Политика конфиденциальности

Контролёр персональных данных — Vladyslav Haiduk, физическое лицо — предприниматель (OSVČ), IČO 23484624. Полные регистрационные данные и надзорные органы указаны в Реквизитах.

По любым вопросам защиты персональных данных и для реализации ваших прав пишите на [email protected]. У нас нет отдельного сотрудника по защите данных — заявления обрабатывает сам контролёр.

Мы обрабатываем только те данные, которые нужны для работы платформы и платных услуг. Категории:

• Данные учётной записи и профиля: Адрес e-mail, хеш пароля при регистрации с паролем, идентификаторы подключённого OAuth-провайдера при входе через Google, имя, фамилия, страна, чешский регион, предпочитаемый язык, телефонный код страны, национальный номер телефона, телефон в формате E.164, время создания учётной записи, завершения профиля и последнего входа. Мы не собираем отдельное отображаемое имя аккаунта; если Google передаёт display name, мы используем его только для предварительного заполнения имени и фамилии при необходимости.
• Объявления, сообщения и модерация: Объявления, которые вы публикуете (заголовок, описание, фото, цена, категория, атрибуты, склад/возможность заказа, варианты доставки, статус публикации и история объявления), сообщения и вложения в чате, жалобы и заметки к жалобам, избранное, записи о блокировке пользователей и действия модерации.
• Данные продавца и витрины: Если вы используете инструменты продавца, мы обрабатываем тип/статус продавца, публичный бейдж, e-mail/телефон поддержки, текст политики возвратов, статус бизнес-верификации и витрины, название витрины, slug, описание, логотип/баннер, адреса точек, часы работы, заметки к самовывозу, приглашения сотрудников, членства и роли команды.
• Заказы и доставка: Данные заказов и доставки: идентификаторы покупателя и продавца, товар, количество, цена/валюта, статус и события заказа, телефон и заметка покупателя, адрес доставки на дом, место/адрес/город/координаты/время/заметки публичной встречи, коды передачи, запросы на отмену/помощь/изменение, трек-номера, идентификаторы перевозчика и события отслеживания.
• Верификация личности и предпринимателя: Данные телефонной верификации: отправленный номер телефона, провайдер верификации (Twilio), попытка/результат/статус и временные метки. Данные бизнес-верификации/KYB: юридическое имя, правовая форма, IČO/DIČ или регистрационные данные, данные ARES, зарегистрированный адрес, контакты поддержки, представленные документы или доказательства, события верификации, решения проверяющего и временные метки.
• Платежи, подписки и продвижения: При оплате продвижения или подписки полные данные карты получает и хранит Stripe — оператор никогда не видит и не хранит полный PAN/CVC. Мы храним идентификаторы клиента/платежа/подписки/платёжного метода Stripe, бренд карты, последние четыре цифры и срок действия, если их возвращает Stripe, статус счёта/платежа, сумму, валюту, расчётный период, налоговые и бухгалтерские данные, скидки/промокоды, ссылки на Stripe webhook, а также хеши и время согласий на сохранение карты или waiver права отказа.
• Аналитика и события эффективности: События просмотров объявлений/витрин, показов, кликов, раскрытия контактов и доставки продвижений; измерение страниц и событий в Google Analytics после согласия; флаги засчитывания, временные метки, идентификаторы объявления/витрины/кампании, ID пользователя при входе, опциональный session key при согласии на аналитику и хеш IP-адреса/user-agent для анонимной дедупликации.
• Поиск мест и данные геолокации: Поисковый текст, выбранные адреса, приблизительные координаты на карте, места встречи, адреса доставки, если используются, фильтры страны/языка и запросы обратного геокодирования, отправляемые поставщику поиска мест.
• Награды и рефералы: Если вы используете реферальные или бонусные функции, мы обрабатываем ссылки для шаринга, записи кликов, конверсии, бонусные кошельки, записи ledger, достижения, заявки на обмен, anti-abuse флаги и решения проверки.
• Уведомления: Настройки уведомлений, записи уведомлений, канал доставки, статус доставки, источник уведомления, временные метки и связанные идентификаторы, например ID объявления, заказа, подписки или витрины.
• Переписка с поддержкой: Если вы пишете нам по e-mail или через help/support flow, мы сохраняем ваше сообщение, наш ответ, вложения и внутренние заметки обработки столько, сколько нужно для рассмотрения и возможной защиты правовых требований.
• Импортированные данные объявлений третьих лиц: Публичное содержимое объявлений Bazoš, импортированное для поиска: идентификаторы источника, категория источника, название/описание объявления, цена, подсказки о месте, фото/медиа, временные метки, подсказки об отображаемых или контактных данных продавца, статус заявки на владение и метаданные импорта.
• Данные AI-обогащения: Когда AI-обогащение включено, текст импортированного объявления, кандидаты категорий/атрибутов и нечувствительные метаданные могут передаваться поставщику AI для классификации или нормализации объявлений. Мы намеренно не отправляем для этой цели платёжные данные, документы проверки личности или личные сообщения.
• Технические данные: При посещении сайта или вызове API мы получаем метаданные запроса, такие как IP-адрес, user-agent, время, запрошенный endpoint/страница и контекст аутентификации/сессии. Для аналитики просмотров мы храним хеш IP-адреса и хеш user-agent, а не исходные значения. Отдельные security/audit логи могут хранить метаданные запросов для предотвращения злоупотреблений, диагностики и правовых требований.
• Cookies и аналогичные хранилища: Полный список cookies и ключей localStorage, их назначение и способы изменить выбор — в отдельной Политике cookies.
• Правовые записи и согласия: Версионированные записи принятия Условий, Политики конфиденциальности, подтверждения возраста, выбора cookies, согласий на сохранение карты и waiver для платных услуг, вместе с временными метками и ограниченным контекстом запроса для подтверждения выбора.

Некоторые страницы объявлений создаются из публичных объявлений Bazoš, а не непосредственно продавцом. Источником является Bazoš, а идентификатор источника сохраняется, чтобы запись можно было отследить, заявить права на неё, исправить или удалить.

Импортированные категории могут включать текст объявления, публичные фото, цену, категорию, публичный URL или идентификатор источника, приблизительное место, подсказки об отображаемых/контактных данных продавца и технические метаданные импорта. Мы обрабатываем это на основании законного интереса в поиске на маркетплейсе, дедупликации, предотвращении мошенничества и возможности для продавцов заявить права на импортированные страницы или возразить против них.

Если импортированное объявление относится к вам, напишите на [email protected] или используйте flow заявки на странице объявления, чтобы запросить доступ, исправление, удаление, рассмотрение возражения или информацию об источнике.

Каждый процесс обработки опирается на одно из правовых оснований GDPR:

• Исполнение договора: Большинство процессов — ваша учётная запись, объявления, сообщения, покупки продвижений или подписок — необходимы для предоставления услуги, на которую вы подписались.
• Законный интерес: Мы опираемся на законный интерес для безопасности (ограничение частоты запросов, выявление мошенничества, audit logs), модерации, предотвращения злоупотреблений вознаграждениями/акциями, ограниченной агрегированной аналитики, включая анонимные счётчики просмотров объявлений/витрин, улучшения продукта, импорта публичных объявлений Bazoš для поиска и классификации или нормализации импортированных объявлений.
• Согласие: Мы используем согласие для опциональных cookies/браузерного хранилища, таких как аналитический session key, cookies Google Analytics и реферальная cookie, для согласия на сохранение платёжного метода, подтверждений waiver права отказа там, где это требуется, и для будущих маркетинговых e-mail.
• Соблюдение правовой обязанности: Часть обработки требуется по чешскому праву — бухгалтерские и налоговые записи по операциям с оператором, ответы на законные запросы органов власти и обязанности реагировать на уведомления о незаконном контенте или небезопасных товарах.

Для работы платформы мы используем перечисленных ниже обработчиков и субобработчиков. Продакшн-обработчики действуют на основании письменных условий обработки и обрабатывают данные только по поручению оператора.

Основной хостинг и обработка базы данных происходят в ЕС/ЕЭЗ на Hetzner (Германия). Некоторые процессоры или компании их групп/субпроцессоры могут обрабатывать данные за пределами ЕС/ЕЭЗ, включая Cloudflare, Stripe, Google (включая Google Workspace/Gmail SMTP), Twilio, Geoapify, OpenAI и Sentry. Для таких передач мы опираемся на решения об адекватности, стандартные договорные положения, дополнительные меры или другие механизмы GDPR, если они требуются.

Персональные данные мы храним только столько, сколько нужно для цели сбора, после чего удаляем или анонимизируем.

• Данные учётной записи/профиля хранятся, пока аккаунт активен. Чтобы запросить удаление аккаунта, напишите на e-mail поддержки из Реквизитов; после проверки запроса идентифицирующие поля аккаунта/профиля анонимизируются в течение 30 дней. Записи, которые мы обязаны хранить по закону, для безопасности, споров или бухгалтерии, хранятся как описано ниже.
• Объявления остаются опубликованными, пока вы их не удалите или не закончится их жизненный цикл. Закрытые объявления и их статистика хранятся 24 месяца для истории мошенничества и споров.
• Записи заказов, доставки, встреч, отправлений и координации сделок между пользователями хранятся 24 месяца после закрытия для истории мошенничества, поддержки и споров, если закон или активные требования не требуют большего срока.
• Записи телефонной и бизнес-верификации хранятся, пока активен аккаунт или статус продавца, а затем до 3 лет для аудита, предотвращения мошенничества и правовых требований, если закон или активные требования не требуют большего срока.
• Платёжные записи, счета и бухгалтерские документы мы храним 10 лет согласно чешскому законодательству о бухгалтерском учёте.
• События просмотров, показов, кликов, раскрытия контактов и аналитики продвижений хранятся 24 месяца; агрегированная статистика, которая больше не идентифицирует пользователя или браузер, может храниться дольше.
• Импортированные объявления Bazoš и связанные метаданные импорта хранятся, пока они полезны для поиска, обработки заявок/удалений, дедупликации, предотвращения мошенничества и истории аудита. Удалённые записи или записи, по которым подано возражение, могут храниться в ограниченной форме, если это нужно для предотвращения повторного импорта или защиты правовых требований.
• Записи согласий на cookies, принятия правовых документов, сохранения карты и waiver права отказа хранятся 3 года с даты выбора в целях аудита.
• E-mail-обращения и help requests в поддержку хранятся 3 года с момента последнего ответа, после чего удаляются, если активное правовое дело не требует более длительного хранения.

В отношении ваших персональных данных вы имеете следующие права по GDPR:

• Доступ: Вы можете запросить копию персональных данных, которыми мы располагаем, и информацию о том, как мы их обрабатываем.
• Исправление: Вы можете просить нас исправить неточные данные или дополнить неполные.
• Удаление (право быть забытым): Вы можете просить удалить ваши персональные данные, если они больше не нужны для цели сбора, если вы отозвали согласие или если обработка незаконна. Часть записей (бухгалтерские, аудит-логи) мы обязаны хранить по закону.
• Ограничение обработки: Вы можете попросить ограничить обработку на время рассмотрения запроса об исправлении или возражения.
• Переносимость данных: Для данных, которые вы предоставили нам на основании договора или согласия, можно запросить структурированный машиночитаемый экспорт.
• Возражение: Вы можете возразить против обработки на основании законного интереса. Мы прекратим её, если не покажем перевешивающих оснований и если она не требуется для предъявления и защиты правовых требований.
• Отзыв согласия: Если обработка опирается на ваше согласие, вы можете отозвать его в любой момент. Отзыв не влияет на законность обработки, произошедшей до отзыва.
• Жалоба: Вы имеете право подать жалобу в надзорный орган по защите персональных данных по месту вашего проживания.

Для реализации любого из этих прав напишите на [email protected]. Ответим в течение 30 дней; для сложных запросов срок может быть продлён ещё на 60 дней — мы сообщим об этом в первые 30 дней.

Skarbex предназначен для лиц от 16 лет. Лица 16 и 17 лет могут пользоваться платформой с ведома и согласия родителя или законного представителя. Мы сознательно не собираем персональные данные лиц младше 16 лет; если узнаем об обратном, удалим данные и учётную запись.

Мы используем TLS для трафика, хеширование паролей (bcrypt), токенизацию карточных данных через Stripe, прикладное шифрование отдельных чувствительных полей верификации, ролевой доступ в админке и audit logs для чувствительных действий. Ни одна система не является полностью безопасной; при инциденте, затрагивающем ваши данные, мы уведомим надзорный орган в течение 72 часов и вас без неоправданных задержек, когда этого требует закон.

Мы можем обновлять эту политику. О существенных изменениях в отношении приватности сообщаем через платформу, а там, где этого требует закон, просим новое согласие перед продолжением соответствующей обработки. Несущественные уточнения вступают в силу после публикации. Дата выше показывает текущую версию.

По любым вопросам, запросам или жалобам в области защиты персональных данных пишите на [email protected].