Політика конфіденційності

1. Загальні положення

Ця Політика конфіденційності (далі — «Політика») визначає порядок збору, обробки, зберігання, використання та захисту персональних даних користувачів сайту zolotysti.com (далі — «Сайт»).

Політика розроблена відповідно до:

• Конституції України;
• Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI;
• Закону України «Про електронну комерцію» від 03.09.2015 № 675-VIII;
• Закону України «Про захист прав споживачів» від 12.05.1991 № 1023-XII;
• Закону України «Про електронні комунікації» від 16.12.2020 № 1089-IX;
• Закону України «Про інформацію» від 02.10.1992 № 2657-XII;
• Конвенції Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних (ETS № 108+);
• Загального регламенту захисту даних ЄС (GDPR — Regulation (EU) 2016/679) — у разі обробки даних резидентів ЄС.

Використовуючи Сайт та/або оформлюючи замовлення, користувач підтверджує, що ознайомився з Політикою і надає добровільну, конкретну, інформовану та однозначну згоду на обробку персональних даних на умовах, викладених нижче.

2. Володілець персональних даних

Володільцем персональних даних (контролером, у термінології GDPR) є:

З усіх питань, пов'язаних з обробкою персональних даних, реалізацією прав суб'єкта даних або відкликанням згоди — звертайтеся за вказаними контактами.

3. Терміни та визначення

Терміни в цій Політиці вживаються у значенні, наведеному в ст. 2 ЗУ № 2297-VI та ст. 4 GDPR:

• Персональні дані — будь-яка інформація, яка стосується ідентифікованої або такої, що може бути ідентифікована, фізичної особи (суб'єкта даних);
• Обробка — будь-яка операція або сукупність операцій з персональними даними (збір, зберігання, використання, передача, видалення тощо);
• Згода — добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних;
• Володілець — суб'єкт, який визначає мету та засоби обробки персональних даних;
• Розпорядник — суб'єкт, якому володілець доручає обробку даних (хостинг, служба доставки тощо);
• Cookie — невеликі текстові файли, які зберігаються у браузері користувача для коректної роботи сайту.

4. Які персональні дані ми обробляємо

Обробці підлягають виключно ті дані, які необхідні для роботи Сайту та виконання замовлення:

• Ідентифікаційні дані: ПІБ або ім'я/прізвище — для оформлення та видачі відправлення;
• Контактні дані: номер телефону, email — для підтвердження замовлення та зв'язку;
• Дані доставки: місто, відділення служби доставки або адреса — для передачі відправлення;
• Дані замовлення: склад кошика, кількість, сума, дата, статус виконання, спосіб оплати;
• Технічні дані: IP-адреса, тип і версія браузера, операційна система, тип пристрою, роздільна здатність екрана, URL-адреси переходів, тривалість сесії, файли cookie, журнали подій;
• Поведінкові дані: сторінки, які переглядав користувач, кліки, скроли, теплові карти (через Microsoft Clarity — див. розділ 8).

5. Правові підстави обробки

Обробка персональних даних здійснюється на підставах, передбачених ст. 11 ЗУ № 2297-VI та ст. 6 GDPR:

• Згода суб'єкта даних — для маркетингової комунікації, cookie-аналітики, теплових карт;
• Виконання договору — для оформлення та доставки замовлення, обробки оплати, гарантійного обслуговування;
• Виконання вимог закону — для бухгалтерського і податкового обліку, відповідей на запити державних органів;
• Законний інтерес володільця — для забезпечення інформаційної безпеки, запобігання шахрайству, технічної стабільності Сайту.

6. Мета обробки персональних даних

• оформлення, підтвердження, обробка та виконання замовлень;
• організація доставки та взаємодія зі службами доставки;
• проведення розрахунків та обробка платежів;
• зв'язок із клієнтом щодо статусу замовлення, повернень, гарантій;
• обробка звернень, скарг та запитів користувачів;
• ведення податкового та бухгалтерського обліку;
• забезпечення інформаційної безпеки, запобігання шахрайству;
• аналіз роботи Сайту та покращення сервісу (на основі знеособлених даних);
• виконання вимог законодавства України.

7. Файли cookie

Сайт використовує файли cookie для коректної роботи, безпеки та аналітики. Категорії cookie:

• Необхідні (essential) — забезпечують роботу кошика, сесії, авторизації, безпеки (наприклад, PHPSESSID, CSRF-токени). Без них Сайт не функціонує. Згода не потрібна.
• Функціональні — запам'ятовують налаштування користувача (мова, валюта). Встановлюються після згоди.
• Аналітичні — Microsoft Clarity (теплові карти, відтворення сесій), знеособлена статистика відвідувань. Встановлюються після згоди.
• Маркетингові — для ретаргетингу та персоналізованої реклами (якщо застосовуються). Встановлюються виключно після згоди.

8. Microsoft Clarity та веб-аналітика

Ми використовуємо сервіс Microsoft Clarity для розуміння того, як користувачі взаємодіють із Сайтом. Clarity збирає поведінкові метрики, формує теплові карти (heatmaps) та записи сесій з метою покращення продуктів, послуг і реклами.

Дані збираються через основні і сторонні файли cookie та інші технології відстеження. Інформація використовується для оптимізації Сайту, безпеки, запобігання шахрайству та реклами.

Транскордонна передача: дані передаються до Microsoft Corporation (США). Microsoft забезпечує захист даних відповідно до Data Privacy Framework (EU-US DPF) та власних стандартів. Детально — Заява про конфіденційність Microsoft.

Продовжуючи використання Сайту, користувач погоджується з тим, що володілець Сайту та Microsoft можуть збирати та використовувати ці дані у зазначених цілях.

9. Передача персональних даних третім особам

Ми не продаємо бази клієнтів і не передаємо персональні дані третім особам без законної підстави. Передача можлива виключно в обсязі, необхідному для досягнення цілей обробки:

• Служби доставки (Нова Пошта, Укрпошта, Meest, Justin тощо) — ПІБ, телефон, адреса доставки;
• Платіжні провайдери та банки-еквайри — реквізити транзакції (без збереження даних картки на нашому боці);
• Технічні підрядники (хостинг-провайдер, адміністратор сайту) — у межах доступу, необхідного для підтримки роботи;
• Аналітичні сервіси (Microsoft Clarity) — знеособлені або псевдонімізовані дані;
• Державні органи — виключно на підставі офіційного запиту згідно з вимогами законодавства України.

10. Транскордонна передача даних

Окремі категорії технічних даних можуть передаватися за межі України — до США (Microsoft Clarity) та країн ЄС (хостинг, CDN-сервіси).

Передача здійснюється на підставі:

• згоди суб'єкта даних (ст. 29 ЗУ № 2297-VI);
• стандартних договірних положень (Standard Contractual Clauses, SCC) — для країн ЄС/США;
• сертифікатів Data Privacy Framework — для отримувачів у США.

11. Строки зберігання персональних даних

Персональні дані зберігаються протягом строків, необхідних для досягнення цілей обробки:

• Дані замовлення — 3 роки з моменту останньої транзакції (для гарантії та повернень);
• Бухгалтерська/податкова первинна документація — 3 роки згідно з п. 44.3 Податкового кодексу України;
• Контактні дані для маркетингу — до моменту відкликання згоди;
• Cookie — від однієї сесії до 13 місяців залежно від типу;
• Логи безпеки — до 12 місяців.

Після закінчення строків дані видаляються або знеособлюються.

12. Захист персональних даних

Володілець застосовує організаційні та технічні заходи захисту даних відповідно до ст. 24 ЗУ № 2297-VI та ст. 32 GDPR:

• SSL/TLS-шифрування трафіку між браузером користувача і Сайтом;
• обмеження доступу до даних — за принципом мінімально необхідних прав;
• регулярне оновлення CMS, плагінів та серверного ПЗ;
• резервне копіювання даних;
• журналювання дій з персональними даними;
• захист від брутфорс-атак, SQL-ін'єкцій, XSS;
• підписання NDA з технічними підрядниками.

13. Права суб'єкта персональних даних

Відповідно до ст. 8 ЗУ № 2297-VI та ст. 15–22 GDPR, користувач має право:

• знати про джерела збору, місцезнаходження своїх даних, мету обробки;
• отримувати інформацію про умови надання доступу до своїх даних;
• на доступ до своїх даних;
• вимагати уточнення (виправлення) неточних або неактуальних даних;
• вимагати видалення даних, які обробляються незаконно або більше не потрібні (право бути забутим);
• обмежити обробку даних у випадках, передбачених законом;
• заперечувати проти обробки (включно з прямим маркетингом);
• на перенесення даних до іншого володільця у структурованому форматі;
• відкликати згоду в будь-який момент (без впливу на правомірність попередньої обробки);
• звернутися зі скаргою до Уповноваженого ВРУ з прав людини або до суду.

14. Дані неповнолітніх

Сайт та послуги Сайту призначені для осіб, які досягли 18 років. Володілець свідомо не збирає та не обробляє персональні дані осіб віком до 18 років без згоди їхніх батьків або законних представників.

У разі виявлення факту збору таких даних — дані будуть невідкладно видалені. Якщо вам стало відомо про подібний випадок — повідомте на k.maltsev@lnz.com.ua.

15. Автоматизовані рішення та профілювання

Сайт не приймає рішень, що мають юридичні наслідки для користувача, виключно на основі автоматизованої обробки (включно з профілюванням), відповідно до ст. 22 GDPR.

Аналітичні інструменти (Microsoft Clarity) використовуються для покращення Сайту та не впливають на формування цін, відмову в обслуговуванні чи інші юридично значущі дії.

16. Технічна підтримка (IT)

З технічних питань щодо роботи Сайту та реалізації прав суб'єкта даних:

• Телефон / Месенджери (Telegram, WhatsApp, Signal, Viber): +380 67 474 09 73
• Електронна пошта: k.maltsev@lnz.com.ua

17. Контролюючі органи та скарги

Якщо ви вважаєте, що ваші права порушено, ви можете звернутися до контролюючих органів:

• Уповноважений Верховної Ради України з прав людини — ombudsman.gov.ua;
• Суд — за місцем реєстрації володільця або за місцем проживання суб'єкта даних;
• Наглядові органи країни ЄС — для резидентів ЄС (за GDPR).

Перед зверненням до контролюючих органів рекомендуємо спочатку звернутися безпосередньо до володільця — більшість питань вирішується протягом 30 днів.

18. Зміни до Політики

Володілець залишає за собою право вносити зміни до цієї Політики. Актуальна редакція завжди розміщується на Сайті за адресою zolotysti.com/privacy.

Дата останньої редакції вказана в кінці документа. Подальше використання Сайту після внесення змін означає згоду з оновленою редакцією.