Політика конфіденційності
Останнє оновлення: 20 травня 2026 р.
Які дані ми збираємо
Під час створення акаунта QMailing ми збираємо ваше ім'я та email-адресу (або профільні дані OAuth з Google, Microsoft, GitHub чи Telegram). Номер телефону не вимагається.
Під час використання QMailing ми зберігаємо листи, які ви надсилаєте та отримуєте, конфігурацію скриньок і дані використання (зайнятий обсяг, кількість скриньок).
Як ми використовуємо ваші дані
Ми використовуємо ваші дані для:
- Надання, підтримки та покращення сервісу QMailing
- Надсилання транзакційних сповіщень (повідомлення про безпеку, рахунки)
- Виявлення та запобігання зловживанням, шахрайству й загрозам безпеці
- Виконання правових зобов’язань
Ми не читаємо, не скануємо й не аналізуємо вміст ваших листів.
Зберігання та безпека даних
Ваші дані зберігаються на зашифрованих серверах у Європейському Союзі. Ми використовуємо TLS-шифрування для всіх даних під час передавання та AES-256 для даних у спокої.
Сервіси третіх сторін
Для роботи сервісу ми залучаємо невеликий перелік сторонніх постачальників:
- Платіжний провайдер — обробка підписок і рахунків для платних тарифів
- Трекінг помилок — для швидкого виявлення та виправлення проблем
Sub-processors
QMailing залежить від невеликого набору перевірених постачальників для роботи сервісу. Кожен з них зобов'язаний DPA (Data Processing Agreement) узгодженим з GDPR Article 28. Повний список нижче; ми оновлюємо цю секцію перед додаванням чи зняттям sub-processor-а.
| Постачальник | Сервіс | Локація | DPA |
|---|---|---|---|
| Amazon Web Services | Надсилання й отримання пошти (SES), сховище об'єктів (S3), база даних (RDS PostgreSQL), compute (EC2, Lambda), лічильники rate-limit та abuse (DynamoDB). | EU (eu-north-1, Stockholm) | DPA |
| Paddle | Обробка платежів (merchant of record). Карти, інвойси, податки, повернення. | EU / UK | DPA |
| Grafana Labs | Frontend-телеметрія (Grafana Faro): помилки JavaScript, метрики продуктивності. Без вмісту листів. | EU | DPA |
| Cloudflare | Bot challenge (Turnstile) на вході. DDoS-захист на edge-мережі. | Global (EU edge) | DPA |
| Тільки OAuth-вхід. Ніколи не читаємо твоїх Gmail / Drive / Contacts. | Global | DPA | |
| Microsoft | Тільки OAuth-вхід. Ніколи не читаємо твоїх Outlook / OneDrive / Calendar. | Global | DPA |
| GitHub | Тільки OAuth-вхід. Ніколи не читаємо твоїх репозиторіїв чи даних організацій. | Global | DPA |
| Telegram | Тільки OAuth-вхід. Ніколи не читаємо твоїх чатів. | Global | DPA |
OAuth-вхід
Коли ти входиш через Google, Microsoft, GitHub чи Telegram, провайдер повертає до QMailing мінімальний профіль: твою email-адресу, display name і (де доступно) URL аватарки. Ми використовуємо це винятково для створення акаунта при першому вході та для входу при наступних.
QMailing ніколи не читає й не пише дані у твоєму Google / Microsoft / GitHub / Telegram акаунті поза самим OAuth-handshake. Ми не запитуємо scope-и до inbox, drive, calendar, repository чи contacts. Ми не шлемо тобі маркетинг через цих провайдерів. Ми не передаємо OAuth-дані третім сторонам.
API-доступ і MCP-інтеграції
QMailing видає Bearer-токени OAuth-стилю (qm_live_*) для програмного доступу через публічний REST API і хостед MCP-сервер на https://qmailing.com/mcp. Кожен токен отримує scope-и при випуску (наприклад, mailbox:read, email:send) і прив'язаний до одного акаунту.
Коли AI-агент під'єднується з токеном, QMailing логує метадані запиту — timestamp, ім'я інструмента, HTTP-статус, час відповіді — 30 днів для виявлення зловживань і обліку rate-limit. Тіла запитів і результати інструментів у логах НЕ зберігаються. Токени зберігаються як bcrypt-хеші на сервері; plaintext-значення показується рівно один раз під час випуску.
Будь-який токен можна відкликати у Налаштування → Розробники або, для OAuth-наданих з'єднань, у Налаштування → З'єднання. Відкликання чинне на наступному запиті — не кешується.
Cookie
Ми використовуємо необхідні cookie для автентифікації та сесій. Аналітичні cookie встановлюються лише з вашою явною згодою. Ви можете будь-коли керувати налаштуваннями cookie.
Ваші права
Згідно з GDPR ви маєте право:
- Отримати доступ до своїх персональних даних
- Експортувати дані у машинно-читаному форматі
- Запросити видалення акаунта та всіх пов’язаних даних
- Заперечити проти обробки даних
Ви можете реалізувати ці права в Налаштування > Конфіденційність або написавши на privacy@qmailing.com.
Міжнародні передачі даних
QMailing хоститься у Європейському Союзі (AWS eu-north-1, Стокгольм). Доставка пошти через Amazon SES проходить інфраструктурою AWS edge, яка може включати потужності за межами EEA залежно від поштового сервера отримувача. Standard Contractual Clauses (SCC), затверджені Європейською Комісією, застосовуються до будь-якої передачі персональних даних за межі EEA. Ми не передаємо дані в юрисдикції без рішення про адекватність або еквівалентних запобіжників.
Зберігання та видалення даних
Ми зберігаємо ваші дані доки активний акаунт. Коли ви видаляєте акаунт, окрему скриньку чи лист, дані потрапляють у вікно м’якого видалення тривалістю 30 днів — у цей період їх можна відновити (акаунт — знову увійшовши та скасувавши видалення, скриньки та листи — з Кошика). Після 30 днів дані остаточно видаляються з активних систем.
Ми не зберігаємо позасистемних резервних копій поза вікном м’якого видалення — після завершення цього періоду відновлення неможливе.
Сповіщення про інцидент з даними
У разі порушення безпеки персональних даних, яке може створити ризик для твоїх прав і свобод, ми сповістимо компетентний наглядовий орган протягом 72 годин з моменту виявлення порушення, відповідно до GDPR Article 33. Якщо порушення може створити ВИСОКИЙ ризик, ми сповістимо постраждалих користувачів безпосередньо без невиправданої затримки, email на твою зареєстровану адресу.
Приватність дітей
QMailing не призначений для дітей. Ми свідомо не збираємо персональні дані осіб молодше 16 років в EEA або молодше 13 років у США. Якщо вважаєш, що ми ненавмисно зібрали такі дані, зв'яжись з нами — ми видалимо їх без невиправданої затримки.
Контролер даних
Контролер даних для QMailing — Bohdan Abramovych, фізична особа, що проживає у Києві, Україна. З будь-яких питань щодо приватності, реалізації прав GDPR (доступ, виправлення, видалення, обмеження, переносимість, заперечення) чи скарг — пиши на privacy@qmailing.com.
Контакти
З питань конфіденційності пишіть на privacy@qmailing.com.