Политика конфиденциальности
Защита ваших персональных данных — GDPR
Последнее обновление: январь 2026
VeraTrace SAS (далее «VeraTrace», «мы», «наш») обязуется защищать вашу частную жизнь и персональные данные. Настоящая политика конфиденциальности объясняет, как мы собираем, используем, храним и защищаем ваши персональные данные в соответствии с Регламентом (ЕС) 2016/679 (GDPR) и французским законом № 78-17 от 6 января 1978 г. с изменениями, касающимся информатики, файлов и свобод. Она применяется ко всем данным, собранным через наш сайт veratrace.xyz, наши мобильные приложения, наши формы и наши IoT-устройства.
Сфера применения
Настоящая политика применяется ко всем персональным данным, которые мы собираем через наши веб-сайты veratrace.xyz (основной сайт), veratrace.eu (европейский сайт) и veratrace.net (международный сайт), наши мобильные приложения (VeraTrace Producteur, VeraTrace Client), наши контактные формы, наши IoT-комплекты и NFC-метки, а также любое другое взаимодействие с нашими услугами.
Настоящая политика не распространяется на практики конфиденциальности сторонних сайтов, на которые мы можем размещать ссылки. Мы рекомендуем вам ознакомиться с политиками конфиденциальности любых сторонних сайтов, которые вы посещаете.
Ответственный за обработку данных
Ответственным за обработку ваших персональных данных является:
VeraTrace SAS
35 rue de la République, 95110 Sannois, France
В лице Frédéric Georjon, Президента
Контакт DPO: [email protected]
С нашим Уполномоченным по защите данных (DPO) можно связаться по любым вопросам, касающимся защиты ваших персональных данных. Вы можете обратиться к нему в любое время для осуществления ваших прав или по любым вопросам, связанным с обработкой ваших данных.
Собираемые данные
Мы собираем следующие категории данных в зависимости от вашего профиля пользователя и вашего взаимодействия с нашими услугами:
Категории данных
Идентификационные данные
Фамилия, имя, адрес электронной почты, номер телефона, название компании, SIRET (для профессионалов), почтовый адрес
Профессиональные данные
Тип деятельности (производитель, ресторан, дистрибьютор), размер хозяйства, количество сотрудников, имеющиеся сертификаты (Bio, HVE, AOP, IGP, Label Rouge), наименования, обрабатываемые площади
Данные прослеживаемости
Произведённые партии, даты сбора урожая/производства, маршруты продукции, зарегистрированные температуры, геолокация поставок, блокчейн-метки времени
Данные о транзакциях
История заказов, счета, способы оплаты (токенизированные), накопленные баллы VRT, статус Pioneer
Данные о навигации
IP-адрес (анонимизированный через 13 месяцев), тип браузера, операционная система, посещённые страницы, продолжительность посещения, источник трафика, выполненные действия
Данные соединения
Учётные данные для входа (хешированные), журналы подключений, история сеансов, использованные устройства
Данные коммуникаций
Содержание сообщений, отправленных в службу поддержки, история обменов, предпочтения в коммуникации, согласия на рассылку
Данные IoT
Идентификаторы датчиков, показания температуры, геолокация трекеров, состояние батарей, срабатывающие оповещения
Чувствительные данные
Мы не собираем чувствительные данные в смысле статьи 9 GDPR (расовое или этническое происхождение, политические взгляды, религиозные убеждения, данные о здоровье, сексуальная ориентация и т.д.), за исключением случаев строгой необходимости и при наличии вашего явного согласия.
Несовершеннолетние
Наши услуги не предназначены для несовершеннолетних младше 16 лет. Мы сознательно не собираем персональные данные о несовершеннолетних. Если вы являетесь родителем или опекуном и полагаете, что ваш ребёнок предоставил нам персональные данные, пожалуйста, немедленно свяжитесь с нами по адресу [email protected] для их удаления.
Источники данных
- •Непосредственно от вас (формы, ручной ввод)
- •Автоматически (файлы cookie, журналы, датчики IoT)
- •Через третьих лиц (API партнёров, подключённые информационные системы)
- •Публичные источники (официальные реестры для проверки)
Цели обработки
Ваши персональные данные обрабатываются для следующих целей, каждая из которых основана на конкретном правовом основании:
Предоставление сервиса прослеживаемости
Регистрировать и сертифицировать данные прослеживаемости вашей продукции, генерировать QR-коды, обеспечивать доступ для конечных клиентов.
Управление учётными записями пользователей
Создавать и администрировать ваш аккаунт, управлять вашими доступами, персонализировать ваш опыт.
Обработка заказов и платежей
Управлять вашими предзаказами, подписками, счетами, доставками оборудования.
Управление баллами и токенами VRT
Рассчитывать, присваивать и отслеживать ваши баллы прослеживаемости, готовить конвертацию в токены.
Поддержка клиентов
Отвечать на ваши запросы, решать технические проблемы, обеспечивать послепродажное обслуживание.
Маркетинговые коммуникации
Информировать вас о наших новостях, новых продуктах, специальных предложениях, мероприятиях.
Улучшение сервисов
Анализировать использование платформы, разрабатывать новые функции.
Соответствие нормативным требованиям
Соблюдать наши юридические обязательства: EUDR, DPP, бухгалтерский учёт, налоги, HACCP.
Безопасность и предотвращение мошенничества
Защищать платформу от несанкционированного доступа, выявлять мошеннические действия.
Доказательство в блокчейне
Закреплять хеши прослеживаемости в блокчейне для гарантии неизменности доказательств. Хранятся только хеши, а не ваши персональные данные.
Правовые основания обработки
В соответствии с GDPR, любая обработка персональных данных должна основываться на правовом основании. Ниже приведены правовые основания, на которых мы основываем нашу обработку:
Согласие (Ст. 6.1.a GDPR)
Для рассылки новостей, маркетинговых коммуникаций, использования необязательных файлов cookie. Вы можете отозвать своё согласие в любое время через ссылки для отписки или связавшись с нами.
Исполнение договора (Ст. 6.1.b GDPR)
Для исполнения связывающего нас договора: создание аккаунта, предоставление сервиса прослеживаемости, управление заказами, поддержка клиентов, присвоение баллов VRT.
Юридическое обязательство (Ст. 6.1.c GDPR)
Для соблюдения наших юридических обязательств: хранение счетов 10 лет (Торговый кодекс Франции), соответствие EUDR/DPP, журналы подключений 12 месяцев (LCEN), ответ на судебные запросы.
Законный интерес (Ст. 6.1.f GDPR)
Для наших законных интересов, не нарушающих ваши права: улучшение сервисов, безопасность платформы, анонимизированная статистика, предотвращение мошенничества.
Баланс интересов
Когда мы ссылаемся на законный интерес, мы провели оценку баланса между нашими интересами и вашими правами и свободами. Данный анализ задокументирован и доступен по запросу у нашего DPO.
Сроки хранения
Мы храним ваши персональные данные только в течение срока, необходимого для целей, для которых они были собраны, в соответствии с правовыми обязательствами:
| Données | Durée | Justification |
|---|---|---|
| Данные учётной записи (потенциальные клиенты) | 3 года после последнего активного контакта | Рекомендация CNIL |
| Данные учётной записи (клиенты) | Срок действия договора + 5 лет | Гражданский срок исковой давности |
| Данные о прослеживаемости | Минимум 10 лет | Нормативные обязательства в пищевой отрасли |
| Данные счетов-фактур | 10 лет | Коммерческий кодекс (ст. L123-22) |
| Данные о навигации (файлы cookie) | Максимум 13 месяцев | Рекомендация CNIL |
| Журналы подключений | 12 месяцев | LCEN / Безопасность |
| Согласия (подтверждения) | Срок действия согласия + 5 лет | Доказательство в случае проверки |
| Данные рассылки | До отписки + 3 года | Управление возражениями |
| Обращения в службу поддержки | 3 года после закрытия | Качество обслуживания |
| Хэши блокчейна | Постоянно | Неизменяемость блокчейна (только хэши, а не данные) |
Архивирование
По истечении сроков хранения в активной базе некоторые данные могут быть заархивированы в промежуточной базе с ограниченным доступом для выполнения наших правовых обязательств или для установления, осуществления или защиты прав в суде.
Удаление
По истечении сроков хранения и архивирования ваши данные безопасно удаляются или необратимо анонимизируются.
Получатели данных
Ваши персональные данные могут быть переданы следующим получателям, строго в пределах того, что необходимо для достижения целей, описанных выше:
Внутри компании
Доступ к вашим данным имеют только сотрудники VeraTrace, которым это необходимо для выполнения их должностных обязанностей:
- •Техническая команда (поддержка, разработка)
- •Коммерческая команда (работа с клиентами)
- •Административная команда (выставление счетов, бухгалтерия)
- •Руководство (надзор)
Доступ контролируется в соответствии с принципом наименьших привилегий и фиксируется в наших журналах аудита.
Субподрядчики и поставщики услуг
Мы привлекаем технических поставщиков для обеспечения работы наших услуг. Все они связаны строгими договорными обязательствами (статья 28 GDPR):
Hetzner Online GmbH
Хостинг веб-сайта и CDN
Навигационные данные, журналы
Amazon Web Services (AWS)
Облачная инфраструктура, хранение данных
Все данные приложений
Make (ранее Integromat)
Автоматизация форм и рабочих процессов
Данные форм
Brevo (ранее Sendinblue)
Отправка транзакционных писем и рассылок
Email, имя, предпочтения
Stripe
Обработка платежей
Платёжные данные (токенизированные)
Частный блокчейн VeraTrace
Привязка доказательств прослеживаемости
Только криптографические хэши
Airtable
CRM и управление контактами
Профессиональные контактные данные
Этот список регулярно обновляется. Последняя редакция: январь 2026.
Партнёры (с вашего согласия)
С вашего явного согласия некоторые данные могут быть переданы нашим партнёрам:
- •Сельскохозяйственные кооперативы, членом которых вы являетесь
- •Партнёрские территориальные органы (только агрегированные данные)
- •Органы сертификации (для проверки)
Органы власти и правовые обязательства
Ваши данные могут быть переданы компетентным органам по законному запросу:
- •Налоговая администрация (проверки)
- •Судебные органы (запросы)
- •CNIL (проверки)
- •Органы регулирования пищевой промышленности (DGCCRF, DDPP)
Продажа данных
Мы НИКОГДА не продаём ваши персональные данные третьим лицам. Мы не передаём их в рекламных целях без вашего явного согласия.
Передача данных за пределы ЕС
Некоторые из наших поставщиков услуг находятся за пределами Европейского Союза, главным образом в Соединённых Штатах. В этом случае мы обеспечиваем принятие надлежащих мер защиты в соответствии с главой V GDPR:
Принятые меры защиты
Стандартные договорные положения (СДП)
Положения, одобренные Европейской комиссией (решение 2021/914), подписанные с нашими американскими поставщиками услуг
Дополнительные меры
Шифрование данных при передаче и хранении, псевдонимизация, когда это возможно, оценка воздействия передачи данных (TIA)
Приоритет размещения в ЕС
Мы систематически отдаём предпочтение поставщикам услуг, размещающим данные на территории ЕС
Затронутые страны
Соединённые Штаты
Stripe, Airtable
СДП + дополнительные мерыВы можете получить копию стандартных договорных положений или принятых мер защиты, связавшись с нами по адресу [email protected]
Автоматизированные решения и профилирование
В соответствии со статьёй 22 GDPR мы информируем вас об обработке данных, связанной с автоматизированными решениями:
Расчёт оценки прослеживаемости
Мы автоматически рассчитываем оценку прослеживаемости (от A до E) на основе предоставленных вами данных: полнота информации, сертификаты, охват цепочки поставок и т. д.
Эта оценка носит информационный характер и не имеет значительных юридических последствий. Она не влияет на вашу возможность пользоваться сервисом.
Вы можете оспорить эту оценку, связавшись с нашей службой поддержки.
Начисление баллов VRT
Баллы рассчитываются автоматически по алгоритму, учитывающему: пройденное расстояние, сертификаты, тип продукта, холодовую цепь и т. д.
Этот расчёт влияет на количество накапливаемых вами баллов.
Вы можете запросить ручную проверку, если считаете, что была допущена ошибка.
Отсутствие исключительно автоматизированных решений
Ни одно решение, имеющее юридические последствия или существенно влияющее на вас, не принимается исключительно автоматизированными средствами. Вмешательство человека всегда возможно по запросу.
Ваши права
В соответствии с GDPR и французским законом об информатике и свободах, вы имеете следующие права в отношении ваших персональных данных:
Право на доступ (Ст. 15 GDPR)
Получить подтверждение того, что ваши данные обрабатываются, получить доступ к этим данным и получить копию. Вы также можете запросить информацию о целях, категориях данных, получателях, сроках хранения и т.д.
Право на исправление (Ст. 16 GDPR)
Исправить неточные данные о вас или дополнить неполные данные.
Право на удаление (Ст. 17 GDPR)
Потребовать удаления ваших данных в определённых случаях: данные больше не нужны, отзыв согласия, возражение, незаконная обработка. Это право не применяется, если обработка необходима для выполнения юридического обязательства.
Право на ограничение (Ст. 18 GDPR)
Потребовать ограничения обработки во время проверки точности данных, если обработка незаконна, или во время рассмотрения возражения.
Право на переносимость (Ст. 20 GDPR)
Получить ваши данные в структурированном формате (JSON, CSV) и передать их другому оператору обработки.
Право на возражение (Ст. 21 GDPR)
Возразить против обработки, основанной на законном интересе. Вы можете без обоснования возразить против обработки в целях коммерческой проспекции.
Право отозвать согласие
Отозвать своё согласие в любое время для обработки, основанной на нём, без ущерба для законности предыдущей обработки.
Право определить посмертные директивы
Определить директивы относительно хранения и передачи ваших данных после вашей смерти.
Право не быть объектом автоматизированного решения
Не быть объектом решения, основанного исключительно на автоматизированной обработке, порождающей юридические последствия для вас или существенно затрагивающей вас.
Как реализовать ваши права
Для осуществления ваших прав вам доступно несколько вариантов:
Онлайн
Через ваш личный кабинет, раздел «Мои данные» (для пользователей с аккаунтом)
По электронной почте
Написав на [email protected]
По почте
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Просим приложить копию документа, удостоверяющего личность, к любому запросу (удостоверение личности, паспорт). Эта мера направлена на защиту ваших данных от мошеннических запросов.
Мы обязуемся ответить на ваш запрос в срок один месяц с момента получения. Этот срок может быть продлён на два месяца с учётом сложности и количества запросов, в этом случае вы будете проинформированы о таком продлении.
Осуществление ваших прав является бесплатным. Однако в случае явно необоснованных или чрезмерных запросов, в частности из-за их повторяющегося характера, мы можем потребовать оплаты разумных расходов или отказать в удовлетворении.
Жалоба в CNIL
Если вы считаете, что обработка ваших персональных данных нарушает законодательство, вы имеете право подать жалобу в Commission Nationale de l'Informatique et des Libertés (CNIL), французский надзорный орган:
CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
www.cnil.fr
Вы также можете подать жалобу онлайн на сайте CNIL.
Файлы cookie и трекеры
Наш сайт использует файлы cookie и аналогичные технологии (пиксели, веб-маяки, локальное хранилище). Файл cookie — это небольшой текстовый файл, сохраняемый на вашем устройстве (компьютер, смартфон, планшет) при посещении веб-сайта.
Что такое файл cookie?
Файл cookie позволяет сайту распознавать ваш браузер и запоминать определённую информацию (настройки, сеанс и т. д.). Файлы cookie не могут выполнять программы или передавать вирусы.
Типы используемых файлов cookie
Строго необходимые файлы cookie
Необходимы для функционирования сайта
Сеанс пользователя, языковые настройки, безопасность (CSRF), корзина
Файлы cookie производительности/аналитики
Понимание того, как посетители используют сайт
Просмотры страниц, продолжительность посещений, путь пользователя, возникшие ошибки
Файлы cookie настроек
Запоминание ваших выборов для персонализации опыта
Язык, валюта, тёмная/светлая тема, предпочитаемое отображение
Что мы НЕ используем
- Рекламные или таргетинговые файлы cookie
- Трекеры социальных сетей (Facebook Pixel и т. д.)
- Google Analytics или любые сервисы отслеживания Google
- Сторонние файлы cookie в маркетинговых целях
Управление файлами cookie
Вы можете в любой момент изменить свои настройки файлов cookie:
Баннер согласия
Доступен по ссылке «Управление файлами cookie» внизу каждой страницы
Настройки браузера
Вы можете настроить свой браузер так, чтобы он отклонял все файлы cookie или уведомлял вас о их отправке
Ссылки на настройки основных браузеров
Отключение некоторых файлов cookie может повлиять на функционирование сайта и ваш опыт просмотра.
Безопасность данных
Мы применяем соответствующие технические и организационные меры для защиты ваших персональных данных от случайного или незаконного уничтожения, потери, изменения, раскрытия или несанкционированного доступа:
Технические меры
- •Шифрование данных при передаче (HTTPS/TLS 1.3)
- •Шифрование конфиденциальных данных при хранении (AES-256)
- •Хеширование паролей (bcrypt с солью)
- •Надёжная аутентификация для доступа к системам (обязательная 2FA)
- •Межсетевой экран приложений (WAF) и защита от DDoS
- •Мониторинг и обнаружение вторжений (IDS/IPS)
- •Ежедневные зашифрованные резервные копии с ежемесячной проверкой восстановления
- •Раздельные среды разработки, тестирования и эксплуатации
Организационные меры
- •Строгий контроль доступа на основе принципа наименьших привилегий
- •Отслеживание доступа к данным (журналы аудита)
- •Регулярное обучение сотрудников вопросам безопасности и защиты данных
- •Политика управления инцидентами безопасности
- •Регулярный пересмотр прав доступа
- •Соглашения о конфиденциальности для всех сотрудников и подрядчиков
Тесты и аудиты
Мы регулярно проводим тесты безопасности (тесты на проникновение, сканирование уязвимостей) и аудиты наших практик.
Утечка данных
В случае утечки персональных данных, способной создать риск для ваших прав и свобод:
- Мы уведомляем CNIL в течение 72 часов с момента обнаружения утечки
- Мы информируем вас в кратчайшие сроки, если риск для ваших прав и свобод является высоким
- Мы документируем любую утечку в нашем внутреннем реестре
- Мы принимаем меры для устранения утечки и ограничения её последствий
Особенности, связанные с блокчейном
VeraTrace использует технологию блокчейн для сертификации данных прослеживаемости. Вот что вам необходимо знать:
Что хранится в блокчейне
- •Только криптографические хеши (цифровые отпечатки)
- •Временные метки записей
- •Идентификаторы партий (анонимизированные)
Что НЕ хранится в блокчейне
- •Ваши персональные данные (имя, адрес и т. д.)
- •Коммерческие сведения (цены, объёмы)
- •Конфиденциальные данные вашего хозяйства
Неизменяемость
Хеши, записанные в блокчейне, по своей природе неизменяемы и не могут быть удалены. Однако эти хеши не позволяют восстановить ваши персональные данные. Удаление ваших данных из наших систем делает эти хеши непригодными для использования.
Право на удаление и блокчейн
Если вы реализуете своё право на удаление, мы удаляем все ваши персональные данные из наших баз данных. Хеши блокчейна сохраняются, но больше не могут быть связаны с вашей личностью и не позволяют восстановить ваши данные.
Изменения политики
Мы оставляем за собой право изменять настоящую политику конфиденциальности в любое время для отражения изменений в нашей практике или изменений в нормативных требованиях.
Как вы будете уведомлены
- •Уведомление по электронной почте о существенных изменениях (пользователи с учётной записью)
- •Информационный баннер, видимый на сайте в течение 30 дней
- •Обновление даты «последнего обновления» в верхней части документа
Продолжение использования наших услуг после публикации изменений означает принятие новой политики.
История версий доступна по запросу у нашего DPO.
Свяжитесь с нами
По любым вопросам, касающимся настоящей политики конфиденциальности или обработки ваших персональных данных:
Почтовый адрес
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Заказное письмо для официальных запросов
Мы обязуемся отвечать на любой запрос в течение 5 рабочих дней для первоначального подтверждения и в течение установленного законом срока в один месяц для полного ответа.