Reintiler

Legal

Политика конфиденциальности

Эта версия написана по структуре GDPR для storefront, аккаунта пользователя и административных процессов, связанных с заказами и остатками.

Последнее обновление: 28 марта 2026

Важно перед production

Перед production нужно заменить placeholder-реквизиты ниже на фактическое юридическое лицо, почтовый адрес, privacy e-mail и применимые сроки хранения по вашей юрисдикции.

Кто контролирует обработку данных

Для GDPR privacy notice вы должны указать data controller и его контакты. В текущем проекте юридические реквизиты еще не заведены в коде, поэтому этот раздел оставлен как production checklist.

  • Controller: Reintiler operator (заменить на юрлицо перед production).
  • Контакт для privacy requests: privacy@your-domain.example (заменить перед production).
  • Если позже будет назначен DPO, его контакт тоже должен быть опубликован здесь.

Какие данные мы обрабатываем

В зависимости от того, пользуетесь ли вы каталогом, создаете аккаунт или оформляете заказ, мы можем обрабатывать разные категории персональных данных.

  • Данные аккаунта: email, пароль в хешированном виде, роль пользователя, статус аккаунта.
  • Профиль и доставка: имя, фамилия, телефон, страна, город, регион, адрес, почтовый индекс, компания, VAT.
  • Данные заказа: товары, количества, цены, склад/магазин исполнения, способ доставки, способ оплаты, заметки по заказу.
  • Технические и security данные: IP-адрес, user-agent, refresh sessions, request logs, audit events административных действий.

Зачем и на каком основании мы обрабатываем данные

GDPR требует указывать не только цели обработки, но и legal basis. Для этого storefront логично использовать несколько разных оснований в зависимости от сценария.

  • Article 6(1)(b) GDPR — регистрация аккаунта, вход, управление профилем, корзиной, заказом и доставкой как часть договорных отношений или шагов до заключения договора.
  • Article 6(1)(c) GDPR — соблюдение налоговых, бухгалтерских и иных обязательных требований, если они применимы к вашему business setup.
  • Article 6(1)(f) GDPR — безопасность платформы, предотвращение злоупотреблений, защита аккаунтов, аудит административных действий и стабильность сервиса.
  • Consent как отдельное основание должно использоваться отдельно, если вы позже добавите marketing emails, analytics или рекламные инструменты. В текущей версии storefront это не включено.

Кто может получать данные

Доступ к данным не должен быть шире, чем это необходимо для работы магазина и исполнения заказа.

  • Внутренние администраторы и warehouse staff — только в объеме, необходимом для обработки заказов, возвратов, остатков и поддержки пользователей.
  • Hosting и инфраструктурные провайдеры, действующие как processors по вашим инструкциям.
  • Госорганы, суды, налоговые или правоохранительные органы — только если это требуется законом или обязательным запросом.

Передача данных за пределы EEA

Если инфраструктура или подрядчики находятся за пределами EEA, такая передача должна опираться на adequacy decision или appropriate safeguards. Если таких передач нет, это также стоит прямо указать в production-версии политики.

Как долго мы храним данные

GDPR требует указать срок хранения или критерии. В текущем проекте разумно фиксировать именно критерии до тех пор, пока вы не утвердите точные production retention periods.

  • Данные аккаунта — пока аккаунт активен и пока они нужны для обслуживания пользователя.
  • Данные заказа и связанные финансовые записи — столько, сколько требуют применимые договорные, налоговые и бухгалтерские обязанности.
  • Security logs, refresh sessions и audit records — пока они нужны для безопасности, расследования инцидентов, доказуемости действий и соблюдения внутренних политик.

Права пользователя

Пользователь должен иметь понятную возможность реализовать свои GDPR rights. В production-политике также нужно добавить точный контакт и порядок подачи запроса.

  • Право на доступ к данным.
  • Право на исправление неточных данных.
  • Право на удаление, если данные больше не нужны или обработка незаконна.
  • Право на ограничение обработки.
  • Право на переносимость данных, когда это применимо.
  • Право на возражение против обработки на основании legitimate interests.
  • Право подать жалобу в competent supervisory authority в стране EU/EEA.

Как подать запрос

В production-версии этой страницы должен быть указан реальный privacy contact channel. До его появления этот документ следует считать GDPR-oriented draft, а не финальной юридической публикацией.

Вернуться на главную