ROXY logo
Документы

Политика конфиденциальности

Правила обработки и защиты данных пользователей roxy.kz.

Оператор персональных данных

Оператор сервиса
ТОО "Goosebumps Digital"
БИН
260640014519
Местонахождение
Казахстан, город Алматы, Бостандыкский район, улица Утепова, дом 31, кв. 76
Email
info@roxy.kz

Общие положения

Настоящая политика описывает, как ТОО "Goosebumps Digital" собирает, хранит, использует и защищает данные при работе с сайтом roxy.kz, личным кабинетом, публичными страницами, тарифами, поддержкой и модулями платформы.

Политика не отменяет обязанности владельцев магазинов самостоятельно оформлять свои документы для покупателей, если они собирают и обрабатывают данные покупателей через собственную витрину, формы, доставки, оплаты или иные каналы.

Роли при обработке данных

В отношении пользователей личного кабинета roxy.kz выступает оператором персональных данных. В отношении покупателей, лидов, сотрудников, контрагентов и иных лиц, которых пользователь самостоятельно вносит в сервис, источник и правовое основание обработки определяет сам пользователь.

roxy.kz обрабатывает такие данные как технологическая платформа в объеме, необходимом для исполнения договора, работы модулей, защиты сервиса, поддержки, хранения журналов и выполнения требований законодательства.

Категории данных

  • Данные аккаунта: имя, email, телефон, язык интерфейса, пароль в защищенном виде, роль, права доступа и события авторизации.
  • Данные компании: наименование, БИН/ИИН, адрес, налоговый режим, реквизиты, сотрудники, магазины, склады, торговые точки и настройки тарифов.
  • Данные бизнеса: товары, категории, цены, остатки, заказы, клиенты, CRM-сделки, документы, расходы, аналитика, настройки доставок, оплат, интеграций и публичной витрины.
  • Данные покупателей и контрагентов, если пользователь вносит их в сервис: имя, телефон, email, адрес доставки, история заказов, состав заказа, способ оплаты и доставки, переписка и связанные документы.
  • Технические данные: IP-адрес, сведения о браузере и устройстве, cookies, идентификаторы сессий, журналы ошибок, события безопасности, API-запросы и технические метаданные интеграций.

Источники данных

  • Данные, которые пользователь вводит при регистрации, оплате, настройке магазина, создании сотрудников, товаров, заказов и документов.
  • Данные, которые поступают через публичную витрину магазина: формы, корзину, оформление заказа, личный кабинет покупателя и согласия.
  • Данные из интеграций: платежные сервисы, службы доставки, маркетплейсы, Wazzup, 1C, фискализация, ЭСФ, email/SMS-сервисы и другие подключенные пользователем сервисы.
  • Технические данные, которые автоматически формируются при использовании сайта, личного кабинета, API и инфраструктуры платформы.

Цели обработки

  • Регистрация пользователя, аутентификация, управление ролями, безопасность аккаунта и восстановление доступа.
  • Предоставление SaaS-функций: интернет-магазин, каталог, CRM, заказы, склад, документы, фискализация, аналитика, интеграции, AI-функции и поддержка клиентов.
  • Выставление счетов, прием оплаты, учет тарифов, лимитов, пакетов, корпоративных заявок и финансовых операций по сервису.
  • Обработка заказов, уведомлений, доставок, платежей, возвратов, резервов, документов и обращений, если пользователь использует соответствующие модули.
  • Предотвращение мошенничества, расследование инцидентов, ведение журналов безопасности, исполнение требований закона и защита прав оператора и пользователей.
  • Улучшение качества сервиса, диагностика ошибок, развитие функциональности и направление сервисных уведомлений о работе платформы.

Правовые основания и согласие

Обработка выполняется на основании согласия субъекта, исполнения договора, законных обязанностей, необходимости защиты прав и обеспечения безопасности сервиса.

Субъект персональных данных может отозвать согласие, если дальнейшая обработка не требуется для исполнения договора, хранения документов, налоговых, бухгалтерских, претензионных или иных обязательных целей.

Передача третьим лицам

Данные могут передаваться только в объеме, необходимом для работы сервиса: хостинг-провайдерам, платежным системам, службам доставки, сервисам сообщений, маркетплейсам, email/SMS-провайдерам, аналитическим и техническим подрядчикам, юридическим и бухгалтерским консультантам, а также государственным органам при наличии законного основания.

Если пользователь подключает внешний сервис, данные могут обрабатываться таким сервисом по его собственным правилам. Пользователь должен учитывать условия внешнего сервиса и получать необходимые согласия у покупателей, сотрудников и иных лиц.

Трансграничная передача

При использовании облачной инфраструктуры, внешних API, платежных, коммуникационных, AI- и иных сервисов часть данных может обрабатываться с использованием инфраструктуры за пределами Республики Казахстан.

Такая передача допускается только при наличии правового основания и с применением мер защиты, которые соответствуют характеру данных и целям обработки.

Хранение данных

Данные хранятся в течение срока действия аккаунта, договора, подключенного тарифа и периода, необходимого для достижения целей обработки. Отдельные данные могут храниться дольше, если это требуется для бухгалтерского, налогового, претензионного, архивного учета, информационной безопасности или исполнения закона.

Резервные копии, технические журналы и следы аудита удаляются по внутренним срокам хранения, если более длительный срок не требуется для расследования инцидента, восстановления сервиса или защиты прав.

Защита данных

  • Разграничение доступа по ролям, магазинам, компаниям и техническим правам.
  • Шифрование чувствительных учетных данных интеграций и ограничение доступа к ним на backend.
  • Журналы безопасности, аудит критичных действий, резервное копирование и контроль технических событий.
  • Передача данных по защищенным каналам там, где это применимо, и минимизация доступа сотрудников и подрядчиков к данным пользователей.
  • Разделение данных пользователей платформы таким образом, чтобы один пользователь не получал доступ к данным другого пользователя без правового основания.

Права субъекта персональных данных

Субъект персональных данных может запросить информацию об обработке, уточнение, блокирование, удаление, отзыв согласия или ограничение обработки, направив обращение на info@roxy.kz.

Для защиты данных оператор может запросить подтверждение личности или полномочий заявителя. Обращения рассматриваются в сроки, предусмотренные законодательством Республики Казахстан; если применимо, первичная обработка запроса выполняется в течение 3 рабочих дней.

Cookies и технические идентификаторы

Сайт и личный кабинет могут использовать cookies, local storage и похожие технологии для авторизации, сохранения настроек, безопасности, аналитики ошибок и корректной работы интерфейса.

Отключение cookies может привести к некорректной работе входа, корзины, личного кабинета, редактора сайта и других функций.

Данные несовершеннолетних

Платформа предназначена для бизнеса и не ориентирована на самостоятельное использование несовершеннолетними. Если такие данные были переданы без надлежащего основания, законный представитель может обратиться к оператору для проверки и удаления.

Изменение политики

Политика может обновляться при изменении законодательства, архитектуры сервиса, состава модулей, способов обработки данных или внешних интеграций. Актуальная редакция публикуется на этой странице.