Політика конфіденційності

Оператором персональних даних є GEARHOLM (надалі — «Компанія», «ми», «нас»), інтернет-магазин спорядження для активного відпочинку та туризму, що функціонує за адресою gearholm.ua.

Ми збираємо та обробляємо персональні дані виключно у межах, передбачених законодавством, і лише для цілей, зазначених у цій Політиці. Правовою підставою для обробки є: виконання договору (Art. 6(1)(b) GDPR), законний інтерес (Art. 6(1)(f) GDPR) та ваша згода (Art. 6(1)(a) GDPR) — залежно від конкретної мети обробки.

Ця Політика поширюється на всіх відвідувачів сайту, зареєстрованих користувачів та покупців незалежно від способу доступу — через браузер, мобільний застосунок або API.

Залежно від вашої взаємодії з нами ми можемо збирати такі категорії даних:

• Ідентифікаційні дані: ім'я, прізвище, адреса електронної пошти, номер телефону — надаються вами під час реєстрації або оформлення замовлення.
• Адреса доставки: вулиця, місто, поштовий індекс, область, країна — необхідні для доставки товарів.
• Платіжні дані: ми не зберігаємо повні реквізити платіжних карток. Транзакції обробляються через захищений шлюз WayForPay; ми отримуємо лише підтвердження оплати та маскований номер картки (останні 4 цифри).
• Дані про поведінку на сайті: переглянуті сторінки, час перебування, кліки, додавання товарів до кошика — збираються автоматично через cookies та аналітику.
• Технічні дані: IP-адреса, тип браузера та операційної системи, мовні налаштування, реферальні URL — необхідні для коректної роботи сервісу та безпеки.
• Маркетингові уподобання: ваша згода або відмова від розсилок, обрані категорії товарів — лише якщо ви надали явну згоду.

Ми не збираємо спеціальні категорії персональних даних (здоров'я, расове походження, біометрія тощо) та не обробляємо дані осіб, молодших 16 років, без батьківської згоди.

Ваші дані обробляються виключно для таких цілей:

• Обробка замовлень: прийом, підтвердження, виконання та відстеження замовлень; виставлення рахунків та обмін фіскальними документами.
• Доставка товарів: передача необхідних даних службам доставки (Нова Пошта, Укрпошта) для оформлення відправлень.
• Підтримка клієнтів: відповіді на запити, обробка повернень і обмінів, вирішення суперечок.
• Покращення сервісу: аналіз поведінки користувачів для оптимізації асортименту, зручності навігації та продуктивності сайту.
• Маркетинг (лише за згодою): надсилання персоналізованих пропозицій, новин та акцій електронною поштою або SMS. Ви можете відкликати згоду в будь-який момент через посилання «Відписатися» в кожному листі або в налаштуваннях акаунту.
• Виконання юридичних зобов'язань: ведення бухгалтерського та податкового обліку відповідно до законодавства України.

Ми не продаємо ваші персональні дані. Передача третім особам здійснюється виключно в рамках необхідного мінімуму та лише наступним категоріям отримувачів:

• Платіжний шлюз WayForPay — для безпечної обробки карткових транзакцій. WayForPay сертифікований за стандартом PCI DSS.
• Нова Пошта та Укрпошта — для оформлення відправлень та інформування вас про статус доставки. Ми передаємо ПІБ, адресу та номер телефону отримувача.
• Хостинг та інфраструктура (Neon, Cloudflare) — дані зберігаються на захищених серверах із шифруванням. Neon (база даних) та Cloudflare (CDN, захист від DDoS) діють як обробники даних на підставі угод про обробку (DPA) відповідно до GDPR.
• Аналітичні сервіси — агрегована та знеособлена статистика може передаватися сервісам веб-аналітики для оцінки ефективності сайту.
• Державні органи — виключно на підставі законної вимоги згідно з чинним законодавством України.

Усі треті особи зобов'язані зберігати конфіденційність ваших даних і не мають права використовувати їх для власних цілей.

Ми зберігаємо ваші дані лише стільки, скільки це необхідно для досягнення зазначених цілей або вимагається законодавством:

• Дані замовлень (клієнтська база): 3 роки з дати останнього замовлення або до моменту видалення акаунту за вашим запитом.
• Бухгалтерська та податкова документація: 5 років відповідно до ст. 44 Податкового кодексу України.
• Маркетингові дані (електронна пошта, SMS): до моменту відкликання згоди. Після відписки ваш email зберігається у списку «відмов» (suppression list), щоб уникнути повторних небажаних розсилок.
• Технічні логи та cookies: від 30 хвилин (сесійні cookies) до 24 місяців (аналітичні cookies).
• Дані служби підтримки: 2 роки після закриття звернення.

Після закінчення терміну зберігання дані надійно видаляються або знеособлюються.

Відповідно до GDPR (статті 15–21) та українського законодавства ви маєте такі права щодо ваших персональних даних:

• Право на доступ (Art. 15): отримати копію всіх персональних даних, які ми обробляємо.
• Право на виправлення (Art. 16): вимагати виправлення неточних або неповних даних.
• Право на видалення (Art. 17): «право бути забутим» — вимагати видалення ваших даних, якщо відсутні законні підстави для їх подальшої обробки.
• Право на обмеження обробки (Art. 18): тимчасово заблокувати обробку ваших даних, поки розглядається суперечка.
• Право на перенесення даних (Art. 20): отримати ваші дані у структурованому, машинозчитуваному форматі (JSON/CSV) або передати їх іншому оператору.
• Право на заперечення (Art. 21): відмовитися від обробки на підставі законного інтересу або для цілей прямого маркетингу.
• Право відкликати згоду: у будь-який момент без пояснення причин — відкликання не впливає на правомірність обробки до відкликання.

Для реалізації прав надішліть запит на privacy@gearholm.ua. Ми розглядаємо запити протягом 30 календарних днів. У разі невиконання ваших прав ви можете подати скаргу до Уповноваженого Верховної Ради України з прав людини або наглядового органу ЄС за місцем проживання.

Ми використовуємо файли cookies — невеликі текстові файли, що зберігаються у вашому браузері. Залежно від призначення cookies поділяються на:

• Обов'язкові (сесійні) cookies: необхідні для коректної роботи сайту — авторизація, кошик покупок, мовні налаштування. Зберігаються до закриття браузера або протягом сесії. Не потребують вашої згоди.
• Функціональні cookies: запам'ятовують ваші уподобання (обрана валюта, регіон доставки, тема оформлення). Зберігаються до 12 місяців.
• Аналітичні cookies: збирають агреговану статистику відвідуваності (кількість сесій, джерела трафіку, популярні сторінки) без ідентифікації особи. Зберігаються до 24 місяців. Потребують вашої згоди.

Управління cookies: при першому відвідуванні сайту ви можете прийняти або відхилити необов'язкові cookies через панель cookie-banner. Налаштування можна змінити в будь-який час у розділі «Налаштування cookies» в нижньому колонтитулі сайту. Також ви можете керувати cookies безпосередньо в налаштуваннях вашого браузера — це може вплинути на функціональність окремих розділів сайту.

Захист ваших персональних даних є нашим пріоритетом. Ми вживаємо комплекс технічних та організаційних заходів відповідно до принципу «захист за замовчуванням» (privacy by default):

• Шифрування передачі даних: усі з'єднання між браузером та сервером захищені протоколом HTTPS/TLS 1.3. Дані платіжних карток передаються виключно через зашифровані канали.
• Шифрування даних у базі: чутливі поля (паролі, токени) зберігаються у хешованому вигляді (bcrypt). База даних Neon підтримує шифрування at-rest.
• Контроль доступу: доступ до персональних даних мають лише уповноважені співробітники відповідно до принципу мінімальних привілеїв (least privilege). Всі дії логуються.
• Захист від атак: Cloudflare забезпечує захист від DDoS-атак, брутфорсу та SQL-ін'єкцій. Регулярно проводиться сканування вразливостей.
• Резервне копіювання: автоматичні щоденні резервні копії зберігаються в зашифрованому вигляді з можливістю відновлення протягом 7 днів.

У разі виявлення витоку даних, що становить ризик для ваших прав, ми зобов'язуємося повідомити вас та відповідні наглядові органи протягом 72 годин відповідно до Art. 33–34 GDPR.

З усіх питань щодо обробки та захисту персональних даних ви можете звертатися до нашого відповідального за захист даних (Data Protection Officer):

• Електронна пошта: privacy@gearholm.ua
• Форма зворотного зв'язку: Сторінка «Контакти»

Ми розглядаємо всі запити щодо персональних даних протягом 30 календарних днів з дати отримання. За складних або великих за обсягом запитів цей термін може бути продовжений ще на 60 днів із попереднім повідомленням.

Ця Політика конфіденційності може оновлюватися у зв'язку зі змінами в законодавстві або нашій діяльності. Про суттєві зміни ми повідомлятимемо вас електронною поштою або через помітне повідомлення на сайті не менш ніж за 14 днів до набрання ними чинності.