Privacy Policy | ZASLON STORE

Настоящая Политика конфиденциальности описывает, как [PLACEHOLDER: Legal Entity Name] (далее — «ZASLON STORE», «мы») собирает, использует и защищает персональные данные посетителей сайта zaslon.store по всему миру. Документ составлен в соответствии с GDPR (Регламент EU 2016/679), CCPA/CPRA (California Consumer Privacy Act), а также общепринятыми международными стандартами обработки персональных данных.

1. Information We Collect

Мы собираем минимально необходимый объём данных для работы сервиса:

Контактные данные: имя, email, телефон, Telegram-handle — предоставляются вами при оформлении заявки.
Аутентификационные данные: email-адрес и одноразовый код подтверждения, действующий 30 минут. Код хранится в bcrypt-хеше.
Технические данные: IP-адрес (в обезличенном виде, SHA-256 с дневной солью), user-agent, реферер, URL посещения, временные метки. Используются для безопасности и обезличенной аналитики посещаемости.
Данные транзакций: список выбранных товаров, согласованная цена, история переписки с менеджером.

Мы НЕ собираем: данные платёжных карт (обрабатываются банком-эквайером), геолокацию, биометрию, данные о несовершеннолетних.

2. How We Use Your Information

Информация используется для следующих целей:

обработки и исполнения вашей заявки;
авторизации на сайте (OTP-вход);
связи с вами по поводу заказа, доставки и сервисного обслуживания;
защиты сервиса от автоматизированных атак, спама и злоупотреблений;
обезличенной аналитики посещаемости (без cookies, без идентификаторов);
выполнения юридических обязательств (бухучёт, налоги).

3. Legal Basis (GDPR Art. 6)

Правовые основания обработки данных:

Performance of contract (Art. 6(1)(b)) — для исполнения договора купли-продажи и обслуживания клиента.
Consent (Art. 6(1)(a)) — для опциональных каналов связи (Telegram, маркетинг).
Legitimate interest (Art. 6(1)(f)) — для защиты от атак, обнаружения мошенничества и обезличенной аналитики.
Legal obligation (Art. 6(1)(c)) — для хранения данных о транзакциях согласно налоговому/торговому законодательству.

4. Sharing and Disclosure

Мы не продаём ваши персональные данные. Передача третьим лицам ограничена следующими случаями:

Resend Inc. (Сан-Франциско, США) — отправка транзакционных писем (OTP-коды). Передаётся: email и сам код. Действует собственная Privacy Policy.
Telegram Messenger LLP (Великобритания/ОАЭ) — уведомления менеджеров о новых заявках. Передаётся: имя, email/телефон, состав заказа.
Логистические партнёры: СДЭК, Boxberry, курьерские службы. Передаются данные, необходимые для доставки (ФИО, адрес, телефон).
Платёжные процессоры: банк-эквайер. Мы НЕ имеем доступа к данным вашей карты — передача через защищённый платёжный шлюз.
Государственные органы — в случаях и в порядке, прямо предусмотренных применимым законодательством.

5. International Data Transfers

Сервер хранения данных расположен в [PLACEHOLDER: Server Region — e.g., Russia, Germany]. Часть обработчиков (Resend, Telegram) находится за пределами вашей юрисдикции.

Для трансграничной передачи данных в США применяются Standard Contractual Clauses (SCCs), утверждённые Европейской Комиссией. Мы используем только сертифицированных обработчиков, соответствующих принципам GDPR.

6. Cookies and Tracking

Мы используем только strictly necessary cookies для работы авторизации:

cc_access (httpOnly, Secure, SameSite=Strict, 15 минут) — access-токен сессии;
cc_refresh (httpOnly, Secure, SameSite=Strict, 30 дней) — refresh-токен.

Мы НЕ используем: Google Analytics, Яндекс.Метрику, Facebook Pixel, Meta Pixel, рекламные cookies, трекинговые пиксели, скрипты ремаркетинга, fingerprinting. Согласие на cookies не требуется, так как используются только строго необходимые для работы сайта.

Внутренняя аналитика работает на обезличенных данных (SHA-256 хеш IP с дневной солью) без сохранения cookie-идентификаторов посетителя.

7. Your Rights — GDPR (EU/EEA users)

В соответствии с Articles 12–22 GDPR вы имеете право:

Right of access (Art. 15) — получить копию ваших данных
Right to rectification (Art. 16) — исправить неточные данные
Right to erasure / «right to be forgotten» (Art. 17) — удалить данные
Right to restriction (Art. 18) — ограничить обработку
Right to data portability (Art. 20) — экспорт в машиночитаемом формате
Right to object (Art. 21) — возразить против обработки на основании legitimate interest
Right to withdraw consent (Art. 7(3)) — отозвать согласие в любой момент
Right to lodge a complaint с соответствующим надзорным органом (DPA)

8. Your Rights — CCPA/CPRA (California residents)

Жители Калифорнии имеют дополнительные права:

Right to know — категории и конкретные части собранных данных
Right to delete — удаление личных данных
Right to correct — исправление неточных данных (CPRA, 2023)
Right to opt-out of sale/sharing — отказ от продажи/передачи (мы не продаём данные)
Right to non-discrimination — без последствий за реализацию ваших прав
Right to limit use of sensitive PI (CPRA)

Мы НЕ «продаём» персональные данные в значении CCPA §1798.140(t). За последние 12 месяцев продаж/передач персональных данных не было.

9. Exercising Your Rights

Чтобы реализовать любое из прав выше:

отправьте запрос через форму на /contact;
или email на privacy@zaslon.store.

Мы ответим в течение 30 дней (GDPR) / 45 дней (CCPA) с момента получения верифицированного запроса. Реализация бесплатна, за исключением явно необоснованных или повторяющихся запросов.

10. Data Retention

Сроки хранения:

Аккаунт и заявки — 3 года после последней активности (срок исковой давности);
Refresh-токены — 30 дней;
OTP-коды — 30 минут;
Аналитика (обезличенная) — 12 месяцев;
Финансовые/налоговые записи — 5 лет (срок налогового хранения).

По истечении срока данные удаляются автоматически либо по верифицированному запросу субъекта.

11. Security

Технические меры защиты: HTTPS/TLS 1.3 для передачи данных, bcrypt cost-factor 12 для хранения паролей, SHA-256 для хеширования refresh-токенов, изолированные сессионные cookies (httpOnly + Secure + SameSite=Strict), rate-limiting на чувствительных эндпойнтах, регулярные резервные копии БД.

Организационные меры: ограниченный круг лиц с доступом к данным, NDA с подрядчиками, регулярные security-аудиты, политика реагирования на инциденты.

12. Data Breach Notification

В случае инцидента безопасности, повлекшего нарушение защиты персональных данных, мы:

уведомим соответствующий надзорный орган в течение 72 часов (GDPR Art. 33);
уведомим затронутых субъектов без необоснованной задержки (GDPR Art. 34);
для жителей Калифорнии и других штатов США — в соответствии с применимым state breach notification law.

13. Children's Privacy

Сайт НЕ предназначен для лиц младше 16 лет. Мы сознательно не собираем данные лиц младше 16 лет (GDPR Art. 8) и младше 13 лет (COPPA, US). Если вы обнаружили, что ваш ребёнок предоставил нам данные, свяжитесь с нами для немедленного удаления.

14. Changes to This Policy

Мы можем обновлять данную Политику. Существенные изменения публикуются с указанием «Effective» даты вверху. Дата последней редакции отражает дату вступления изменений в силу. Актуальная версия всегда доступна по адресу zaslon.store/privacy.

15. Contact Information

Data Controller: [PLACEHOLDER: Legal Entity Name]

Address: [PLACEHOLDER: Business Address]

Privacy contact: privacy@zaslon.store

EU representative: [PLACEHOLDER: Required if Data Controller is outside EU/EEA and serves EU users — GDPR Art. 27]

Подробнее о технических аспектах обработки данных см. также Data Processing Policy.