Политика конфиденциальности
Действует с:
Контролёр данных
Контролёр персональных данных: SIA "Taču būda", рег. номер 40103692102, юридический адрес: "Taču būda", Gaujas Ciems, Carnikava, Ādažu Novads, LV-2163. Контакт по вопросам защиты данных: privacy@grabeklis.lv.
Уполномоченный по защите данных
Мы не назначали уполномоченного по защите данных в соответствии со статьёй 37 Общего регламента по защите данных (GDPR), поскольку наша обработка не соответствует критериям назначения, изложенным в указанной статье. Все вопросы и запросы рассматривает контролёр напрямую: privacy@grabeklis.lv.
Обрабатываемые данные
Мы обрабатываем следующие категории персональных данных:
- имя и фамилия (для заказов, заявок продавцов)
- электронная почта (подтверждения заказов, ответы на вопросы)
- номер телефона (согласование доставки, обработка заявок)
- адрес доставки (для отправки товаров)
- платёжные данные (обрабатываются только Stripe — мы не храним данные карт)
- IP-адрес и сессионные данные (для безопасности, предотвращения мошенничества)
Правовое основание обработки
Мы используем следующие основания статьи 6 GDPR:
- Исполнение договора (ст. 6(1)(b)) — обработка заказов, доставка, обслуживание клиентов
- Соблюдение правового обязательства (ст. 6(1)(c)) — бухгалтерский учёт (5 лет по Закону о бухгалтерском учёте ЛР)
- Наши законные интересы (ст. 6(1)(f)) — безопасность и предотвращение мошенничества
Цели обработки
Цели использования данных:
- обработка и исполнение заказов
- обработка платежей и отслеживание
- обслуживание клиентов и коммуникация
- обработка заявок продавцов на рынки Lietu Tirgotava
- бухгалтерский учёт и налоговая отчётность
- безопасность сайта и предотвращение мошенничества
Получатели данных
Следующие процессоры обрабатывают данные от нашего имени:
- Stripe (США) — обработка платежей; сертификация по ЕС-США Data Privacy Framework (DPF)
- Resend (США) — отправка транзакционных писем; DPA заключён
- Supabase (ЕС, Франкфурт) — база данных, аутентификация, файловое хранилище; в пределах ЕЭЗ
- Vercel (ЕС, Франкфурт fra1) — хостинг сайта; в основном ЕЭЗ, DPF для резервных случаев в США
- Fly.io (ЕС, Франкфурт fra) — хостинг API; в основном ЕЭЗ
Международная передача данных
Некоторые процессоры (Stripe, Resend) находятся в США. Правовое основание передачи — одобренная Европейской комиссией ЕС-США Data Privacy Framework (DPF), оба указанных поставщика являются сертифицированными участниками DPF. Статус сертификации можно проверить: dataprivacyframework.gov.
Сроки хранения данных
Мы храним данные только столько, сколько необходимо:
- Бухгалтерские документы: 5 лет (Закон о бухгалтерском учёте ЛР)
- История заказов: 2 года после последней активности
- Заявки продавцов: 2 года после проведения рынка
- Корзина и сессионные данные: 30 дней
- Журналы безопасности: 90 дней
Обязательность предоставления данных
Предоставление данных необходимо для заключения и исполнения договора. Если данные не будут предоставлены, мы не сможем обработать заказ или заявку.
Ваши права
В соответствии с GDPR у вас есть следующие права:
- Право доступа к своим данным (ст. 15)
- Право на исправление неточных данных (ст. 16)
- Право на удаление — «право быть забытым» (ст. 17)
- Право на ограничение обработки (ст. 18)
- Право на переносимость данных (ст. 20)
- Право возражать против обработки (ст. 21)
- Право не подвергаться автоматизированным решениям (ст. 22)
- Право отозвать согласие, если обработка основана на согласии (ст. 7(3))
Для реализации прав пишите на privacy@grabeklis.lv. Мы ответим в течение 1 месяца.
Подача жалобы
Если вы считаете, что обработка ваших данных нарушает GDPR, у вас есть право подать жалобу в Государственную инспекцию данных Латвии (DVI). Форма жалобы: dvi.gov.lv/lv/pakalpojumi/sudziba-par-personas-datu-apstradi
Данные детей
Сайт не предназначен для лиц младше 16 лет. Мы сознательно не собираем данные детей.
Автоматизированные решения и профилирование
Обработка платежей через Stripe Radar проводит автоматическую оценку риска мошенничества (обязательство раскрытия по ст. 13(2)(f) GDPR). Эта обработка не является автоматизированным принятием решений по смыслу статьи 22 GDPR — все решения по обработке заказов принимает человек. Подробнее о Stripe Radar: stripe.com/radar.
Источник данных
Все персональные данные получаем напрямую от вас (при оформлении заказа, подаче заявки или обращении). Данные от третьих сторон мы не получаем.
Изменения политики
Мы можем изменять эту политику. О существенных изменениях уведомим на сайте не менее чем за 14 дней. Дата вступления в силу текущей версии указана в начале документа.

