Gemalli

Политика конфиденциальности

Дата вступления в силу:

Настоящая Политика конфиденциальности разъясняет, как Gemalli, управляемая компанией Lux-Promo, собирает, использует, хранит и передаёт персональные данные при использовании Вами Платформы. Она распространяется на всех пользователей: Производителей, Покупателей и посетителей.

1. Кто мы

Gemalli — B2B-платформа для генерации лидов для украинских производителей, управляемая Lux-Promo. В целях законодательства ЕС о защите данных Lux-Promo выступает контролером персональных данных, обрабатываемых через Платформу.

Контакт для запросов по вопросам защиты персональных данных — электронная почта: editorial@gemalli.com, тема письма: «Конфиденциальность / Запрос на данные».

2. Данные, которые мы собираем

Мы собираем следующие категории персональных данных:

2.1 Данные учётной записи и профиля

  • Корпоративный адрес электронной почты (используется как идентификатор учётной записи и для уведомлений)
  • Отображаемое имя и, для учётных записей Производителя, название компании, описание компании и публично указанные контактные данные
  • Фото профиля или логотип (если загружены)
  • Тип роли: Производитель или Покупатель

2.2 Данные, специфичные для Производителя

  • Перечни товаров, описания, изображения и связанные метаданные
  • Профили директоров (имя, биография, фото), если добавлены добровольно
  • Контент публикаций блога и авторские подписи
  • Документы о сертификации, загруженные для отображения

2.3 Данные запросов, поданных Покупателем

  • Содержание ЗКП: описание запроса, категория товара, объём, целевая страна доставки
  • Адрес электронной почты и сведения о компании, указанные в форме ЗКП

2.4 Данные подписчика Telegram-бота

  • Telegram chat_id для пользователей, подписавшихся на уведомления через Telegram
  • Никаких дополнительных данных профиля Telegram, кроме необходимых для доставки уведомлений, не хранится

2.5 Аналитические данные

  • События просмотра страниц, собираемые Plausible Analytics (без cookies, без fingerprinting, без персональных идентификаторов — только агрегаты)
  • Реферер, путь страницы, страна (определяется по IP, не хранится), категория устройства

2.6 Данные мониторинга ошибок

  • Трассировки стека ошибок JavaScript, собираемые Sentry
  • Персональные данные удаляются из отчётов Sentry до передачи: адреса электронной почты, имена и другие идентификаторы заменяются анонимизированными идентификаторами

2.7 Технические данные и данные безопасности

  • Серверные журналы (идентификатор пользователя, путь запроса, временная метка), хранящиеся для целей безопасности и отладки; адреса электронной почты не регистрируются
  • IP-адреса (краткосрочное хранение для защиты от мошенничества и ограничения частоты запросов; не связаны с долгосрочными данными профиля)

3. Правовые основания обработки

Мы обрабатываем персональные данные на следующих правовых основаниях в соответствии со статьёй 6 GDPR:

  • Создание учётной записи и управление ею — Договор (ст. 6(1)(б)): необходимо для предоставления услуги Платформы.
  • Доставка ЗКП Производителям — Договор (ст. 6(1)(б)).
  • Транзакционные уведомления по электронной почте — Договор (ст. 6(1)(б)).
  • Уведомления через Telegram-бот — Согласие (ст. 6(1)(а)): требуется регистрация согласия.
  • Аналитика (Plausible) — Законный интерес (ст. 6(1)(ф)): без cookies, без нарушения конфиденциальности.
  • Маркетинговые коммуникации — Согласие (ст. 6(1)(а)): регистрация при подписке.
  • Мониторинг ошибок (Sentry, с удалением персональных данных) — Законный интерес (ст. 6(1)(ф)): необходимо для безопасности и надёжности.
  • Предотвращение мошенничества и санкционная проверка — Правовая обязанность (ст. 6(1)(в)) в сочетании с законным интересом.
  • Расчёты за подписку (после запуска) — Договор (ст. 6(1)(б)).

4. Как мы используем Ваши данные

Мы используем собранные данные для:

  • Обеспечения работы Платформы: создания учётных записей и управления ими, отображения профилей Производителей и перечней товаров Покупателям, обработки и маршрутизации ЗКП соответствующему Производителю.
  • Отправки уведомлений: транзакционные письма (уведомления о ЗКП, подтверждения учётной записи, сброс пароля) и необязательные Telegram-уведомления через бот Gemalli для подписанных Производителей.
  • Мониторинга производительности и ошибок: Sentry получает отчёты об ошибках с удалением персональных данных; Plausible получает анонимизированную аналитику страниц.
  • Обеспечения безопасности Платформы: ограничение частоты запросов по IP-адресу, верификация Cloudflare Turnstile на публично доступных конечных точках (ЗКП) и журнал аудита административных действий.
  • Выполнения правовых обязательств: хранение данных в соответствии с требованиями применимого законодательства и сотрудничество с уполномоченными органами в необходимых случаях.

5. Хранение данных

  • Данные профиля учётной записи — до удаления учётной записи плюс 30-дневный цикл очистки.
  • ЗКП — 24 месяца с даты подачи.
  • Контент Производителя (товары, блог, профили) — до удаления соответствующего контента или учётной записи.
  • Telegram chat_id — до отписки от уведомлений или удаления учётной записи.
  • Отчёты об ошибках Sentry (с удалением персональных данных) — 90 дней согласно настройкам Sentry по умолчанию.
  • Аналитика Plausible — агрегировано, без ограничения срока для агрегатов; хранение необработанных событий согласно настройкам Plausible по умолчанию.
  • Серверные журналы — 30 дней.
  • Записи о расчётах (после запуска) — в соответствии с требованиями применимого законодательства о бухгалтерском учёте и налогообложении (как правило, 5–7 лет).

По истечении указанного срока хранения данные удаляются или анонимизируются таким образом, что их невозможно отнести к конкретному лицу.

6. Передача данных и операторы обработки

Мы не продаём персональные данные брокерам данных, рекламодателям или каким-либо третьим лицам в коммерческих целях.

Персональные данные, направленные на Платформу, — данные учётной записи, ЗКП и Контент Производителя — хранятся в нашей собственной базе данных PostgreSQL и объектном хранилище MinIO, работающих на серверной инфраструктуре, которой непосредственно управляет Lux-Promo. Эти данные не хранятся в стороннем управляемом облачном сервисе базы данных или хранилища.

Мы передаём данные только следующим операторам обработки и поставщикам инфраструктуры, каждый из которых действует на основании договора об обработке данных или эквивалентных условий:

  • Поставщик серверного хостинга — предоставляет сервер в ЕС, на котором работает Платформа. Передаваемые данные: всё, что обрабатывается на сервере в процессе работы Платформы. Местонахождение: ЕС.
  • Поставщик транзакционной электронной почты (SMTP) — доставляет уведомления о ЗКП, подтверждения учётной записи и письма сброса пароля. Передаваемые данные: адрес получателя и содержание письма.
  • Plausible — аналитика посещаемости без нарушения конфиденциальности. Передаваемые данные: анонимизированные агрегированные события страниц. Без cookies, без межсайтового отслеживания. Местонахождение: ЕС.
  • Sentry — мониторинг ошибок и трассировка производительности. Передаваемые данные: трассировки ошибок с удалением персональных данных — адреса электронной почты, имена и идентификаторы заменяются анонимизированными значениями до передачи. Местонахождение: США (применяются Стандартные договорные условия).
  • Telegram — доставляет необязательные уведомления Производителям, подписавшимся на Telegram-уведомления. Передаваемые данные: Telegram chat_id и текст уведомления. Касается только пользователей, которые активно привязали учётную запись Telegram.
  • Cloudflare — обеспечивает защиту от ботов Turnstile на публичных формах отправки (ЗКП и заявка Производителя). Передаваемые данные: IP-адрес и данные ответа на проверку, используемые исключительно для отличия людей от ботов. Местонахождение: глобально (применяются Стандартные договорные условия).

Никакие другие третьи лица не получают Ваши персональные данные в форме, позволяющей Вас идентифицировать.

7. Международная передача данных

Некоторые операторы и поставщики, указанные в Разделе 6 — например, Sentry и Cloudflare — расположены за пределами Европейского экономического пространства или работают глобально за его пределами. В таких случаях передача данных регулируется:

  • Стандартными договорными условиями (СДУ), утверждёнными Европейской комиссией (Решение 2021/914), включёнными в договоры об обработке данных с каждым соответствующим оператором;
  • Решениями об адекватном уровне защиты там, где они применяются.

Вы можете запросить копию применимого механизма передачи по адресу editorial@gemalli.com.

8. Ваши права в соответствии с GDPR

Если Вы находитесь в ЕЭП, Великобритании или другой юрисдикции с эквивалентным законодательством о защите данных, Вы имеете следующие права:

  • Право на доступ (ст. 15): Получить копию персональных данных, которые мы храним о Вас.
  • Право на исправление (ст. 16): Потребовать исправления неточных или неполных персональных данных.
  • Право на удаление (ст. 17): Потребовать удаления Ваших персональных данных («право быть забытым») с учётом обязательных сроков хранения.
  • Право на переносимость данных (ст. 20): Получить Ваши персональные данные в структурированном, машиночитаемом формате.
  • Право на возражение (ст. 21): Возразить против обработки на основании законного интереса (например, маркетинговой аналитики).
  • Право на ограничение обработки (ст. 18): Потребовать ограничения обработки Ваших данных в определённых обстоятельствах.
  • Право отозвать согласие (ст. 7(3)): Там, где обработка основана на согласии (маркетинговые коммуникации, Telegram-уведомления), Вы можете отозвать согласие в любое время, не затрагивая законности предшествующей обработки.

Для реализации любого из этих прав обращайтесь к нам по адресу editorial@gemalli.com с темой «GDPR Data Request — [тип права]». Мы ответим в течение 30 дней. Перед выполнением запроса мы можем потребовать подтверждения личности.

Если Вы считаете, что мы обрабатываем Ваши данные незаконно, Вы вправе подать жалобу в надзорный орган в Вашей стране проживания.

9. Файлы cookie и отслеживание

9.1 Cookie, которые мы устанавливаем

Платформа устанавливает следующие файлы cookie:

  • Файл cookie сессии (название: b2b_session): строго необходим для аутентификации — он идентифицирует Вашу сессию после входа и устанавливается только после того, как Вы вошли. Согласие не требуется.
  • Языковые настройки (название: NEXT_LOCALE): строго необходим для запоминания Вашего выбора языка. Согласие не требуется.

9.2 Аналитика

Для агрегированной аналитики сайта используется Plausible Analytics. Plausible не использует cookie и не отслеживает пользователей на разных сайтах. Согласие для Plausible не требуется.

9.3 Отсутствие рекламных cookie третьих сторон

Платформа не использует никаких рекламных сетей, пикселей отслеживания или cookie ретаргетинга. Баннер согласия для рекламных целей не требуется.

9.4 Согласие на использование cookie

Поскольку Платформа использует только строго необходимые cookie (аутентификация, язык) и инструмент аналитики без cookie (Plausible), баннер согласия, показываемый при первом посещении, отображается для прозрачности — состояние по умолчанию не требует принятия необязательных cookie, поскольку никакие такие cookie не устанавливаются.

10. Безопасность данных

Мы применяем следующие технические и организационные меры для защиты Ваших персональных данных:

  • Защита на уровне строк (RLS): все таблицы базы данных, содержащие данные пользователей, имеют включённый RLS, обеспечивающий изоляцию данных на уровне арендатора на уровне базы данных.
  • Собственные сетево-изолированные хранилища данных: база данных PostgreSQL и объектное хранилище MinIO работают на серверной инфраструктуре, которой управляет Lux-Promo, и недоступны из публичного интернета — база данных доступна только приложению через частную сеть.
  • Шифрование при передаче: все данные, передаваемые между Вашим браузером и Платформой, защищены протоколом TLS 1.2 или выше.
  • Контроль доступа: внутренний доступ к персональным данным ограничен персоналом с законной операционной необходимостью.
  • Журнал аудита: административные действия фиксируются в журнале аудита, доступном только для добавления записей.
  • Хранение резервных копий: резервные копии базы данных хранятся в течение ограниченного периода, после чего удаляются.

Несмотря на принимаемые меры, ни одна система не является полностью защищённой от инцидентов безопасности. В случае утечки персональных данных, способной повлечь риски для физических лиц, мы уведомим соответствующий надзорный орган в течение 72 часов и пострадавших лиц без неоправданной задержки в соответствии со статьями 33–34 GDPR.

11. Данные несовершеннолетних

Платформа является B2B-сервисом, предназначенным исключительно для бизнес-профессионалов и юридических лиц. Она не предназначена для использования лицами моложе 18 лет. Мы намеренно не собираем персональные данные несовершеннолетних. Если Вы считаете, что несовершеннолетнее лицо предоставило нам свои персональные данные, обратитесь к нам по адресу editorial@gemalli.com, и мы незамедлительно их удалим.

12. Изменения настоящей Политики

Мы можем периодически обновлять настоящую Политику конфиденциальности в связи с изменениями наших практик, технологий, правовых требований или по иным операционным причинам. При внесении существенных изменений мы уведомим зарегистрированных пользователей по электронной почте и обновим «Дату вступления в силу» в начале настоящего документа. Мы рекомендуем Вам регулярно ознакамливаться с настоящей Политикой.

13. Как с нами связаться / Направить запрос на данные

По любым вопросам конфиденциальности, запросам на реализацию прав субъектов данных или жалобам — электронная почта: editorial@gemalli.com, формат темы письма: «Privacy / Data Request — [тип запроса]».

Мы подтвердим получение Вашего запроса в течение 5 рабочих дней и предоставим содержательный ответ в течение 30 дней. Для сложных запросов этот срок может быть продлён ещё на 60 дней, о чём мы сообщим Вам в пределах первоначального 30-дневного срока.

14. Дата вступления в силу

Настоящая Политика конфиденциальности вступает в силу 14 мая 2026 года. Предыдущая версия (при наличии) утрачивает силу с указанной даты.

Политика конфиденциальности — Gemalli