1. Цель и нормативная база
Настоящая политика определяет порядок сбора, обработки, хранения и защиты персональных данных пользователей сайта s2g.kz (далее — Сайт).
Обработка персональных данных осуществляется в соответствии с Законом Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года № 94-V (далее — Закон).
2. Оператор персональных данных
Реквизиты оператора (полное наименование юридического лица, БИН, юридический адрес) будут опубликованы в обновлённой редакции настоящей Политики после завершения регистрационных процедур. До этого момента обращения, связанные с обработкой персональных данных и реализацией прав субъекта, направляются по контактному адресу электронной почты:
- Контактный адрес электронной почты: info@s2g.kz
- Адрес для обращений по защите персональных данных: compliance@s2g.kz
3. Какие персональные данные обрабатываются
Оператор обрабатывает следующие категории персональных данных:
3.1. Форма оформления розничного заказа (корзина)
- Имя покупателя
- Номер телефона
- Адрес электронной почты
- Комментарий к заказу (если указан)
- Состав заказа: идентификаторы книг, количество, цена на момент оформления
3.2. Форма B2B-заявки (оптовые закупки, школы, маркетплейсы)
- Наименование организации и её организационно-правовая форма
- Регион (область / город)
- Фамилия, имя и отчество контактного лица
- Адрес электронной почты контактного лица
- Номер телефона контактного лица
- Текст заявки
- Приложенный файл или ссылка на документ (если предоставлены)
- IP-адрес и строка User-Agent браузера на момент подачи заявки
3.3. Форма заявки автора / издателя
- Фамилия, имя и отчество автора
- Адрес электронной почты
- Номер телефона
- Название рукописи
- Аннотация рукописи
- Файл рукописи или ссылка на рукопись (если предоставлены)
- IP-адрес и строка User-Agent браузера на момент подачи заявки
3.4. Форма обращения по вопросам защиты данных (compliance)
- Фамилия, имя и отчество (если указаны)
- Адрес электронной почты
- Номер телефона (если указан)
- Тема обращения (жалоба, нарушение этики, запрос на доступ к данным, иное)
- Текст обращения
- Приложенный файл (если предоставлен)
- IP-адрес и строка User-Agent браузера на момент подачи обращения
- Версия политики конфиденциальности, действовавшая на момент подачи обращения
3.5. Технические данные (автоматически)
- IP-адрес посетителя
- Тип и версия браузера (User-Agent)
- Данные о посещениях страниц, передаваемые в сервис веб-аналитики Яндекс Метрика
4. Цели обработки персональных данных
| Цель | Категории данных |
|---|---|
| Обработка и исполнение розничного заказа | Разд. 3.1 |
| Рассмотрение B2B-заявки и ведение переговоров | Разд. 3.2 |
| Рассмотрение заявки автора или издателя | Разд. 3.3 |
| Рассмотрение обращений по защите данных | Разд. 3.4 |
| Анализ посещаемости и улучшение работы Сайта | Разд. 3.5 |
| Соблюдение требований законодательства Республики Казахстан | Все разделы |
5. Правовые основания обработки
- Согласие субъекта персональных данных (ст. 8 Закона): при отправке любой формы Сайта пользователь устанавливает отметку «Согласен с политикой обработки персональных данных». Версия политики, действовавшая на момент получения согласия, фиксируется в базе данных вместе с датой и временем подачи заявки.
- Исполнение договора (ст. 8 Закона): обработка данных розничного заказа необходима для выполнения обязательств перед покупателем.
- Законные интересы оператора (ст. 8 Закона): обработка технических данных (IP-адрес, User-Agent) для обеспечения безопасности Сайта и предотвращения мошеннических действий.
6. Сроки хранения персональных данных
| Категория данных | Срок хранения |
|---|---|
| Данные розничных заказов | Срок исполнения заказа + 5 лет (в соответствии с требованиями налогового законодательства РК) |
| Данные B2B-заявок | Срок рассмотрения заявки + 5 лет |
| Данные заявок авторов | Срок рассмотрения заявки + 3 года |
| Данные обращений по защите данных | 5 лет с даты обращения |
| Данные сессионных cookie (laravel_session, XSRF-TOKEN) | 120 минут (время жизни сессии) |
| Данные аналитики (Яндекс Метрика) | Согласно политике хранения данных Яндекс Метрики (до 24 месяцев) |
По истечении срока хранения персональные данные удаляются или обезличиваются.
7. Передача персональных данных третьим лицам
Оператор передаёт персональные данные следующим категориям получателей:
7.1. Яндекс Метрика (ООО «Яндекс», Российская Федерация)
Сайт использует счётчик Яндекс Метрика. Яндекс Метрика получает: IP-адрес посетителя, строку User-Agent, URL посещённых страниц, события взаимодействия с элементами интерфейса (например, просмотр каталога, открытие корзины). Передача данных осуществляется на основании согласия пользователя. Политика конфиденциальности Яндекса: https://yandex.ru/legal/confidential/
7.2. Хостинг-провайдер ps.kz (Республика Казахстан)
Сайт размещён на серверах провайдера ps.kz. Персональные данные хранятся на серверах, расположенных на территории Республики Казахстан.
7.3. Почтовая инфраструктура хостинг-провайдера ps.kz
Для отправки уведомлений и подтверждений используется встроенная SMTP-инфраструктура хостинг-провайдера ps.kz (Республика Казахстан) — почтовые сервера, расположенные на территории РК и интегрированные с серверами размещения Сайта. Внешние почтовые сервисы (Mailgun, SendGrid и т.п.) не используются. Передача персональных данных за пределы Республики Казахстан в части почтовых уведомлений не осуществляется. Почтовый сервис получает только адрес электронной почты получателя и содержимое соответствующего уведомления.
Передача персональных данных иным лицам без согласия субъекта не осуществляется, за исключением случаев, прямо предусмотренных законодательством Республики Казахстан.
8. Права субъекта персональных данных
В соответствии с Законом субъект персональных данных вправе:
- получить сведения об обрабатываемых персональных данных и об операторе (ст. 14);
- потребовать внесения изменений в свои персональные данные, если они неточны или устарели (ст. 22);
- потребовать прекращения обработки и (или) удаления своих персональных данных в случаях, предусмотренных Законом (ст. 21);
- отозвать согласие на обработку персональных данных; отзыв согласия не затрагивает правомерность обработки, осуществлявшейся до его отзыва;
- обратиться с жалобой в уполномоченный орган — Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
Для реализации прав используйте форму на странице s2g.kz/legal/compliance или направьте обращение на адрес: compliance@s2g.kz.
9. Файлы cookie и аналитика
9.1. Файлы cookie, устанавливаемые Сайтом
| Имя | Тип | Назначение | Срок действия |
|---|---|---|---|
| laravel_session | Сессионный | Идентификация сессии пользователя | 120 минут |
| XSRF-TOKEN | Сессионный | Защита от межсайтовой подделки запросов (CSRF) | 120 минут |
9.2. Локальное хранилище браузера (localStorage)
| Имя | Назначение |
|---|---|
| bookstore.cart.v1 | Хранение состава корзины покупателя на стороне браузера |
Данные bookstore.cart.v1 не передаются на сервер автоматически и не являются cookie-файлами. Они удаляются при очистке данных сайта в браузере.
9.3. Аналитические cookie (Яндекс Метрика)
Яндекс Метрика устанавливает собственные cookie-файлы для идентификации уникальных посетителей и сбора статистики посещаемости. Перечень cookie Яндекс Метрики: https://yandex.ru/legal/confidential/
9.4. Управление cookie
Вы можете отключить cookie в настройках браузера. Отключение сессионных cookie (laravel_session, XSRF-TOKEN) повлечёт невозможность использования форм Сайта. Отключение аналитических cookie не влияет на функциональность Сайта.
10. Меры защиты персональных данных
Для защиты персональных данных оператор применяет следующие меры:
- передача данных между браузером пользователя и сервером осуществляется по протоколу TLS версии 1.2 и выше;
- сессии пользователей шифруются и имеют ограниченный срок действия (120 минут);
- доступ к базе данных и панели администратора ограничен и предоставляется только уполномоченным сотрудникам;
- факты входа в систему и действия в панели администратора фиксируются в журнале аудита;
- файлы, загружаемые пользователями через формы, проходят проверку типа и размера перед сохранением.
11. Контакты для обращений
По вопросам обработки персональных данных, реализации прав субъекта данных и иным вопросам, связанным с настоящей политикой, обращайтесь:
- Через форму на Сайте: s2g.kz/legal/compliance
- По электронной почте: compliance@s2g.kz
Оператор рассматривает обращения в течение 10 рабочих дней с момента получения.
12. Изменения политики
Оператор вправе вносить изменения в настоящую политику. При внесении изменений номер версии документа повышается. Актуальная версия всегда доступна на странице s2g.kz/legal/privacy-policy.
При повторном использовании форм Сайта после изменения политики пользователь подтверждает согласие с её актуальной версией. Версия политики, под которой пользователь дал согласие, фиксируется в базе данных вместе с датой и временем подачи заявки.
Дата конкретной редакции не указывается — операционным идентификатором служит номер версии. При значимых изменениях версия повышается (1.0 → 1.1 для уточнений / 1.0 → 2.0 для существенных пересмотров).