Політика конфіденційності

Контролером персональних даних є Vladyslav Haiduk, фізична особа — підприємець (OSVČ), IČO 23484624. Повні реєстраційні дані та наглядові органи зазначені в Реквізитах.

З усіх питань захисту персональних даних та для реалізації прав пишіть на [email protected]. У нас немає окремого співробітника із захисту даних — запити опрацьовує сам контролер.

Ми обробляємо лише ті дані, що потрібні для роботи платформи та платних послуг. Категорії:

• Дані облікового запису та профілю: Адреса e-mail, хеш пароля при реєстрації з паролем, ідентифікатори підключеного OAuth-провайдера при вході через Google, ім’я, прізвище, країна, чеський регіон, обрана мова, телефонний код країни, національний номер телефону, телефон у форматі E.164, час створення запису, завершення профілю та останнього входу. Ми не збираємо окреме відображуване ім’я акаунта; якщо Google надає display name, ми використовуємо його лише для попереднього заповнення імені та прізвища за потреби.
• Оголошення, повідомлення та модерація: Оголошення, які ви публікуєте (заголовок, опис, фото, ціна, категорія, атрибути, склад/можливість замовлення, варіанти доставки, статус публікації та історія оголошення), повідомлення й вкладення в чаті, скарги та нотатки до скарг, обране, записи про заблокованих користувачів і дії модерації.
• Дані продавця та вітрини: Якщо ви використовуєте інструменти продавця, ми обробляємо тип/статус продавця, публічний бейдж, e-mail/телефон підтримки, текст політики повернень, статус бізнес-верифікації та вітрини, назву вітрини, slug, опис, логотип/банер, локації, години роботи, нотатки до самовивозу, запрошення співробітників, членства та ролі команди.
• Замовлення та доставка: Дані замовлень і доставки: ідентифікатори покупця та продавця, товар, кількість, ціна/валюта, статус і події замовлення, телефон і нотатка покупця, адреса доставки додому, місце/адреса/місто/координати/час/нотатки публічної зустрічі, коди передачі, запити на скасування/допомогу/зміну, трек-номери, ідентифікатори перевізника та події відстеження.
• Верифікація особи та підприємця: Дані телефонної верифікації: поданий номер телефону, провайдер верифікації (Twilio), спроба/результат/статус і часові мітки. Дані бізнес-верифікації/KYB: юридична назва, правова форма, IČO/DIČ або реєстраційні дані, дані ARES, зареєстрована адреса, контакти підтримки, подані документи або докази, події верифікації, рішення перевіряча та часові мітки.
• Платежі, підписки та просування: При оплаті просування або підписки повні дані картки отримує і зберігає Stripe — оператор ніколи не бачить і не зберігає повний PAN/CVC. Ми зберігаємо ідентифікатори клієнта/платежу/підписки/платіжного методу Stripe, бренд картки, останні чотири цифри та строк дії, якщо їх повертає Stripe, статус рахунка/платежу, суму, валюту, розрахунковий період, податкові та бухгалтерські дані, знижки/промокоди, посилання на Stripe webhook, а також хеші та час згод на збереження картки або waiver права відмови.
• Аналітика та події ефективності: Події переглядів оголошень/вітрин, показів, кліків, розкриття контактів і доставки просувань; вимірювання сторінок і подій у Google Analytics після згоди; прапорці зарахування, часові мітки, ідентифікатори оголошення/вітрини/кампанії, ID користувача при вході, опціональний session key при згоді на аналітику та хеш IP-адреси/user-agent для анонімної дедуплікації.
• Пошук місць і дані геолокації: Пошуковий текст, вибрані адреси, приблизні координати на мапі, місця зустрічі, адреси доставки, якщо використовуються, фільтри країни/мови та запити зворотного геокодування, що надсилаються постачальнику пошуку місць.
• Винагороди та реферали: Якщо ви використовуєте реферальні або бонусні функції, ми обробляємо посилання для поширення, записи кліків, конверсії, бонусні гаманці, ledger-записи, досягнення, заявки на обмін, anti-abuse прапорці та рішення перевірки.
• Сповіщення: Налаштування сповіщень, записи сповіщень, канал доставки, статус доставки, джерело сповіщення, часові мітки та пов’язані ідентифікатори, наприклад ID оголошення, замовлення, підписки або вітрини.
• Листування з підтримкою: Якщо ви пишете нам e-mail або через help/support flow, ми зберігаємо ваше повідомлення, нашу відповідь, вкладення та внутрішні нотатки обробки стільки, скільки потрібно для розгляду та можливого захисту правових вимог.
• Імпортовані дані оголошень третіх сторін: Публічний вміст оголошень Bazoš, імпортований для пошуку: ідентифікатори джерела, категорія джерела, назва/опис оголошення, ціна, підказки щодо місця, фото/медіа, часові мітки, підказки щодо відображуваних або контактних даних продавця, статус заявки на володіння та метадані імпорту.
• Дані AI-збагачення: Коли AI-збагачення увімкнено, текст імпортованого оголошення, кандидати категорій/атрибутів і нечутливі метадані можуть передаватися постачальнику AI для класифікації або нормалізації оголошень. Ми навмисно не надсилаємо платіжні дані, документи верифікації особи або приватні повідомлення для цієї мети.
• Технічні дані: Під час відвідування сайту або виклику API ми отримуємо метадані запиту, як-от IP-адресу, user-agent, час, запитаний endpoint/сторінку та контекст автентифікації/сесії. Для аналітики переглядів ми зберігаємо хеш IP-адреси та хеш user-agent, а не вихідні значення. Окремі security/audit logs можуть зберігати метадані запитів для запобігання зловживанням, діагностики та правових вимог.
• Cookies та подібні сховища: Повний список cookies та ключів localStorage, їхнє призначення та можливості зміни вибору — у окремій Політиці cookies.
• Правові записи та згоди: Версійовані записи прийняття Умов, Політики конфіденційності, підтвердження віку, вибору cookies, згод на збереження картки та waiver для платних послуг, разом із часовими мітками та обмеженим контекстом запиту для підтвердження вибору.

Деякі сторінки оголошень створюються з публічних оголошень Bazoš, а не безпосередньо продавцем. Джерелом є Bazoš, а ідентифікатор джерела зберігається, щоб запис можна було відстежити, заявити права на нього, виправити або видалити.

Імпортовані категорії можуть містити текст оголошення, публічні фото, ціну, категорію, публічну URL-адресу або ідентифікатор джерела, приблизне місце, підказки щодо відображуваних/контактних даних продавця та технічні метадані імпорту. Ми обробляємо це на підставі законного інтересу в пошуку на маркетплейсі, дедуплікації, запобіганні шахрайству та можливості для продавців заявити права на імпортовані сторінки або заперечити проти них.

Якщо імпортоване оголошення стосується вас, напишіть на [email protected] або скористайтеся flow заявки на сторінці оголошення, щоб запросити доступ, виправлення, видалення, розгляд заперечення або інформацію про джерело.

Кожен процес обробки спирається на одну з правових підстав GDPR:

• Виконання договору: Більшість процесів — ваш обліковий запис, оголошення, повідомлення, купівлі просувань або підписок — необхідні для надання послуги, на яку ви підписалися.
• Законний інтерес: Ми спираємося на законний інтерес для безпеки (обмеження частоти запитів, виявлення шахрайства, audit logs), модерації, запобігання зловживанню винагородами/акціями, обмеженої агрегованої аналітики, зокрема анонімних лічильників переглядів оголошень/вітрин, покращення продукту, імпорту публічних оголошень Bazoš для пошуку та класифікації або нормалізації імпортованих оголошень.
• Згода: Ми використовуємо згоду для опціональних cookies/браузерного сховища, таких як аналітичний session key, cookies Google Analytics і реферальна cookie, для згоди на збереження платіжного методу, підтверджень waiver права відмови там, де це потрібно, і для майбутніх маркетингових e-mail.
• Виконання правового обов'язку: Частина обробки потрібна за чеським правом — бухгалтерські та податкові записи щодо операцій з оператором, відповіді на законні запити органів влади та обов’язки реагувати на повідомлення про незаконний контент або небезпечні товари.

Для роботи платформи ми використовуємо перелічених нижче обробників і субобробників. Продакшн-обробники діють на підставі письмових умов обробки та обробляють дані лише за дорученням оператора.

Основний хостинг і обробка бази даних відбуваються в ЄС/ЄЕЗ на Hetzner (Німеччина). Деякі процесори або компанії їхніх груп/субпроцесори можуть обробляти дані за межами ЄС/ЄЕЗ, зокрема Cloudflare, Stripe, Google (включно з Google Workspace/Gmail SMTP), Twilio, Geoapify, OpenAI та Sentry. Для таких передань ми спираємося на рішення про адекватність, стандартні договірні положення, додаткові заходи або інші механізми GDPR, якщо вони потрібні.

Персональні дані ми зберігаємо лише стільки, скільки потрібно для мети збору, після чого видаляємо або анонімізуємо.

• Дані облікового запису/профілю зберігаються, поки акаунт активний. Щоб запросити видалення акаунта, напишіть на e-mail підтримки з Реквізитів; після перевірки запиту ідентифікаційні поля акаунта/профілю анонімізуються протягом 30 днів. Записи, які ми повинні зберігати за законом, для безпеки, спорів або бухгалтерії, зберігаються як описано нижче.
• Оголошення залишаються опублікованими, доки ви їх не видалите або не закінчиться їхній життєвий цикл. Закриті оголошення та їхня статистика зберігаються 24 місяці для історії шахрайства та спорів.
• Записи замовлень, доставки, зустрічей, відправлень і координації угод між користувачами зберігаються 24 місяці після закриття для історії шахрайства, підтримки та спорів, якщо закон або активні вимоги не потребують довшого строку.
• Записи телефонної та бізнес-верифікації зберігаються, поки активний акаунт або статус продавця, а потім до 3 років для аудиту, запобігання шахрайству та правових вимог, якщо закон або активні вимоги не потребують довшого строку.
• Платіжні записи, рахунки та бухгалтерські документи зберігаємо 10 років згідно з чеським законодавством про бухгалтерський облік.
• Події переглядів, показів, кліків, розкриття контактів та аналітики просувань зберігаються 24 місяці; агрегована статистика, яка більше не ідентифікує користувача або браузер, може зберігатися довше.
• Імпортовані оголошення Bazoš і пов’язані метадані імпорту зберігаються, доки вони корисні для пошуку, обробки заявок/видалень, дедуплікації, запобігання шахрайству та історії аудиту. Видалені записи або записи, щодо яких подано заперечення, можуть зберігатися в обмеженій формі, якщо це потрібно для запобігання повторному імпорту або захисту правових вимог.
• Записи згод на cookies, прийняття правових документів, збереження картки та waiver права відмови зберігаються 3 роки з дати вибору з метою аудиту.
• E-mail-звернення та help requests до підтримки зберігаються 3 роки з моменту останньої відповіді, після чого видаляються, якщо активна правова справа не вимагає довшого зберігання.

Щодо ваших персональних даних ви маєте такі права за GDPR:

• Доступ: Ви можете запитати копію персональних даних, що ми про вас зберігаємо, та інформацію про те, як ми їх обробляємо.
• Виправлення: Ви можете просити нас виправити неточні дані або доповнити неповні.
• Видалення (право бути забутим): Ви можете просити видалити персональні дані, які більше не потрібні для мети збору, якщо ви відкликали згоду або обробка є незаконною. Частину записів (бухгалтерські, аудит-логи) ми зобов'язані зберігати за законом.
• Обмеження обробки: Ви можете попросити обмежити обробку на час розгляду запиту про виправлення або заперечення.
• Перенесення даних: Для даних, які ви надали нам на підставі договору або згоди, можна запитати структурований машиночитаний експорт.
• Заперечення: Ви можете заперечити проти обробки на підставі законного інтересу. Ми припинимо її, якщо не покажемо переважних підстав і якщо обробка не потрібна для встановлення та захисту правових вимог.
• Відкликання згоди: Якщо обробка спирається на вашу згоду, ви можете відкликати її в будь-який момент. Відкликання не впливає на законність обробки, що відбулася до відкликання.
• Скарга: Ви маєте право подати скаргу до наглядового органу із захисту персональних даних за місцем вашого проживання.

Для реалізації будь-якого з цих прав напишіть на [email protected]. Відповімо протягом 30 днів; для складних запитів строк може бути продовжено ще на 60 днів — про це повідомимо в перші 30 днів.

Skarbex призначений для осіб від 16 років. Особи 16 та 17 років можуть користуватися платформою з відома та згоди батька або законного представника. Ми свідомо не збираємо персональні дані осіб віком до 16 років; якщо дізнаємося про протилежне, видалимо дані та обліковий запис.

Ми використовуємо TLS для трафіку, хешування паролів (bcrypt), токенізацію карткових даних через Stripe, прикладне шифрування окремих чутливих полів верифікації, рольовий доступ в адмінці та audit logs для чутливих дій. Жодна система не є повністю безпечною; у разі інциденту, що зачіпає ваші дані, ми повідомимо наглядовий орган протягом 72 годин і вас без невиправданих затримок, коли цього вимагає закон.

Ми можемо оновлювати цю політику. Про істотні зміни щодо приватності повідомляємо через платформу, а там, де цього вимагає закон, просимо нову згоду перед продовженням відповідної обробки. Неістотні уточнення набирають чинності після публікації. Дата вище показує поточну версію.

З будь-яких питань, запитів або скарг у сфері захисту персональних даних пишіть на [email protected].