Политика обработки персональных данных

commerce.mu — Republic of Mauritius

Редакция от 25 мая 2026 г. · Действует с даты публикации

1. Общие положения

Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок обработки и защиты персональных данных, осуществляемой компанией commerce.mu (далее — «Оператор», «Компания», «мы») в отношении физических лиц (далее — «Субъект», «Пользователь», «вы»), посещающих сайт commerce.mu (далее — «Сайт») и оставляющих контактные данные через формы Сайта или иные каналы коммуникации.

Политика разработана в соответствии с:

• Федеральным законом Российской Федерации № 152-ФЗ «О персональных данных» от 27.07.2006;
• Регламентом (ЕС) 2016/679 (GDPR);
• Mauritius Data Protection Act 2017;
• применимыми требованиями международного права в области защиты персональных данных.

Использование Сайта означает согласие Пользователя с настоящей Политикой и условиями обработки персональных данных. В случае несогласия Пользователь обязан прекратить использование Сайта.

2. Оператор и контактные данные

3. Состав обрабатываемых персональных данных

Оператор обрабатывает следующие категории персональных данных:

3.1. Данные, предоставляемые Пользователем добровольно

• фамилия, имя (отчество — при наличии);
• номер телефона (включая мессенджеры WhatsApp, Telegram);
• адрес электронной почты;
• сведения о предполагаемом объёме инвестиции и составе семьи (для оценки соответствия программе);
• содержание сообщения Пользователя в свободной форме.

3.2. Данные, собираемые автоматически

• IP-адрес;
• тип и версия браузера, операционной системы, устройства;
• языковые и региональные настройки;
• URL-адрес источника перехода (referrer), UTM-метки;
• данные о действиях на Сайте (просмотренные страницы, длительность визита, точки клика, глубина прокрутки) с использованием систем веб-аналитики;
• идентификаторы файлов cookie, включая псевдонимный идентификатор браузера Google Analytics (client_id).

3.3. Технические и поведенческие данные при использовании Сайта

Дополнительно при использовании интерактивных элементов Сайта обрабатываются: посещённые страницы и разделы, время пребывания на них, глубина прокрутки, факты взаимодействия с интерактивными элементами (нажатия, наведения, фокус на полях форм — без сохранения вводимых значений), движение указателя мыши, источник перехода, параметры рекламной кампании (UTM-метки), класс устройства и браузера, идентификатор сессии аналитической системы. Указанные данные обрабатываются Яндекс.Метрикой как обработчиком по поручению Оператора и используются для измерения эффективности Сайта и эффективности рекламных размещений. Значения, вводимые в поля форм (имя, телефон, e-mail, комментарий), исключаются из записи штатными средствами маскирования Яндекс.Метрики — на соответствующих полях формы применены атрибуты ym-hide-content и data-ym-disable-keys, предусмотренные документацией системы веб-аналитики.

Аналогично на Сайте при загрузке страницы используется система веб-аналитики Google Analytics 4, оператором которой является Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, США), действующая как обработчик по поручению Оператора. Google Analytics обрабатывает: псевдонимный идентификатор браузера (client_id), сохраняемый в cookie _ga и _ga_3FJ2DY4CC6; посещённые страницы; источник перехода и параметры рекламных кампаний (UTM); технические характеристики устройства и браузера; приблизительную геолокацию. Сбор настроен с режимом усечения IP-адреса (anonymize_ip); функции Google Signals и рекламной персонализации отключены, связка с Google Ads не используется. Правовое основание обработки — законный интерес Оператора по измерению эффективности Сайта и рекламных размещений (ст. 6 ч. 1 п. 7 152-ФЗ; ст. 6(1)(f) GDPR), аналогично использованию Яндекс.Метрики. Пользователь вправе возражать против такой обработки и отказаться от сбора данных средствами, указанными в Политике использования файлов cookie. Трансграничная передача данных в Google LLC (США) раскрыта в разделе 8 настоящей Политики.

Для управления загрузкой и исполнением аналитической конфигурации Сайта используется диспетчер тегов Google Tag Manager, оператором которого является Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, США). Сам Google Tag Manager не собирает персональные данные, не устанавливает аналитические или рекламные cookie и не формирует профили пользователей; он лишь управляет тем, какие аналитические теги выполняются на Сайте. Через контейнер задействованы исключительно теги веб-аналитики, описанные выше (Google Analytics 4 и Яндекс.Метрика); рекламные теги, теги ремаркетинга, теги конверсий Google Ads, Floodlight и функции Google Signals не задействованы. Хранение в рекламных целях отключено на уровне диспетчера тегов (Consent Mode: ad_storage / ad_user_data / ad_personalization = denied). Загрузка осуществляется при загрузке страницы на основании законного интереса Оператора, аналогично Google Analytics 4 (ст. 6 ч. 1 п. 7 152-ФЗ; ст. 6(1)(f) GDPR). Обрабатываемые Google Tag Manager технические данные запроса передаются в Google LLC (США) — порядок трансграничной передачи раскрыт в разделе 8 настоящей Политики.

При отключённом в браузере JavaScript на Сайте загружается технический пиксель Яндекс.Метрики (один HTTP-запрос к mc.yandex.ru/watch/) исключительно для целей верификации владения ресурсом со стороны Яндекса. Cookies при этом не устанавливаются, идентификация пользователя не выполняется, сбор поведенческих данных не производится.

3.4. Собственная система аналитики Оператора

При загрузке страниц Сайта автоматически направляется технический запрос на сервер Оператора (endpoint /api/event) для целей агрегированного учёта посещаемости и оценки эффективности рекламных каналов. Передаваемые данные: адрес просмотренной страницы, параметры рекламной кампании (UTM-метки), класс устройства (мобильное / настольное), часовой пояс и языковые настройки браузера. На стороне сервера к записи добавляется псевдонимизированный хеш IP-адреса (HMAC-SHA256 с ротируемым ключом) и приблизительная геолокация (страна, город) — без сохранения исходного IP-адреса.

При нажатии на кнопки перехода в мессенджеры (WhatsApp, Telegram), размещённые на Сайте, Оператор фиксирует факт такого нажатия для оперативной обработки обращения, инициированного Пользователем. В адрес уполномоченного сотрудника Оператора через служебного бота Telegram направляется уведомление, содержащее: канал и расположение нажатой кнопки, параметры рекламной кампании (UTM-метки), тип браузера, операционной системы и устройства, метку времени, IP-адрес Пользователя и вычисленные из него на стороне сервера сведения о приблизительной геолокации (страна, город, оператор связи / интернет-провайдер) и признаки соединения (использование прокси, хостинг-провайдера, мобильной сети). IP-адрес включается в служебное уведомление в исходном виде, поскольку нажатие кнопки перехода в мессенджер представляет собой действие Пользователя, направленное на инициирование контакта с Оператором, и оперативная идентификация источника обращения необходима для его обработки. Правовое основание — совершение действий, направленных на исполнение договора, инициатором которого выступает субъект, а также законный интерес Оператора по обработке обращения, поступившего по инициативе субъекта (п. 5 ч. 1 ст. 6, п. 7 ч. 1 ст. 6 152-ФЗ; ст. 6(1)(b), ст. 6(1)(f) GDPR). IP-адрес используется исключительно для формирования служебного уведомления и не сохраняется Оператором в исходном виде: системой хранения персональных данных выступает база данных, указанная в разделе 2 настоящей Политики, в которой IP-адрес фиксируется только в форме псевдонимизированного хеша (HMAC-SHA256 с ротируемым ключом). Уведомление является служебным каналом оперативного оповещения уполномоченного сотрудника.

До выражения согласия через баннер cookie: идентификатор сессии не создаётся, файлы cookie не устанавливаются, идентификация пользователя не производится. Данные обрабатываются в агрегированном виде и используются исключительно для подсчёта посещений и атрибуции рекламных источников. Правовое основание — законный интерес Оператора (ст. 6 ч. 1 п. 7 152-ФЗ; ст. 6(1)(f) GDPR), аналогично обработке серверных журналов доступа (access log).

После выражения согласия на аналитические cookie: к данным добавляется идентификатор сессии (хранится в sessionStorage браузера, не сохраняется между сеансами), что позволяет связывать события в рамках одного визита.

Срок хранения записей — не более 90 дней. Обработка осуществляется на собственном сервере Оператора без передачи третьим лицам.

Оператор не собирает специальные категории персональных данных (расовая принадлежность, политические взгляды, состояние здоровья, биометрические данные и т.п.) и не запрашивает данные несовершеннолетних.

4. Цели обработки персональных данных

Персональные данные обрабатываются исключительно в следующих целях:

1. обработка обращения Пользователя, направленного через формы Сайта или мессенджеры;
2. предоставление Пользователю информации об инвестиционной возможности и связанной программе резиденции на индивидуальной основе;
3. проведение процедур комплаенс и Know-Your-Customer (KYC) в случае выражения Пользователем намерения участвовать в инвестиционной сделке;
4. организация консультационных встреч, в том числе личных в Москве и онлайн-формате;
5. исполнение юридических обязательств Оператора, в том числе по законодательству Республики Маврикий;
6. анализ эффективности рекламных кампаний и улучшение качества Сайта;
7. анализ поведения посетителей Сайта, измерение конверсии форм обратной связи, оптимизация структуры интерфейса и содержания страниц, оценка эффективности рекламных каналов и кампаний;
8. защита прав и законных интересов Оператора.

5. Правовые основания обработки

Обработка персональных данных осуществляется на следующих правовых основаниях:

• согласие Субъекта персональных данных, выраженное путём заполнения формы на Сайте и проставления соответствующей отметки (п. 1 ч. 1 ст. 6 152-ФЗ; ст. 6(1)(a) GDPR);
• необходимость заключения и исполнения договора, инициатором которого выступает Субъект (п. 5 ч. 1 ст. 6 152-ФЗ; ст. 6(1)(b) GDPR);
• законные интересы Оператора по продвижению инвестиционного предложения, не нарушающие фундаментальных прав Субъекта (ст. 6(1)(f) GDPR);
• исполнение требований применимого законодательства (ст. 6(1)(c) GDPR).

6. Способы и сроки обработки

Обработка персональных данных осуществляется с использованием средств автоматизации и без таковых и включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

Сроки хранения:

• контактные данные неконвертированных обращений — 12 месяцев с даты получения;
• данные пользователей, прошедших процедуру KYC, — в течение срока действия инвестиционного соглашения и 5 лет после его прекращения (для целей AML/CFT);
• данные веб-аналитики Яндекс.Метрики — в анонимизированной форме 26 месяцев;
• данные веб-аналитики Google Analytics 4 (пользовательские и пользовательские/событийные данные) — 14 месяцев с последующим автоматическим удалением на стороне Google.

По истечении сроков либо при отзыве согласия персональные данные подлежат уничтожению или обезличиванию в течение 30 дней.

7. Передача данных третьим лицам

Оператор может передавать персональные данные следующим категориям третьих лиц с обеспечением договорных гарантий конфиденциальности:

• процессорам — поставщикам услуг хостинга, CRM, email-рассылок, телефонии (на основании договоров об обработке);
• поставщикам услуг веб-аналитики: ООО «ЯНДЕКС» (Яндекс.Метрика) и Google LLC, США (Google Analytics 4, а также диспетчер тегов Google Tag Manager) — как обработчикам по поручению Оператора на основании законного интереса Оператора; в части Google LLC применяется порядок трансграничной передачи, описанный в разделе 8;
• профессиональным консультантам Оператора (юристы, аудиторы, налоговые консультанты) — при наличии законной необходимости;
• государственным органам Республики Маврикий и Российской Федерации — при наличии законных требований;
• в случае реорганизации Оператора — правопреемнику.
• уполномоченным сотрудникам Оператора — посредством служебного бота в мессенджере Telegram (Telegram FZ-LLC) для целей оперативной обработки обращений; передаются служебные сведения о взаимодействии, IP-адрес Пользователя и вычисленные из него сведения о приблизительной геолокации, без специальных категорий персональных данных. Состав и правовое основание такой передачи раскрыты в разделе 3.4 настоящей Политики

Оператор не осуществляет продажу персональных данных. Передача данных в рекламных целях третьим лицам без отдельного согласия Пользователя не производится.

8. Трансграничная передача персональных данных

Обработка персональных данных Оператором осуществляется на территории Республики Маврикий. Маврикий внесён в перечень иностранных государств, обеспечивающих адекватную защиту персональных данных, в соответствии с Приказом Роскомнадзора. Для граждан РФ применяется механизм, описанный в разделе 2 настоящей Политики (первичное хранение в РФ).

При использовании системы веб-аналитики Google Analytics 4 осуществляется трансграничная передача автоматически собираемых данных (псевдонимного идентификатора браузера, технических и поведенческих параметров, описанных в разделе 3.3) в адрес Google LLC, Соединённые Штаты Америки. Соединённые Штаты Америки не входят в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждённый Роскомнадзором.

Технические данные запроса, обрабатываемые диспетчером тегов Google Tag Manager (см. раздел 3.3), также передаются в адрес Google LLC, Соединённые Штаты Америки на том же правовом основании и в усечённом / техническом виде, без персональных данных Пользователя.

Правовым основанием такой передачи является законный интерес Оператора по измерению эффективности Сайта и рекламных размещений (ст. 6 ч. 1 п. 7 152-ФЗ; ст. 6(1)(f) GDPR), не нарушающий фундаментальных прав Субъекта; передаются исключительно псевдонимизированные и технические данные в усечённом виде (anonymize_ip), без специальных категорий персональных данных. Пользователь вправе в любой момент возражать против такой обработки и прекратить передачу данных в Google LLC, установив браузерное дополнение Google Analytics Opt-out либо иными средствами, указанными в Политике использования файлов cookie. Соответствующие договорные гарантии конфиденциальности обеспечиваются условиями обработки данных Google (Google Ads Data Processing Terms).

9. Меры защиты персональных данных

Оператор применяет организационные и технические меры защиты персональных данных, включая:

• шифрование передачи данных по протоколу TLS 1.2+;
• ограничение доступа к данным по принципу минимально необходимого;
• учёт лиц, имеющих доступ к данным;
• регулярный аудит информационных систем;
• подписание соглашений о конфиденциальности (NDA) с сотрудниками и контрагентами;
• резервное копирование с шифрованием;
• процедуры реагирования на инциденты с уведомлением субъектов и регуляторов в случаях, предусмотренных законом.

10. Права субъекта персональных данных

Субъект персональных данных имеет право:

• получать информацию о факте обработки и составе данных;
• требовать уточнения, блокирования или уничтожения данных при их неполноте, устаревании или незаконности обработки;
• отзывать ранее данное согласие в любой момент;
• возражать против обработки на основании законных интересов;
• требовать переноса данных в машиночитаемом формате (право на переносимость);
• обжаловать действия Оператора в Роскомнадзоре (Россия), Data Protection Office (Маврикий) или ином компетентном надзорном органе.

Запрос направляется Оператору на адрес support@commerce.mu с приложением копии документа, удостоверяющего личность Субъекта, либо документа, подтверждающего полномочия представителя. Ответ предоставляется в течение 30 дней с даты получения запроса.

11. Файлы cookie и веб-аналитика

Сайт использует файлы cookie и системы веб-аналитики Яндекс.Метрика и Google Analytics 4 (Google LLC, США), а также диспетчер тегов Google Tag Manager (Google LLC, США) для управления загрузкой аналитических тегов. Обе аналитические системы используются при загрузке страницы на основании законного интереса Оператора; Пользователь вправе возражать против обработки и отказаться от сбора данных средствами, описанными в Политике использования файлов cookie. Подробное описание используемых cookie, провайдеров и порядка управления ими содержится в Политике использования файлов cookie.

12. Изменения настоящей Политики

Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция размещается по постоянному адресу /privacy с указанием даты вступления в силу. Существенные изменения сопровождаются дополнительным уведомлением Пользователей, оставивших email-адрес.