Настоящее Поручение на обработку персональных данных является неотъемлемой частью Публичной оферты на предоставление доступа к white label SaaS-платформе Фудонавт, размещённой по адресу: /api/legal/offer.
Настоящее Поручение определяет порядок обработки персональных данных, осуществляемой Индивидуальным предпринимателем Ивановой Мариной Александровной, ИНН 503406310122, далее — «Исполнитель», по поручению Заказчика в рамках использования Платформы.
1.1. Исполнитель — Индивидуальный предприниматель Иванова Марина Александровна, ИНН 503406310122, предоставляющий Заказчику доступ к программной платформе Фудонавт и осуществляющий обработку персональных данных конечных пользователей по поручению Заказчика.
1.2. Заказчик — ресторан, кафе, служба доставки, индивидуальный предприниматель, юридическое лицо или иной субъект, акцептовавший Публичную оферту Исполнителя и использующий Платформу.
1.3. Платформа — программный комплекс Фудонавт, предоставляемый по модели SaaS, включающий сайт, мобильное приложение, административную панель, модули меню, заказов, пользователей, уведомлений, интеграций, аналитики, программы лояльности и иные технические функции.
1.4. Конечный пользователь — физическое лицо, использующее сайт или мобильное приложение Заказчика для просмотра меню, оформления заказа, оплаты заказа, участия в программе лояльности, получения уведомлений или иных действий.
1.5. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
1.6. Оператор персональных данных — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.7. Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
2.1. Заказчик является оператором персональных данных конечных пользователей, оформляющих заказы через сайт или мобильное приложение Заказчика.
2.2. Исполнитель осуществляет обработку персональных данных конечных пользователей по поручению Заказчика в объёме и целях, необходимых для технического обеспечения работы Платформы.
2.3. Исполнитель не определяет самостоятельно цели обработки персональных данных конечных пользователей. Исполнитель не является продавцом товаров, исполнителем услуг общественного питания, службой доставки или платёжным агентом.
2.4. Заказчик несёт ответственность за наличие законных оснований для обработки персональных данных конечных пользователей, за получение необходимых согласий и за соответствие обработки требованиям законодательства.
2.5. В отношении персональных данных представителей и сотрудников Заказчика Исполнитель выступает самостоятельным оператором персональных данных в объёме, необходимом для заключения и исполнения договора.
3.1. Заказчик поручает Исполнителю обработку персональных данных конечных пользователей. Исполнитель обязуется осуществлять обработку в соответствии с настоящим Поручением, Публичной офертой, Политикой обработки персональных данных и требованиями законодательства Российской Федерации.
3.2. Обработка персональных данных осуществляется только в объёме, необходимом для технического обеспечения работы Платформы: функционирования сайта и мобильного приложения Заказчика; работы административной панели; взаимодействия через API; работы модулей заказов, пользователей, уведомлений, интеграций, аналитики и программы лояльности.
3.3. Исполнитель не вправе использовать персональные данные конечных пользователей в собственных целях, не предусмотренных настоящим Поручением и договором с Заказчиком, за исключением обработки обезличенных данных для аналитики, диагностики и обеспечения безопасности Платформы, а также в случаях, прямо предусмотренных законодательством.
4.1. Конечные пользователи Заказчика — физические лица, использующие сайт или мобильное приложение Заказчика: просматривающие меню, оформляющие заказы, производящие оплату, участвующие в программах лояльности, получающие уведомления, обращающиеся в поддержку.
4.2. Получатели заказов — физические лица, указанные конечным пользователем в качестве получателя заказа (при доставке в пользу третьего лица): данные передаются конечным пользователем при оформлении заказа.
4.3. Представители Заказчика — сотрудники и уполномоченные лица Заказчика, имеющие доступ к административной панели Платформы; обрабатываются Исполнителем как самостоятельным оператором.
5.1. Данные конечных пользователей могут включать: фамилию, имя, отчество; номер телефона; адрес электронной почты; адрес доставки (улица, дом, подъезд, этаж, квартира, домофон, комментарий к адресу); историю заказов (состав заказа, стоимость, способ доставки, статус заказа); использованные промокоды; данные программы лояльности (бонусные баллы, история начисления и списания); push-токены устройств; идентификатор устройства; IP-адреса; файлы cookie; данные об устройстве, операционной системе, браузере; журналы взаимодействия с Платформой; обращения в поддержку.
5.2. Технические данные об оплате. Исполнитель не хранит данные банковских карт конечных пользователей. Обработка карточных данных осуществляется платёжными провайдерами напрямую. Платформа обрабатывает только следующие технические сведения о платёжных операциях: идентификатор заказа; сумма платежа; статус оплаты; идентификатор платежа (присваивается платёжным провайдером); дата и время платежа; способ оплаты (категория); технический ответ платёжного провайдера; признак успешной или неуспешной оплаты.
5.3. Данные представителей Заказчика могут включать: фамилию, имя, отчество; должность; номер телефона; адрес электронной почты; логин в административной панели; хэш пароля; историю входов в систему; IP-адреса при входе; данные об устройстве и браузере; историю действий в административной панели; переписку с технической поддержкой.
6.1. Исполнитель обрабатывает персональные данные конечных пользователей в следующих целях:
7.1. Исполнитель вправе совершать следующие действия с персональными данными конечных пользователей:
7.2. Обработка осуществляется как с использованием средств автоматизации, так и без их использования.
8.1. Заказчик обязан обеспечить законные основания для обработки персональных данных конечных пользователей Исполнителем.
8.2. Заказчик обязан разместить на сайте и в приложении собственную политику обработки персональных данных, пользовательское соглашение и иные документы, предусмотренные применимым законодательством.
8.3. Заказчик обязан получить согласия конечных пользователей на обработку персональных данных в объёме, предусмотренном настоящим Поручением, и отдельные согласия на маркетинговые рассылки там, где это требует законодательство.
8.4. Заказчик обязан отвечать на запросы субъектов персональных данных, касающиеся данных конечных пользователей; обеспечивать достоверность передаваемых данных; не передавать Исполнителю данные, обработка которых незаконна; не передавать специальные категории персональных данных или биометрические данные без предварительного письменного согласования с Исполнителем; уведомлять Исполнителя о запросах на удаление или изменение данных, исполнение которых требует технических действий Исполнителя.
9.1. Исполнитель обязан осуществлять обработку персональных данных только в целях, предусмотренных настоящим Поручением, Публичной офертой и законодательством.
9.2. Исполнитель обязан принимать необходимые правовые, организационные и технические меры по защите персональных данных.
9.3. Исполнитель обязан обеспечивать конфиденциальность персональных данных.
9.4. Исполнитель обязан ограничивать доступ к персональным данным кругом лиц, которым такой доступ необходим для исполнения их функций.
9.5. Исполнитель обязан оказывать Заказчику техническое содействие в удалении, блокировании и выгрузке персональных данных конечных пользователей в разумные сроки.
9.6. Исполнитель вправе отказать в исполнении поручения, если оно противоречит законодательству Российской Федерации или условиям настоящего Поручения.
10.1. Исполнитель реализует следующие меры по защите персональных данных:
11.1. Исполнитель вправе привлекать субобработчиков для обработки персональных данных в целях обеспечения технического функционирования Платформы.
11.2. К типам привлекаемых субобработчиков могут относиться: хостинг-провайдеры и провайдеры облачных хранилищ; сервисы push-уведомлений; SMS-провайдеры; e-mail-сервисы; платёжные провайдеры и эквайринговые организации; картографические сервисы; аналитические системы; системы мониторинга и диагностики; сервисы автоматизации ресторанного бизнеса (iiko, r_keeper и аналогичные); иные технические сервисы, необходимые для работы Платформы.
11.3. Конкретный перечень субобработчиков зависит от тарифа Заказчика, выбранных им настроек и подключённых интеграций.
11.4. Передача данных субобработчикам осуществляется в объёме, минимально необходимом для достижения соответствующей цели.
11.5. Исполнитель принимает меры по обеспечению конфиденциальности персональных данных при их передаче субобработчикам.
12.1. В рамках использования Платформы возможна трансграничная передача персональных данных при взаимодействии с сервисами Apple (APNs, App Store), Google (Firebase Cloud Messaging, Google Play), а также иными международными техническими сервисами.
12.2. Трансграничной передаче могут подвергаться: push-токены устройств; идентификаторы устройств; IP-адреса; технические параметры устройств и операционных систем.
12.3. Исполнитель принимает меры по обеспечению правомерности трансграничной передачи в соответствии с требованиями законодательства Российской Федерации.
12.4. Заказчик обязан учитывать возможность трансграничной передачи данных конечных пользователей при формировании собственных документов по обработке персональных данных.
13.1. Исполнитель принимает меры по обеспечению записи, систематизации, накопления, хранения, уточнения и извлечения персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации.
13.2. Использование иностранных технических сервисов допускается в случаях, предусмотренных законодательством Российской Федерации о персональных данных.
14.1. Исполнитель обрабатывает персональные данные конечных пользователей в течение срока действия договора с Заказчиком.
14.2. После прекращения договора Заказчик вправе в течение 30 календарных дней запросить выгрузку данных конечных пользователей.
14.3. По истечении 30-дневного срока или после выполнения поручения об удалении Исполнитель вправе удалить персональные данные конечных пользователей, если их дальнейшее хранение не требуется по закону или для защиты прав Исполнителя или Заказчика.
14.4. Резервные копии данных могут храниться в течение срока, предусмотренного внутренними регламентами Исполнителя по резервному копированию, но не более срока, предусмотренного законодательством.
15.1. Исполнитель вправе перенаправить запрос субъекта персональных данных, касающийся данных конечных пользователей, Заказчику как оператору персональных данных.
15.2. Заказчик как оператор персональных данных самостоятельно рассматривает запросы конечных пользователей и несёт ответственность за их исполнение в сроки и порядке, предусмотренных законодательством.
15.3. Исполнитель оказывает Заказчику техническое содействие в исполнении запросов субъектов персональных данных, требующих действий со стороны Исполнителя.
16.1. Заказчик вправе направить Исполнителю поручение об удалении, изменении или выгрузке персональных данных конкретного конечного пользователя.
16.2. Исполнитель исполняет такое поручение при условии, что оно не противоречит законодательству, не нарушает права третьих лиц, является технически исполнимым, не угрожает безопасности Платформы и не препятствует исполнению Исполнителем обязанностей, установленных законодательством.
16.3. Удаление персональных данных может быть ограничено в случаях, когда данные необходимы для выполнения требований законодательства в сфере бухгалтерского учёта и налогообложения, для урегулирования споров, противодействия мошенничеству или защиты прав и законных интересов Исполнителя или Заказчика.
17.1. В случае выявления инцидента в сфере информационной безопасности, затрагивающего персональные данные, Исполнитель принимает меры по локализации, расследованию и устранению инцидента.
17.2. Исполнитель уведомляет Заказчика об инциденте в разумный срок с момента его обнаружения в объёме, достаточном для принятия Заказчиком необходимых мер.
17.3. Заказчик как оператор персональных данных несёт самостоятельную ответственность за уведомление уполномоченных регуляторов, а также субъектов персональных данных в порядке, установленном законодательством Российской Федерации.
17.4. Исполнитель оказывает Заказчику техническое содействие при расследовании инцидента в пределах своей зоны ответственности.
18.1. Исполнитель вправе использовать обезличенные данные для целей аналитики, диагностики, обеспечения безопасности, статистики и разработки функциональности Платформы.
18.2. Обезличенные данные не позволяют идентифицировать конкретного субъекта персональных данных и не являются персональными данными в понимании Федерального закона от 27.07.2006 № 152-ФЗ.
19.1. Заказчик несёт ответственность за законность обработки персональных данных конечных пользователей, наличие оснований для обработки и получение необходимых согласий субъектов.
19.2. Исполнитель несёт ответственность за обработку персональных данных в пределах своей зоны ответственности, определённой настоящим Поручением, договором с Заказчиком и применимым законодательством.
19.3. Исполнитель не несёт ответственности за действия Заказчика, нарушающие права субъектов персональных данных или законодательство о персональных данных.
20.1. Настоящее Поручение вступает в силу с момента акцепта Заказчиком Публичной оферты Исполнителя.
20.2. Поручение действует в течение срока действия договора между Исполнителем и Заказчиком.
20.3. Прекращение договора влечёт прекращение настоящего Поручения, за исключением положений, которые по своей природе продолжают действовать после его прекращения (конфиденциальность, хранение в целях исполнения законодательных требований, ответственность).
Исполнитель: Индивидуальный предприниматель Иванова Марина Александровна
ИНН: 503406310122
Адрес: Московская область, г. Орехово-Зуево, ул. Коминтерна, д. 3, кв./оф. 254
E-mail для обращений по персональным данным: support@foodonaut.ru
Сайт: yobatech.ru