Գաղտնիության քաղաքականություն

Տարբերակ 2.0 · Ուժի մեջ է 2026-04-20

1. Այս փաստաթղթի մասին

Սույն Գաղտնիության քաղաքականությունը նկարագրում է, թե ինչպես է «Բլոբ Սոլուշնս» ՍՊԸ-ն (ՀՎՀՀ 02906081, գրանցված է Հայաստանի Հանրապետությունում — այսուհետ՝ «մենք», «Ընկերություն») վարվում անձնական տվյալների հետ՝ VCR.AM վիրտուալ դրամարկղային ծառայության («Ծառայություն») շրջանակներում։

Մենք հանդես ենք գալիս որպես ստորև նկարագրված անձնական տվյալների վերահսկող։ Գաղտնիության հետ կապված ցանկացած հարցի համար գրեք՝ support@vcr.am։

Սույն Քաղաքականությունը կիրառվում է Հրապարակային առաջարկի և Քուքիների քաղաքականության հետ միասին։

2. Ինչ տվյալներ ենք հավաքում

2.1. Հաշվի տվյալներ

• Էլեկտրոնային փոստի հասցե (պարտադիր — օգտագործվում է որպես մուտքագրման նույնացուցիչ)
• Ցուցադրվող անուն (ոչ պարտադիր)
• Պրոֆիլի պատկեր (ոչ պարտադիր, կարող եք ինքներդ վերբեռնել կամ վերցվում է արտաքին մուտքի մատակարարից)
• Հաշվի դերը և կարգավիճակը

2.2. Իրավաբանական անձի տվյալներ

Սերվիսում գրանցված յուրաքանչյուր իրավաբանական անձի կամ անհատ ձեռնարկատիրոջ համար՝

• Հարկ վճարողի հաշվառման համարը (ՀՎՀՀ)
• Կազմակերպության տեսակը և իրավաբանական անվանումը
• Գրանցման հասցեն
• Հայաստանի Հանրապետության Պետական եկամուտների կոմիտեի (ՊԵԿ) հաստատման կարգավիճակը
• Ձեր անունից ՊԵԿ հաշվետվությունների համակարգի հետ փոխազդեցության համար օգտագործվող գաղտնագրված մուտքի տվյալներ

2.3. Գործարքի տվյալներ

Ծառայության միջոցով գրանցված յուրաքանչյուր վաճառքի, կանխավճարի կամ վերադարձի համար մենք պահպանում ենք՝

• Գործարքի տեսակը, գումարները (կանխիկ, անկանխիկ), արժույթը և ժամանակային դրոշմները
• Կտրոնի դիրքերը (ապրանքներ կամ ծառայություններ, քանակներ, գներ, հարկեր)
• Գնորդի ՀՎՀՀ (եթե նշված է)
• Ստացողի էլ. փոստը (եթե նշված է — PDF կտրոն ուղարկելու համար)
• ՊԵԿ հանձնման կարգավիճակը

2.4. Սեսիայի և նույնականացման տվյալներ

• Սեսիայի նույնացուցիչ (պահպանվում է անթափանց ձևով, HTTP-only և Secure դրոշների հետ)
• Սեսիայի ավարտի ժամանակը
• Մուտք գործած սարքի user agent տողը
• Մուտքի և ելքի ժամանակային դրոշմներ

2.5. Տեխնիկական և ենթակառուցվածքային տվյալներ

Մեր հոսթինգ և մոնիթորինգի մատակարարները ավտոմատ գրանցում են ստանդարտ հարցման մատյաններ՝ IP հասցե, user agent, հարցման ուղի, պատասխանի կոդ և ժամանակ։ Այս մատյանները օգտագործվում են գործառնական նպատակներով (անվտանգություն, սխալազերծում, չարաշահման կանխարգելում) և չեն կիրառվում մարկետինգային պրոֆիլներ ստեղծելու համար։

2.6. Վերլուծական տվյալներ

Մեր հրապարակային էջերը այցելելիս մենք հավաքում ենք ագրեգացված օգտագործման վիճակագրություն Vercel Analytics, Vercel Speed Insights և Google Analytics 4 (GA4) միջոցով։ Օգտագործվող քուքիների ճշգրիտ ցանկը և մերժման եղանակները նկարագրված են Քուքիների քաղաքականությունում։

3. Ինչու և ինչ իրավական հիմքով ենք մշակում տվյալները

ՀՀ «Անձնական տվյալների պաշտպանության մասին» օրենքը («ՀՀ ԱՏՊՕ») և, եթե ձեզ վրա տարածվում է, ԵՄ Անձնական տվյալների պաշտպանության ընդհանուր կանոնակարգը («GDPR») սահմանում են, երբ անձնական տվյալների մշակումը օրինական է։ Հայկական օրենսդրությունն օգտագործում է ավելի նեղ հիմքերի շարք, քան GDPR-ը — հիմնականում համաձայնությունը (ներառյալ պայմանագրով արտահայտված համաձայնությունը) կամ օրենքով ուղղակիորեն նախատեսված մշակումը (ՀՀ ԱՏՊՕ-ի 8-րդ և 9-րդ հոդվածներ)։ Ստորև մենք համապատասխանեցնում ենք մշակման նպատակները երկու համակարգերի հետ։

Նշում տերմինաբանության վերաբերյալ․ ՀՀ ԱՏՊՕ-ն մշակման նպատակներն ու միջոցները որոշող անձին անվանում է «անձնական տվյալների մշակող» (3-րդ հոդվածի 5-րդ մաս), իսկ GDPR-ի «պրոցեսորի» համար օգտագործում է «լիազորված անձ» տերմինը։ Սույն Քաղաքականությունում մենք հետևում ենք միջազգային կոնվենցիային և մեզ անվանում ենք տվյալների վերահսկող։

Մենք չենք իրականացնում ավտոմատացված որոշումների ընդունում կամ պրոֆիլավորում, որը իրավական հետևանքներ է ստեղծում ձեզ համար (16-րդ հոդված, ՀՀ ԱՏՊՕ / 22-րդ հոդված, GDPR)։

4. Ում հետ ենք կիսում տվյալները

Մենք չենք վաճառում կամ վարձակալության չենք տալիս ձեր անձնական տվյալները։ Մենք տվյալներ հաղորդում ենք միայն ստորև նշված դեպքերում։

4.1. Հայաստանի Հանրապետության Պետական եկամուտների կոմիտե

Ծառայության միջոցով գրանցված բոլոր գործարքները փոխանցվում են ՊԵԿ-ին՝ Կառավարության N1976 որոշմամբ (03.12.2020թ.) սահմանված կարգով։ Այս փոխանցումը պարտադիր է և Ծառայության հիմնական նպատակն է։

4.2. Ենթամշակողներ (մեր հանձնարարությամբ գործող ծառայության մատակարարներ)

• Vercel Inc. (ԱՄՆ) — հավելվածի հոսթինգ, edge ցանց, Vercel Analytics, Vercel Speed Insights։
• Neon Database Inc. (Եվրոպական Միություն — Ֆրանկֆուրտի տարածաշրջան) — կառավարվող PostgreSQL տվյալների բազա։
• Amazon Web Services, Inc. (ԱՄՆ) — ելքային էլ. փոստի առաքում (SES) և փաստաթղթերի պահպանում (S3)։
• Fly.io, Inc. (ԱՄՆ / տարածաշրջանային կետեր) — ՊԵԿ դարպաս և վկայականների թողարկման ծառայություններ։
• Google LLC (ԱՄՆ) — Google Analytics 4 (կեղծանվամբ օգտագործման վերլուծություն), Google Cloud Translation (ըստ պահանջի, ոչ պարտադիր թարգմանության գործառույթների համար)։
• Sentry (ԱՄՆ) — հավելվածի սխալների և արտադրողականության մոնիթորինգ։

Թարմացված ցանկը՝ մշակվող տվյալների կատեգորիաներով և տարածաշրջաններով, հրապարակված է /legal/sub-processors հասցեում։

4.3. Իրավապահ և պետական մարմիններ

Մենք կարող ենք տվյալներ հաղորդել Հայաստանի Հանրապետության իրավապահ և պետական մարմիններին, երբ դա պահանջվում է կիրառելի օրենսդրությամբ, կամ մեր օրինական իրավունքները պաշտպանելու համար։ Յուրաքանչյուր այդպիսի հարցում մենք ստուգում ենք օրինականության տեսանկյունից և նվազագույնի ենք հասցնում հանձնվող տվյալների ծավալը։

4.4. Կորպորատիվ իրադարձությունների դեպքում

Ընկերության միաձուլման, ձեռքբերման, վերակազմավորման կամ ակտիվների վաճառքի դեպքում ձեր տվյալները կարող են փոխանցվել իրավահաջորդին՝ համարժեք գաղտնիության պարտավորությունների պայմաններով։ Մենք ձեզ կտեղեկացնենք այդպիսի փոխանցումից առաջ։

5. Միջազգային փոխանցումներ

Մեր որոշ ենթամշակողներ գտնվում են Հայաստանի Հանրապետությունից և Եվրոպական տնտեսական տարածքից (ԵՏՏ) դուրս։ Երբ անձնական տվյալները փոխանցվում են ՀՀ-ից կամ ԵՏՏ-ից դուրս, մենք հիմնվում ենք հետևյալ երաշխիքներից մեկի կամ մի քանիսի վրա՝ կախված նպատակակետից՝

• Նպատակակետ երկիրը ճանաչված է որպես պաշտպանության համարժեք մակարդակ ապահովող։
• Մատակարարը կնքում է Ստանդարտ պայմանագրային դրույթներ (SCCs) կամ համարժեք տվյալների պաշտպանության պայմանագրեր։
• Տեխնիկական միջոցներ (կոդավորում փոխանցման ընթացքում և պահպանման ժամանակ, կեղծանվանում), որոնք նվազեցնում են փոխանցման ազդեցությունը։

Եթե ձեզ անհրաժեշտ է կոնկրետ փոխանցման երաշխիքների պատճենը, գրեք support@vcr.am։

6. Որքան ժամանակ ենք պահպանում ձեր տվյալները

7. Անվտանգության միջոցներ

Մենք կիրառում ենք տեխնիկական և կազմակերպչական միջոցների բազմաշերտ համակարգ, ներառյալ՝

• TLS 1.2+ բոլոր տվյալների համար փոխանցման ընթացքում։
• Պահպանման ժամանակ կոդավորում հիմնական տվյալների բազայի և պահպանված ՊԵԿ մուտքի տվյալների համար (AES-ի վրա հիմնված կոդավորում՝ առանձին բանալիով ամեն իրավաբանական անձի համար) — համաձայն ՀՀ ԱՏՊՕ 19-րդ հոդվածի 2-րդ մասի։
• HTTP-only և Secure քուքիներ սեսիայի նույնացուցիչների համար, խիստ SameSite կարգավորում։
• Դերերի վրա հիմնված մուտքի վերահսկողություն Սերվիսի ներսում, իրավաբանական անձանց միջև տվյալների մեկուսացում։
• Նվազագույն արտոնությունների սկզբունք ներքին ադմինիստրատիվ մուտքի համար, բազմագործոն նույնականացում բոլոր ադմինիստրատիվ հաշիվներում։
• Սխալների և անոմալիաների շարունակական մոնիթորինգ, կախվածությունների անվտանգության պարբերական աուդիտներ։
• Անվտանգության միջադեպերին արձագանքելու ընթացակարգեր։ Անձնական տվյալների արտահոսքի դեպքում մենք կտեղեկացնենք տուժած օգտատերերին, Անձնական տվյալների պաշտպանության գործակալությանը և Հայաստանի Հանրապետության Ոստիկանությանը ՝ ՀՀ ԱՏՊՕ 21-րդ հոդվածի 4-րդ մասի պահանջով (հայտնաբերելուն պես անմիջապես), իսկ GDPR-ի կիրառության դեպքում — իրավասու ԵՄ հսկիչ մարմնին 72 ժամվա ընթացքում (GDPR 33-րդ հոդված)։

Ոչ մի համակարգ բացարձակ ապահով չէ։ Մենք պարտավորվում ենք գործել թափանցիկ և արագ, երբ միջադեպը էականորեն ազդում է ձեր տվյալների վրա։

8. Ձեր իրավունքները

ՀՀ «Անձնական տվյալների պաշտպանության մասին» օրենքով և, եթե կիրառելի է ձեզ, ԵՄ GDPR-ով ձեզ պատկանում են հետևյալ իրավունքները՝

• Տեղեկության ստացում և մուտք — հաստատում, որ մենք մշակում ենք ձեր անձնական տվյալները, մեր պահվող տվյալների, նպատակների, ստացողների և ժամկետների նկարագրություն (15-րդ հոդված, ՀՀ ԱՏՊՕ / 15-րդ հոդված, GDPR)։
• Ուղղում — անճշգրիտ կամ ոչ լրիվ տվյալների ուղղում (15-րդ հոդվածի 2-րդ մաս, ՀՀ ԱՏՊՕ / 16-րդ հոդված, GDPR)։
• Արգելափակում և ոչնչացում (ջնջում) — անճշգրիտ, հնացած, ոչ օրինական ձեռք բերված կամ այլևս անհրաժեշտ չէ եղող տվյալների արգելափակում կամ ոչնչացում (15-րդ հոդվածի 2-րդ մաս, ՀՀ ԱՏՊՕ / 17-րդ հոդված, GDPR), օրինական պահպանման պահանջների պահպանմամբ (առաջին հերթին ֆիսկալ գրառումներ)։
• Համաձայնության հետկանչ — եթե մշակումը հիմնված է համաձայնության վրա, ներառյալ պայմանագրով արտահայտված համաձայնության, դուք կարող եք այն հետ վերցնել (9-րդ հոդվածի 3-րդ մաս, ՀՀ ԱՏՊՕ / 7-րդ հոդվածի 3-րդ մաս, GDPR)։ Հետկանչելուց առաջ կատարված մշակումը մնում է օրինական, հետկանչելուց հետո որոշ ծառայություններ կարող են դառնալ անհասանելի։
• Առարկություն ավտոմատ որոշումների դեմ — առարկել ձեզ վրա իրավական հետևանքներ ունեցող որոշումներին, որոնք հիմնված են բացառապես ավտոմատ մշակման վրա (16-րդ հոդված, ՀՀ ԱՏՊՕ / 22-րդ հոդված, GDPR)։
• Տեղափոխելիություն — ձեր տվյալները ստանալ տարածված մեքենայաընթեռնելի ձևաչափով (20-րդ հոդված, GDPR, որտեղ կիրառելի է)։
• Բողոքարկման իրավունք — բողոքարկել մեր գործողությունները կամ անգործությունը Անձնական տվյալների պաշտպանության գործակալությունում կամ դատական կարգով (17-րդ հոդված, ՀՀ ԱՏՊՕ)։
• Բողոք — ներկայացնել բողոք հսկիչ մարմնին՝
  • Հայաստանի Հանրապետության Արդարադատության նախարարության Անձնական տվյալների պաշտպանության գործակալություն — pdpa.am · Երևան 0051, Կոմիտասի պող. 54բ · +374 10 594 194։
  • Ձեր տեղական ԵՄ տվյալների պաշտպանության մարմնին (եթե դուք ԵՏՏ-ում եք)։

Ինչպես օգտվել ձեր իրավունքներից

Գրեք support@vcr.am ձեր հաշվի հետ կապված հասցեից՝ «Privacy request» թեմայով։ Ձեռագիր կամ էլեկտրոնային թվային ստորագրությամբ վավերացված գրավոր հարցումների համար՝

• Մուտքի, ուղղման, արգելափակման հարցումներին պատասխանը՝ ստացման պահից 5 աշխատանքային օրվա ընթացքում, համաձայն ՀՀ ԱՏՊՕ 20-րդ հոդվածի 1-ին մասի։
• Ոչնչացման հաստատումը՝ ոչնչացման պահից 3 աշխատանքային օրվա ընթացքում, համաձայն ՀՀ ԱՏՊՕ 20-րդ հոդվածի 2-րդ մասի։
• Միայն GDPR-ի կարգավորման տակ գտնվող հարցումների համար՝ 30 օրացուցային օրվա ընթացքում, որը կարող է մեկ անգամ երկարաձգվել ևս 60 օրով բարդ հարցումների դեպքում։

Մենք պատասխանում ենք անվճար։ Մենք կարող ենք մերժել կամ գանձել ողջամիտ վարչական վճար ակնհայտորեն անհիմն կամ չափազանց մեծ հարցումների համար (օրինակ՝ նույն տվյալների կրկնվող հարցումներ)։

9. Երեխաներ

Ծառայությունը նախատեսված է բիզնեսների և անհատ ձեռնարկատերերի համար։ Այն չի ուղղված 18 տարեկանից ցածր անձանց, և մենք գիտակցաբար չենք հավաքում երեխաների տվյալներ։ Եթե կարծում եք, որ մենք հավաքել ենք երեխայի տվյալներ, գրեք support@vcr.am, և մենք դրանք կջնջենք։

10. Թափանցիկության հաշվետվություն

Մենք հրապարակում ենք կարճ հաշվետվություն ստացված պետական տվյալների բացահայտման հարցումների և դրանց մշակման մասին։

• Ծառայության մեկնարկից մինչև 2026-04-20-ը՝ ստացվել է 0 պետական հարցում, ազդել է 0 հաշվի վրա, բացահայտվել է 0 գրառում։

Մենք կթարմացնենք այս բաժինը փոփոխության դեպքում և կարխիվացնենք նախորդ ժամանակաշրջանները /legal/transparency հասցեում։

11. Քաղաքականության փոփոխություններ

Մենք կարող ենք թարմացնել սույն Քաղաքականությունը՝ Ծառայության, մեր պրակտիկայի կամ օրենսդրության փոփոխությունների հետևանքով։ Ընթացիկ տարբերակը և ուժի մեջ մտնելու ամսաթիվը նշված են էջի սկզբում։

• Էական փոփոխությունները (օրինակ՝ տվյալների նոր կատեգորիաներ, նոր ենթամշակողներ, օգտատիրոջ իրավունքների սահմանափակում) կհայտարարվեն հաշվի սեփականատերերին էլ. փոստով՝ ուժի մեջ մտնելուց առնվազն 14 օր առաջ։
• Ոչ էական փոփոխությունները (հստակեցումներ, տպագրական սխալներ, կառուցվածքային վերաձևավորում) արտացոլվում են «Վերջին վերանայում» ամսաթիվը թարմացնելով։

Փոփոխություններ այս տարբերակում

• v2.0 — 2026-04-20
  • Վերաձևավորվեցին հավաքվող տվյալների կատեգորիաները՝ Ծառայության փաստացի աշխատանքին համապատասխանեցնելու համար (հաշիվ, իրավաբանական անձ, գործարքներ, սեսիաներ, ենթակառուցվածք, վերլուծություն)։
  • Ավելացվեցին իրավական հիմքեր՝ կապված ՀՀ «Անձնական տվյալների պաշտպանության մասին» օրենքի կոնկրետ հոդվածների (9-րդ հոդվածի 4(2) մաս, 9-րդ հոդվածի 5-րդ մաս) և GDPR-ի (6-րդ հոդված) հետ։
  • Անվանվեցին ենթամշակողները (Vercel, Neon, AWS, Fly.io, Google, Sentry) և նրանց տարածաշրջանները, ներկայացվեց առանձին ենթամշակողների էջ։
  • Ավելացվեցին պահպանման ժամկետները, ներառյալ ՀՀ Հարկային օրենսգրքով պահանջվող ֆիսկալ գրառումների 5-ամյա պահպանման ժամկետը։
  • Ավելացվեցին միջազգային փոխանցման երաշխիքներ և թափանցիկության հաշվետվության բաժին։
  • Փաստագրվեց խախտման մասին ծանուցման ընթացակարգը՝ անմիջապես ԱՏՊԳ-ին և ՀՀ Ոստիկանությանը (ՀՀ ԱՏՊՕ 21-րդ հոդվածի 4-րդ մաս), իսկ GDPR-ի կիրառության դեպքում — 72 ժամվա ընթացքում իրավասու ԵՄ հսկիչ մարմնին (GDPR 33-րդ հոդված)։
  • next-auth քուքիների նկարագրությունները փոխարինվեցին ներկայիս սեփական սեսիայի քուքիով (տեղափոխվեց Քուքիների քաղաքականություն)։
  • Ճշգրտվեցին օգտատերերի իրավունքների իրացման ժամկետները՝ 5 աշխատանքային օր ՀՀ ԱՏՊՕ 20-րդ հոդվածի 1-ին մասով, 30 օրացուցային օր GDPR-ով։
  • Հեռացվեցին փաստացի չհավաքվող տվյալների մասին հայտարարությունները (հեռախոս, առանձին «անուն» և «ազգանուն» դաշտեր)։

12. Կոնտակտային տվյալներ

«Բլոբ Սոլուշնս» ՍՊԸ ՀՎՀՀ՝ 02906081 Իրավասություն՝ Հայաստանի Հանրապետություն Email՝ support@vcr.am

Գաղտնիության հարցերով գրեք support@vcr.am հասցեով՝ «Privacy request» թեմայով։