Политика конфиденциальности

1.1. Настоящая Политика конфиденциальности (далее — «Политика») описывает, каким образом Ivo Marketplace S.R.L., IDNO: 1024602014330, с юридическим адресом: мун. Бэлць, ул. Филип Николае, 2, Республика Молдова (далее — «Оператор» или «Мы»), собирает, обрабатывает, хранит, защищает и, при необходимости, передаёт персональные данные Пользователей платформы IVO Marketplace.

1.2. Настоящая Политика распространяется на всех лиц, которые получают доступ, просматривают, регистрируются или используют Платформу в качестве Покупателей, Продавцов или простых посетителей.

1.3. Получая доступ к Платформе или используя её, Пользователь подтверждает, что ознакомился с настоящей Политикой и понял её.

1.4. Правовая основа

Настоящая Политика составлена в соответствии с:

a) Законом № 133/2011 о защите персональных данных Республики Молдова;

b) Регламентом (ЕС) 2016/679 о защите физических лиц в отношении обработки персональных данных (GDPR), в той мере, в какой он применим;

c) Законом № 284/2004 об электронной коммерции;

d) Другими нормативными актами, применимыми в области защиты персональных данных.

1.5. Ответственный за защиту данных (DPO)

Оператор назначил Ответственного за защиту персональных данных (DPO): Клаудио Мулас.

Контакт DPO: mydata@ivo.md

2.1. В зависимости от взаимодействия Пользователя с Платформой, Оператор может собирать следующие категории персональных данных:

Примечание: Оператор может в будущем запустить мобильное приложение (iOS/Android), в связи с чем могут быть собраны дополнительные данные (уникальный идентификатор устройства, токен для push-уведомлений и т.д.). Настоящая Политика будет соответствующим образом обновлена до запуска приложения.

A. Идентификационные и контактные данные

Имя, фамилия, адрес электронной почты, номер телефона, адрес доставки, адрес выставления счёта.

B. Платёжные данные

Тип карты, BIN карты (первые 6 цифр), банк-эмитент. Оператор не хранит полный номер банковской карты, срок действия или код CVV/CVC. Обработка платежей осуществляется исключительно авторизованными платёжными процессорами (подробности в Разделе 5).

C. Данные геолокации и технические данные

IP-адрес, тип устройства, операционная система, тип браузера, разрешение экрана, приблизительные данные геолокации (определяемые по IP-адресу).

D. Данные об активности на Платформе

История заказов, просмотренные товары, выполненные поиски, товары, добавленные в корзину, предпочтения навигации, частота и продолжительность посещений, взаимодействие с уведомлениями и маркетинговыми сообщениями.

Привязка сессий: Платформа может ретроактивно связать анонимные сессии просмотра с аккаунтом Пользователя после его аутентификации с целью персонализации опыта, рекомендации релевантных товаров и статистического анализа. Такая привязка осуществляется на основании законного интереса Оператора (ст. 6(1)(f) GDPR). Пользователь может воспользоваться правом на возражение в соответствии с Разделом 8.

E. Поведенческие данные и данные профилирования

Покупательские привычки, предпочитаемые категории товаров, история взаимодействия с персонализированными рекомендациями. Эти данные используются исключительно для персонализации опыта на Платформе и рекомендации релевантных товаров.

F. Данные для предотвращения мошенничества

BIN карты, банк-эмитент, паттерны транзакций, IP-адрес, технические идентификаторы устройства. Эти данные обрабатываются исключительно для обнаружения и предотвращения мошеннических действий.

Цифровой отпечаток устройства: В процессе оформления заказа (checkout) Оператор собирает, с согласия Пользователя, подробные технические данные используемого устройства, включая: тип процессора (CPU), тип графической карты (GPU), разрешение и размер экрана, часовой пояс, язык браузера и данные геолокации. Эти данные используются исключительно для создания цифрового отпечатка устройства («device fingerprint») в целях предотвращения мошенничества и не связываются с личностью Пользователя для других целей.

Оператор может использовать автоматизированные системы оценки риска мошенничества, анализирующие корреляции между IP-адресом, страной карты, используемым устройством, адресом доставки и историей транзакций. Эти системы могут привести к временной блокировке транзакции или приостановке аккаунта, в этом случае Пользователь уведомляется и может запросить ручную проверку решения.

В случаях, когда антифрод-механизмы Платформы обнаруживают подозрительную транзакцию, Оператор оставляет за собой право запросить у Покупателя дополнительные документы для подтверждения личности, включая копию документа, удостоверяющего личность, и подтверждение адреса проживания. Эти документы обрабатываются исключительно для проверки законности транзакции и хранятся в течение 6 (шести) месяцев с даты проверки, что соответствует периоду чарджбэка, после чего удаляются, за исключением случаев, когда хранение необходимо в рамках расследования или в силу правовой обязанности.

G. Данные Продавцов

Наименование компании / имя и фамилия уполномоченного физического лица, IDNO/IDNP, адрес юридического местонахождения / домицилия, контактные данные (электронная почта, телефон), банковские реквизиты (IBAN, SWIFT, наименование банка), данные законного представителя, серия и диапазон номеров счетов-фактур, логотип, подпись и печать (если загружены в Панель администрирования), история транзакций и показатели эффективности.

Кроме того, в рамках процедур проверки личности (KYC) Оператор может собирать копии документов, удостоверяющих личность законного представителя или уполномоченного физического лица, свидетельства о регистрации, выписки из Государственного реестра и другие подтверждающие документы. Эти документы хранятся исключительно на протяжении действия договорных отношений и удаляются в течение 30 дней после прекращения Договора, за исключением случаев, когда хранение требуется по закону.

H. Данные корпоративных Покупателей (B2B)

Наименование компании, IDNO, код НДС, адрес юридического местонахождения, данные контактного лица (имя, фамилия, должность, электронная почта, телефон), адрес доставки и выставления счёта. Эти данные обрабатываются для исполнения заказов, выставления счетов и соблюдения налоговых обязательств.

I. Отзывы и оценки

Покупатели могут публиковать отзывы о приобретённых товарах. Отзывы отображаются публично на Платформе вместе с именем Покупателя и инициалом фамилии (например, «Иван М.»). Публикуя отзыв, Пользователь соглашается на публичное отображение этих данных.

J. Данные о гарантийных рекламациях и возвратах

Покупатели могут подавать через Платформу гарантийные рекламации или заявки на возврат, в рамках которых могут загружать фотографии обнаруженных дефектов, описания проблемы и другие подтверждающие документы. Эти данные обрабатываются на основании исполнения договора (ст. 6(1)(b) GDPR) и передаются соответствующему Продавцу для разрешения рекламации.

Фотографии и документация, относящиеся к рекламациям, хранятся в течение периода разрешения спора и ещё 6 (шесть) месяцев после его завершения (что соответствует периоду чарджбэка), после чего автоматически удаляются.

K. Данные, полученные через аутентификацию Social Login

При аутентификации через аккаунт Google или Facebook Оператор получает: имя, фамилию, адрес электронной почты и, при необходимости, фото профиля. Оператор не имеет доступа к паролю аккаунта Google или Facebook Пользователя. Данные, полученные через Social Login, используются исключительно для аутентификации и управления аккаунтом Пользователя.

L. Данные кандидатов (раздел «Работа у нас»)

Лица, подающие заявку на трудоустройство через раздел «Работа у нас» на Платформе, предоставляют следующие данные: имя, фамилия, адрес электронной почты, номер телефона, резюме (CV), сопроводительное письмо и другие подтверждающие документы, приложенные к заявке.

Эти данные обрабатываются на основании согласия кандидата (ст. 6(1)(a) GDPR) и законного интереса Оператора в найме персонала (ст. 6(1)(f) GDPR). Данные кандидатов хранятся максимум 12 (двенадцать) месяцев с даты подачи заявки для оценки кандидатуры на будущие позиции, после чего автоматически удаляются. Кандидат может запросить удаление своих данных в любое время по адресу mydata@ivo.md.

M. Google reCAPTCHA

Платформа использует сервис Google reCAPTCHA, предоставляемый Google LLC, для защиты форм от автоматического доступа (ботов). reCAPTCHA может собирать IP-адрес, файлы cookies, данные о поведении при навигации и технические идентификаторы устройства. Данные обрабатываются Google в соответствии с собственной Политикой конфиденциальности. Использование reCAPTCHA осуществляется на основании законного интереса Оператора в обеспечении безопасности Платформы (ст. 6(1)(f) GDPR).

3.1. Оператор обрабатывает персональные данные в следующих целях и на основании следующих правовых оснований:

3.2. В случае обработки на основании согласия Пользователь имеет право отозвать своё согласие в любое время, без ущерба для законности обработки, осуществлённой до отзыва.

3.3. Отзыв согласия может быть осуществлён через: отписку от рассылки (ссылка для отписки в электронном письме), изменение настроек cookies или направление запроса по адресу mydata@ivo.md.

4.1. Платформа использует файлы cookies и аналогичные технологии локального хранения для обеспечения корректного функционирования Платформы, улучшения пользовательского опыта и предоставления персонализированных маркетинговых услуг.

4.2. Категории используемых cookies:

4.3. Пользователь может управлять настройками cookies через баннер согласия, отображаемый при первом посещении Платформы, или через настройки браузера.

4.4. Отключение некоторых cookies может повлиять на функциональность Платформы.

5.1. Оператор может передавать персональные данные Пользователей следующим категориям третьих лиц исключительно в той мере, в какой это необходимо для достижения целей, описанных в Разделе 3:

A. Платёжные процессоры

Авторизованные платёжные процессоры (банковские учреждения и поставщики платёжных услуг из Республики Молдова и из-за рубежа). Эти поставщики обрабатывают платёжные данные в соответствии со стандартами PCI DSS и собственными политиками конфиденциальности. Список используемых платёжных процессоров может быть получен по запросу, направленному по адресу mydata@ivo.md.

B. Курьерские службы

Партнёрские курьерские и почтовые службы, используемые для доставки заказов. Передаваемые данные: имя получателя, адрес доставки, номер телефона, IDNO/IDNP. Список партнёрских курьеров может быть получен по запросу, направленному по адресу mydata@ivo.md.

C. Службы аналитики, маркетинга и безопасности

Google LLC (Google Analytics, Google Ads, Google reCAPTCHA) и Meta Platforms Ireland Ltd (Facebook Pixel / Conversions API). Эти сервисы могут обрабатывать данные за пределами Европейской экономической зоны при наличии надлежащих гарантий (Стандартные договорные положения, решения об адекватности).

Microsoft Corporation (Microsoft Clarity) — сервис анализа поведения пользователей на Платформе (тепловые карты, анонимизированные записи сессий). Собираемые данные могут включать: клики, прокрутку, взаимодействие с элементами интерфейса, анонимизированный IP-адрес.

D. Продавцы

Продавцы, зарегистрированные на Платформе, получают данные, необходимые для исполнения заказов (имя, адрес доставки, телефон). Продавцы обязаны по договору использовать эти данные исключительно для исполнения Заказа.

Юридический статус: Продавцы действуют в качестве независимых операторов персональных данных в отношении данных, полученных для исполнения заказов, и несут полную ответственность за соблюдение законодательства о защите данных при дальнейшей обработке таких данных. IVO Marketplace не несёт ответственности за обработку, осуществляемую Продавцами за пределами предусмотренных договором целей.

E. Поставщики инфраструктуры

Поставщики услуг хостинга и хранения данных с серверами, расположенными в Европейском Союзе (Финляндия). Оператор может использовать, при необходимости, CDN-сервисы и защиту от DDoS, предоставляемые третьими лицами.

F. Картографические сервисы

OpenStreetMap Foundation — картографические сервисы для отображения адресов доставки и определения местоположения пунктов выдачи. Передаваемые данные могут включать адрес доставки и приблизительные географические координаты.

G. Внешний поставщик бухгалтерских услуг

Оператор может пользоваться услугами внешнего бухгалтерского поставщика, который обрабатывает персональные данные в качестве обработчика данных для ведения бухгалтерского и налогового учёта. Передаваемые данные могут включать: имя, фамилию, IDNO/IDNP, адрес, данные из счетов-фактур и других налоговых документов. Внешний поставщик обязан по договору соблюдать конфиденциальность и безопасность обрабатываемых данных.

H. Поставщики SMS-услуг

Внешние поставщики услуг передачи SMS-сообщений (транзакционные уведомления, коды подтверждения, уведомления о доставке). Передаваемые данные: номер телефона Пользователя и содержание сообщения.

I. Поставщики аутентификации (Social Login)

Google LLC и Meta Platforms Ireland Ltd — сервисы аутентификации через аккаунт Google или Facebook. При аутентификации через Social Login Оператор получает от поставщика: имя, фамилию, адрес электронной почты и, при необходимости, фото профиля. Оператор не имеет доступа к паролю аккаунта Google или Facebook Пользователя.

5.2. Оператор не продаёт, не сдаёт в аренду и не передаёт персональные данные Пользователей третьим лицам в маркетинговых целях, за исключением случаев, когда Пользователь дал явное согласие.

5.3. Оператор может раскрывать персональные данные государственным органам, правоохранительным органам, финансовым учреждениям или регуляторным органам в случаях, когда это предусмотрено законом, судебным решением или необходимо для защиты законных прав и интересов Оператора.

6.1. Персональные данные хранятся на серверах, расположенных в Европейском Союзе (Финляндия).

6.2. В случаях, когда определённые поставщики услуг (Google, Meta) обрабатывают данные за пределами Европейской экономической зоны, передача осуществляется на основании одного из следующих механизмов:

a) Решения об адекватности, принятые Европейской комиссией;

b) Стандартные договорные положения (SCC), утверждённые Европейской комиссией;

c) Другие надлежащие гарантии, предусмотренные применимым законодательством.

7.1. Оператор хранит персональные данные в течение периода, необходимого для достижения целей, ради которых они были собраны, а именно:

7.2. По истечении срока хранения персональные данные удаляются или необратимо анонимизируются.

7.3. После удаления аккаунта Пользователя персональные данные удаляются из активных систем в течение 30 календарных дней, за исключением данных, которые Оператор обязан хранить в силу правовых обязательств (налоговые данные — 5 лет).

7.4. Персональные данные могут временно сохраняться в резервных копиях (backup) в течение ограниченного периода до окончательного удаления. Резервные копии защищены теми же техническими и организационными мерами, что и данные в активных системах.

8.1. В соответствии с Законом № 133/2011 и, при необходимости, GDPR, Пользователь обладает следующими правами:

a) Право на доступ — право получить подтверждение обработки своих данных и их копию;

b) Право на исправление — право запросить исправление неточных данных или дополнение неполных данных;

c) Право на удаление («право быть забытым») — право запросить удаление данных с учётом правовых обязательств по хранению;

d) Право на ограничение обработки — право запросить ограничение обработки в определённых обстоятельствах;

e) Право на переносимость данных — право получить предоставленные данные в структурированном, широко используемом и машиночитаемом формате;

f) Право на возражение — право возразить против обработки, основанной на законном интересе, включая профилирование;

g) Право не подвергаться решению, основанному исключительно на автоматизированной обработке, включая профилирование, которое порождает правовые последствия или существенно влияет на него;

h) Право подать жалобу в Национальный центр по защите персональных данных Республики Молдова (CNPDCP).

8.2. Для осуществления любого из этих прав Пользователь может направить письменный запрос по адресу: mydata@ivo.md.

8.3. Оператор ответит на запрос в течение максимум 30 календарных дней с момента получения запроса. В сложных случаях срок может быть продлён ещё на 30 дней с предварительным уведомлением Пользователя.

8.4. Оператор может запросить подтверждение личности Пользователя перед обработкой запроса в целях защиты данных от несанкционированного доступа.

9.1. Оператор применяет надлежащие технические и организационные меры для защиты персональных данных от несанкционированного доступа, утраты, уничтожения, изменения или разглашения, включая:

a) Шифрование передачи данных с использованием протокола SSL/TLS;

b) Хранение данных на защищённых серверах в Европейском Союзе (Финляндия);

c) Использование сервисов защиты от DDoS и файрвола веб-приложений (WAF);

d) Контроль доступа на основе ролей и многофакторная аутентификация для авторизованного персонала;

e) Периодические аудиты безопасности и журналирование доступа к данным;

f) Процедуры уведомления об инцидентах безопасности в соответствии с применимым законодательством.

9.2. Несмотря на принятые меры, Оператор не может гарантировать абсолютную безопасность передачи данных через Интернет. Пользователь несёт ответственность за сохранение конфиденциальности своих учётных данных.

9.3. В случае инцидента безопасности, затрагивающего персональные данные, Оператор уведомит Национальный центр по защите персональных данных (CNPDCP) и, при необходимости, субъектов данных в сроки, установленные применимым законодательством.

10.1. Оператор может направлять Пользователям маркетинговые сообщения по электронной почте (рассылка, промо-предложения, рекомендации товаров) исключительно на основании явного согласия Пользователя.

10.2. Пользователь может отозвать согласие в любое время путём:

a) Перехода по ссылке отписки, включённой в каждое маркетинговое письмо;

b) Изменения настроек в аккаунте Пользователя;

c) Направления запроса по адресу mydata@ivo.md.

10.3. Отзыв согласия не затрагивает транзакционные сообщения (подтверждения заказов, уведомления о доставке, счета-фактуры), которые направляются на основании исполнения договора.

11.1. Оператор использует поведенческие данные (просмотренные товары, поисковые запросы, история покупок) для персонализации опыта на Платформе, включая рекомендацию товаров, которые могут заинтересовать Пользователя.

11.2. Профилирование осуществляется на основании законного интереса Оператора (ст. 6(1)(f) GDPR) и не порождает правовых последствий или аналогичных существенных последствий для Пользователя.

11.3. Пользователь имеет право возразить против профилирования в любое время, направив запрос по адресу mydata@ivo.md или изменив настройки в аккаунте Пользователя.

11.4. Оператор использует автоматизированные механизмы для обнаружения мошенничества (анализ паттернов транзакций, проверка BIN карты, корреляции между IP/страной карты/устройством/адресом доставки). Оператор может временно приостановить аккаунты или транзакции до завершения проверок безопасности, в этом случае Пользователь уведомляется и может запросить ручную проверку решения.

12.1. Платформа не предназначена для лиц младше 18 лет. Оператор не собирает намеренно персональные данные несовершеннолетних.

12.2. Если Оператор обнаружит, что были собраны данные несовершеннолетнего, такие данные будут незамедлительно удалены, а аккаунт деактивирован.

13.1. IVO Marketplace выступает в качестве технологического посредника между Покупателями и Продавцами. Данные Покупателей передаются Продавцам исключительно для исполнения заказов.

13.2. В случае платежей, осуществляемых через Платформу, денежные средства могут обрабатываться и временно управляться Оператором до их перевода Продавцам в соответствии с договорными условиями. Платёжные данные обрабатываются исключительно для исполнения транзакции и не используются в других целях.

13.3. Оператор может анализировать подозрительные транзакции и временно приостанавливать аккаунты или транзакции до завершения проверок безопасности на основании законного интереса в предотвращении мошенничества.

14.1. Оператор оставляет за собой право изменять настоящую Политику в любое время путём публикации обновлённой версии на Платформе.

14.2. Пользователи будут уведомлены о существенных изменениях Политики через Платформу или по электронной почте не менее чем за 15 календарных дней до вступления в силу.

14.3. Продолжение использования Платформы после вступления изменений в силу означает принятие новой версии Политики.

Ivo Marketplace S.R.L.

IDNO: 1024602014330

Юридический адрес: мун. Бэлць, ул. Филип Николае, 2, Республика Молдова

Электронная почта для вопросов защиты данных: mydata@ivo.md

DPO: Клаудио Мулас

Надзорный орган: Национальный центр по защите персональных данных Республики Молдова (CNPDCP)

Сайт CNPDCP: www.datepersonale.md