1.1. 本个人数据处理政策（以下简称 — 政策）由有限责任公司 «Atasuai»（BIN 250740015549，法律地址：050016，哈萨克斯坦共和国，阿拉木图市，库纳耶娃街，18/2）（以下简称 — 运营商，Atasuai）根据2013年5月21日第94-V号《哈萨克斯坦共和国个人数据及其保护法》（以下简称 — 法律）及其他哈萨克斯坦共和国的规范性法律文件制定和批准。

1.2. 政策的目的是在处理个人数据时，确保个人数据主体的权利和自由的保护，包括保护隐私权、个人和家庭秘密的权利，并确定使用Atasuai平台时个人数据处理的程序和条件。

1.3. 政策适用于Atasuai在使用过程中可能获得的关于个人数据主体的所有信息，包括个人数据：

• 网站 https://atasuai.com及其服务（以下简称 — 网站）；

• 子域名和单独的服务，包括市场、经销商店铺展示、个人账户、POS服务（以下统称 — 服务）；

• Atasuai的移动应用程序（如适用）和/或与订单服务和合作伙伴互动相关的应用程序（以下简称 — 应用程序）。

1.4. 政策是（或与）发布在legal.atasuai.com上的文件的一部分，包括（但不限于）：

• 平台使用条款（Terms of Service）；

• 用户协议；

• 卖家协议；

• 经销商协议；

• 支付政策和结算程序；

• 退货和退款政策；

• POS系统使用条款。

通过注册/登录、下订单、创建展示、使用POS或其他功能，用户确认已了解政策，并同意按照本政策中规定的范围和目的处理个人数据，除非法律另有规定。

1.5. 政策在以下地址公开发布：https://legal.atasuai.com/privacy（或[您的URL]），并且是公开文件。

1.6. 术语：

• 个人数据 — 与特定或可识别的个人数据主体相关的信息。

• 个人数据主体 — 个人数据所涉及的自然人。

• 运营者 — 组织和实施个人数据处理、确定数据目的和组成的人。

• 个人数据处理 — 对个人数据进行的任何操作（收集、记录、系统化、存储、修改、使用、传输、去标识化、阻止、删除、销毁）。

• 自动化处理 — 使用计算技术进行的处理。

• 处理者 — 根据合同由运营者委托处理个人数据的人。

• 跨境传输 — 将个人数据传输到外国国家的领土（如有）。

2.1. Atasuai 可以处理以下类别主体的个人数据：

• 买家（下订单的用户）；

• 卖家（商家/店铺，销售商品）；

• 制造商/供应商（在批发/合作场景中，如适用）；

• 转售商（提供在线展示/店铺的用户）；

• 网站访客（未注册）；

• 法人代表（合同方的联系人）；

• POS系统用户（收银员/店铺管理员）。

2.2. 处理的个人数据的典型组成（取决于角色和场景）：

• 姓名（如有必要）；

• 电话号码，电子邮件地址；

• 送货地址/位置（用于送货/退货）；

• 订单数据（组成，成本，状态，退货）；

• 账户标识符（用户ID，登录名，令牌）；

• 支付数据，范围为支付/退货所需（Atasuai 不存储完整的银行卡信息，如果处理是通过支付合作伙伴/收单行进行的；此时可以处理掩码数据，交易标识符，支付/退货状态）；

• POS操作数据（收据，项目，金额，时间，收银机/销售点）；

• 技术数据：IP地址，cookies，用户代理，语言，设备/操作系统类型，网站上的操作信息，诊断日志；

• 支持通信和请求，电话记录（如果启用并单独通知/在界面中）；

• 用于识别/验证卖家/转售商的文件（如适用）：身份证扫描/照片，企业注册信息，凭证，授权书和其他文件 — 仅在必要时并在法律和内部KYC/AML程序规定的范围内。

2.3. Atasuai 不处理特殊类别的个人数据（种族、政治观点、宗教、健康、私生活），除非哈萨克斯坦共和国法律明确规定的情况。

2.4. 生物识别数据（如果将来会使用）仅在有合法依据和根据法律单独签署的同意/程序的情况下处理。

3.1. Atasuai 仅为特定的、预先确定的和合法的目的处理个人数据，包括：

• 用户账户的注册和管理；

• 提供对平台功能的访问（市场、转售商展示、个人账户、POS）；

• 订单、交付、退货和查询的处理和执行；

• 支付、退款和交易记录的处理；

• 与用户的沟通（订单通知、交付/退货状态、支持消息）；

• 防止欺诈、滥用，确保服务安全；

• 遵守哈萨克斯坦共和国的法律要求（税务/财务记录，回应授权机构的请求）；

• 提高服务质量，分析用户体验，诊断错误；

• 进行广告和信息交流（营销）— 仅在有相应的合法依据/同意的情况下进行。

4.1. 处理个人数据的法律依据是：

• 哈萨克斯坦共和国宪法；

• 哈萨克斯坦共和国民法典；

• 哈萨克斯坦共和国第94-V号法律《个人数据及其保护》；

• 哈萨克斯坦共和国《信息化法》及其他适用的法规；

• 与个人数据主体签订的合同和协议（用户协议、卖家/经销商协议、POS条款等）；

• 个人数据主体的同意（在法律要求的情况下）；

• 哈萨克斯坦共和国法律规定的其他合法依据。

5.1. 个人数据的处理是在使用自动化手段和不使用此类手段的情况下进行的。

5.2. Atasuai 获取个人数据：

• 直接从主体获取（注册、下订单、填写资料）；

• 在使用网站/应用程序时自动获取（cookies，日志）；

• 从合作伙伴处获取，当需要执行订单/退货时（例如，从物流合作伙伴处获取的送货状态）— 在必要范围内。

5.3. 个人数据的访问仅提供给Atasuai的授权员工和/或处理人员，遵循«必要访问»原则（need-to-know）。

5.4. 个人数据的存储时间不超过处理目的所需的时间，或法律/合同规定的期限。在达到目的后，数据将被销毁或匿名化，除非法律另有要求。

5.5. 数据库的放置和存储：Atasuai 采取措施遵守关于在哈萨克斯坦共和国境内本地化/存储个人数据的法律要求，在法律规定的情况下。（云：yandex.cloud.almaty）

6.1. Atasuai 仅在为实现处理目的所需的范围内向第三方传递个人数据，包括：

• 卖家/经销商 — 执行订单、交付、退货、沟通所需的数据（例如，联系方式和送货地址）；

• 物流合作伙伴（例如，QazPost/快递服务）— 交付/退货和跟踪所需的数据（姓名/电话/地址/发货ID）；

• 支付合作伙伴/收单银行（例如，Visa/Mastercard 收单，Freedom Bank，Halyk Bank 等）— 进行支付/退款和遵守支付系统规则所需的数据（交易标识符、金额、状态、掩码信息等）；

• IT基础设施提供商（托管、云服务、分析、推送通知、SMS/e-mail提供商）— 仅作为合同处理者并在最低必要范围内；

• 政府机关 — 根据合法请求并按照哈萨克斯坦共和国法律规定的程序。

6.2. 个人数据的传输通过安全通信渠道进行和/或使用加密，除非法律另有规定。

6.3. 跨境个人数据传输（如适用）在具备合法依据并遵守哈萨克斯坦共和国法律要求的情况下进行。（如果您没有，可以添加：“atasuai 不进行跨境传输，除非使用特定服务提供商…”。）

7.1. atasuai 使用 cookies 和技术标识符用于：

• 确保网站/应用程序的正常运行；

• 保存设置和会话；

• 提高安全性；

• 分析和改善用户体验。

7.2. 用户可以在浏览器设置中限制 cookies 的使用，但这可能会影响某些功能的正常工作。

8.1. atasuai 采取必要的组织和技术措施来保护个人数据免受未经授权的访问、更改、披露、销毁，包括（但不限于）：

• HTTPS/传输通道加密；

• 访问权限划分；

• 操作日志记录和监控；

• 备份；

• 定期更新和安全审计；

• 员工培训。

9.1. 个人数据主体有权：

• 获取其个人数据处理的信息；

• 在有理由的情况下，要求更正、阻止或销毁数据；

• 撤回对处理的同意（在处理基于同意的情况下）；

• 其他由哈萨克斯坦共和国法律规定的权利。

9.2. 撤回同意/要求停止处理可能导致无法使用平台的某些功能，在某些情况下—删除账户（如果没有数据处理则无法提供服务）。

10.1. atasuai 有权单方面更改政策，以根据法律和/或平台业务流程的变化进行更新。

10.2. 新版本自发布在 legal.atasuai.com 上之时生效，除非新版本中另有说明。