🔒 Privacy & Data Protection

Privacy Policy

Data Protection Notice · Політика конфіденційності · GDPR Compliant

OrganizationCO CF “Support Ukraine”

JurisdictionUkraine · EU (GDPR)

Last Updated28/04/2026

🔒 Your Privacy Matters This Privacy Policy explains how the Charitable Organization “Charitable Foundation ‘Support Ukraine’” collects, uses, stores, and protects your personal data when you visit our website, make a donation, or interact with us. We are committed to full transparency and to protecting your rights as a data subject.

Data Controller

1.1 The data controller responsible for processing your personal data is:

Charitable Organization “Charitable Foundation ‘Support Ukraine’”

Ukrainian nameБлагодійна Організація «Благодійний Фонд “Сапорт Юкрейн”»

Short nameCO CF “Support Ukraine” / БО БФ “Сапорт Юкрейн”

AddressLviv, Ukraine

Websitehttps://su.org.ua/

Emailinfo@su.org.ua

1.2 For all matters relating to personal data and privacy, you may contact us directly at the email address above. We aim to respond to all data-related requests within 30 calendar days.

What Data We Collect and Why

2.1 We collect only the personal data that is necessary for specific, legitimate purposes. The table below outlines each category of data, how it is collected, and the legal basis under GDPR.

Category	Data Collected	Purpose	Legal Basis (GDPR)
Website visitors	IP address, browser type, pages visited, time of visit (via cookies/analytics)	Website security, analytics, improving user experience	Legitimate interest (Art. 6(1)(f))
Donors (online)	Name, email, payment metadata (amount, date, currency)	Processing donation, issuing confirmation, legal compliance	Contract performance (Art. 6(1)(b)); Legal obligation (Art. 6(1)(c))
Bank transfer donors	Name as per bank transfer, IBAN (sender), amount, payment purpose	Identifying and recording donation, financial compliance	Legal obligation (Art. 6(1)(c))
Contact form / email	Name, email, content of message	Responding to enquiries, partnership communications	Legitimate interest (Art. 6(1)(f)); Consent (Art. 6(1)(a))
Newsletter subscribers	Email address, subscription date	Sending updates, news, and impact reports	Consent (Art. 6(1)(a))
Partnership contacts	Name, job title, organisation, email, phone	Managing institutional relationships and cooperation	Legitimate interest (Art. 6(1)(f))

2.2 We do not collect sensitive personal data (special categories under Art. 9 GDPR), such as political opinions, religious beliefs, health data, or biometric data.

2.3 We do not knowingly collect personal data from children under the age of 16. If you believe a child has submitted data to us, please contact us immediately.

How We Use Your Data

3.1 We use your personal data strictly for the purposes for which it was collected, including:

Processing and recording charitable donations;
Sending donation confirmations and thank-you communications;
Complying with financial, tax, and anti-money-laundering obligations under Ukrainian law;
Responding to enquiries and maintaining partnership relationships;
Sending newsletters and impact updates (only with your consent);
Improving the functionality and security of our website;
Reporting to competent authorities as required by law.

3.2 We will never use your data for automated decision-making or profiling that produces legal or similarly significant effects.

3.3 We do not sell, rent, or commercially exploit your personal data under any circumstances.

Data Sharing and Third Parties

4.1 We share personal data with third parties only when strictly necessary and only in the following circumstances:

Payment processors (PrivatBank, Monobank, KREDOBANK): to process donation transactions. These providers operate under their own privacy policies and applicable financial regulations;
IT and hosting service providers: who support the operation of our website and communications infrastructure, bound by data processing agreements;
Legal and financial advisors: where required for compliance or legal proceedings, under confidentiality obligations;
Ukrainian public authorities: where disclosure is required by law (e.g., financial supervision, AML reporting);
EU/international authorities: where required under GDPR or international legal cooperation frameworks.

4.2 We do not transfer your personal data to third parties for marketing, commercial, or other purposes unrelated to the Foundation’s charitable mission.

4.3 Where we engage third-party data processors, we ensure appropriate Data Processing Agreements are in place, consistent with Art. 28 GDPR.

International Data Transfers

5.1 Your personal data is primarily processed and stored in Ukraine. In cases where data is transferred outside Ukraine to countries within the European Economic Area (EEA), such transfers are protected by GDPR-compliant safeguards.

5.2 If data is transferred to countries outside the EEA or Ukraine that do not provide an equivalent level of data protection, we ensure appropriate safeguards are in place, such as Standard Contractual Clauses (SCCs) as approved by the European Commission.

5.3 By making a donation or contacting us from any country, you acknowledge that your data may be processed in Ukraine in accordance with this policy and applicable Ukrainian law.

Data Retention

6.1 We retain personal data only for as long as necessary for the purposes for which it was collected, or as required by applicable law.

Data Category	Retention Period	Reason
Donation records	7 years from date of donation	Ukrainian financial and tax legislation
Contact/enquiry data	3 years from last interaction	Legitimate interest / potential legal claims
Newsletter subscribers	Until unsubscription or withdrawal of consent	Consent-based processing
Website analytics data	Up to 26 months	Standard analytics retention
Partnership records	Duration of partnership + 5 years	Contractual and legal obligations

6.2 When the retention period expires, data is securely deleted or anonymised in a manner that prevents re-identification.

Your Rights as a Data Subject

7.1 Under the GDPR and Ukrainian data protection law, you have the following rights regarding your personal data:

📋 Right of Access

Request a copy of all personal data we hold about you (Art. 15 GDPR).

✏️ Right to Rectification

Request correction of inaccurate or incomplete data (Art. 16 GDPR).

🗑️ Right to Erasure

Request deletion of your data (“right to be forgotten”), subject to legal retention obligations (Art. 17 GDPR).

⏸️ Right to Restriction

Request that we restrict the processing of your data in certain circumstances (Art. 18 GDPR).

📦 Right to Portability

Receive your data in a structured, machine-readable format (Art. 20 GDPR).

🚫 Right to Object

Object to processing based on legitimate interests or for direct marketing (Art. 21 GDPR).

↩️ Right to Withdraw Consent

Withdraw consent at any time for consent-based processing (e.g., newsletter), without affecting prior processing.

⚖️ Right to Lodge a Complaint

Lodge a complaint with the relevant supervisory authority in your country of residence.

7.2 To exercise any of these rights, please contact us in writing at the email address provided in Section 1. We will respond within 30 calendar days of receipt. In complex cases, this may be extended by a further 60 days, of which you will be informed.

7.3 Requests are processed free of charge. For manifestly unfounded or excessive requests, we may charge a reasonable administrative fee or decline to act.

🇪🇺 EU residents may also lodge a complaint with their national data protection authority. In the EU, the list of supervisory authorities is available at: edpb.europa.eu.
🇺🇦 Ukrainian residents may contact the Ukrainian Parliament Commissioner for Human Rights (Уповноважений Верховної Ради України з прав людини).

Cookies and Tracking Technologies

8.1 Our website uses cookies and similar technologies to ensure its proper functioning, analyse usage patterns, and improve user experience. A cookie is a small text file placed on your device by your browser.

8.2 We use the following types of cookies:

8.3 On your first visit, you will be asked to accept or decline non-essential cookies. You may change your cookie preferences at any time through your browser settings or our cookie management tool.

8.4 Disabling cookies may affect the functionality of certain parts of the website.

⚠ Important Note Third-party services embedded on this site (e.g., payment buttons, social media widgets) may set their own cookies, governed by their respective privacy policies. We recommend reviewing the policies of PrivatBank, Monobank, Facebook, Instagram, and X/Twitter where applicable.

Data Security

9.1 We implement appropriate technical and organisational measures to protect your personal data against unauthorised access, accidental loss, alteration, disclosure, or destruction.

9.2 Security measures include:

HTTPS encryption for all website traffic;
Access controls and authentication for internal systems;
No storage of payment card data on Foundation infrastructure;
Regular security reviews of digital infrastructure;
Staff awareness of data protection obligations.

9.3 In the event of a personal data breach that is likely to result in a risk to your rights and freedoms, we will notify the relevant supervisory authority within 72 hours of becoming aware, and will inform affected individuals without undue delay where the risk is high, in accordance with Art. 33–34 GDPR.

9.4 While we take all reasonable precautions, no method of transmission over the internet is entirely secure. We cannot guarantee absolute security.

Third-Party Websites and Links

10.1 Our website may contain links to third-party websites, including payment platforms (PrivatBank, Monobank) and social media channels (Facebook, Instagram, X/Twitter). This Privacy Policy applies solely to our website.

10.2 We are not responsible for the privacy practices or content of any third-party websites. We encourage you to read the privacy policies of any external site you visit.

Updates to This Policy

11.1 We may update this Privacy Policy from time to time to reflect changes in our practices, technology, legal requirements, or other factors. The updated version will be published on this page with a revised “Last Updated” date.

11.2 For significant changes, we will make reasonable efforts to notify users (e.g., via a notice on the homepage or by email where we hold your contact details).

11.3 Continued use of the website or donation services after the publication of changes constitutes acceptance of the updated policy.

Applicable Law

12.1 This Privacy Policy is governed by:

Law of Ukraine “On Personal Data Protection” No. 2297-VI, 1 June 2010;
General Data Protection Regulation (GDPR) (EU) 2016/679 — applicable to data subjects in the EU;
Other applicable Ukrainian and international data protection legislation.

12.2 Any dispute relating to this Privacy Policy shall be resolved in accordance with the dispute resolution procedures set out in the Foundation’s Terms & Conditions.

Contact Us

13.1 For all privacy-related enquiries, requests to exercise your rights, or concerns about how we handle your data, please contact us:

Charitable Organization “Charitable Foundation ‘Support Ukraine’”

Websitehttps://su.org.ua/

Contactshttps://su.org.ua/contacts/

Emailinfo@su.org.ua

AddressLviv, Ukraine

Response timeWithin 30 calendar days

⚠ Примітка: цей документ є точним перекладом та адаптацією англійської версії. Обидві версії мають рівну юридичну силу. У разі розбіжностей пріоритет має версія, що відповідає чинному законодавству України.

🔒 Ваша конфіденційність важлива для нас Ця Політика конфіденційності пояснює, як Благодійна Організація «Благодійний Фонд “Сапорт Юкрейн”» збирає, використовує, зберігає та захищає ваші персональні дані, коли ви відвідуєте наш сайт, здійснюєте пожертву або взаємодієте з нами. Ми прагнемо до повної прозорості та захисту ваших прав як суб’єкта персональних даних.

Контролер персональних даних

1.1 Відповідальним за обробку ваших персональних даних є:

Благодійна Організація «Благодійний Фонд “Сапорт Юкрейн”»

Англ. назваCO CF “Support Ukraine”

Адресам. Львів, Україна

Сайтhttps://su.org.ua/

Emailinfo@su.org.ua

1.2 З усіх питань, пов’язаних з персональними даними та конфіденційністю, ви можете звернутися до нас за вказаною електронною адресою. Ми прагнемо відповідати на всі запити щодо даних протягом 30 календарних днів.

Які дані ми збираємо та з якою метою

2.1 Ми збираємо лише ті персональні дані, які необхідні для конкретних законних цілей.

Категорія	Дані	Мета	Правова підстава (GDPR)
Відвідувачі сайту	IP-адреса, тип браузера, переглянуті сторінки, час візиту	Безпека сайту, аналітика, покращення UX	Законний інтерес (ст. 6(1)(f))
Онлайн-жертводавці	Ім’я, email, метадані платежу (сума, дата, валюта)	Обробка пожертви, підтвердження, правові вимоги	Виконання договору (ст. 6(1)(b)); Правова вимога (ст. 6(1)(c))
Банківські перекази	Ім’я відправника, IBAN, сума, призначення	Ідентифікація та облік пожертви, фін. звітність	Правова вимога (ст. 6(1)(c))
Форма зворотнього зв’язку / email	Ім’я, email, зміст повідомлення	Відповіді на запити, партнерські комунікації	Законний інтерес (ст. 6(1)(f)); Згода (ст. 6(1)(a))
Підписники розсилки	Email, дата підписки	Надсилання новин та звітів про вплив	Згода (ст. 6(1)(a))
Партнерські контакти	Ім’я, посада, організація, email, телефон	Управління інституційними відносинами	Законний інтерес (ст. 6(1)(f))

2.2 Ми не збираємо особливі категорії персональних даних (ст. 9 GDPR): політичні погляди, релігійні переконання, стан здоров’я, біометричні дані тощо.

2.3 Ми не збираємо свідомо персональні дані дітей до 16 років. Якщо ви вважаєте, що дитина надала нам свої дані, будь ласка, зв’яжіться з нами негайно.

Як ми використовуємо ваші дані

3.1 Ми використовуємо ваші персональні дані виключно для цілей, для яких вони були зібрані, зокрема:

Обробка та облік благодійних пожертв;
Надсилання підтверджень пожертви та листів подяки;
Виконання фінансових, податкових та антивідмивальних зобов’язань за законодавством України;
Відповіді на запити та ведення партнерських відносин;
Надсилання розсилки та звітів про вплив (лише за вашою згодою);
Покращення функціональності та безпеки сайту;
Звітування перед уповноваженими органами відповідно до вимог законодавства.

3.2 Ми ніколи не використовуємо ваші дані для автоматизованого прийняття рішень або профілювання, що має юридичні або аналогічно значущі наслідки.

3.3 Ми не продаємо, не здаємо в оренду та не використовуємо комерційно ваші персональні дані за жодних обставин.

Передача даних третім особам

4.1 Ми передаємо персональні дані третім особам лише у разі крайньої необхідності та виключно у таких випадках:

Платіжні процесори (ПриватБанк, Монобанк, КРЕДОБАНК): для обробки транзакцій пожертв відповідно до власних політик конфіденційності та фінансового регулювання;
IT- та хостинг-провайдери: що підтримують роботу нашого сайту та комунікаційної інфраструктури, з якими укладено угоди про обробку даних;
Юридичні та фінансові радники: де це необхідно для відповідності вимогам або судових провадженнях, під зобов’язанням про конфіденційність;
Українські органи державної влади: якщо розкриття вимагається законодавством (фінансовий нагляд, AML-звітність тощо);
Міжнародні органи: у рамках GDPR або міжнародних угод про правову співпрацю.

4.2 Ми не передаємо ваші персональні дані третім особам для маркетингових або комерційних цілей, не пов’язаних з місією Фонду.

Міжнародна передача даних

5.1 Ваші персональні дані переважно обробляються та зберігаються в Україні. У випадках передачі даних до країн Європейської економічної зони (ЄЕЗ) застосовуються захисні заходи, що відповідають GDPR.

5.2 При передачі даних до країн поза ЄЕЗ та Україною, що не забезпечують еквівалентного рівня захисту, ми застосовуємо відповідні захисні заходи — зокрема Стандартні договірні застереження (SCC), затверджені Європейською Комісією.

5.3 Здійснюючи пожертву або звертаючись до нас з будь-якої країни, ви підтверджуєте, що ваші дані можуть оброблятися в Україні відповідно до цієї Політики.

Строки зберігання даних

6.1 Ми зберігаємо персональні дані лише стільки, скільки необхідно для цілей їх збору або відповідно до вимог чинного законодавства.

Категорія даних	Строк зберігання	Підстава
Записи про пожертви	7 років з дати пожертви	Фінансове та податкове законодавство України
Дані контактів / запитів	3 роки з останньої взаємодії	Законний інтерес / можливі правові претензії
Підписники розсилки	До відписки або відкликання згоди	Обробка на основі згоди
Дані аналітики сайту	До 26 місяців	Стандартний строк аналітики
Партнерські записи	Тривалість партнерства + 5 років	Договірні та правові зобов’язання

6.2 Після закінчення строку зберігання дані надійно видаляються або анонімізуються у спосіб, що унеможливлює повторну ідентифікацію.

Ваші права як суб’єкта персональних даних

7.1 Відповідно до GDPR та українського законодавства про захист персональних даних, ви маєте такі права:

📋 Право на доступ

Запросити копію всіх персональних даних, які ми зберігаємо про вас (ст. 15 GDPR).

✏️ Право на виправлення

Запросити виправлення неточних або неповних даних (ст. 16 GDPR).

🗑️ Право на видалення

Запросити видалення ваших даних («право бути забутим»), за умови виконання правових зобов’язань щодо зберігання (ст. 17 GDPR).

⏸️ Право на обмеження обробки

Вимагати обмеження обробки ваших даних у певних обставинах (ст. 18 GDPR).

📦 Право на портабельність

Отримати ваші дані у структурованому, машиночитаному форматі (ст. 20 GDPR).

🚫 Право на заперечення

Заперечити обробку, що ґрунтується на законному інтересі або для прямого маркетингу (ст. 21 GDPR).

↩️ Право на відкликання згоди

Відкликати згоду в будь-який момент (наприклад, відписатися від розсилки) без впливу на попередню обробку.

⚖️ Право на скаргу

Подати скаргу до відповідного наглядового органу у країні вашого проживання.

7.2 Для реалізації будь-якого з цих прав, будь ласка, зверніться до нас у письмовій формі на електронну адресу, зазначену у Розділі 1. Ми відповімо протягом 30 календарних днів. У складних випадках цей строк може бути продовжений ще на 60 днів, про що ви будете повідомлені.

7.3 Обробка запитів здійснюється безоплатно. Для явно необґрунтованих або надмірних запитів може стягуватися розумна адміністративна плата.

🇪🇺 Резиденти ЄС можуть подати скаргу до національного органу із захисту даних своєї країни: edpb.europa.eu.
🇺🇦 Резиденти України можуть звернутися до Уповноваженого Верховної Ради України з прав людини.

Файли cookie та технології відстеження

8.1 Наш сайт використовує файли cookie та аналогічні технології для забезпечення коректної роботи, аналізу трафіку та покращення користувацького досвіду.

8.2 Ми використовуємо такі типи cookie:

8.3 При першому відвідуванні ви отримаєте запит на прийняття або відхилення необов’язкових cookie. Ви можете змінити налаштування cookie в будь-який час через ваш браузер.

⚠ Важливо Сторонні сервіси, вбудовані на нашому сайті (платіжні кнопки, віджети соціальних мереж), можуть встановлювати власні cookie згідно зі своїми політиками конфіденційності (ПриватБанк, Монобанк, Facebook, Instagram, X/Twitter).

Безпека даних

9.1 Ми вживаємо відповідних технічних та організаційних заходів для захисту ваших персональних даних від несанкціонованого доступу, випадкової втрати, зміни, розкриття або знищення.

9.2 Заходи безпеки включають:

HTTPS-шифрування всього трафіку сайту;
Контроль доступу та автентифікація для внутрішніх систем;
Відсутність зберігання даних платіжних карток на інфраструктурі Фонду;
Регулярні перевірки безпеки цифрової інфраструктури;
Обізнаність персоналу щодо зобов’язань у сфері захисту даних.

9.3 У разі порушення захисту персональних даних, що може становити ризик для ваших прав і свобод, ми повідомимо відповідний наглядовий орган протягом 72 годин та окремо повідомимо постраждалих осіб без невиправданої затримки (відповідно до ст. 33–34 GDPR).

Зовнішні посилання

10.1 Наш сайт може містити посилання на сторонні ресурси — платіжні платформи (ПриватБанк, Монобанк) та соціальні мережі. Ця Політика конфіденційності поширюється виключно на наш сайт.

10.2 Ми не несемо відповідальності за практики конфіденційності або зміст зовнішніх сайтів. Рекомендуємо ознайомлюватися з політиками конфіденційності будь-якого зовнішнього ресурсу.

Оновлення цієї Політики

11.1 Ми можемо час від часу оновлювати цю Політику конфіденційності. Оновлена версія публікуватиметься на цій сторінці із зазначенням нової дати «Востаннє оновлено».

11.2 При суттєвих змінах ми докладемо розумних зусиль для повідомлення користувачів (наприклад, через сповіщення на головній сторінці або email).

11.3 Продовження використання сайту після публікації змін означає прийняття оновленої Політики.

Застосовне право

12.1 Ця Політика конфіденційності регулюється:

Законом України «Про захист персональних даних» від 01.06.2010 № 2297-VI;
Загальним регламентом про захист даних (GDPR) (ЄС) 2016/679 — щодо суб’єктів даних у ЄС;
Іншим застосовним українським та міжнародним законодавством у сфері захисту даних.

Контактна інформація

13.1 З усіх питань щодо конфіденційності, реалізації ваших прав або занепокоєнь щодо обробки даних, звертайтесь до нас:

Благодійна Організація «Благодійний Фонд “Сапорт Юкрейн”»

Сайтhttps://su.org.ua/

Контактиhttps://su.org.ua/contacts/

Emailinfo@su.org.ua

Адресам. Львів, Україна

Строк відповідіПротягом 30 календарних днів