Перейти к содержимому

Политика конфиденциальности

Версия 2.0 · Действует с 2026-04-20

1. Об этом документе

Настоящая Политика конфиденциальности описывает, как ООО «Блоб Солюшнс» (ИНН 02906081, зарегистрировано в Республике Армения — далее «мы», «нас», «Компания») обращается с персональными данными в связи с сервисом виртуальной кассы VCR.AM («Сервис»).

Мы выступаем контролёром данных в отношении персональных данных, описанных ниже. Для любых вопросов о конфиденциальности пишите на support@vcr.am.

Эта Политика применяется совместно с Публичной офертой и Политикой кук.

2. Какие данные мы собираем

2.1. Данные аккаунта

  • Адрес электронной почты (обязательно — используется как логин)
  • Отображаемое имя (необязательно)
  • Изображение профиля (необязательно, загружаете вы или передаётся внешним провайдером входа)
  • Роль и статус аккаунта

2.2. Данные юридического лица

Для каждого юридического лица или индивидуального предпринимателя, зарегистрированного в Сервисе:

  • Идентификационный номер налогоплательщика (ИНН)
  • Тип и полное наименование организации
  • Юридический адрес
  • Статус одобрения от Комитета государственных доходов Республики Армения (КГД)
  • Зашифрованные учётные данные для взаимодействия с системой отчётности КГД от вашего имени

2.3. Данные транзакций

Для каждой продажи, предоплаты или возврата, зарегистрированного через Сервис, мы храним:

  • Тип транзакции, суммы (наличные, безналичные), валюту и временные метки
  • Позиции чека (товары или услуги, количества, цены, налоги)
  • ИНН покупателя (если указан)
  • Email получателя (если указан — для отправки PDF-чека)
  • Статус передачи в КГД

2.4. Данные сессии и аутентификации

  • Токен сессии (хранится непрозрачно, с флагами HTTP-only и Secure)
  • Время истечения сессии
  • Строка user agent устройства, с которого был выполнен вход
  • Временные метки входа и выхода

2.5. Технические и инфраструктурные данные

Наши провайдеры хостинга и мониторинга автоматически записывают стандартные логи запросов: IP-адрес, user agent, путь запроса, код ответа и время. Эти логи используются в операционных целях (безопасность, отладка, защита от злоупотреблений) и не применяются для построения маркетинговых профилей.

2.6. Данные аналитики

При посещении публичных страниц мы собираем агрегированную статистику использования через Vercel Analytics, Vercel Speed Insights и Google Analytics 4 (GA4). Точный список использованных куков и способы отказа — в Политике кук.

3. Зачем и на каком правовом основании мы обрабатываем данные

Закон РА «О защите персональных данных» («ЗЗПД РА») и, если применим к вам, Общий регламент ЕС по защите данных («GDPR») устанавливают, когда обработка персональных данных является правомерной. Армянское право использует более узкий набор оснований, чем GDPR — в основном согласие (в том числе согласие, выраженное в соглашении) или обработка, прямо предусмотренная законом (статьи 8 и 9 ЗЗПД РА). Ниже мы сопоставляем цели обработки с обеими системами.

ЦельОснование по ЗЗПД РАОснование по GDPR
Создание и ведение вашего аккаунта, предоставление Сервиса по Публичной офертеСогласие, выраженное в соглашении (ч. 4(2) ст. 9 ЗЗПД РА)Исполнение договора (п. (b) ч. 1 ст. 6)
Регистрация транзакций в Комитете государственных доходов и хранение фискальных записейОбработка, прямо предусмотренная законом (ч. 5 ст. 9 ЗЗПД РА — Налоговый кодекс РА, Закон о бухгалтерском учёте, Постановление Правительства № 1976 от 03.12.2020)Соблюдение юридической обязанности (п. (c) ч. 1 ст. 6)
Выпуск PDF-чеков и отправка их покупателю на emailСогласие, выраженное в соглашении (ч. 4(2) ст. 9 ЗЗПД РА)Исполнение договора
Обеспечение безопасности Сервиса, выявление и предотвращение злоупотребленийОбработка, предусмотренная законом / согласие в соглашенииЗаконные интересы (п. (f) ч. 1 ст. 6)
Продуктовая аналитика и улучшение Сервиса (включая куки, где это необходимо)Ваше согласие (ст. 9 ЗЗПД РА) — можно отозвать в любой моментСогласие (п. (a) ч. 1 ст. 6)
Ответы на обращения в поддержкуСогласие, выраженное в соглашенииИсполнение договора / законные интересы

Примечание о терминологии: ЗЗПД РА называет лицо, определяющее цели и средства обработки, «обработчиком персональных данных» (ч. 5 ст. 3), а для того, что GDPR называет «процессором», использует термин «уполномоченное лицо». В настоящей Политике мы следуем международной конвенции и называем себя контролёром данных.

Мы не осуществляем автоматизированное принятие решений и профилирование, порождающие правовые последствия для вас (ст. 16 ЗЗПД РА / ст. 22 GDPR).

4. С кем мы делимся данными

Мы не продаём и не сдаём в аренду ваши персональные данные. Мы передаём данные только в следующих случаях.

4.1. Комитет государственных доходов Республики Армения

Все транзакции, регистрируемые через Сервис, передаются в КГД в соответствии с Постановлением Правительства № 1976 от 03.12.2020. Эта передача обязательна и является основной функцией Сервиса.

4.2. Субпроцессоры (поставщики услуг, действующие по нашим указаниям)

  • Vercel Inc. (США) — хостинг приложения, edge-сеть, Vercel Analytics, Vercel Speed Insights.
  • Neon Database Inc. (Европейский Союз — регион Франкфурт) — управляемая база данных PostgreSQL.
  • Amazon Web Services, Inc. (США) — доставка исходящей почты (SES) и хранение документов (S3).
  • Fly.io, Inc. (США / региональные точки) — SRC-шлюз и сервисы выпуска сертификатов.
  • Google LLC (США) — Google Analytics 4 (псевдонимная аналитика использования), Google Cloud Translation (по запросу, для опциональных функций перевода).
  • Sentry (США) — мониторинг ошибок и производительности приложения.

Актуальный список с категориями обрабатываемых данных и регионами опубликован по адресу /legal/sub-processors.

4.3. Правоохранительные и государственные органы

Мы можем раскрывать данные правоохранительным и государственным органам Республики Армения, когда это требуется применимым законом, либо для защиты наших законных прав. Мы оцениваем каждый такой запрос на правомерность и минимизируем объём передаваемой информации.

4.4. В случае корпоративных событий

При слиянии, поглощении, реорганизации или продаже активов Компании ваши данные могут быть переданы правопреемнику при условии сохранения эквивалентных обязательств по конфиденциальности. Мы уведомим вас до вступления такой передачи в силу.

5. Международные передачи

Некоторые наши субпроцессоры находятся за пределами Республики Армения и Европейской экономической зоны. При передаче персональных данных за пределы РА или ЕЭЗ мы используем одну или несколько из следующих гарантий, в зависимости от места назначения:

  • Страна получателя признана обеспечивающей адекватный уровень защиты.
  • Провайдер подписал Стандартные договорные положения (SCCs) или эквивалентные соглашения о защите данных.
  • Технические меры (шифрование в канале и при хранении, псевдонимизация), снижающие последствия передачи.

Если вам нужна копия конкретных гарантий для отдельной передачи — напишите на support@vcr.am.

6. Сколько мы храним ваши данные

КатегорияСрок хранения
Данные аккаунтаПока аккаунт активен. Удаляются или обезличиваются в течение 30 дней после закрытия аккаунта, за исключением случаев, когда хранение требуется законом.
Данные транзакций (фискальные записи)Не менее 5 лет с конца соответствующего налогового периода, как требуют Налоговый кодекс РА и Закон о бухгалтерском учёте.
Учётные данные КГД (зашифрованы)Пока связанное юр. лицо активно в Сервисе. Удаляются при удалении юр. лица.
Данные сессии и аутентификацииДо истечения сессии или выхода из системы. Логи событий аутентификации: до 12 месяцев для целей аудита безопасности.
Инфраструктурные логиСкользящее окно 30–90 дней на стороне провайдера.
Переписка с поддержкойДо 3 лет с даты последнего сообщения, для разрешения споров.
Резервные копииЗашифрованные резервные копии хранятся до 35 дней, затем перезаписываются. Данные, удалённые из живой системы, удаляются из резервных копий при следующей ротации.

7. Меры безопасности

Мы применяем многоуровневый набор технических и организационных мер, включая:

  • TLS 1.2+ для всех данных в канале.
  • Шифрование при хранении для основной базы данных и хранящихся учётных данных КГД (шифрование на основе AES с уникальными ключами на каждое юр. лицо) — в соответствии со статьёй 19(2) ЗЗПД РА.
  • HTTP-only и Secure куки для токенов сессий; строгая настройка SameSite.
  • Ролевой контроль доступа внутри Сервиса; изоляция данных по юр. лицам.
  • Принцип минимальных привилегий для внутреннего административного доступа; многофакторная аутентификация на всех административных аккаунтах.
  • Непрерывный мониторинг ошибок и аномалий; регулярные аудиты безопасности зависимостей.
  • Процедуры реагирования на инциденты. В случае утечки персональных данных мы уведомим затронутых пользователей, Агентство по защите персональных данных и Полицию Республики Армения, как требует ч. 4 ст. 21 ЗЗПД РА (незамедлительно после обнаружения), а также — если применим GDPR — компетентный надзорный орган ЕС в течение 72 часов (ст. 33 GDPR).

Ни одна система не является абсолютно защищённой. Мы обязуемся действовать прозрачно и быстро при существенных инцидентах с вашими данными.

8. Ваши права

По Закону РА «О защите персональных данных» и, если применим, GDPR ЕС, у вас есть следующие права:

  • Получение информации и доступ — подтверждение факта обработки ваших данных, описание того, что мы храним, целей, получателей и сроков (ст. 15 ЗЗПД РА / ст. 15 GDPR).
  • Исправление — исправление неточных или неполных данных (ч. 2 ст. 15 ЗЗПД РА / ст. 16 GDPR).
  • Блокирование и уничтожение (удаление) — блокирование или уничтожение данных, которые неточны, устарели, получены незаконно или больше не нужны (ч. 2 ст. 15 ЗЗПД РА / ст. 17 GDPR), с учётом обязательных сроков хранения (в первую очередь фискальных записей).
  • Отзыв согласия — если обработка основана на согласии, в том числе на согласии, выраженном в соглашении, вы можете его отозвать (ч. 3 ст. 9 ЗЗПД РА / ч. 3 ст. 7 GDPR). Обработка до момента отзыва остаётся законной; отдельные функции Сервиса после отзыва могут стать недоступными.
  • Возражение против автоматических решений — возражать против решений, порождающих правовые последствия и основанных исключительно на автоматической обработке (ст. 16 ЗЗПД РА / ст. 22 GDPR).
  • Переносимость — получить ваши данные в распространённом машиночитаемом формате (ст. 20 GDPR, где применима).
  • Обжалование — обжаловать наши действия или бездействие в Агентстве по защите персональных данных или в судебном порядке (ст. 17 ЗЗПД РА).
  • Жалоба — подать жалобу в надзорный орган:
    • Агентство по защите персональных данных Министерства юстиции Республики Арменияpdpa.am · Ереван 0051, пр. Комитаса, 54б · +374 10 594 194.
    • Ваш локальный надзорный орган ЕС (если вы в ЕЭЗ).

Как воспользоваться правами

Напишите на support@vcr.am с адреса, привязанного к вашему аккаунту, с темой «Privacy request». Для письменных запросов, заверенных собственноручной или электронной цифровой подписью:

  • Ответ на запросы о доступе, исправлении, блокировании: в течение 5 рабочих дней с даты получения — ч. 1 ст. 20 ЗЗПД РА.
  • Подтверждение уничтожения: в течение 3 рабочих дней с даты уничтожения — ч. 2 ст. 20 ЗЗПД РА.
  • Для запросов, подпадающих только под GDPR: в течение 30 календарных дней с возможностью однократного продления ещё на 60 дней для сложных запросов.

Мы отвечаем бесплатно. Мы можем отказать или взять разумную административную плату за запросы, которые явно необоснованы или чрезмерны (например, повторяющиеся запросы тех же данных).

9. Дети

Сервис предназначен для бизнесов и индивидуальных предпринимателей. Он не ориентирован на лиц младше 18 лет, и мы сознательно не собираем данные детей. Если вы считаете, что мы собрали данные ребёнка — напишите на support@vcr.am, и мы их удалим.

10. Отчёт о прозрачности

Мы публикуем краткий отчёт о государственных запросах на раскрытие данных и о том, как мы их обработали.

  • С момента запуска Сервиса и по 2026-04-20: получено 0 государственных запросов, затронуто 0 аккаунтов, раскрыто 0 записей.

Мы обновим эту секцию, если что-то изменится, и будем архивировать предыдущие периоды по адресу /legal/transparency.

11. Изменения в Политике

Мы можем обновлять эту Политику в связи с изменениями в Сервисе, наших практиках или в законодательстве. Текущая версия и дата её вступления в силу указаны в начале страницы.

  • Существенные изменения (например, новые категории данных, новые субпроцессоры, сокращение прав пользователя) будут объявлены по email владельцам аккаунтов не менее чем за 14 дней до вступления в силу.
  • Несущественные изменения (уточнения, опечатки, структурное переформатирование) отражаются обновлением даты «Последняя проверка».

Изменения в этой версии

  • v2.0 — 2026-04-20
    • Переписаны категории собираемых данных, чтобы соответствовать фактической работе Сервиса (аккаунт, юр. лицо, транзакции, сессии, инфраструктура, аналитика).
    • Добавлены правовые основания с привязкой к конкретным статьям Закона РА «О защите персональных данных» (ч. 4(2) ст. 9, ч. 5 ст. 9) и GDPR (ст. 6).
    • Названы субпроцессоры (Vercel, Neon, AWS, Fly.io, Google, Sentry) и их регионы; добавлена отдельная страница субпроцессоров.
    • Добавлены сроки хранения, в том числе 5-летний срок для фискальных записей по Налоговому кодексу РА.
    • Добавлены гарантии международной передачи и раздел отчёта о прозрачности.
    • Задокументирована процедура уведомления об утечках: незамедлительно в АЗПД и Полицию РА (ч. 4 ст. 21 ЗЗПД РА), и в течение 72 часов в компетентный надзорный орган ЕС, где применим GDPR (ст. 33 GDPR).
    • Описания next-auth куков заменены на текущую собственную cookie сессии (перенесено в Политику кук).
    • Скорректированы сроки ответа на запросы пользователей: 5 рабочих дней по ч. 1 ст. 20 ЗЗПД РА; 30 календарных дней по GDPR.
    • Удалены утверждения о данных, которые мы фактически не собираем (телефон; раздельные поля «имя» и «фамилия»).

12. Контакты

ООО «Блоб Солюшнс» ИНН: 02906081 Юрисдикция: Республика Армения Email: support@vcr.am

По вопросам конфиденциальности пишите на support@vcr.am с темой «Privacy request».