Дата последнего обновления: 17 апреля 2026 г.
Дата вступления в силу: 17 апреля 2026 г.
Настоящая Политика конфиденциальности («Политика») подготовлена компанией CarbonSmart Teknoloji ve Danışmanlık A.Ş. («CarbonSmart», «Компания», «мы») с целью разъяснения целей, правовых оснований и порядка обработки персональных данных, получаемых в связи с маркетинговым веб-сайтом по адресу carbonsmart.io и услугами программного обеспечения для углеродного учёта и управления устойчивым развитием, предоставляемыми через app.carbonsmart.io («Платформа» или «Услуга»); третьих лиц, которым такие данные передаются; а также прав субъектов данных и порядка реализации этих прав. Политика подготовлена в соответствии с применимым законодательством, включая турецкий закон о защите данных (KVKK) (Закон № 6698 о защите персональных данных), Сообщение о порядке и принципах исполнения обязанности по информированию и Положение о стирании, уничтожении или анонимизации персональных данных; в отношении субъектов данных, проживающих в Европейском союзе, — в соответствии с Регламентом (ЕС) 2016/679 (GDPR); а в отношении субъектов данных, проживающих в Соединённом Королевстве, — в соответствии с UK GDPR.
1. ИДЕНТИФИКАЦИЯ ОПЕРАТОРА ДАННЫХ
1.1. Юридическое лицо, выступающее оператором данных в соответствии с KVKK, указано ниже:
Наименование: CarbonSmart Teknoloji ve Danışmanlık A.Ş.
Головной офис: Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906, Türkiye
Офис в Стамбуле: A+Live Plaza, Barbaros Mahallesi, Begonya Sokak No:7, Ataşehir/İstanbul 34746, Türkiye
Офис в Лондоне: 2 Eastbourne Terrace, London W2 6LG, United Kingdom
Контактная электронная почта: info@carbonsmart.io
Веб-адрес: https://carbonsmart.io
1.2. В объёме, требуемом для субъектов данных, проживающих в Европейском союзе, в соответствии со статьёй 27 GDPR назначен представитель в ЕС, контактные данные которого можно запросить по адресу info@carbonsmart.io.
2. ОПРЕДЕЛЕНИЯ
2.1. В настоящей Политике используются следующие термины:
(а) Персональные данные: любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу;
(б) Специальные категории персональных данных: данные, перечисленные в статье 6 KVKK;
(в) Обработка: такие операции, как сбор, запись, хранение, сохранение, изменение, реорганизация, раскрытие, передача, получение, обеспечение доступности, классификация или предотвращение использования персональных данных, осуществляемые полностью или частично автоматизированными средствами либо неавтоматизированными средствами при условии, что они являются частью системы хранения данных;
(г) Субъект данных: физическое лицо, чьи персональные данные обрабатываются;
(д) Заказчик: юридическое лицо или коммерческое предприятие (юридическое или физическое лицо), заключившее с CarbonSmart договор о подписке в письменной или электронной форме;
(е) Конечный пользователь: физическое лицо, которое использует Платформу от имени или за счёт Заказчика;
(ж) Данные Платформы: любые бизнес-данные, загруженные на Платформу Заказчиком или Конечным пользователем;
имеют значения, указанные выше.
3. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Учитывая характер предоставляемой Услуги, CarbonSmart обрабатывает следующие категории персональных данных:
3.1.1. Идентификационные данные: имя, фамилия, должность, подпись (включая электронную подпись).
3.1.2. Контактные данные: корпоративный адрес электронной почты, номер телефона, рабочий адрес, адрес зарегистрированной электронной почты (KEP).
3.1.3. Данные о клиентских операциях: информация о подписке, данные о счетах и платежах (полный номер карты не сохраняется; сохраняются маскированные ссылочные данные, удерживаемые поставщиком платёжных услуг), история заказов, договорные записи.
3.1.4. Финансовые данные: IBAN, адрес выставления счетов, налоговый номер/налоговая инспекция, история платежей.
3.1.5. Данные о действиях пользователя: создание учётной записи, журналы входов/выходов, IP-адрес, идентификаторы сеансов, тип браузера, информация об устройстве, операционная система, аналитика использования, следы переходов и навигации внутри модулей, журналы вызовов API.
3.1.6. Маркетинговые и рекламные данные: статус подписки на рассылку, журналы открытий/переходов в электронных письмах, содержание формы запроса демонстрации, регистрационная информация о мероприятиях.
3.1.7. Данные файлов cookie: данные, полученные посредством строго необходимых, функциональных, аналитических и маркетинговых файлов cookie. Подробности см. в Политике в отношении файлов cookie.
3.1.8. Данные о поддержке и коммуникациях: содержание обращений в поддержку, записи онлайн-чатов, записи видеоконференций (только при наличии предварительного уведомления и согласия сторон).
3.1.9. Данные о юридических операциях и соответствии: договоры, документы уполномоченных представителей, обращения по KVKK, материалы судебных дел.
3.1.10. Данные третьих лиц, загруженные на Платформу Заказчиком: персональные данные представителей поставщиков, сотрудников или иных третьих лиц, загруженные на Платформу Заказчиком в связи с углеродным учётом, отчётностью EU CBAM, расчётами PCF/LCA/EPD, отчётностью по устойчивому развитию TSRS/CSRD/GRI и модулями водного следа («Персональные данные Платформы»). В отношении таких данных CarbonSmart выступает обработчиком данных в значении статьи 3 KVKK и обработчиком (processor) в значении статьи 28 GDPR; применяется отдельное Соглашение об обработке данных (DPA).
3.2. CarbonSmart обязуется не обрабатывать специальные категории персональных данных, кроме случаев, когда это необходимо для функционирования Платформы. В случае загрузки Заказчиком на Платформу специальных категорий персональных данных ответственность за их обработку несёт Заказчик, как это установлено Условиями обслуживания.
4. СПОСОБЫ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Персональные данные собираются (а) непосредственно от субъекта данных через интерфейсы Платформы, веб-формы, взаимодействие в мобильном/настольном браузере, электронную почту и каналы поддержки; (б) через представителей, уполномоченных Заказчиком; (в) посредством интеграций через API и подключений SSO; (г) через физически подписанные договоры, формы и документы; (д) в рамках мероприятий, выставок, демонстрационных встреч и переговоров о продажах B2B; (е) автоматически — посредством файлов cookie, пикселей и аналогичных технологий; (ж) через запросы или уведомления государственных органов или иных компетентных организаций в рамках юридических обязательств.
5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Персональные данные обрабатываются в соответствии со статьёй 4 KVKK законным и добросовестным образом, в определённых, явных и легитимных целях, в порядке, связанном с целями обработки, ограниченном и соразмерном им, и только в течение срока, предусмотренного применимым законодательством. Основными целями обработки являются:
5.1.1. Заключение и исполнение договора подписки, создание и управление учётной записью.
5.1.2. Предоставление, развитие и совершенствование продуктов и модулей Платформы (CCFP, CBAM, PCF, LCA & EPD, TSRS/CSRD/GRI, водный след).
5.1.3. Ведение процессов выставления счетов, инкассации, бухгалтерского учёта и финансов.
5.1.4. Оказание услуг клиентской поддержки и обработка запросов и жалоб.
5.1.5. Ведение процессов информационной и кибербезопасности; выявление и предотвращение несанкционированного доступа.
5.1.6. Управление процессами непрерывности бизнеса и резервного копирования.
5.1.7. Исполнение юридических обязательств (включая налоговые, бухгалтерские, KVKK, TSRS и обязательства по соответствию отчётности).
5.1.8. Корпоративные коммуникации, маркетинг и рекламная деятельность; отправка коммерческих электронных сообщений осуществляется при условии получения явного согласия в соответствии с Законом об электронной коммерции № 6563.
5.1.9. Анализ пользовательского опыта и производительности Платформы и развитие продуктовой дорожной карты (с предпочтением агрегированных/анонимизированных данных).
5.1.10. Управление юридическими спорами; ведение судебных, исполнительных и официальных процессов по запросам.
5.1.11. Внутренний аудит, управление рисками, комплаенс и деятельность системы менеджмента информационной безопасности (с целью соответствия ISO 27001).
6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ
6.1. Персональные данные обрабатываются на следующих правовых основаниях в соответствии со статьями 5 и 6 KVKK и статьями 6 и 9 GDPR:
6.1.1. Необходимость обработки персональных данных сторон при условии, что она напрямую связана с заключением или исполнением договора (ст. 5/2-в KVKK; ст. 6/1-b GDPR).
6.1.2. Необходимость для исполнения оператором данных юридических обязательств (ст. 5/2-г KVKK; ст. 6/1-c GDPR).
6.1.3. Необходимость для установления, осуществления или защиты права (ст. 5/2-д KVKK; ст. 6/1-f GDPR — законный интерес).
6.1.4. Необходимость для законных интересов оператора данных при условии, что не нарушаются основополагающие права и свободы субъекта данных (ст. 5/2-е KVKK; ст. 6/1-f GDPR) — например, безопасность, противодействие мошенничеству и повышение качества услуг.
6.1.5. Прямо предусмотрено законом (ст. 5/2-а KVKK).
6.1.6. В случаях, когда указанные выше правовые основания неприменимы, — явное согласие субъекта данных (ст. 5/1 и ст. 6/2 KVKK; ст. 6/1-a GDPR).
6.2. В случае обработки на основании явного согласия субъект данных имеет право в любое время отозвать согласие. Отзыв согласия не влияет на правомерность обработки, осуществлённой до его отзыва.
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Передача внутри страны. Персональные данные могут передаваться в рамках статьи 8 KVKK юридическим, финансово-консультационным и аудиторским фирмам, услугами которых пользуется Компания; поставщикам хостинга, кибербезопасности, клиентской поддержки и CRM-программного обеспечения; поставщикам платёжных услуг и банкам; а также государственным органам, уполномоченным законом (например, Министерству финансов и казначейства, Управлению социального страхования, Налоговому управлению, Управлению по защите персональных данных, судебным органам).
7.2. Трансграничная передача. CarbonSmart использует Amazon Web Services (AWS, регионы Франкфурта и Ирландии) и при необходимости Google Cloud Platform для инфраструктуры хостинга; Google Workspace и таких поставщиков, как SendGrid/Mailgun, для инфраструктуры электронной почты и коммуникаций; Plausible Analytics, ориентированный на конфиденциальность (на инфраструктуре в ЕС), для аналитики продукта; Sentry — для мониторинга ошибок; Intercom/HubSpot — для клиентской поддержки; HubSpot — для автоматизации маркетинга; LinkedIn Insight Tag — для маркетинга B2B. Кроме того, могут осуществляться внутригрупповые операционные передачи в лондонский офис (Соединённое Королевство). Трансграничные передачи осуществляются в рамках статьи 9 KVKK и сопутствующего Положения 2024 года с использованием подходящего из следующих способов:
(а) передача получателям, расположенным в странах, признанных Управлением обеспечивающими адекватный уровень защиты;
(б) передача на основании стандартных договорных положений с уведомлением Управления;
(в) обязательные корпоративные правила; либо
(г) явное согласие в исключительных случаях.
Для передач данных в ЕС/Великобританию применяются статья 44 и последующие статьи GDPR и Стандартные договорные положения Европейской комиссии (2021/914).
7.3. CarbonSmart публикует актуальный список субобработчиков по запросу Заказчиков и/или на странице центра доверия, такой как trust.carbonsmart.io.
8. СРОКИ ХРАНЕНИЯ
8.1. Персональные данные хранятся в течение срока, необходимого для цели обработки, и в течение минимальных сроков, предусмотренных применимым законодательством. Основные сроки хранения следующие:
8.1.1. Бухгалтерские книги и записи: 10 лет в соответствии со статьёй 82 Турецкого торгового кодекса.
8.1.2. Документы по Закону о налоговом порядке: 5 лет.
8.1.3. Договорные и коммерческие коммуникационные записи: 10 лет с момента прекращения договора (срок исковой давности по ст. 146 Турецкого обязательственного кодекса).
8.1.4. Учётные записи подписки и контент Платформы: на срок подписки и в течение 90 дней льготного периода после её прекращения с последующим окончательным удалением (с сохранением права Заказчика на перенос данных).
8.1.5. Обращения в поддержку: 3 года с даты закрытия.
8.1.6. Маркетинговые согласия и записи о согласиях: 3 года в соответствии с Законом № 6563 и записи системы IYS.
8.1.7. Журналы и записи безопасности: не менее 2 лет в соответствии с Законом № 5651 и сопутствующими нормативными актами.
8.1.8. Данные на основе файлов cookie: сроки, указанные в Политике в отношении файлов cookie.
8.2. Данные, срок хранения которых истёк, удаляются, уничтожаются или анонимизируются в периодических циклах утилизации в рамках Политики хранения и утилизации персональных данных.
9. ПРАВА СУБЪЕКТА ДАННЫХ
9.1. В соответствии со статьёй 11 KVKK субъект данных может обратиться в CarbonSmart и реализовать в отношении себя следующие права:
(а) узнать, обрабатываются ли его персональные данные;
(б) запросить информацию, если его персональные данные обрабатывались;
(в) узнать цель обработки персональных данных и используются ли данные в соответствии с этой целью;
(г) знать о третьих лицах, которым персональные данные передаются внутри страны или за рубежом;
(д) требовать исправления персональных данных, если они были обработаны не полностью или некорректно;
(е) требовать удаления или уничтожения персональных данных в соответствии с условиями, предусмотренными статьёй 7 KVKK;
(ж) требовать уведомления третьих лиц, которым были переданы персональные данные, о действиях, предпринятых согласно пунктам (д) и (е);
(з) возражать против возникновения для лица неблагоприятных последствий в результате анализа обрабатываемых данных исключительно автоматизированными системами;
(и) требовать возмещения ущерба, понесённого вследствие незаконной обработки персональных данных.
9.2. Субъекты данных, проживающие в ЕС/Великобритании, дополнительно обладают правами по статьям 15–22 GDPR, включая права на переносимость данных и на возражение против обработки.
10. МЕРЫ БЕЗОПАСНОСТИ
10.1. В рамках своей цели соответствия стандарту системы менеджмента информационной безопасности ISO/IEC 27001 CarbonSmart внедряет и постоянно пересматривает следующие административные и технические меры:
10.1.1. Контроль доступа, авторизация на основе ролей и разрешений, принцип минимальных привилегий.
10.1.2. Шифрование данных в передаче с использованием TLS 1.2/1.3 и данных в хранении с использованием AES-256.
10.1.3. Многофакторная аутентификация и опции интеграции корпоративного SSO.
10.1.4. Мониторинг безопасности, решения SIEM, тестирование на проникновение и сканирование уязвимостей.
10.1.5. Безопасность кода, проверка безопасности в рамках SDLC и сканирование зависимостей.
10.1.6. Планы аварийного восстановления и непрерывности бизнеса с регулярным резервным копированием.
10.1.7. Регулярное обучение сотрудников по KVKK и информационной безопасности и обязательства о неразглашении.
10.1.8. Оценка рисков поставщиков, соглашения об обработке данных и процедуры утверждения субобработчиков.
10.2. В случае выбора Заказчиками развёртывания VPC или On-Premise меры безопасности адаптируются к соответствующей технической архитектуре, и предоставляется отдельная документация по безопасности.
11. ФАЙЛЫ COOKIE
11.1. CarbonSmart использует файлы cookie и аналогичные технологии отслеживания в целях, включающих управление сеансами, безопасность, запоминание пользовательских предпочтений, анализ статистики использования и маркетинг B2B. Подробная информация о типе, сроке действия, цели и сторонних поставщиках файлов cookie, а также инструкции по управлению файлами cookie приведены в Политике в отношении файлов cookie.
12. ПЕРСОНАЛЬНЫЕ ДАННЫЕ ДЕТЕЙ
12.1. Услуга, предлагаемая CarbonSmart, носит характер B2B и не направлена на лиц, не достигших 18 лет. CarbonSmart сознательно не собирает персональные данные у детей. Родители/опекуны, полагающие, что персональные данные ребёнка были переданы на Платформу без их ведома или согласия, могут обратиться по адресу info@carbonsmart.io с требованием удаления данных.
13. ИНТЕГРАЦИИ С ТРЕТЬИМИ ЛИЦАМИ
13.1. Заказчик может интегрировать Платформу со сторонними системами (ERP, EBYS, бухгалтерское программное обеспечение, платформы цепочек поставок, поставщики единого входа (SSO), API-клиенты). Совместное использование данных, происходящее посредством этих интеграций, осуществляется по указанию Заказчика и под его ответственность. CarbonSmart не несёт ответственности за практики конфиденциальности сторонних поставщиков услуг.
14. АВТОМАТИЗИРОВАННОЕ ПРИНЯТИЕ РЕШЕНИЙ И ПРОФИЛИРОВАНИЕ
14.1. CarbonSmart использует аналитические компоненты с поддержкой ИИ в таких процессах, как расчёты углеродного следа, валидация данных и категоризация выбросов; однако эти процессы не представляют собой исключительно автоматизированное принятие индивидуальных решений, порождающее юридические последствия для субъектов данных или оказывающее на них аналогичное существенное воздействие. Результаты Платформы проверяются и утверждаются Заказчиком.
15. УВЕДОМЛЕНИЕ О НАРУШЕНИИ БЕЗОПАСНОСТИ ДАННЫХ
15.1. В случае несанкционированного раскрытия, доступа или утраты персональных данных уведомление направляется в Управление по защите персональных данных в соответствии со ст. 12/5 KVKK в кратчайшие сроки и в любом случае в течение 72 часов; пострадавшие субъекты данных также информируются в разумный срок. Для субъектов данных в ЕС/Великобритании применяются процессы уведомления, предусмотренные статьями 33–34 GDPR.
16. ИЗМЕНЕНИЯ В ПОЛИТИКЕ
16.1. CarbonSmart может время от времени обновлять настоящую Политику. Актуальная версия публикуется по адресу carbonsmart.io/legal-privacy. О существенных изменениях сообщается посредством уведомления внутри Платформы и/или электронной почты. Продолжение использования Платформы после внесения изменений означает принятие обновлённой Политики.
17. КОНТАКТЫ И ОБРАЩЕНИЯ
17.1. Субъекты данных могут использовать следующие каналы для реализации своих прав по KVKK и подачи любых вопросов или запросов в отношении настоящей Политики:
Адрес: CarbonSmart Teknoloji ve Danışmanlık A.Ş., Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906
Электронная почта: info@carbonsmart.io
Веб-сайт: carbonsmart.io/legal-privacy
17.2. Обращения могут быть поданы в письменной форме, через адрес KEP, посредством защищённой электронной подписи, мобильной подписи или с адреса электронной почты, ранее сообщённого субъектом данных CarbonSmart и зарегистрированного в нашей системе. Соответствие обращения процедурным требованиям оценивается в соответствии с положениями Сообщения о порядке и принципах обращения к оператору данных.
