного Корпоративного облікового запису логічно ізольовані. Користувачі мають доступ лише до даних у межах своїх авторизованих Корпоративних облікових записів і відповідно до призначених ролей.
- Контроль доступу: детальний контроль доступу на основі ролей (RBAC) із дозволами на рівні Бази знань і розділу
- Захист CSRF: патерн double-submit cookie запобігає атакам CSRF
- Політика безпеки контенту: суворі заголовки CSP запобігають атакам XSS
- Інфраструктура: розміщена в SOC 2-сумісній хмарній інфраструктурі з регулярними оновленнями безпеки
- Керування сесіями: автентифіковані сесії мають 1-годинний ковзний таймаут
Хоча ми впроваджуємо надійні заходи безпеки, жоден метод передачі чи зберігання не є на 100% безпечним. Ми не можемо гарантувати абсолютної безпеки, але зобов'язуємося захищати ваші дані якнайкраще та оперативно усувати виявлені вразливості.
14. Повідомлення про порушення даних
У разі порушення безпеки персональних даних:
Повідомлення наглядовому органу (ст. 33 GDPR)
Де це можливо, ми повідомимо відповідний наглядовий орган протягом 72 годин після того, як стане відомо про порушення, що ймовірно призведе до ризику для прав і свобод осіб. Повідомлення міститиме:
- Характер порушення персональних даних, включно з категоріями та приблизною кількістю осіб, яких воно стосується
- Ім'я та контактні дані нашої контактної особи із захисту даних
- Імовірні наслідки порушення
- Заходи, ужиті або запропоновані для усунення й пом'якшення порушення
Повідомлення осіб, яких воно стосується (ст. 34 GDPR)
Якщо порушення ймовірно спричинить високий ризик для ваших прав і свобод, ми без зайвої затримки повідомимо вас електронною поштою, описавши характер порушення, його ймовірні наслідки та вжиті заходи. Ми також надамо рекомендації щодо кроків для самозахисту.
Реагування на порушення
Ми підтримуємо план реагування на інциденти, що включає процедури стримання, розслідування, усунення та повідомлень. Проводимо постінцидентні огляди для запобігання повторенню.
15. Конфіденційність дітей
KnowStack призначений для бізнес-використання та не спрямований на дітей.
- Безкоштовний рівень (план Starter) вимагає, щоб користувачам було щонайменше 16 років
- Платні плани вимагають, щоб користувачам було щонайменше 18 років
- Ми свідомо не збираємо персональних даних від осіб молодше 16 років
- Якщо ми виявимо, що зібрали персональні дані дитини молодше 16 років, ми негайно їх видалимо
- Якщо ви вважаєте, що ми ненавмисно зібрали дані дитини молодше 16 років, зв'яжіться з нами за адресою [email protected]
16. Права мешканців Каліфорнії (CCPA/CPRA)
Якщо ви мешканець Каліфорнії, California Consumer Privacy Act (CCPA), доповнений California Privacy Rights Act (CPRA), надає вам додаткові права:
Категорії зібраної персональної інформації
- Ідентифікатори: ім'я, адреса електронної пошти, IP-адреса, ідентифікатор облікового запису
- Комерційна інформація: план підписки, історія платежів, записи використання AI
- Активність в Інтернеті чи електронній мережі: відвідані сторінки, використовувані функції, тип браузера
- Професійна або трудова інформація: назва компанії / організації (за наявності)
- Висновки: жодних — ми не створюємо профілів споживачів
Ваші права відповідно до CCPA/CPRA
- Право знати: ви можете запитати категорії та конкретні дані персональної інформації, які ми про вас зібрали
- Право видаляти: ви можете запросити видалення своєї персональної інформації, з урахуванням юридичних винятків
- Право виправляти: ви можете запросити виправлення неточної персональної інформації
- Право відмовитися від продажу/обміну: ми не продаємо й не обмінюємо вашу персональну інформацію для міжконтекстної поведінкової реклами. Відмова не потрібна.
- Право на недискримінацію: ми не дискримінуватимемо вас за реалізацію прав на конфіденційність
Щоб скористатися цими правами, зв'яжіться з нами за адресою [email protected]. Ми перевіримо вашу особу перед обробкою запитів. Ви також можете призначити уповноваженого представника для подання запитів від вашого імені.
17. Зміни в цій Політиці
Ми можемо оновлювати цю Політику конфіденційності в будь-який час на власний розсуд. Зміни набувають чинності з дати, зазначеної в оновленій політиці.
Коли ми вносимо зміни:
- Ми оновимо дату «Останнє оновлення» у верхній частині цієї сторінки
- Ми повідомимо вас про будь-які зміни, надіславши сповіщення на адресу електронної пошти, пов'язану з вашим обліковим записом
- Оновлена політика буде опублікована на цій сторінці й набуде чинності з дати, зазначеної у сповіщенні, або, якщо дата не вказана, з моменту публікації
Продовжуючи користуватися Сервісом після набуття чинності оновленою Політикою конфіденційності, ви погоджуєтеся бути зв'язаними переглянутою політикою. Усі чинні користувачі вважаються такими, що прийняли оновлену політику з дати її набуття чинності. Якщо ви не згодні з переглянутою політикою, єдиний ваш засіб правового захисту — припинити користування Сервісом і видалити обліковий запис.
18. Зв'язатися з нами
Якщо у вас є запитання щодо цієї Політики конфіденційності, наших практик роботи з даними або ви бажаєте скористатися своїми правами на конфіденційність, зв'яжіться з нами:
Електронна пошта: [email protected]
Оператор: Nest Artem Dolmatov
Адреса: ul. Wroclawska 79, 30-017 Krakow, Poland
Для запитів щодо захисту даних просимо вказувати «Privacy Request» у темі електронного листа. Ми прагнемо відповідати протягом 30 днів.