Політика конфіденційності
Захист ваших персональних даних — GDPR
Останнє оновлення: січень 2026
VeraTrace SAS (далі «VeraTrace», «ми», «нас») зобов'язується захищати вашу конфіденційність та персональні дані. Ця політика конфіденційності пояснює, як ми збираємо, використовуємо, зберігаємо та захищаємо ваші персональні дані відповідно до Регламенту (ЄС) 2016/679 (GDPR) та французького Закону № 78-17 від 6 січня 1978 року. Вона застосовується до всіх даних, зібраних через наш сайт veratrace.xyz, наші мобільні додатки, наші форми та наші IoT-пристрої.
Сфера застосування
Ця політика застосовується до всіх персональних даних, які ми збираємо через наші веб-сайти veratrace.xyz (основний сайт), veratrace.eu (європейський сайт) і veratrace.net (міжнародний сайт), наші мобільні застосунки (VeraTrace Producteur, VeraTrace Client), наші контактні форми, наші IoT-комплекти та NFC-мітки, а також будь-яку іншу взаємодію з нашими послугами.
Ця політика не охоплює практики конфіденційності сторонніх сайтів, на які ми можемо розміщувати посилання. Ми рекомендуємо вам ознайомитися з політиками конфіденційності будь-яких сторонніх сайтів, які ви відвідуєте.
Контролер обробки даних
Контролером обробки ваших персональних даних є:
VeraTrace SAS
35 rue de la République, 95110 Sannois, France
В особі Frédéric Georjon, Президента
Контакт DPO: [email protected]
З нашим Уповноваженим із захисту даних (DPO) можна зв’язатися з будь-яких питань щодо захисту ваших персональних даних. Ви можете звернутися до нього в будь-який час для реалізації ваших прав або з будь-яких питань щодо обробки ваших даних.
Дані, що збираються
Ми збираємо такі категорії даних залежно від вашого профілю користувача та вашої взаємодії з нашими послугами:
Категорії даних
Ідентифікаційні дані
Прізвище, ім'я, адреса електронної пошти, номер телефону, назва компанії, SIRET (для професіоналів), поштова адреса
Професійні дані
Вид діяльності (виробник, ресторан, дистриб'ютор), розмір господарства, кількість працівників, наявні сертифікати (Bio, HVE, AOP, IGP, Label Rouge), найменування, оброблювані площі
Дані про простежуваність
Вироблені партії, дати збору врожаю/виробництва, маршрут продукції, зареєстровані температури, геолокація поставок, блокчейн-позначки часу
Транзакційні дані
Історія замовлень, рахунки-фактури, способи оплати (токенізовані), накопичені бали VRT, статус Pioneer
Дані навігації
IP-адреса (анонімізована через 13 місяців), тип браузера, операційна система, відвідані сторінки, тривалість відвідування, джерело трафіку, виконані дії
Дані підключення
Облікові дані для входу (хешовані), журнали підключень, історія сеансів, використані пристрої
Дані комунікації
Вміст повідомлень, надісланих до служби підтримки, історія обмінів, комунікаційні налаштування, згоди на розсилку
Дані IoT
Ідентифікатори датчиків, показники температури, геолокація трекерів, стан батарей, спрацьовані сповіщення
Конфіденційні дані
Ми не збираємо конфіденційні дані у значенні статті 9 GDPR (расове або етнічне походження, політичні погляди, релігійні переконання, дані про стан здоров'я, сексуальну орієнтацію тощо), за винятком випадків, коли це суворо необхідно, та за умови вашої явної згоди.
Неповнолітні
Наші послуги не призначені для неповнолітніх до 16 років. Ми свідомо не збираємо персональні дані неповнолітніх. Якщо ви є батьком, матір'ю або опікуном і вважаєте, що ваша дитина надала нам персональні дані, будь ласка, негайно зв'яжіться з нами за адресою [email protected], щоб ми їх видалили.
Джерела даних
- •Безпосередньо від вас (форми, ручне введення)
- •Автоматично (файли cookie, журнали, датчики IoT)
- •Через третіх осіб (API партнерів, підключені інформаційні системи)
- •Публічні джерела (офіційні реєстри для перевірки)
Цілі обробки
Ваші персональні дані обробляються для наступних цілей, кожна з яких базується на конкретній правовій основі:
Надання послуги простежуваності
Реєстрація та сертифікація даних простежуваності ваших продуктів, генерація QR-кодів, надання можливості перегляду кінцевим клієнтам.
Управління обліковими записами користувачів
Створення та адміністрування вашого облікового запису, управління вашим доступом, персоналізація вашого досвіду.
Обробка замовлень та платежів
Управління вашими попередніми замовленнями, підписками, рахунками, доставкою обладнання.
Управління балами та токенами VRT
Розрахунок, нарахування та відстеження ваших балів простежуваності, підготовка до конвертації в токени.
Підтримка клієнтів
Відповіді на ваші запити, вирішення технічних проблем, післяпродажне обслуговування.
Маркетингові комунікації
Інформування вас про наші новини, нові продукти, спеціальні пропозиції, події.
Покращення послуг
Аналіз використання платформи, розробка нових функцій.
Регуляторна відповідність
Дотримання наших юридичних зобов'язань: EUDR, DPP, бухгалтерія, податки, HACCP.
Безпека та запобігання шахрайству
Захист платформи від несанкціонованого доступу, виявлення шахрайської поведінки.
Блокчейн-підтвердження
Закріплення хешів простежуваності в блокчейні для гарантування незмінності доказів. Зберігаються лише хеші, а не ваші персональні дані.
Правові підстави обробки
Відповідно до GDPR, будь-яка обробка персональних даних повинна ґрунтуватися на правовій підставі. Нижче наведено правові підстави, на яких ми ґрунтуємо нашу обробку:
Згода (Ст. 6.1.a GDPR)
Для надсилання розсилок, маркетингових комунікацій, використання несуттєвих cookies. Ви можете відкликати свою згоду в будь-який час через посилання для відписки або зв'язавшись з нами.
Виконання договору (Ст. 6.1.b GDPR)
Для виконання договору, що нас пов'язує: створення облікового запису, надання послуги простежуваності, управління замовленнями, підтримка клієнтів, нарахування балів VRT.
Юридичне зобов'язання (Ст. 6.1.c GDPR)
Для дотримання наших юридичних зобов'язань: зберігання рахунків 10 років (Торговий кодекс), відповідність EUDR/DPP, журнали підключень 12 місяців, відповіді на судові запити.
Законний інтерес (Ст. 6.1.f GDPR)
Для наших законних інтересів, які не порушують ваші права: покращення послуг, безпека платформи, анонімізована статистика, запобігання шахрайству.
Баланс інтересів
Коли ми посилаємося на законний інтерес, ми провели оцінку балансу між нашими інтересами та вашими правами і свободами. Цей аналіз задокументовано та доступний на запит у нашого DPO.
Термін зберігання
Ми зберігаємо ваші персональні дані лише протягом строку, необхідного для цілей, з якими вони були зібрані, відповідно до правових зобов'язань:
| Données | Durée | Justification |
|---|---|---|
| Дані облікового запису (потенційні клієнти) | 3 роки після останнього активного контакту | Рекомендація CNIL |
| Дані облікового запису (клієнти) | Термін дії договору + 5 років | Цивільний строк позовної давності |
| Дані про простежуваність | Щонайменше 10 років | Нормативні зобов'язання у харчовій галузі |
| Дані виставлення рахунків | 10 років | Торговий кодекс (ст. L123-22) |
| Дані про перегляд (файли cookie) | Максимум 13 місяців | Рекомендація CNIL |
| Журнали підключень | 12 місяців | LCEN / Безпека |
| Згоди (докази) | Термін дії згоди + 5 років | Доказ у разі перевірки |
| Дані розсилки | До відписки + 3 роки | Управління запереченнями |
| Звернення до служби підтримки | 3 роки після закриття | Якість обслуговування |
| Хеші блокчейну | Постійно | Незмінність блокчейну (лише хеші, а не дані) |
Архівування
Після закінчення строків зберігання в активній базі деякі дані можуть бути заархівовані в проміжній базі з обмеженим доступом для виконання наших правових зобов'язань або для встановлення, здійснення чи захисту прав у суді.
Видалення
Після закінчення строків зберігання та архівування ваші дані безпечно видаляються або безповоротно анонімізуються.
Одержувачі даних
Ваші персональні дані можуть бути передані наступним одержувачам, суворо в межах того, що необхідно для досягнення описаних вище цілей:
Усередині компанії
Доступ до ваших даних мають лише члени команди VeraTrace, яким це необхідно в межах їхніх обов'язків:
- •Технічна команда (підтримка, розробка)
- •Комерційна команда (робота з клієнтами)
- •Адміністративна команда (виставлення рахунків, бухгалтерія)
- •Керівництво (нагляд)
Доступ контролюється відповідно до принципу найменших привілеїв та фіксується в наших журналах аудиту.
Субпідрядники та постачальники послуг
Ми співпрацюємо з технічними постачальниками для функціонування наших послуг. Усі вони пов'язані суворими договірними зобов'язаннями (стаття 28 GDPR):
Hetzner Online GmbH
Хостинг вебсайту та CDN
Навігаційні дані, журнали
Amazon Web Services (AWS)
Хмарна інфраструктура, зберігання даних
Усі дані застосунку
Make (раніше Integromat)
Автоматизація форм та робочих процесів
Дані форм
Brevo (раніше Sendinblue)
Надсилання транзакційних листів та розсилок
Email, ім'я, налаштування
Stripe
Обробка платежів
Платіжні дані (токенізовані)
Приватний блокчейн VeraTrace
Закріплення доказів простежуваності
Лише криптографічні хеші
Airtable
CRM та управління контактами
Професійні контактні дані
Цей список регулярно оновлюється. Остання редакція: січень 2026.
Партнери (за вашою згодою)
За вашою явною згодою певні дані можуть бути передані нашим партнерам:
- •Сільськогосподарські кооперативи, членом яких ви є
- •Партнерські територіальні громади (лише агреговані дані)
- •Органи сертифікації (для перевірки)
Органи влади та правові зобов'язання
Ваші дані можуть бути передані компетентним органам на законний запит:
- •Податкова адміністрація (перевірки)
- •Судові органи (запити)
- •CNIL (перевірки)
- •Органи регулювання харчової промисловості (DGCCRF, DDPP)
Продаж даних
Ми НІКОЛИ не продаємо ваші персональні дані третім особам. Ми не передаємо їх у рекламних цілях без вашої явної згоди.
Передача даних за межі ЄС
Деякі з наших постачальників послуг розташовані за межами Європейського Союзу, переважно у Сполучених Штатах Америки. У такому випадку ми забезпечуємо впровадження належних гарантій відповідно до розділу V GDPR:
Впроваджені гарантії
Стандартні договірні положення (СДП)
Положення, схвалені Європейською Комісією (рішення 2021/914), підписані з нашими американськими постачальниками послуг
Додаткові заходи
Шифрування даних під час передачі та зберігання, псевдонімізація, де це можливо, оцінка впливу передачі (TIA)
Перевага хостингу в ЄС
Ми систематично надаємо перевагу постачальникам, які розміщують дані в межах ЄС
Залучені країни
Сполучені Штати Америки
Stripe, Airtable
СДП + додаткові заходиВи можете отримати копію стандартних договірних положень або впроваджених гарантій, зв'язавшись з нами за адресою [email protected]
Автоматизовані рішення та профілювання
Відповідно до статті 22 GDPR повідомляємо вас про обробку, що передбачає автоматизовані рішення:
Розрахунок оцінки простежуваності
Ми автоматично розраховуємо оцінку простежуваності (від A до E) на основі наданих вами даних: повнота інформації, сертифікати, охоплення ланцюга тощо.
Ця оцінка має інформативний характер і не має істотних правових наслідків. Вона не впливає на вашу можливість користуватися сервісом.
Ви можете оскаржити цю оцінку, звернувшись до нашої служби підтримки.
Нарахування балів VRT
Бали розраховуються автоматично за алгоритмом, що враховує: пройдену відстань, сертифікати, тип продукту, холодовий ланцюг тощо.
Цей розрахунок впливає на кількість балів, які ви накопичуєте.
Ви можете запросити ручний перегляд, якщо вважаєте, що сталася помилка.
Відсутність виключно автоматизованих рішень
Жодне рішення, що має правові наслідки або істотно впливає на вас, не приймається виключно автоматизованими засобами. Втручання людини завжди можливе за запитом.
Ваші права
Відповідно до GDPR, ви маєте наступні права щодо ваших персональних даних:
Право доступу (Ст. 15 GDPR)
Отримати підтвердження того, що ваші дані обробляються, отримати доступ до цих даних та отримати копію. Ви також можете запитати інформацію про цілі, категорії даних, одержувачів, терміни зберігання тощо.
Право на виправлення (Ст. 16 GDPR)
Виправити неточні дані про вас або доповнити неповні дані.
Право на видалення (Ст. 17 GDPR)
Вимагати видалення ваших даних у певних випадках: дані більше не потрібні, відкликання згоди, заперечення, незаконна обробка. Це право не застосовується, якщо обробка необхідна для юридичного зобов'язання.
Право на обмеження (Ст. 18 GDPR)
Вимагати обмеження обробки під час перевірки точності даних, якщо обробка є незаконною, або під час розгляду заперечення.
Право на переносимість (Ст. 20 GDPR)
Отримати свої дані в структурованому форматі (JSON, CSV) і передати їх іншому контролеру даних.
Право на заперечення (Ст. 21 GDPR)
Заперечувати проти обробки на основі законного інтересу. Ви можете заперечувати без причини проти обробки для цілей прямого маркетингу.
Право відкликати згоду
Відкликати свою згоду в будь-який час для обробки, що базується на ній, не впливаючи на законність попередньої обробки.
Право визначати посмертні директиви
Визначити директиви щодо зберігання та передачі ваших даних після вашої смерті.
Право не підлягати автоматизованому рішенню
Не підлягати рішенню, що базується виключно на автоматизованій обробці, яка має юридичні наслідки для вас або суттєво на вас впливає.
Як реалізувати свої права
Для здійснення ваших прав вам доступно декілька варіантів:
Онлайн
Через ваш особистий кабінет, розділ «Мої дані» (для користувачів з обліковим записом)
Електронною поштою
Написавши на [email protected]
Поштою
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Просимо додати копію документа, що посвідчує особу, до будь-якого запиту (посвідчення особи, паспорт). Цей захід спрямований на захист ваших даних від шахрайських запитів.
Ми зобов'язуємося відповісти на ваш запит у термін один місяць від моменту отримання. Цей термін може бути продовжений на два місяці з урахуванням складності та кількості запитів, у такому випадку ви будете поінформовані про це продовження.
Здійснення ваших прав є безкоштовним. Однак у разі очевидно необґрунтованих або надмірних запитів, зокрема через їхній повторюваний характер, ми можемо вимагати сплати розумних витрат або відмовити в задоволенні.
Скарга до наглядового органу
Якщо ви вважаєте, що обробка ваших персональних даних є порушенням регламенту, ви маєте право подати скаргу до Commission Nationale de l'Informatique et des Libertés (CNIL), французького наглядового органу, або до наглядового органу вашої країни проживання:
CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
www.cnil.fr
Ви також можете подати скаргу онлайн на сайті CNIL.
Cookies та трекери
Наш сайт використовує файли cookie та подібні технології (пікселі, веб-маяки, локальне сховище). Файл cookie — це невеликий текстовий файл, що зберігається на вашому пристрої (комп'ютер, смартфон, планшет) під час відвідування вебсайту.
Що таке файл cookie?
Файл cookie дозволяє сайту розпізнавати ваш браузер і запам'ятовувати певну інформацію (налаштування, сеанс тощо). Файли cookie не можуть виконувати програми чи передавати віруси.
Типи використовуваних файлів cookie
Суворо необхідні файли cookie
Необхідні для функціонування сайту
Сеанс користувача, мовні налаштування, безпека (CSRF), кошик
Файли cookie продуктивності/аналітики
Розуміння того, як відвідувачі використовують сайт
Перегляди сторінок, тривалість відвідувань, шлях користувача, виявлені помилки
Файли cookie налаштувань
Запам'ятовування ваших виборів для персоналізації досвіду
Мова, валюта, темна/світла тема, бажане відображення
Що ми НЕ використовуємо
- Рекламні або таргетингові файли cookie
- Трекери соціальних мереж (Facebook Pixel тощо)
- Google Analytics або будь-які сервіси відстеження Google
- Сторонні файли cookie для маркетингових цілей
Управління файлами cookie
Ви можете будь-коли змінити свої налаштування файлів cookie:
Банер згоди
Доступний за посиланням «Керувати файлами cookie» внизу кожної сторінки
Налаштування браузера
Ви можете налаштувати свій браузер так, щоб він відхиляв усі файли cookie або сповіщав вас про надсилання файлу cookie
Посилання на налаштування основних браузерів
Вимкнення деяких файлів cookie може вплинути на функціонування сайту та ваш досвід перегляду.
Безпека даних
Ми впроваджуємо відповідні технічні та організаційні заходи для захисту ваших персональних даних від випадкового або незаконного знищення, втрати, зміни, розголошення або несанкціонованого доступу:
Технічні заходи
- •Шифрування даних під час передавання (HTTPS/TLS 1.3)
- •Шифрування конфіденційних даних у стані спокою (AES-256)
- •Хешування паролів (bcrypt із сіллю)
- •Надійна автентифікація для доступу до систем (обов'язкова 2FA)
- •Міжмережевий екран застосунків (WAF) і захист від DDoS
- •Моніторинг і виявлення вторгнень (IDS/IPS)
- •Щоденні зашифровані резервні копії з щомісячною перевіркою відновлення
- •Окремі середовища розробки, тестування та експлуатації
Організаційні заходи
- •Суворий контроль доступу на основі принципу найменших привілеїв
- •Відстеження доступу до даних (журнали аудиту)
- •Регулярне навчання команд з питань безпеки та захисту даних
- •Політика управління інцидентами безпеки
- •Регулярний перегляд прав доступу
- •Положення про конфіденційність для всіх працівників і підрядників
Тести та аудити
Ми регулярно проводимо тести безпеки (тести на проникнення, сканування вразливостей) та аудити наших практик.
Порушення захисту даних
У разі порушення захисту персональних даних, яке може становити ризик для ваших прав і свобод:
- Ми повідомляємо CNIL протягом 72 годин з моменту виявлення порушення
- Ми інформуємо вас у найкоротші терміни, якщо ризик для ваших прав і свобод є високим
- Ми документуємо будь-яке порушення у нашому внутрішньому реєстрі
- Ми вживаємо заходів для усунення порушення та обмеження його наслідків
Особливості, пов'язані з блокчейном
VeraTrace використовує технологію блокчейн для сертифікації даних простежуваності. Ось що вам необхідно знати:
Що зберігається в блокчейні
- •Лише криптографічні хеші (цифрові відбитки)
- •Часові позначки записів
- •Ідентифікатори партій (анонімізовані)
Що НЕ зберігається в блокчейні
- •Ваші персональні дані (ім'я, адреса тощо)
- •Комерційні відомості (ціни, обсяги)
- •Конфіденційні дані вашого господарства
Незмінність
Хеші, записані в блокчейні, за своєю природою є незмінними і не можуть бути видалені. Однак ці хеші не дозволяють відновити ваші персональні дані. Видалення ваших даних з наших систем робить ці хеші непридатними для використання.
Право на видалення та блокчейн
Якщо ви реалізуєте своє право на видалення, ми видаляємо всі ваші персональні дані з наших баз даних. Хеші блокчейну залишаються, але більше не можуть бути пов'язані з вашою особою і не дозволяють відновити ваші дані.
Зміни до цієї політики
Ми залишаємо за собою право змінювати цю політику конфіденційності в будь-який час для відображення змін у наших практиках або регуляторних змін.
Як вас буде повідомлено
- •Повідомлення електронною поштою про суттєві зміни (користувачі з обліковим записом)
- •Інформаційний банер, видимий на сайті протягом 30 днів
- •Оновлення дати «останнього оновлення» у верхній частині документа
Продовження використання наших послуг після публікації змін означає прийняття нової політики.
Історія версій доступна на запит у нашого DPO.
Зв'яжіться з нами
З усіх питань, що стосуються цієї політики конфіденційності або обробки ваших персональних даних:
Поштова адреса
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Рекомендований лист для офіційних запитів
Ми зобов'язуємося відповідати на будь-який запит протягом 5 робочих днів для первинного підтвердження та протягом встановленого законом строку в один місяць для повної відповіді.