Політика конфіденційності
Чинна редакція від 28 травня 2026
Ця Політика конфіденційності пояснює, які персональні дані збирає Noara, навіщо ми їх збираємо, як використовуємо та які права ви маєте щодо них. Вона стосується платформи Noara, зокрема Telegram Mini App, PWA, адмін-інтерфейсу Studio, сайтів на noara.bot і власних доменів тенантів, а також ботів та інтеграцій, що працюють через них.
Читайте її разом з Умовами користування та Політикою повернення коштів.
1. Хто ми
Noara оператує Noara, Inc., компанія у формі Delaware C Corporation (США), адреса: 131 Continental Dr, Suite 305, Newark, DE 19713, США. Ми діємо як контролер даних щодо даних акаунта, які отримуємо безпосередньо від вас, і як обробник даних щодо контенту, який тенант завантажує через Noara для ведення власного бізнесу (у такому разі контролером є тенант).
Звʼязатися з нами: support@noara.bot.
2. Які дані ми збираємо
- Ідентифікатори Telegram, числовий ID, username, імʼя та мовний код, які Telegram передає під час відкриття Mini App;
- Email, коли ви входите в Studio, забираєте імпортований акаунт або надсилаєте запит на видалення даних;
- Номер телефону, лише коли ви явно ділитеся ним через кнопку контакту Telegram;
- Дані профілю, відображуване імʼя та відповіді, які ви надаєте в онбординг-флоу креатора;
- Контент, повідомлення в боті чи Instagram Direct тенанта, розмови з AI-асистентом, прогрес курсів та записи покупок;
- Аналітика, лог подій бота, перегляди й кліки (анонімізовані хеші), події маркетингового пікселя (лише коли тенант увімкнув власний Meta Pixel);
- Платіжні метадані, сума, валюта, статус, референс процесора, хешований ідентифікатор покупця та придбані товари (дані карток ми не зберігаємо);
- Технічні дані, IP-адреса, user-agent, тип пристрою та мова браузера в серверних логах.
3. Навіщо ми їх збираємо
- Робота сервісу, автентифікація, синхронізація курсів між пристроями, доставка повідомлень;
- Підтримка клієнтів, ідентифікація акаунта й вирішення звернень;
- Аналітика для креатора, залученість, конверсія, відтік;
- Маркетингова атрибуція (для кожного тенанта окремо, за згодою), передача подій у Meta, коли тенант активує власний піксель;
- Дотримання закону, запобігання шахрайству, податкові записи, відповіді на законні запити;
- Покращення платформи, налагодження, виявлення зловживань (агреговано / анонімізовано).
4. Правова підстава (ст. 6 GDPR)
- Договір, дані потрібні для надання сервісу, на який ви або ваш тенант підписалися;
- Законний інтерес, безпека платформи, запобігання шахрайству, підтримка;
- Згода, для самопідтвердження 18+, подій маркетингового пікселя та опційних аналітичних cookies;
- Юридичний обовʼязок, податкові записи та відповіді на законні запити.
5. Скільки ми зберігаємо дані
- Дані акаунта, доки ви не попросите видалити їх або доки ви неактивні протягом двох років;
- Лог подій бота, протягом життя акаунта (це базова функція наскрізної аналітики); агрегується до запису клієнта через 90 днів;
- Історія розмов з AI, 90 днів сирих повідомлень, далі зберігається лише стиснена памʼять;
- Платіжні записи, до 7 років (податкові та бухгалтерські вимоги);
- Записи запитів на видалення, 7 років як доказ видалення;
- Серверні логи доступу, 90 днів, потім видаляються.
6. З ким ми ділимося даними
Ми не продаємо ваші персональні дані. Ми ділимося ними лише із субпроцесорами, кожен з яких звʼязаний угодою про обробку даних:
- Anthropic (США), AI-модель за функціями асистента й Coach;
- Bunny.net (ЄС), хостинг відео та файлів курсів;
- Resend (США), транзакційна email-розсилка;
- Telegram, месенджинговий шар для ботів і Mini App;
- Meta Platforms (США), інтеграції Instagram Login/Direct та події Pixel/CAPI, які тенант передає;
- Stripe, обробка платежів;
- Cloudflare (США), DNS, CDN та захист від DDoS.
7. Тенанти та ізоляція даних
Коли ви взаємодієте з ботом, застосунком чи Instagram-акаунтом конкретного креатора, цей тенант бачить ваші дані акаунта, ваші повідомлення з ним, історію покупок у нього та аналітику вашої активності в його просторі. Інші тенанти не бачать ваших даних з простору іншого тенанта, ми забезпечуємо сувору ізоляцію на рівні бази даних.
8. Cookies та відстеження
- Сесійні cookies / JWT-токени, потрібні, щоб ви лишалися в системі; без них сервіс не працюватиме;
- Локальне сховище TWA/PWA, кешує брендинг тенанта й налаштування теми, не передається з пристрою;
- Cookies Meta Pixel (_fbp, _fbc), встановлюються лише на вітринах тенантів, які активували власний піксель; їх можна заблокувати в браузері;
- Cookies експериментів вітрини, анонімізований хеш, що тримає вас в одному варіанті A/B-тесту.
9. Ваші права
Згідно з GDPR, UK GDPR та застосовним законодавством про захист персональних даних ви маєте право на доступ, виправлення, видалення («право бути забутим»), обмеження обробки, перенесення даних, заперечення проти обробки, відкликання згоди та подання скарги до наглядового органу.
Щоб скористатися будь-яким із цих прав, напишіть на support@noara.bot. Ми відповідаємо протягом 30 днів (з можливим продовженням до 60 днів для складних запитів, із повідомленням).
10. Права мешканців Каліфорнії (CCPA / CPRA)
Якщо ви мешканець Каліфорнії, Закон Каліфорнії про конфіденційність споживачів (CCPA зі змінами CPRA) надає вам право знати, які персональні дані ми збираємо та як використовуємо, вимагати доступу до них чи їх видалення, виправляти неточні дані та не зазнавати дискримінації за реалізацію цих прав.
Ми НЕ продаємо ваші персональні дані та НЕ передаємо їх для крос-контекстної поведінкової реклами в обмін на гроші. Категорії даних, які ми збираємо, та цілі описані в розділах 2-3 вище; сторони, яким ми передаємо дані як постачальникам послуг, перелічені в розділі 6.
Щоб скористатися вашими каліфорнійськими правами, напишіть на support@noara.bot. Ми звіряємо запит із вашим обліковим записом і відповідаємо у строки, передбачені законом. Ви можете скористатися уповноваженим агентом для подання запиту від вашого імені.
11. Міжнародні передачі, діти, безпека
Частина субпроцесорів розташована у США та інших країнах поза ЄЕЗ (Anthropic, Resend, Stripe, Meta, Cloudflare). Коли дані залишають ЄЕЗ, ми спираємося на Стандартні договірні положення (SCC) та технічні заходи (шифрування під час передачі та зберігання).
Noara не призначена для дітей до 16 років, і ми свідомо не збираємо їхні дані. Окремі тенанти ведуть контент 18+ із гейтом самопідтвердження віку.
Ми захищаємо дані галузевими заходами: HTTPS із HSTS, шифровані бекапи, envelope-шифрування платіжних і PII-полів, ротація ключів JWT, ліміти на ендпойнти автентифікації та ізоляція тенантів на рівні ORM.
12. Зміни та контакти
Ми можемо оновлювати цю Політику, коли змінюються наші практики або цього вимагає закон. Дата вгорі сторінки відображає останню редакцію.
Питання, скарги чи запити щодо конфіденційності: support@noara.bot.