Статья 1 (Цель и сфера применения)
TSBT Company Co.,Ltd. (далее — «Компания») придает важное значение персональным данным пользователей и соблюдает применимое законодательство. Настоящая Политика обработки персональных данных (далее — «настоящая Политика») информирует о категориях персональных данных, целях сбора, использовании, хранении и уничтожении, передаче третьим лицам и трансграничной передаче персональных данных, которые Компания собирает в связи с веб-сайтом www.lemoninspect.com (далее — «Сайт») и сервисом отчетов о диагностике и истории транспортных средств на базе AI LemonInspect (далее — «Сервис»).
Настоящая Политика применяется ко всем пользователям во всем мире и соблюдает императивные нормы следующих юрисдикций:
- Республика Корея — Закон о защите персональных данных (PIPA) и связанные нормативные акты
- Объединенные Арабские Эмираты(UAE) — Федеральный закон №45/2021 (UAE PDPL)
- Саудовская Аравия — Закон о защите персональных данных(PDPL, Royal Decree M/19) и правила SDAIA
- Европейская экономическая зона(EEA) — Общий регламент по защите данных(GDPR) *(если резидент EEA использует Сервис)*
Если законодательство юрисдикции проживания предоставляет права сверх прав, указанных в настоящей Политике, преимущественно применяется такое местное законодательство.
Настоящая Политика применяется совместно со следующими дополнительными политиками: Условия использования, Отказ от ответственности, Политика возврата средств и отмены, Политика использования файлов cookie.
Статья 2 (Правовые основания обработки персональных данных)
Компания обрабатывает персональные данные на следующих правовых основаниях:
- Исполнение договора: создание и предоставление отчетов для предоставления Сервиса
- Согласие: обработка на основании явного согласия пользователя (предоставление изображений, записей и т. п.)
- Юридическая обязанность: выполнение обязанностей в соответствии с налоговым, коммерческим законодательством, законодательством об электронной коммерции и т. п.
- Законный интерес: безопасность Сервиса, предотвращение неправомерных действий, улучшение Сервиса
В случае пользователей EEA, в отношении обработки на основании «законного интереса» Компания хранит в документированной форме оценку баланса интересов(LIA), а пользователь может в любое время возразить против такой обработки в соответствии со статьей 21 GDPR.
Статья 3 (Категории собираемых персональных данных)
3.1. Данные учетной записи (предоставляются пользователем напрямую)
| Категория | Цель сбора | Обязательно/по выбору | Правовое основание |
|---|---|---|---|
| Адрес электронной почты | Создание учетной записи, аутентификация, квитанции о покупке, уведомления о Сервисе | Обязательно | Исполнение договора / согласие (статья 15 PIPA) |
| Пароль (хешированный) | Безопасность учетной записи | Обязательно | Исполнение договора |
| Имя/никнейм | Идентификация учетной записи | Обязательно | Исполнение договора |
| Номер телефона | Восстановление учетной записи, клиентская поддержка | По выбору | Согласие |
| Тип учетной записи (физическое лицо/компания) | Определение применимых условий, подтверждение правового статуса | Обязательно | Законный интерес / исполнение договора |
| Наименование компании и регистрационный номер предприятия (корпоративные участники) | Подтверждение корпоративной учетной записи, выставление налогового счета | Условно обязательно | Исполнение договора / юридическая обязанность |
3.2. Данные транспортного средства (предоставляются пользователем или производные)
| Категория | Цель сбора | Обязательно/по выбору | Правовое основание |
|---|---|---|---|
| VIN (идентификационный номер транспортного средства) | Идентификация транспортного средства, запрос истории, создание отчета | Обязательно | Исполнение договора |
| Фотографии/изображения транспортного средства | AI-диагностика внешнего состояния (Vision AI — Core C, при предоставлении соответствующей функции) | По выбору | Исполнение договора / согласие |
| Аудиозаписи, включая звук двигателя | AI-акустическая диагностика (Sound Engine — Core B) | По выбору | Исполнение договора / согласие |
| Диагностические данные OBD-II | Анализ диагностических кодов(DTC), оценка мониторов готовности (при предоставлении соответствующей функции) | По выбору | Исполнение договора / согласие |
| Характеристики транспортного средства (производитель, модель, год выпуска, комплектация) | Создание отчета, оценка стоимости ремонта, запрос рейтингов безопасности | Обязательно | Исполнение договора |
⚠️ Уведомление о VIN: идентификационный номер транспортного средства(VIN) является информацией, идентифицирующей транспортное средство, а не прямой информацией, идентифицирующей физическое лицо. Однако при объединении с регистрационными записями он может позволить идентифицировать конкретное лицо, поэтому Компания управляет VIN на уровне, соответствующем персональным данным.
3.3. Данные транзакций
| Категория | Цель сбора | Обязательно/по выбору | Правовое основание |
|---|---|---|---|
| История покупок | Предоставление Сервиса, клиентская поддержка, анализ | Обязательно | Исполнение договора |
| Средство платежа (только последние 4 цифры карты) | Идентификация транзакции, обработка возврата средств | Обязательно | Исполнение договора |
| Версия отчета и записи доступа | Предоставление отчета, повторное использование того же VIN в течение 30 дней, повторный просмотр, управление лицами, имеющими доступ к исправлению, доказательства по спорам | Обязательно | Исполнение договора / законный интерес |
| Записи транзакций с кредитами | Пополнение и списание кредитов, управление сроком действия неиспользованных кредитов, предотвращение двойного списания, возврат средств или восстановление кредитов | Обязательно | Исполнение договора / юридическая обязанность |
| Информация для налогового счета | Корпоративное выставление счетов, соблюдение налоговых требований | Условно обязательно | Юридическая обязанность (Рамочный закон о национальных налогах, Закон о налоге на добавленную стоимость) |
Примечание: полные данные платежной карты (номер карты, CVV, срок действия) не хранятся Компанией. Вся обработка платежей осуществляется сторонним платежным посредником(PG), сертифицированным по PCI-DSS.
3.4. Автоматически собираемая информация
| Категория | Цель сбора | Обязательно/по выбору | Правовое основание |
|---|---|---|---|
| IP-адрес | Безопасность, предотвращение неправомерных действий, журналы согласия, определение региона | Автоматически | Законный интерес |
| Тип и версия браузера | Совместимость Сервиса, анализ | Автоматически | Законный интерес |
| Тип устройства и операционная система | Оптимизация Сервиса | Автоматически | Законный интерес |
| Посещенные страницы и время пребывания | Улучшение Сервиса, анализ | Автоматически | Законный интерес / согласие (cookie) |
| Журналы взаимодействия с согласием | Соблюдение законодательства, доказательства по спорам | Автоматически | Юридическая обязанность / законный интерес |
| Временная метка (UTC) | Аудиторский след, записи согласия | Автоматически | Юридическая обязанность |
| Базовая дата отчета, время просмотра, журналы запросов VIN | Управление версиями отчетов, применение политики повторного использования в течение 30 дней, управление доступом к исправлению неопределенных пунктов, предотвращение неправомерного использования | Автоматически | Исполнение договора / законный интерес |
Автоматические средства сбора, включая cookie. Компания использует автоматические средства сбора, такие как cookie, локальное хранилище, пиксели и т. п. Подробности см. в Политике использования файлов cookie.
3.5. Информация, которая не собирается
Компания не собирает следующую информацию:
- Установленные законом уникальные идентификаторы, такие как регистрационный номер резидента, номер паспорта, номер водительского удостоверения и т. п.
- Биометрическая информация (отпечатки пальцев, распознавание лица)
- Информация о здоровье или медицинская информация
- Номера финансовых счетов (банковский счет, полный номер кредитной карты)
- Точная информация о местоположении, за исключением приблизительного местоположения на основе IP
- Информация о лицах младше 18 лет (однако в случае участников, проживающих в Корее, несовершеннолетние по Гражданскому кодексу Кореи (младше 19 лет) могут зарегистрироваться только при получении согласия законного представителя, а для лиц младше 14 лет в соответствии со статьей 22 Закона о защите персональных данных обязательно явное согласие законного представителя — см. статью 11)
Статья 4 (Цели использования персональных данных)
| Цель | Используемые данные |
|---|---|
| Предоставление Сервиса — создание отчетов, помогающих проверке транспортного средства, и отчетов об истории, предоставление прав доступа к версиям существующих отчетов и управление повторным просмотром | Учетная запись, транспортное средство, данные транзакций |
| Обработка, помогающая проверке на базе AI — выполнение анализа вспомогательного механизма проверки LemonInspect | Информация о транспортном средстве (аудио, VIN, изображения и OBD-II при предоставлении соответствующих функций) |
| Управление версиями отчетов и доступом к исправлению — применение политики повторного использования того же VIN в течение 30 дней, запись базовой даты отчета, управление лицами, имеющими доступ к исправлению неопределенных пунктов | Учетная запись, транспортное средство, транзакции, техническая информация |
| Обработка платежей — обработка покупок, выдача квитанций, возвраты средств | Учетная запись, данные транзакций |
| Соблюдение юридических обязанностей — ведение записей согласия, ответы на юридические запросы, налоговая отчетность | Все |
| Разрешение споров — защита от chargeback, предоставление доказательств в арбитражных процедурах | Учетная запись, транзакции, техническая информация |
| Улучшение Сервиса — анализ моделей использования, повышение точности AI (обезличивание/агрегированная обработка) | Техническая информация, информация об использовании |
| Коммуникация — подтверждение покупки, обновления Сервиса, уведомления об изменении политик | Учетная запись (электронная почта) |
| Безопасность — выявление неправомерных действий, предотвращение несанкционированного доступа | Техническая информация, данные учетной записи |
Компания не использует персональные данные для следующих целей:
- Продажа персональных данных третьим лицам
- Рекламное профилирование или поведенческий таргетинг
- Автоматизированное принятие решений, имеющих юридическую силу (анализ, помогающий проверке на базе AI, является лишь справочной информацией)
4.1. Политика данных для обучения AI-моделей
Компания может использовать обезличенные и агрегированные диагностические данные (после удаления информации, идентифицирующей личность, VIN и информации о местоположении) для повышения точности AI-моделей и разработки новых диагностических функций. Однако:
- Исходные изображения, аудиозаписи и исходные диагностические данные, предоставленные пользователем, не используются напрямую для обучения AI-моделей без отдельного явного согласия opt-in
- При будущем внедрении программы opt-in для внесения учебных данных участие будет полностью добровольным и не будет влиять на предоставление Сервиса или тарифы
- Обезличенные статистические закономерности (например: «у X% транспортных средств Genesis G80 2019 года обнаружены признаки износа цепи ГРМ») могут выводиться из агрегированных данных без привязки к физическому лицу
Статья 4-2 (Уведомление об утечке персональных данных)
В случае утечки персональных данных, которая может создать риск для прав и свобод пользователя, Компания:
- В соответствии со статьей 34 Закона о защите персональных данных, статьями 33-34 GDPR и UAE PDPL уведомляет соответствующие надзорные органы (Корейскую комиссию по защите персональных данных, ведущий надзорный орган EEA, UAE Data Office и т. п.) в течение 72 часов с момента, когда стало известно об утечке
- Без промедления уведомляет затронутых пользователей по адресу электронной почты, зарегистрированному в учетной записи
- Предоставляет сведения о характере утечки, затронутых типах данных, ожидаемых последствиях и мерах, принятых для уменьшения вреда
Статья 5 (Передача персональных данных третьим лицам)
5.1. Внешние AI- и инфраструктурные сервисы (включая трансграничную передачу)
Для создания отчетов и эксплуатации Сервиса Компания передает данные следующим зарубежным операторам:
| Получатель передачи | Передаваемые данные | Цель | Страна передачи | Момент передачи |
|---|---|---|---|---|
| Google LLC (Gemini Pro Vision API) | Изображения/фотографии транспортного средства | AI-анализ визуального состояния (Core C, при предоставлении соответствующей функции) | США и др. (Google Cloud) | При запросе создания отчета по соответствующей функции |
| Google LLC (Gemini API) | Текстовый промпт с кратким изложением диагностики транспортного средства | Мультимодальное рассуждение, создание описательной части отчета | США и др. (Google Cloud) | При запросе создания отчета |
| OpenAI, Inc. | Диагностические данные транспортного средства, текстовые промпты | Анализ и создание описаний на базе LLM (серия GPT) | США (Microsoft Azure) | При запросе создания отчета |
| Anthropic, PBC | Диагностические данные транспортного средства, текстовые промпты | Анализ и создание описаний на базе LLM (серия Claude) | США (AWS) | При запросе создания отчета |
| Amazon Web Services, Inc. (AWS) | Данные учетной записи, VIN, данные транспортного средства, результаты отчетов, журналы согласия (все категории) | Облачная база данных, аутентификация, хранилище (бэкенд Сервиса) | США (us-east / ap-northeast и др.) | В течение всего периода регистрации и использования Сервиса |
| Cloudflare, Inc. | Веб-трафик, IP-адрес, User-Agent, cookie, метаданные запросов | CDN, защита от DDoS, DNS, WAF (шлюз хостинга Сайта) | Глобальная сеть anycast (США, EU, Азия и др.) | Автоматически при доступе к Сайту |
⚠️ Уведомление о трансграничной передаче (статья 28-8 Закона о защите персональных данных / статья 46 GDPR):
Передача зарубежным операторам, указанным в таблице выше, необходима для предоставления Сервиса (исполнение договора), и Компания заключает с каждым получателем стандартные договорные положения(SCC) или соглашение об обработке данных(DPA), чтобы обеспечить надлежащие защитные меры. Такая передача основана на надлежащих защитных мерах (SCC и т. п.) в соответствии с пунктом 1 статьи 28-8 Закона о защите персональных данных Республики Корея, а в случае пользователей EEA — на соответствующих гарантиях по статье 46 GDPR. Компания ясно уведомляет о факте такой трансграничной передачи на экране регистрации участника.
Последствия невозможности передачи. Поскольку такая трансграничная передача составляет техническую основу Сервиса (облачная DB, CDN, AI-вывод), без передачи технически невозможны регистрация участника и создание отчетов. Соответствующая страна может не предоставлять тот же уровень защиты персональных данных, что и Республика Корея.
5.1A. Изоляция пользовательских данных
Изображения, аудиозаписи и иные диагностические данные, предоставленные пользователем, используются только для создания отчета такого пользователя. Если несколько пользователей запрашивают отчеты по одному и тому же VIN:
- Медиафайлы (фотографии, аудио), предоставленные каждым пользователем, обрабатываются изолированно и не включаются в отчеты других пользователей, не отображаются в них и не становятся доступными для них
- Публичные данные (история VIN, записи об отзывах, рейтинги безопасности) происходят из публичных сторонних источников, а не из пользовательских материалов, поэтому могут включаться в несколько отчетов по одному и тому же VIN
5.2. Запросы к публичным источникам данных
Для подготовки отчета запрашиваются следующие публичные и государственные источники данных. При таких запросах персональные данные пользователя не передаются, используются только VIN и идентификационная информация транспортного средства:
- NHTSA (Национальная администрация безопасности дорожного движения США) — отзывы, жалобы потребителей, рейтинги безопасности
- Министерство земли, инфраструктуры и транспорта / Корейское агентство транспортной безопасности(KATRI) — записи об отзывах в Корее
- Euro NCAP — европейские рейтинги безопасности
- IIHS (Страховой институт дорожной безопасности США) — рейтинги краш-тестов
- KNCAP (корейская программа оценки безопасности новых автомобилей) — корейские рейтинги краш-тестов
- KIDI (Институт страхового развития) — страховые рейтинги ущерба
5.3. Поставщики инфраструктурных услуг
| Поставщик | Цель | Доступные данные |
|---|---|---|
| Cloudflare, Inc. (США, глобальный anycast) | Шлюз Сайта — CDN / защита от DDoS / DNS / WAF | Веб-трафик, IP-адрес, User-Agent, cookie, метаданные запросов |
| Amazon Web Services, Inc. (AWS) (США) | Облачная база данных / аутентификация / объектное хранилище / бессерверные вычисления | Учетная запись, VIN, данные транспортного средства, результаты отчетов, журналы согласия (шифрование при хранении и передаче) |
| Supabase, Inc. (США, хостинг AWS) | Реляционная база данных / аутентификация / API реального времени | Данные учетной записи, метаданные отчетов, токены аутентификации |
| Vercel, Inc. (США) | Хостинг фронтенда / edge-сеть / CI·CD | Веб-трафик, IP-адрес, User-Agent, журналы запросов |
| Google LLC (США и др.) | AI-вывод — Gemini API (при предоставлении визуальной функции Core C / создание описательной части отчета) | Изображения транспортного средства (при предоставлении соответствующей функции), промпт с кратким изложением диагностики |
| OpenAI, Inc. (США) | AI-вывод — серия GPT (создание анализа и описаний) | Диагностические данные транспортного средства, текстовые промпты |
| Anthropic, PBC (США) | AI-вывод — серия Claude (создание анализа и описаний) | Диагностические данные транспортного средства, текстовые промпты |
| PayPal, Inc. (США) | Обработка платежей — зарубежная (сертификация PCI-DSS) | Только платежные данные (номер карты и CVV не хранятся) |
| PortOne (Республика Корея) | Обработка платежей — подключение к внутреннему PG (сертификация PCI-DSS) | Только платежные данные (номер карты и CVV не хранятся) |
| Google LLC (Google Workspace) (США) | Отправка транзакционных и аутентификационных писем (квитанции о покупке, уведомления о возврате средств, обновление согласия, подтверждение регистрации участника) | Адрес электронной почты, имя (отправитель [email protected]) |
5.4. Раскрытие по юридическим основаниям
Компания может раскрывать персональные данные в следующих случаях:
- По судебному приказу, повестке или в рамках юридической процедуры
- В арбитражной процедуре (Международный арбитражный регламент Корейского коммерческого арбитражного совета)
- По запросу государственного органа, обладающего законными полномочиями
- Для защиты юридических прав Компании или безопасности пользователя
Статья 6 (Хранение и уничтожение персональных данных)
| Тип информации | Срок хранения | Основание |
|---|---|---|
| Данные учетной записи | Период поддержания учетной записи + 3 года после выхода | Коммерческое законодательство; разрешение споров |
| Данные транспортного средства (VIN, изображения, аудио) | 1 год после создания отчета | Улучшение Сервиса; разрешение споров |
| Записи транзакций | 5 лет | Соблюдение налогового законодательства (Рамочный закон о национальных налогах, Закон о налоге на добавленную стоимость) |
| Журналы согласия (IP, временная метка, версия условий) | 5 лет или до завершения соответствующего спора | Юридическая обязанность; защита от chargeback |
| Техническая информация/информация об использовании | 1 год (затем обезличивание) | Законный интерес |
| Созданные отчеты (результаты анализа, за исключением исходных медиа) | Период, в течение которого участник может просматривать отчет, составляет с даты предоставления права доступа по плану: Single Report 6 месяцев(180 дней), Multi-Check Pack и Dealer Starter Pack 1 год(365 дней); Компания внутренне хранит отчеты 3 года с даты создания для целей реагирования на споры, после чего уничтожает их | Исполнение договора; разрешение споров |
| Записи доступа к отчетам и версий | 5 лет или до завершения соответствующего спора | Исполнение договора; разрешение споров; защита от chargeback |
| Подтверждение уведомления о повторном использовании отчета/базовой дате | 5 лет или до завершения соответствующего спора | Доказательство того, что пользователь был уведомлен о базовой дате отчета и политике повторного использования в течение 30 дней |
| Подтверждение уведомления о доступе к исправлению неопределенных пунктов | 5 лет или до завершения соответствующего спора | Доказательство уведомления о том, что неопределенные пункты могут оставаться неопределенными и доступ к исправлению ограничен |
Разграничение срока просмотра и внутреннего хранения. Период, в течение которого участник может просматривать отчет и скачивать PDF (с даты предоставления права доступа по плану: Single Report 6 месяцев(180 дней), Multi-Check Pack и Dealer Starter Pack 1 год(365 дней)), и период, в течение которого Компания хранит отчет внутренне (3 года с даты создания, для целей реагирования на споры), являются отдельными. То есть даже после окончания срока просмотра участником Компания внутренне хранит отчет (результаты анализа, за исключением исходных медиа) для реагирования на споры и chargeback.
Связь с исходными медиа. Исходные медиа, предоставленные пользователем (изображения, аудио), уничтожаются по истечении 1 года после создания отчета, а после этого отчет хранится как статический результат, содержащий только результаты анализа без исходных медиа. Записи доступа к отчетам и версий (5 лет) являются метаданными для доказательства по спорам и не включают исходные медиа.
Методы уничтожения:
- Электронные файлы: удаление техническим способом, исключающим восстановление
- Печатные материалы: измельчение или сжигание
Статья 7 (Права пользователей)
7.1. Основные права (все пользователи)
| Право | Содержание |
|---|---|
| Требование доступа | Запрос копии собственных персональных данных, хранящихся у Компании |
| Требование исправления | Запрос исправления неточной или неполной информации |
| Требование удаления | Запрос удаления персональных данных (за исключением данных, подлежащих юридической обязанности хранения) |
| Требование прекращения обработки | Запрос прекращения обработки персональных данных |
| Отзыв согласия | Отзыв ранее предоставленного согласия (не влияет на законность обработки до отзыва) |
| Возражение | Возражение против обработки на основании законного интереса |
| Отказ от автоматизированного решения и требование объяснения | В соответствии со статьей 37-2 Закона о защите персональных данных (вступление в силу редакции 2024 года), если решение, принимаемое полностью автоматизированной системой (искусственный интеллект и т. п.), существенно влияет на права или обязанности участника, право отказаться от такого решения или потребовать объяснения критериев и оснований такого решения. Примечание: AI-диагностика Компании (включая Trust Score) предоставляется только как справочная информация и не является автоматизированным решением, имеющим юридическую силу, однако участник может осуществлять данное право. |
| Подача жалобы | Подача жалобы в надзорный орган по защите персональных данных юрисдикции проживания |
7.2. Способ осуществления прав и срок ответа
Место приема запросов: [email protected]
Компания отвечает или обрабатывает запрос в следующие сроки с даты получения запроса (в зависимости от применимого законодательства):
| Применимое законодательство | Срок ответа |
|---|---|
| Корейский Закон о защите персональных данных (PIPA) | В течение 10 дней (доступ, исправление, удаление) |
| Европейский GDPR | В течение 30 дней (возможно продление на 1 месяц) |
| UAE PDPL | В течение 30 дней |
Компания может провести процедуру подтверждения личности.
7.3. Дополнительные права зарубежных пользователей
7.3.1. Пользователи EEA (GDPR)
- Право на переносимость данных (Data Portability): право получить данные в структурированном машиночитаемом формате
- Право на ограничение обработки (Right to Restriction): право ограничить обработку в определенных ситуациях
- Право на отказ от автоматизированного принятия решений: право не быть объектом исключительно автоматизированного принятия решений, имеющего юридическую силу (анализ Компании, помогающий проверке на базе AI, является справочной информацией и не имеет юридической силы)
- Право подачи жалобы в надзорный орган: возможность подать жалобу в надзорный орган по защите данных(DPA) страны проживания
7.3.2. Пользователи UAE (UAE PDPL)
- Все права, указанные в Федеральном законе №45/2021
- Право согласия на трансграничную передачу (см. статью 8)
- Возможность подать жалобу в UAE Data Office
Статья 8 (Трансграничная передача)
8.1. Статус передачи
| Получатель передачи | Страна передачи | Передаваемые данные | Цель | Защитные меры |
|---|---|---|---|---|
| Google LLC | США | Изображения транспортного средства (при предоставлении соответствующей функции), диагностические промпты | AI-анализ (Gemini API) | Google DPA; SCC |
| Google LLC (Google Workspace) | США | Адрес электронной почты, имя | Отправка транзакционных и аутентификационных писем | Google DPA; SCC |
| OpenAI, Inc. | США | Диагностические данные транспортного средства, текстовые промпты | AI-анализ (серия GPT) | OpenAI DPA; SCC |
| Anthropic, PBC | США | Диагностические данные транспортного средства, текстовые промпты | AI-анализ (серия Claude) | Anthropic DPA; SCC |
| Amazon Web Services, Inc. (AWS) | США | Все категории данных учетной записи, VIN, данных транспортного средства, отчетов и журналов согласия | Облачная DB / аутентификация / хранилище | AWS DPA; SCC |
| Supabase, Inc. | США (хостинг AWS) | Данные учетной записи, метаданные отчетов, токены аутентификации | DB / аутентификация / API реального времени | Supabase DPA; SCC |
| Vercel, Inc. | США | Веб-трафик, IP, User-Agent, журналы запросов | Хостинг фронтенда / edge-сеть | Vercel DPA; SCC |
| Cloudflare, Inc. | Глобальный anycast (США, EU, Азия) | Веб-трафик, IP, User-Agent, cookie, метаданные запросов | CDN / защита от DDoS / DNS / WAF | Cloudflare DPA; SCC |
| PayPal, Inc. | США | Платежные данные | Обработка зарубежных платежей | PayPal DPA; SCC |
8.2. Согласие
Трансграничная передача в страны, указанные в таблице 8.1 выше, необходима для предоставления Сервиса, и Компания обеспечивает надлежащие защитные меры посредством стандартных договорных положений(SCC) и соглашений об обработке данных(DPA) (статья 28-8 Закона о защите персональных данных / статья 46 GDPR). Компания уведомляет о факте такой передачи при регистрации участника, а пользователь информируется о том, что соответствующая страна может не предоставлять тот же уровень защиты персональных данных, что и страна проживания.
Отозвать согласие можно, обратившись на [email protected]. Однако поскольку такая передача составляет техническую основу Сервиса (DB, CDN, AI), при отзыве согласия дальнейшее использование Сервиса будет ограничено, и это не влияет на уже созданные отчеты.
Статья 9 (Управление записями согласия)
Для защиты Компании и пользователей ведутся записи взаимодействий с согласием:
| Записываемая категория | Цель |
|---|---|
| Выбор типа учетной записи (физическое лицо/компания) | Определение применимой правовой рамки |
| Согласие с Условиями использования (версия + временная метка) | Доказательство заключения договора |
| Подтверждение отказа от ответственности (версия + временная метка) | Доказательство ограничения ответственности |
| Подтверждение политики возврата средств (версия + временная метка) | Доказательство для защиты от chargeback |
| Подтверждение уведомления о повторном использовании отчета/базовой дате (если отображалось) | Доказательство того, что пользователь был уведомлен о базовой дате отчета и политике повторного использования в течение 30 дней |
| Подтверждение уведомления о доступе к исправлению неопределенных пунктов (если отображалось) | Доказательство уведомления о том, что неопределенные пункты могут оставаться неопределенными и доступ к исправлению ограничен |
| Согласие на трансграничную передачу (временная метка) | Соблюдение GDPR/UAE PDPL |
| IP-адрес в момент согласия | Подтверждение региона, предотвращение неправомерных действий |
| Строка User-Agent | Идентификация устройства, целостность записей согласия |
Записи согласия хранятся 5 лет или до завершения соответствующего спора.
Статья 10 (Меры обеспечения безопасности)
Компания применяет следующие технические и организационные меры для защиты персональных данных:
- Шифрование при передаче: TLS 1.2 или выше
- Шифрование при хранении: AES-256
- Контроль доступа: ролевой контроль доступа, принцип минимальных привилегий
- Аутентификация: безопасное хеширование паролей (bcrypt/Argon2)
- Мониторинг: обнаружение вторжений, записи доступа, обнаружение аномалий
- Безопасность подрядчиков: требование равнозначных стандартов безопасности от сторонних обработчиков
Ни одна система не может гарантировать 100% безопасность, и Компания принимает коммерчески разумные меры, но не гарантирует абсолютную безопасность данных.
Статья 11 (Персональные данные несовершеннолетних)
11.1. Глобальный принцип. Сервис не предназначен для физических лиц младше 18 лет. Компания намеренно не собирает персональные данные несовершеннолетних без согласия самого лица или законного представителя.
11.2. Корея, лица младше 14 лет — согласие законного представителя обязательно. В соответствии со статьей 22 Закона о защите персональных данных, для обработки персональных данных детей младше 14 лет, проживающих в Корее, обязательно явное согласие законного представителя, а информация, собранная без согласия, немедленно уничтожается.
11.3. Корея, лица от 14 до 19 лет. В случае несовершеннолетних по Гражданскому кодексу Кореи (младше 19 лет), данная регистрация участника или платеж возможны только при получении согласия законного представителя, а договор, заключенный без согласия, может быть отменен самим лицом или законным представителем (см. статью 4.1 Условий использования).
11.4. Сообщение и запрос на удаление. Если стало известно, что несовершеннолетний предоставил Компании персональные данные в нарушение настоящей Политики, свяжитесь с [email protected], и Компания без промедления уничтожит соответствующую информацию.
Статья 12 (Ответственное лицо по защите персональных данных)
В соответствии со статьей 31 Закона о защите персональных данных ответственное лицо Компании по защите персональных данных(CPO) назначено и раскрывается следующим образом:
- Имя: Чу Гё Хан
- Должность: генеральный директор
- Принадлежность: TSBT Company Co.,Ltd.
- Электронная почта: [email protected]
- Почтовый адрес: Республика Корея, Сеул, район Мапо-гу, World Cup-ro 196, помещение B105-E280 (Сонсан-дон, Daemyung Vichen City Officetel)
Пользователь может обращаться к ответственному лицу по защите персональных данных по всем вопросам, связанным с защитой персональных данных, обработкой жалоб, возмещением ущерба и т. п., возникающим при использовании сервисов Компании. Компания будет отвечать на обращения пользователя и обрабатывать их без промедления.
Статья 13 (Изменения настоящей Политики)
Компания может время от времени изменять настоящую Политику. При наличии существенных изменений:
- Компания размещает измененную Политику на Сайте и обновляет дату «Последнего изменения»
- Компания направляет предварительное уведомление на зарегистрированную электронную почту не менее чем за 7 дней
- Продолжение использования Сервиса после даты вступления в силу считается согласием с измененной Политикой
Статья 14 (Способы защиты прав и интересов при их нарушении)
Если требуется подать сообщение или получить консультацию по вопросу нарушения персональных данных, можно обратиться в следующие органы:
- Центр сообщений о нарушениях персональных данных (Корейское агентство интернет-безопасности): 118 / privacy.kisa.or.kr
- Комитет по урегулированию споров о персональных данных: 1833-6972 / kopico.go.kr
- Отдел киберрасследований Верховной прокуратуры: 1301 / spo.go.kr
- Бюро киберрасследований Национального полицейского агентства: 182 / ecrm.cyber.go.kr
- Комиссия по защите персональных данных (PIPC): pipc.go.kr
Зарубежные пользователи могут подать жалобу в надзорный орган по защите данных страны проживания (EEA: собственный DPA, UAE: UAE Data Office, Саудовская Аравия: SDAIA).
Статья 15 (Приоритет языка)
Настоящая Политика составлена на корейском языке как аутентичный текст, а версии, переведенные на английский и другие языки, предоставляются для удобства участника. В случае расхождений в толковании между аутентичным текстом и переводом преимущественную силу имеет аутентичный текст на корейском языке. Однако это не применяется в пределах, в которых законодательство юрисдикции проживания участника требует указания на национальном языке в качестве императивной нормы.
Статья 16 (Контактная информация)
Электронная почта: [email protected]
*Настоящая Политика обработки персональных данных вступает в силу с 2026-05-29.*
