კონფიდენციალურობის პოლიტიკა
ბოლო განახლება: 2026 წლის 20 მაისი
1. მონაცემთა დამუშავების კონტროლიორი
cepaos LLC, შეზღუდული პასუხისმგებლობის კომპანია, დაფუძნებული უაიომინგის შტატში, აშშ, არის იმ პერსონალური მონაცემების კონტროლიორი, რომლებიც გროვდება cepaos პლატფორმის მეშვეობით («პლატფორმა»).
- საკონტაქტო ელფოსტა: privacidad@cepaos.com
- მონაცემთა დაცვის ოფიცერი: dpo@cepaos.com
წარმომადგენელი ევროკავშირში (მუხლი 27 GDPR): ევროკავშირის წარმომადგენლის დანიშვნა პერსონალურ მონაცემთა დაცვის ზოგადი რეგლამენტის 27-ე მუხლის შესაბამისად ფორმალიზაციის პროცესშია. საბოლოო საკონტაქტო ინფორმაცია გამოქვეყნდება 14 დღის განმავლობაში. მანამდე, ევროკავშირის მკვიდრებისგან მონაცემთა დაცვის შეკითხვები შეიძლება გაიგზავნოს privacy@cepaos.com.
2. პერსონალური მონაცემები, რომლებსაც ვაგროვებთ
2.1 მომხმარებლის მიერ მოწოდებული მონაცემები
- სრული სახელი და როლი
- ელფოსტის მისამართი
- ტელეფონის ნომერი (არჩევითი)
- ორგანიზაციის სახელი, საგადასახადო საიდენტიფიკაციო ნომერი (CUIT/NIF) და საგადასახადო მისამართი
- ანგარიშსწორების ინფორმაცია და გადახდის მეთოდები (დამუშავება dLocalGo-ს მიერ)
- ანგარიშის პროფილის მონაცემები და პრეფერენციები
2.2 ავტომატურად შეგროვებული მონაცემები
- IP მისამართი და მიახლოებითი გეოლოკაციის მონაცემები
- ბრაუზერის ტიპი და ოპერაციული სისტემა
- მონახულებული გვერდები, გვერდზე გატარებული დრო და ნავიგაციის ნაკადები
- მოწყობილობის იდენტიფიკატორები და ქუქიები (იხილეთ ქუქიების პოლიტიკა)
- წვდომის ჟურნალები და უსაფრთხოების ჟურნალები
2.3 ორგანიზაციის მონაცემები
მომხმარებელს შეუძლია შეიყვანოს ოპერაციული მონაცემები თავისი ორგანიზაციის შესახებ (მარაგები, პარტიები, წარმოების პროცესები, კომერციული მონაცემები). ეს მონაცემები მუშავდება პირობების და გენერალური მომსახურების ხელშეკრულების შესაბამისად. cepaos ამ მონაცემებს კლიენტის კონფიდენციალურ ინფორმაციად განიხილავს.
3. დამუშავების სამართლებრივი საფუძვლები
ჩვენ ვამუშავებთ პერსონალურ მონაცემებს შემდეგ სამართლებრივ საფუძვლებზე:
- სახელშეკრულებო შესრულება: ხელშეკრულებული მომსახურებით უზრუნველყოფა და მომხმარებლის ანგარიშის მართვა.
- თანხმობა: მარკეტინგული კომუნიკაციებისთვის, არაარსებითი ანალიტიკისთვის და არჩევითი ქუქიებისთვის. თანხმობა შეიძლება ნებისმიერ დროს იქნეს გამოთხოვილი.
- კანონიერი ინტერესი: პლატფორმის უსაფრთხოების გასაუმჯობესებლად, თაღლითობის თავიდან ასაცილებლად და აგრეგირებული ანალიტიკის შესაქმნელად.
- სამართლებრივი ვალდებულება: საგადასახადო ვალდებულებების, ბუღალტრული ჩანაწერების და კომპეტენტური ორგანოების მოთხოვნების შესრულებისთვის.
4. დამუშავების მიზნები
- პლატფორმის მომსახურებით უზრუნველყოფა და შენარჩუნება
- ანგარიშის მართვა, ავთენტიფიკაცია და წვდომის კონტროლი
- გადახდების და ანგარიშსწორების დამუშავება dLocalGo-ს მეშვეობით
- ოპერაციული და უსაფრთხოების შეტყობინებების გაგზავნა
- მომხმარებლისთვის ტექნიკური მხარდაჭერის უზრუნველყოფა
- პლატფორმის გაუმჯობესება აგრეგირებული და ანონიმიზებული ანალიტიკის მეშვეობით
- სამართლებრივი და მარეგულირებელი ვალდებულებების შესრულება
- თაღლითობის თავიდან აცილება და პლატფორმის უსაფრთხოების უზრუნველყოფა
- მარკეტინგული კომუნიკაციების გაგზავნა (მხოლოდ თანხმობით)
5. მონაცემების გაზიარება
cepaos არ ყიდის პერსონალურ მონაცემებს. ჩვენ მონაცემებს ვუზიარებთ მხოლოდ:
5.1 ქვედამუშავებლები
| Provider | Function | Location | Legal basis / mechanism |
|---|---|---|---|
| Stripe Inc. | Payment processor (non-LATAM) | United States | EU-U.S. DPF + SCCs + Stripe DPA |
| dLocal Pty Ltd | Payment processor (LATAM) | Uruguay | GDPR adequacy (EU Decision 2012) + DPA |
| Supabase Inc. | Database and authentication | US / EU | SCCs + Supabase DPA |
| Railway Corp. | Application hosting | United States | SCCs + Railway DPA |
| Cloudflare Inc. | CDN and DDoS protection | United States (global network) | EU-U.S. DPF + SCCs + Cloudflare DPA |
| Upstash Inc. | Cache and rate limiting (Redis) | United States | SCCs + Upstash DPA |
| Resend Inc. | Transactional email | United States | SCCs + Resend DPA |
| Sentry / Functional Software | Error monitoring | United States | SCCs + Sentry DPA |
| PostHog Inc. | Product analytics (with consent) | United States / EU | SCCs + PostHog DPA |
Data shared with Stripe (non-LATAM Users): admin email address, organisation name, Stripe Customer ID and Stripe PaymentMethod ID (tokenised). cepaos does not receive or store the card number.
Data shared with dLocal Go (LATAM Users): admin email address, customer identifier, and card token. cepaos does not receive or store the card number.
5.2 ხელისუფლება
ჩვენ შეგვიძლია გავამჟღავნოთ პერსონალური მონაცემები, როცა ამას მოითხოვს სასამართლო ბრძანება, კომპეტენტური ორგანოს მოთხოვნა, ან როცა საჭიროა cepaos-ის, ჩვენი მომხმარებლების ან საზოგადოების უფლებების, საკუთრების ან უსაფრთხოების დასაცავად.
6. საერთაშორისო გადაცემები
პერსონალური მონაცემები შეიძლება გადაცემული იქნას მომხმარებლის იურისდიქციის გარეთ მდებარე ქვეყნებში, მათ შორის აშშ-ში. ჩვენ ვიყენებთ შემდეგ დაცვის ზომებს:
- სტანდარტული სახელშეკრულებო კლაუზულები (SCCs) დამტკიცებული ევროპის კომისიის მიერ
- გადაცემის ზეგავლენის შეფასებები, სადაც გამოსაყენებელია
- მონაცემთა დამუშავების ხელშეკრულებები (DPA) ყველა ქვედამუშავებელთან
- დაშიფვრა ტრანზიტის დროს (TLS 1.3) და მოსვენებით (AES-256)
7. მონაცემების შენარჩუნება
- ანგარიშის მონაცემები: გამოწერის ვადის განმავლობაში პლუს 30 დღე გაუქმების შემდეგ.
- ანგარიშსწორების ჩანაწერები: 10 წელი (სამართლებრივი საგადასახადო ვალდებულება).
- უსაფრთხოების ჟურნალები: 12 თვე.
- ანალიტიკური მონაცემები: 24 თვე აგრეგირებულ და ანონიმიზებულ ფორმაში.
- სამარქაფო ასლები: წაიშლება 90 დღის განმავლობაში თავდაპირველი მონაცემების წაშლის შემდეგ.
8. უსაფრთხოება
ჩვენ ვნერგავთ ტექნიკურ და ორგანიზაციულ ზომებს პერსონალური მონაცემების დასაცავად, მათ შორის:
- დაშიფვრა ტრანზიტის დროს (TLS 1.3) და მოსვენებით (AES-256)
- მულტისტენანტის იზოლაცია Row Level Security (RLS) PostgreSQL-ში
- უსაფრთხო ტოკენზე დაფუძნებული ავთენტიფიკაცია Supabase Auth-ით
- სიხშირის შეზღუდვა და brute force შეტევის დაცვა
- უწყვეტი უსაფრთხოების მონიტორინგი და ავტომატიზირებული შეტყობინებები
- როლებზე დაფუძნებული წვდომის კონტროლი (RBAC)
- პერიოდული უსაფრთხოების აუდიტი
9. მონაცემთა სუბიექტის უფლებები
მოქმედი კანონმდებლობით, მომხმარებელს აქვს შემდეგი უფლებები:
- წვდომა: მოითხოვოს ჩვენს მიერ შენახული პერსონალური მონაცემების ასლი.
- გასწორება: არასწორი ან არასრული მონაცემების გასწორება.
- წაშლა: პერსონალური მონაცემების წაშლის მოთხოვნა.
- გადატანობა: მონაცემების მიღება სტრუქტურირებულ, მანქანათწაკითხვად ფორმატში (CSV, JSON).
- წინააღმდეგობა: კანონიერ ინტერესებზე დაფუძნებული დამუშავების წინააღმდეგობა.
- შეზღუდვა: დამუშავების დროებითი შეზღუდვა გარკვეულ შემთხვევებში.
- თანხმობის გამოთხოვა: თანხმობის ნებისმიერ დროს გამოთხოვა წინანდელი დამუშავების კანონიერებაზე გავლენის გარეშე.
ამ უფლებების განსახორციელებლად, დაგვიკავშირდით privacidad@cepaos.com. ჩვენ ვპასუხობთ ერთი თვის განმავლობაში მოთხოვნის მიღების შემდეგ (GDPR მუხლი 12).
10. იურისდიქციის შესაბამისი შესაბამობა
GDPR ევროკავშირი / ევროპის ეკონომიკური ზონა
ევროკავშირის/ეევზ-ის მომხმარებლებისთვის, cepaos შესაბამისობაში მოქმედებს მონაცემთა დაცვის ზოგად რეგულაციასთან (GDPR). სამართლებრივი საფუძვლები: მუხლი 6(1)(a) თანხმობა, 6(1)(b) სახელშეკრულებო შესრულება, 6(1)(c) სამართლებრივი ვალდებულება, 6(1)(f) კანონიერი ინტერესი. ეევზ-ის გარეთ გადაცემები ხორციელდება სტანდარტული სახელშეკრულებო კლაუზულებით (SCCs). მომხმარებელს აქვს უფლება საჩივარი შეიტანოს საზედამხედველო ორგანოსთან თავის ქვეყანაში.
LGPD ბრაზილია
ბრაზილიის მომხმარებლებისთვის, cepaos შესაბამისობაში მოქმედებს Lei Geral de Protecao de Dados (LGPD). მომხმარებელს შეუძლია განახორციელოს LGPD-ს მუხლი 18-ით გათვალისწინებული უფლებები. თანხმობა საჭიროდ მოითხოვება LGPD-ს მუხლი 7-ის შესაბამისად. საჩივრები შეიძლება წარდგენილი იქნას ANPD-ში (Autoridade Nacional de Protecao de Dados).
კალიფორნია, აშშ
კალიფორნიის მკვიდრებისთვის, cepaos შესაბამისობაში მოქმედებს California Consumer Privacy Act (CCPA) და California Privacy Rights Act (CPRA). cepaos არ ყიდის და არ უზიარებს პერსონალურ მონაცემებს CCPA/CPRA-ს განმარტებით. კალიფორნიის მკვიდრებს აქვთ უფლება იცოდნენ, წაშალონ და უარი თქვან პერსონალური მონაცემების გაყიდვაზე. ამ უფლებების განსახორციელებლად: privacidad@cepaos.com.
POPIA სამხრეთ აფრიკა
სამხრეთ აფრიკის მომხმარებლებისთვის, cepaos შესაბამისობაში მოქმედებს Protection of Personal Information Act (POPIA). ინფორმაციის ოფიცერი შეიძლება დაკავშირებულ იქნას dpo@cepaos.com. საჩივრები შეიძლება წარდგენილი იქნას ინფორმაციის რეგულატორში.
კანონი 25.326 არგენტინა
cepaos შესაბამისობაში მოქმედებს კანონ 25.326-თან პერსონალური მონაცემების დაცვის შესახებ და მის მარეგულირებელ დეკრეტთან 1558/2001. მონაცემების სუბიექტს შეუძლია განახორციელოს წვდომის, გასწორებისა და წაშლის უფლებები, რომლებიც გათვალისწინებულია კანონით მუხლი 14, 16 და 17. Agencia de Acceso a la Informacion Publica (AAIP) არის საზედამხედველო ორგანო. RNBD რეესტრი: რეგისტრაცია მიმდინარეობს AAIP-ში (საქმე N° 291, 29/03/2026).
11. არასრულწლოვნები
პლატფორმა განკუთვნილია მხოლოდ კომერციული ოპერაციებისთვის (B2B) და განზრახ არ აგროვებს მონაცემებს 18 წლამდე ასაკის პირებისგან. თუ გავიგებთ, რომ შევაგროვეთ მონაცემები არასრულწლოვნისგან, დაუყოვნებლივ წავშლით.
12. ამ პოლიტიკის ცვლილებები
cepaos პერიოდულად შეიძლება განაახლოს ეს კონფიდენციალურობის პოლიტიკა. ცვლილებები შეტყობინებული იქნება მინიმუმ 30 დღით ადრე ელფოსტით და/ან პლატფორმაზე შეტყობინებით. ბოლო განახლების თარიღი მითითებულია ამ დოკუმენტის დასაწყისში.
13. კონტაქტი
კონფიდენციალურობისა და მონაცემთა დაცვის კითხვებისთვის:
- კონფიდენციალურობა: privacidad@cepaos.com
- DPO: dpo@cepaos.com
- cepaos LLC — უაიომინგი, აშშ
ეს პირობები შეიძლება პერიოდულად განახლდეს. მოქმედი ვერსია არის cepaos.com-ზე გამოქვეყნებული. სამართლებრივი კითხვებისთვის მიწერეთ legal@cepaos.com-ზე.