01Кто мы и сфера действия
Эта Политика конфиденциальности описывает, как SalesFactory OÜ - оператор сервиса Jetsend на jetsend.eu, в личном кабинете клиента и на Портале возвратов Jetsend - собирает, использует, передаёт и защищает ваши персональные данные. Мы выступаем в роли data controller для обработки, описанной ниже, в соответствии с Общим регламентом ЕС по защите данных (GDPR) и применимым национальным законодательством о защите данных.
К кому применяется эта политика
- Зарегистрированные клиенты Jetsend (отправители и получатели посылок).
- Посетители jetsend.eu и наших локализованных подпутей.
- Деловые контакты (партнёры, журналисты, соискатели).
Отдельная Политика cookies описывает, как мы используем cookies и подобные технологии локального хранения - для полной картины ознакомьтесь с обоими документами.
02Какие данные мы собираем
Мы обрабатываем четыре основные категории персональных данных. Большая часть поступает от вас при регистрации, оформлении отправления или обращении в поддержку. Часть данных формируется автоматически вашим браузером или транспортным агентом, обрабатывающим посылку.
2.1. Данные аккаунта
| Категория | Примеры | Источник |
|---|---|---|
| Идентичность | Полное имя, название организации, ИНН/НДС где применимо. | Вы, при регистрации |
| Контакты | Email, телефон, почтовый адрес. | Вы |
| Учётные данные | Хеш пароля, токены OAuth (Google, Apple), одноразовые коды. | Вы / провайдер идентификации |
| Профиль | Предпочитаемый язык, валюта, часовой пояс, настройки панели. | Вы |
2.2. Данные отправления
| Категория | Примеры | Источник |
|---|---|---|
| Данные отправителя | Имя, адрес, телефон отправителя посылки. | Вы |
| Данные получателя | Имя, адрес, телефон получателя посылки. | Вы |
| Данные посылки | Вес, габариты, заявленное содержимое, заявленная стоимость, таможенные коды. | Вы |
| Отслеживание | Этикетка перевозчика, трек-номер, статусы, подтверждение доставки. | Перевозчик (через Packlink) |
| Таможня | Реквизиты коммерческого инвойса, коды HS, страна происхождения. | Вы |
2.3. Данные платежей
| Категория | Примеры | Источник |
|---|---|---|
| Биллинг | Платёжный адрес, номер плательщика НДС, позиции счёта. | Вы |
| Токен карты | Токен платёжного метода. Полный номер карты никогда не попадает на наши серверы. | Stripe |
| Транзакция | Сумма, валюта, статус, последние 4 цифры, код авторизации. | Stripe |
Мы никогда не видим полный номер вашей карты. Данные карты вводятся напрямую в среду PCI-DSS Level 1 компании Stripe; мы получаем только платёжный токен и последние четыре цифры.
2.4. Технические данные
| Категория | Примеры | Источник |
|---|---|---|
| Устройство и логи | IP (обрезанный для аналитики), user-agent, метки времени запросов. | Ваш браузер |
| Cookies | Сессионные, настроек, аналитики и маркетинга cookies. См. Политику cookies. | Ваш браузер |
| Геокодирование | Приблизительные координаты, полученные из введённых адресов. | Photon / OpenDataSoft |
03Как мы используем ваши данные
Мы обрабатываем персональные данные только при наличии одного из шести правовых оснований статьи 6 GDPR. Таблица ниже сопоставляет цель обработки с её правовым основанием.
- Предоставление услуги доставкиСт. 6(1)(b) - исполнение договора
- Расчёт, оформление, этикетка, отслеживание и доставка ваших посылок; ведение учётной записи; ответы поддержки.
- Соблюдение правовых обязанностейСт. 6(1)(c) - юридическая обязанность
- Выставление счетов, отчётность по НДС/MOSS, таможенные декларации, проверки AML, хранение учётных документов.
- Предотвращение мошенничестваСт. 6(1)(f) - законный интерес
- Проверка личности, блокировка запрещённого содержимого, выявление мошенничества с платежами, ограничение злоупотреблений. С учётом баланса прав и свобод.
- Улучшение продуктаСт. 6(1)(a) - согласие (аналитические cookies)
- Агрегированная продуктовая аналитика с обрезанным IP через PostHog (ЕС). По умолчанию выключено; включается в баннере cookies.
- Маркетинговые коммуникацииСт. 6(1)(a) - согласие
- Рассылка, анонсы функций, акции. Только по согласию; ссылка для отписки в каждом письме.
- Защита правовых требованийСт. 6(1)(f) - законный интерес
- Установление, осуществление и защита прав в спорах, чарджбэках, таможенных расследованиях и делах о ответственности перевозчика.
04Кому мы передаём данные
Для работы сервиса мы используем небольшой проверенный список субобработчиков. Каждый связан письменным соглашением об обработке данных, обрабатывает данные только по нашим инструкциям и перечислен ниже. Перевозчики (DHL, GLS, UPS, InPost и другие) выступают независимыми контроллерами после передачи посылки.
- Packlink (Auctane S.L.U.)
- Испания / ЕС
- Агрегация перевозчиков, выпуск этикеток, отслеживание и таможенные документы.
- Cloudflare, Inc.
- Граница ЕС
- CDN, защита от ботов и смягчение DDoS. Стандартные договорные положения ЕС.
- Neon (Databricks Inc.)
- ЕС (Франкфурт)
- Управляемый хостинг PostgreSQL для панели.
- Stripe Payments Europe
- Ирландия
- Платежи картой и SEPA. Stripe - независимый контроллер PCI-DSS Level 1 для антифрод-данных.
- Resend (Resend Inc.)
- ЕС / США
- Доставка транзакционной почты (вход, чеки, обновления отправлений). SCC заключены.
- PostHog Inc.
- ЕС (Франкфурт)
- Продуктовая аналитика. IP обрезается. Загружается только при согласии на аналитику.
- Vercel Inc.
- Граница ЕС
- Хостинг фронтенда маркетингового сайта и панели. Логи кратковременны.
- Photon / OpenDataSoft
- Франция
- Автодополнение и геокодирование адресов. Передаётся только введённый запрос.
- Google LLC
- Ирландия (ЕС)
- OAuth-вход для пользователей, выбравших Google. Отслеживание конверсий только при маркетинговом согласии.
4.1. Государственные органы
Мы раскрываем персональные данные налоговым, таможенным, судебным или правоохранительным органам только по действительному правовому инструменту (ст. 6(1)(c) GDPR) и только в минимально необходимом объёме.
4.2. Корпоративные операции
Если Jetsend будет приобретена или объединена с другой компанией, ваши данные могут быть переданы приобретателю при тех же гарантиях. Мы сообщим заранее через панель и по электронной почте.
05Международные передачи
По умолчанию ваши данные хранятся в Евросоюзе - преимущественно во Франкфурте (Neon, PostHog) и на европейской границе Cloudflare. Ограниченные передачи за пределы ЕЭЗ происходят, только если материнская компания субобработчика находится за рубежом (например, Stripe US, Resend US).
В каждом таком случае передача защищается одной или несколькими из следующих гарантий:
- Решения Европейской комиссии об адекватности для Великобритании и Швейцарии.
- Стандартные договорные положения ЕС (2021/914) с дополнительными техническими мерами.
- EU-US Data Privacy Framework, когда получатель сертифицирован.
Копия SCC и сводки Transfer Impact Assessment доступны по запросу на dpo@jetsend.eu.
06Сроки хранения
Сроки хранения определяются правовыми обязанностями (в первую очередь налоговым и таможенным правом) и тем, что разумно необходимо для защиты правовых требований. По истечении срока ниже данные необратимо удаляются или анонимизируются.
| Данные | Срок |
|---|---|
| Данные аккаунта | До удаления аккаунта, затем архивируются на 90 дней до окончательного стирания. |
| Записи отправлений | 5 лет с даты отправки - требуется таможенным и налоговым правом ЕС. |
| Счета и данные по НДС | 7 лет с конца финансового года - Закон об бухгалтерском учёте Эстонии. |
| Авторизация платежей | Stripe хранит токены; мы храним последние 4 цифры и статус 5 лет. |
| Тикеты поддержки | 3 года с момента последнего ответа. |
| Маркетинговое согласие | До отзыва, затем 12 месяцев как доказательство соблюдения отписки. |
| Логи серверов | 30 дней, затем агрегируются и анонимизируются. |
| Резервные копии | Зашифрованы; скользящее окно 35 дней. |
07Ваши права
Согласно GDPR у вас есть следующие права в отношении персональных данных. Вы можете воспользоваться ими, написав на privacy@jetsend.eu; мы отвечаем в течение одного месяца (с возможностью продления ещё на два месяца для сложных запросов).
- Доступ (ст. 15)
- Получить копию персональных данных, которые мы храним о вас.
- Уточнение (ст. 16)
- Исправить неточные или неполные данные - большинство полей редактируется в профиле.
- Удаление (ст. 17)
- Потребовать удаления данных, с учётом обязательных сроков хранения.
- Ограничение (ст. 18)
- Приостановить обработку на время расследования спора.
- Переносимость (ст. 20)
- Экспортировать данные в машиночитаемом формате (JSON или CSV).
- Возражение (ст. 21)
- Возражать против обработки на основании законного интереса, включая профилирование.
- Отзыв согласия (ст. 7)
- Отозвать согласие на аналитику или маркетинг в любой момент без влияния на предыдущую обработку.
- Жалоба (ст. 77)
- Подать жалобу в местный надзорный орган.
Первая копия ваших данных - бесплатно. Мы можем взимать разумную плату или отказать в явно необоснованных или чрезмерных запросах согласно ст. 12(5) GDPR.
08Безопасность и инциденты
Мы применяем технические и организационные меры, соответствующие риску, включая:
- TLS 1.3 при передаче; AES-256 для базы данных и резервных копий в покое.
- Аппаратная 2FA на каждом административном аккаунте; SSO через Google Workspace.
- Доступ по принципу наименьших привилегий, пересматривается ежеквартально; доступ к продакшну логируется.
- Пентесты независимой третьей стороной каждые 12 месяцев.
- Соответствие PCI-DSS Level 1 для платёжного канала (обеспечивается Stripe).
- Программа раскрытия уязвимостей на security@jetsend.eu.
Если утечка персональных данных может создать риск для ваших прав и свобод, мы уведомляем компетентный надзорный орган в течение 72 часов, а при высоком риске - вас напрямую без неоправданной задержки (ст. 33-34 GDPR).
09Контакты
Поддержка клиентов (не по вопросам конфиденциальности): support@jetsend.eu · +40 37 17 01 466.