Tavora

Політика конфіденційності

Як ми обробляємо дані, що стосуються Вас.

Ця сторінка пояснює, які дані ми збираємо, коли Ви користуєтеся Tavora, для чого вони потрібні та як Ви можете реалізувати свої права. Документ складено відповідно до Регламенту (ЄС) 2016/679 (GDPR).

Останнє оновлення:

1Вступ

Tavora ("Бот") — це Telegram-бот для управління спільнотами, пропозиціями, голосуваннями та спільними завданнями. Ця Політика конфіденційності описує, які дані ми збираємо, як ми їх використовуємо та як ми їх захищаємо.

Користуючись Ботом, Ви приймаєте практики, описані в цій політиці.

2Контролер даних

Tavora Systems
Email: tavorasystems@gmail.com

3Дані, які ми збираємо

3.1 Ідентифікаційні дані Telegram

Коли Ви взаємодієте з Ботом, ми автоматично збираємо:

  • User ID Telegram — унікальний числовий ідентифікатор
  • Ім’я користувача Telegram — публічний username
  • Часові мітки — дата й час першої та останньої взаємодії

Ці дані необхідні для роботи Бота і надаються Telegram автоматично під час кожної взаємодії.

3.2 Контент, створений користувачем

  • Пропозиції: заголовок, опис, тип, вкладення (фото, відео, документи)
  • Голоси: тип голосу (за/проти), пов’язаний з Вашим User ID
  • Коментарі: текст коментарів до пропозицій і голосувань
  • Завдання: заголовок, опис, нотатки, чек-листи, вкладення
  • Нотатки до завдань: текст нотаток (публічних або приватних)

Щоб зберегти оригінальне форматування, яке Ви додаєте (жирний шрифт, курсив, посилання, анімовані емодзі Telegram Premium), ми також зберігаємо "rich"-версію Ваших матеріалів у HTML — поряд зі звичайним текстом. Анімовані емодзі Telegram Premium зберігаються як числовий ідентифікатор (custom emoji ID), а не як зображення.

3.3 Дані спільноти

  • Роль і членство у спільнотах (учасник, адміністратор, засновник)
  • Персональні дозволи, призначені в межах кожної спільноти
  • Запити на вступ до спільнот з ручним підтвердженням
  • Бани на рівні спільноти — користувачі, заблоковані в конкретній спільноті, реєструються разом з User ID, автором бану та часовою міткою
  • Запити на передачу прав засновника — коли засновник передає спільноту іншому користувачеві, ми реєструємо два задіяні User ID та статус запиту
  • Мова публікацій спільноти — мова, обрана засновником для повідомлень, що публікуються у групах (картки пропозицій, голосувань, завдань, оголошень). Це налаштування спільноти, а не персональне налаштування

3.4 Налаштування користувача

  • Особиста мова — визначається автоматично під час першого запуску за мовним кодом Вашого Telegram (наприклад, it, en) і використовується для інтерфейсу. Ви можете змінити її будь-коли в Налаштуваннях Бота
  • Часовий пояс — якщо встановлений вручну, використовується для надсилання нагадувань. Зберігається як рядок часового поясу (наприклад, Europe/Rome) і як зміщення у хвилинах
  • Налаштування сповіщень — налаштування сповіщень для спільнот
  • Стан блокування Бота — якщо Ви блокуєте Бота в Telegram, ми реєструємо цю подію (дату й останню помилку надсилання), щоб не намагатися даремно з Вами зв’язатися. Прапорець знімається автоматично, якщо Ви знову починаєте взаємодіяти

3.5 Дані Telegram-груп

Коли Бота додають до групи, ми зберігаємо:

  • ID групи та її назву
  • Присутність користувачів у групі (лише ID та username, для перевірки членства в межах політики надсилання пропозицій)

3.6 Технічні дані та журнал аудиту

  • Історія подій завдань — ми реєструємо, хто створив, змінив, завершив або видалив завдання (audit trail)
  • Цифровий підпис — експортовані PDF-файли містять SHA-256 хеш вмісту для перевірки цілісності. Хеш є публічним і не містить чутливих даних
  • Тимчасові дані майстра — сесії заповнення (створення пропозицій/завдань) тимчасово зберігаються, щоб Ви могли їх продовжити після перезапуску Бота, і автоматично видаляються після 24 годин неактивності
  • Вкладення до повідомлень про помилки та відгуків — коли Ви надсилаєте нам звіт через функцію "Зворотний зв’язок" Бота, будь-які вкладені файли (фото, відео, документи) зберігаються як посилання Telegram (file_id) разом з повідомленням пов’язаної робочої групи, щоб ми могли переглядати їх під час роботи над зверненням. Ці посилання автоматично видаляються приблизно через 30 днів

3.7 Дані, пов’язані з пожертвами

Бот надає можливість підтримати проєкт за допомогою пожертв у Telegram Stars. Коли Ви робите пожертву, ми реєструємо:

  • User ID та username Telegram донора
  • Ім’я (first_name) Telegram донора — використовується виключно для того, щоб публічно подякувати Вам в офіційному каналі, якщо Ви на це погоджуєтеся, або щоб відобразити бейдж донора
  • Сума пожертви в Stars
  • ID транзакції (charge_id), повернений Telegram, корисний для можливих повернень коштів або суперечок
  • Дата й час пожертви

Ми не отримуємо й не зберігаємо реквізити Вашого способу оплати (картка, рахунок тощо): транзакція повністю відбувається в межах Telegram Stars. Див. також Політику конфіденційності Telegram.

3.8 Внутрішня продуктова аналітика (бета-фаза)

Під час бета-фази Бота ми реєструємо агреговані події щодо початкової активації користувачів — наприклад, коли Ви бачите кнопку "Створити свою першу спільноту", чи Ви натискаєте її та чи завершуєте створення першої спільноти. Ми робимо це, щоб зрозуміти, де покращити продукт.

Ці події прив’язані до Вашого User ID та часової мітки, залишаються внутрішніми для команди Tavora, ніколи не передаються третім сторонам і не використовуються для профілювання чи реклами, а також будуть видалені після завершення бета-фази. Ви можете запросити їх дострокове видалення електронною поштою (див. розділ 9).

3.9 Дані, пов’язані з Tavora AI (розмовний асистент)

Tavora містить ШІ-асистента, який відповідає на запитання учасників на основі матеріалів, завантажених у Бібліотеку спільноти, та базових знань Tavora. Коли Ви взаємодієте з Tavora AI, ми збираємо такі дані:

  • Історія розмови (пам’ять) — запитання, які Ви ставите, та відповіді ШІ у приватному чаті з ботом зберігаються, щоб забезпечити узгоджені відповіді протягом кількох ходів ("пам’ятаєте, про що я Вас питав?"). Пам’ять є постійною, доки Ви не очистите її вручну (див. розділ 9) або доки не мине 30 днів повної неактивності з цим ШІ. Кожна пам’ять ізольована за парою (користувач, спільнота)
  • Синтетичний профіль користувача для ШІ — автоматичне резюме Вашого стилю взаємодії (макс. 200 символів), що формується щотижня для калібрування тону асистента. Оновлюється в агрегованому вигляді, ніколи не використовується для Вашої ідентифікації або комерційного профілювання
  • Резюме історії розмови — коли пам’ять перевищує ~20 ходів, старіші ходи стискаються до резюме (~300 символів), яке зберігається замість оригінальних ходів. 10 найновіших ходів залишаються без змін
  • Лічильники використання — кількість запитань, поставлених у ковзних вікнах (24 години на користувача, 7 днів на спільноту), для застосування обмежень використання, описаних у боті. Вони не містять тексту запитань
  • Кеш відповідей — публічні запитання до глобального Tavora AI (меню /start) пов’язуються з відповіддю через числовий embedding, щоб надавати миттєві відповіді на схожі запитання. Кеш ніколи не містить ідентифікованих персональних даних, крім самого запитання

У групових чатах із /ask ЖОДНА пам’ять не зберігається: кожне запитання в групі ізольоване, заради конфіденційності. Публічні відповіді залишаються незалежними.

3.10 Автоматична модерація Інструкцій ШІ

Коли засновник або адміністратор спільноти зберігає Інструкцію ШІ (правило поведінки, яким має керуватися асистент), текст інструкції надсилається постачальнику моделі ШІ (див. розділ 7.3) для автоматичної перевірки безпеки. Якщо інструкція порушує політики використання (образи, prompt-injection, незаконна діяльність), її позначають як "проігнорована", і ШІ її не застосовує. Користувач бачить примітку від ШІ з поясненням причини.

Постачальнику надсилається лише текст інструкції — жодних інших персональних даних адміністратора чи учасників спільноти.

3.11 Дані, які НЕ збираються

Бот не збирає:

  • Прізвище, email, номер телефону
  • Фото профілю чи біографічні дані
  • Дані геолокації або GPS
  • Приватні повідомлення поза розмовою з Ботом
  • Дані з інших застосунків чи сервісів
  • Історію перегляду, файли cookie чи дані пристрою
  • Платіжні реквізити (кредитні картки, банківські рахунки, IBAN)

Примітка: first name Telegram може зберігатися лише для донорів (див. 3.7). Для всіх інших користувачів ми реєструємо виключно числовий User ID та username Telegram (див. 3.1).

4Як ми використовуємо дані

Зібрані дані використовуються виключно для:

  • Роботи Бота — управління пропозиціями, голосуваннями, завданнями та спільнотами
  • Відображення — показу авторів, голосів та коментарів учасникам спільноти
  • Сповіщень — надсилання нагадувань, оновлень про завдання та результатів голосувань
  • Експортів — створення PDF-звітів про діяльність спільноти (на запит адміністраторів)
  • Модерації — управління банами, дозволами та ролями всередині спільнот
  • Tavora AI — відповіді на запитання учасників на основі матеріалів Бібліотеки + пам’ять розмови для забезпечення узгодженості між ходами однієї й тієї ж особи

Дані не використовуються для:

  • Комерційного або рекламного профілювання
  • Продажу третім сторонам
  • Аналізу поведінки чи маркетингу

5Видимість даних

Що бачать інші учасники спільноти

  • Пропозиції: Ваш username як автора видимий усім учасникам
  • Голоси: Ваш голос і username видимі керівникам спільноти (через команду /votes)
  • Коментарі: Ваші коментарі видимі учасникам групи, в якій вони публікуються
  • Завдання: призначення та публічні нотатки видимі учасникам спільноти
  • Приватні нотатки: видимі лише Вам та адміністраторам/виконавцям завдання

Що НЕ є видимим

  • Ваші приватні взаємодії з Ботом (особисті повідомлення)
  • Пропозиції, які Ви приховали зі свого особистого подання

6Зберігання даних

  • Дані зберігаються протягом усього часу використання Бота та існування спільноти
  • Видалення спільноти: коли засновник видаляє спільноту, учасники видаляються негайно, а спільнота позначається як "очікує видалення" (soft-delete з часовою міткою). Пов’язані дані (пропозиції, голоси, завдання) зберігаються протягом 10 днів, упродовж яких можна запросити відновлення електронною поштою. Після закінчення цього терміну спільнота та всі пов’язані дані остаточно та автоматично видаляються
  • Тимчасові сесії майстра: сесії заповнення (створення пропозицій/завдань) автоматично видаляються після 24 годин неактивності
  • Вкладення до відгуків: вкладення до звернень, надісланих через функцію "Зворотний зв’язок", автоматично видаляються приблизно через 30 днів
  • Завислі пропозиції: пропозиції у статусі очікування понад 7 днів автоматично завершуються
  • Глобальний бан: у разі бану Ваш User ID та username зберігаються у списку банів
  • Блокування Бота: якщо Ви блокуєте Бота в Telegram, ми реєструємо цю подію та статус блокування. Ваші дані залишаються в базі, але Ви більше не отримуватимете повідомлень від Бота
  • Події бета-аналітики: події онбордингу (розділ 3.8) будуть видалені або анонімізовані після завершення бета-фази Бота
  • Пам’ять Tavora AI: ходи розмови з ШІ-асистентом (приватний чат) зберігаються, доки Ви не очистите їх вручну кнопкою "🧹 Скинути пам’ять" (див. розділ 9) або доки не мине 30 днів повної неактивності з цим ШІ. У групах (/ask) жодної пам’яті не зберігається
  • Синтетичний профіль користувача ШІ: оновлюється щотижня, замінюється найновішою версією. Видаляється при скиданні пам’яті або при видаленні облікового запису
  • Глобальний кеш відповідей ШІ: зберігається, доки базові матеріали не змінюються. Автоматично анулюється при змінах у knowledge base

7Сторонні сервіси

7.1 Telegram

Бот працює виключно через API Telegram. Усі повідомлення, файли та взаємодії проходять через сервери Telegram відповідно до їхньої Політики конфіденційності.

Вкладення (фото, відео, документи) не зберігаються на наших серверах — зберігається лише посилання (file_id), надане Telegram. Файли залишаються на серверах Telegram.

7.2 База даних

Дані зберігаються у приватно керованій базі PostgreSQL. Ми не використовуємо сторонні хмарні сервіси для зберігання даних.

7.3 Anthropic (Tavora AI)

Для відповідей Tavora AI (розмовного асистента) Бот покладається на Anthropic (anthropic.com), постачальника мовної моделі Claude. Коли користувач задає запитання ШІ, постачальнику передаються виключно:

  • Текст поточного запитання
  • Попередні ходи розмови (у приватному чаті), щоб надати узгодженості відповіді — див. розділ 3.9
  • Релевантні витяги з матеріалів Бібліотеки спільноти (лише ті, що позначені ШІ=Так командою)
  • Інструкції ШІ команди спільноти (правила поведінки, див. 3.10)

Anthropic не використовує отримані дані для тренування моделей (стандартна клаузула API), зберігає їх не більше 30 днів з міркувань безпеки і потім видаляє. Див. Політику конфіденційності Anthropic та Data Processing Addendum.

НЕ передаються Anthropic: Ваш Telegram User ID, username, персональні дані, дані інших спільнот, розмови з іншими користувачами. Спільнота ізольована, і Anthropic не знає, хто Ви.

Векторні embeddings: обчислення embeddings (числового представлення текстів для retrieval) виконується локально на сервері Бота за допомогою відкритої моделі multilingual-e5-large. Жодних даних embeddings не передається третім сторонам.

7.4 Жодних інших сторонніх сервісів

Окрім Telegram (7.1) і Anthropic (7.3), Бот не покладається на:

  • Сторонні сервіси аналітики чи відстеження (Google Analytics, Mixpanel, Amplitude тощо)
  • Файли cookie чи піксели відстеження
  • Рекламні сервіси
  • Зовнішні API, окрім Telegram

Для прозорості: єдине відстеження, яке ми проводимо, — це внутрішнє та агреговане, описане в розділі 3.8 (продуктова аналітика під час бета-фази).

8Безпека даних

Ми вживаємо таких заходів безпеки:

  • Параметризовані запити — захист від SQL-ін’єкцій
  • Шифрування диска — дані у стані спокою захищені шифруванням (encryption at rest)
  • Безпечне з’єднання — зашифрована комунікація між Ботом і базою даних
  • Безпечне логування — токени автентифікації та чутливі дані не записуються в логи
  • Антизловживальні обмеження — обмеження частоти створення пропозицій, завдань та взаємодій
  • Валідація вхідних даних — усі дані користувача валідуються та обрізаються до безпечних максимальних довжин
  • Обмежений доступ — лише адміністратори Бота мають прямий доступ до бази даних
  • Цифровий підпис — експортовані PDF-документи підписуються алгоритмом SHA-256 для гарантування цілісності

9Ваші права

9.1 Право на доступ

Ви можете запросити інформацію про те, які дані ми зберігаємо про Вас, звернувшись до нас електронною поштою.

9.2 Право на видалення

Ви можете запросити повне видалення Ваших даних. Бот має вбудовану функцію GDPR. Видалення передбачає:

  • Видалення: облікового запису користувача, членства у спільнотах, ролей, банів, запитів на доступ, запитів на передачу прав
  • Видалення спільнот, засновником яких Ви є (включно з усіма пов’язаними даними)
  • Анонімізацію: створених пропозицій, поданих голосів, коментарів, створених/призначених завдань, нотаток, подій, шаблонів

Створений контент (тексти пропозицій, коментарі, нотатки до завдань) анонімізується, але зберігається, оскільки він є надбанням спільноти. Агреговані підрахунки голосів залишаються незмінними, але особу того, хто голосував, видаляють.

9.3 Право на виправлення

Ваш username Telegram автоматично оновлюється в Боті, коли Ви змінюєте його в Telegram.

9.4 Право на перенесення даних

Ви можете експортувати дані Ваших спільнот за допомогою функцій експорту PDF/ZIP, доступних у Боті (пропозиції, завдання, голосування).

9.5 Право на заперечення

  • Ви можете залишити будь-яку спільноту в будь-який момент через меню Бота
  • Ви можете заблокувати Бота, щоб припинити будь-яку комунікацію
  • Ви можете приховати свої пропозиції з особистого подання

9.6 Право на видалення пам’яті з Tavora AI

Ви можете самостійно видалити пам’ять своєї розмови з Tavora AI у будь-який момент, без потреби звертатися електронною поштою:

  • Tavora AI спільноти (приватний): відкрийте спільноту → торкніться 🤖 Tavora AI → кнопка 🧹 Скинути пам’ять (N) завжди видима (N = кількість збережених обмінів)
  • Глобальний Tavora AI (меню /start): торкніться ⚙️ Налаштування → кнопка 🧹 Скинути пам’ять Tavora AI (N)

Скидання негайно видаляє: всі ходи розмови, синтетичний профіль користувача ШІ та можливе резюме історії. Операція незворотна та потребує явного підтвердження. Конкретна пам’ять також автоматично видаляється після 30 днів повної неактивності.

Щоб реалізувати інші права (доступ, повне видалення, виправлення), надішліть електронний лист на адресу tavorasystems@gmail.com, вказавши Ваш User ID Telegram.

10Неповнолітні

Бот не призначений для осіб, молодших за 16 років. Ми свідомо не збираємо дані неповнолітніх. Якщо батьки або опікун вважають, що неповнолітній надав персональні дані, вони можуть звернутися до адміністратора з проханням про видалення.

11Зміни до Політики конфіденційності

Ми залишаємо за собою право оновлювати цю Політику конфіденційності. У разі суттєвих змін користувачі будуть повідомлені через повідомлення в Боті. Дату останнього оновлення вказано вгорі цієї сторінки.

12Контакти

Зі всіма питаннями, запитами на доступ або видалення даних пишіть на:

Зазначте у запиті Ваш User ID Telegram, щоб ми могли ідентифікувати Ваші дані.

13Дані форми підтримки

Коли Ви заповнюєте форму підтримки на лендингу (/support/), ми збираємо дані, які Ви добровільно надаєте для обробки Вашого повідомлення.

Що ми збираємо

  • Тип (помилка чи пропозиція), заголовок (макс. 120 символів) та опис (макс. 4000 символів)
  • Email відправника (для відповіді)
  • Опціональні вкладення (макс. 3 файли, 4 МБ загалом; прийнятні типи: JPG, PNG, WebP, GIF, MP4, WebM, MOV, PDF, TXT)
  • Мова сторінки і хеш IP (SHA-256 із сіллю), використовується лише для rate-limiting і діагностичних логів, ніколи у відкритому вигляді

Правова підстава та мета

Ми обробляємо ці дані на основі Вашої явної згоди (ст. 6.1.a GDPR — обов’язкова галочка у формі) та для виконання послуги, запитаної суб’єктом даних (ст. 6.1.b GDPR — для відповіді Вам). Без явної згоди форма не надсилається.

Субпроцесори

Листи доставляються до нашої скриньки tavorasystems@gmail.com через Resend Inc. (США), провайдер транзакційних email, що відповідає стандарту EU-US Data Privacy Framework. Resend обробляє дані як процесор від нашого імені на підставі Data Processing Agreement.

Анти-бот перевірка виконується Cloudflare Turnstile (Cloudflare Inc., США) — не використовує постійних cookies і крос-сайт трекінгу.

Зберігання

Отримані листи зберігаються в нашій скриньці Gmail протягом часу, необхідного для обробки повідомлення, і в будь-якому разі не довше 24 місяців для аудиту. Діагностичні логи Vercel Function (хеш IP, країна, результат) зберігаються 7 днів і не містять персональних даних у відкритому вигляді.

Ваші права

Ви можете запросити доступ, виправлення, видалення, обмеження, переносимість або заперечення, написавши на tavorasystems@gmail.com (див. також розділ 9 — Ваші права). Ви можете відкликати згоду будь-коли; відкликання не впливає на законність обробки, здійсненої до відкликання.

Передача за межі ЄС: Resend і Cloudflare мають сервери в США. Передача базується на Data Privacy Framework і Стандартних договірних положеннях, де застосовно.

Ця Політика конфіденційності відповідає Регламенту (ЄС) 2016/679 (GDPR) і застосовується до всіх користувачів Бота Tavora в Telegram.