Настоящая Политика обработки персональных данных (далее — «Политика») определяет порядок, цели, основания и условия обработки персональных данных Индивидуальным предпринимателем Ивановой Мариной Александровной, ИНН 503406310122, осуществляющим деятельность под торговым наименованием Фудонавт (далее — «Оператор»).
Политика распространяется на персональные данные, обрабатываемые в связи с предоставлением доступа к программной платформе Фудонавт и в связи с иными отношениями Оператора с Заказчиками, конечными пользователями, посетителями сайта и иными лицами.
Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации в сфере защиты персональных данных.
1.1. Оператор — Индивидуальный предприниматель Иванова Марина Александровна, ИНН 503406310122, самостоятельно или совместно с иными лицами организующий и осуществляющий обработку персональных данных, определяющий цели обработки, состав обрабатываемых персональных данных, а также действия, совершаемые с ними.
1.2. Платформа — программный комплекс Фудонавт, предоставляемый Заказчикам по модели SaaS, включающий сайт, мобильное приложение, административную панель, модули меню, заказов, пользователей, уведомлений, интеграций, аналитики, программы лояльности и иные технические функции.
1.3. Заказчик — ресторан, кафе, служба доставки, индивидуальный предприниматель, юридическое лицо или иной субъект, использующий Платформу на основании публичной оферты, договора или иного соглашения с Оператором.
1.4. Конечный пользователь — физическое лицо, использующее сайт или мобильное приложение Заказчика для просмотра меню, оформления заказа, оплаты заказа, участия в программе лояльности, получения уведомлений или иных действий.
1.5. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
1.6. Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
1.7. Поручение на обработку персональных данных — соглашение между Оператором и Заказчиком, определяющее условия обработки персональных данных конечных пользователей Заказчика Оператором в качестве лица, действующего по поручению Заказчика.
2.1. Настоящая Политика применяется к обработке персональных данных, получаемых Оператором в связи с функционированием Платформы, взаимодействием с Заказчиками и их представителями, обработкой заказов конечных пользователей, ведением программ лояльности, оказанием технической поддержки и исполнением договорных обязательств.
2.2. Оператор осуществляет обработку персональных данных на законной и справедливой основе, ограничиваясь достижением конкретных, заранее определённых и законных целей.
2.3. Не допускается обработка персональных данных, несовместимая с целями их сбора. Объём обрабатываемых данных соответствует заявленным целям.
2.4. Оператор принимает правовые, организационные и технические меры по защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
3.1. В отношении персональных данных представителей и сотрудников Заказчиков, посетителей сайта Оператора, а также контрагентов Оператор выступает самостоятельным оператором персональных данных.
3.2. В отношении персональных данных конечных пользователей Заказчика Заказчик является оператором персональных данных. Оператор в этом случае осуществляет обработку по поручению Заказчика в объёме и целях, необходимых для технического обеспечения работы Платформы.
3.3. Оператор не является продавцом товаров, исполнителем услуг общественного питания, службой доставки или платёжным агентом. Отношения с конечными пользователями по существу оказываемых услуг возникают непосредственно между конечным пользователем и Заказчиком.
3.4. Заказчик несёт ответственность за наличие законных оснований для обработки персональных данных конечных пользователей, а также за получение необходимых согласий субъектов персональных данных.
4.1. Представители и сотрудники Заказчиков — физические лица, действующие от имени или в интересах Заказчика: регистрирующиеся в административной панели, взаимодействующие с технической поддержкой Оператора, предоставляющие данные для настройки Платформы.
4.2. Конечные пользователи Заказчиков — физические лица, использующие сайт или мобильное приложение Заказчика: просматривающие меню, оформляющие заказы, производящие оплату, участвующие в программах лояльности, получающие уведомления, обращающиеся за поддержкой.
4.3. Посетители сайта Оператора — физические лица, посещающие сайт yobatech.ru с целью ознакомления с Платформой, услугами, тарифами или для направления обращений.
4.4. Контрагенты и партнёры — физические лица, а также представители юридических лиц, взаимодействующие с Оператором в рамках деловых и договорных отношений.
5.1. Данные представителей Заказчика могут включать: фамилию, имя, отчество; должность; контактный телефон; адрес электронной почты; логин в административной панели; хэш пароля; историю входов в систему; IP-адреса; данные об устройстве и браузере; историю действий в административной панели; переписку с технической поддержкой; реквизиты Заказчика (ИНН, ОГРН / ОГРНИП, адрес, банковские реквизиты) в объёме, необходимом для заключения договора.
5.2. Данные конечных пользователей, обрабатываемые по поручению Заказчика, могут включать: фамилию, имя, отчество; номер телефона; адрес электронной почты; адрес доставки (улица, дом, подъезд, этаж, квартира, домофон, комментарий к адресу); историю заказов (состав заказа, стоимость, способ доставки, статус); использованные промокоды; данные программы лояльности (бонусные баллы, история начисления и списания); push-токены устройств; идентификатор устройства; IP-адреса; файлы cookie; данные об устройстве, ОС, браузере; журналы взаимодействия с Платформой; обращения в поддержку.
5.3. Данные посетителей сайта Оператора могут включать: IP-адрес; данные об устройстве, ОС, браузере; файлы cookie; данные о поведении на сайте; контактные данные, направленные через формы обратной связи.
5.4. Платёжные данные. Оператор не хранит данные банковских карт конечных пользователей. Обработка данных карт осуществляется платёжными провайдерами напрямую. Платформа обрабатывает только технические сведения об оплате: статус оплаты, идентификатор платежа, сумма, дата и время платежа, идентификатор заказа, технический ответ платёжного провайдера.
5.5. Специальные категории персональных данных и биометрические персональные данные Оператором не обрабатываются. Заказчик не вправе передавать Оператору специальные категории персональных данных конечных пользователей без предварительного письменного согласования с Оператором.
6.1. Цели обработки персональных данных представителей Заказчика:
6.2. Цели обработки персональных данных конечных пользователей (по поручению Заказчика):
6.3. Цели обработки персональных данных посетителей сайта Оператора:
7.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:
8.1. Оператор вправе совершать с персональными данными следующие действия:
8.2. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования.
9.1. Заказчик поручает Оператору обработку персональных данных конечных пользователей в объёме, необходимом для технического обеспечения работы Платформы.
9.2. Оператор обрабатывает персональные данные конечных пользователей только в целях, определённых Заказчиком и предусмотренных Поручением на обработку персональных данных и настоящей Политикой.
9.3. Оператор не использует персональные данные конечных пользователей в собственных целях, не связанных с исполнением поручения Заказчика, за исключением обработки обезличенных данных для аналитики, диагностики и обеспечения безопасности Платформы.
9.4. Заказчик как оператор персональных данных несёт ответственность за наличие законных оснований для обработки и за получение необходимых согласий субъектов.
9.5. Оператор оказывает Заказчику техническое содействие в удалении, блокировании и выгрузке персональных данных конечных пользователей в порядке, предусмотренном Поручением на обработку персональных данных.
10.1. Передача персональных данных третьим лицам допускается в следующих случаях: с согласия субъекта персональных данных; при исполнении договора; в силу требований законодательства; в рамках привлечения субобработчиков и технических подрядчиков для обеспечения работы Платформы.
10.2. К категориям третьих лиц, которым могут передаваться персональные данные, относятся: хостинг-провайдеры; провайдеры push-уведомлений; провайдеры SMS-рассылок; провайдеры e-mail-рассылок; платёжные сервисы; картографические сервисы; аналитические сервисы; системы мониторинга и логирования; иные технические подрядчики, необходимые для функционирования Платформы.
10.3. Передача персональных данных осуществляется в объёме, минимально необходимом для достижения соответствующей цели.
10.4. Оператор принимает меры по обеспечению конфиденциальности персональных данных при их передаче третьим лицам.
11.1. Оператор вправе привлекать субобработчиков для обработки персональных данных в целях обеспечения функционирования Платформы.
11.2. К типам привлекаемых сервисов могут относиться: облачный хостинг и хранение данных; сервисы push-уведомлений (Apple APNs, Firebase Cloud Messaging); SMS-провайдеры; e-mail-сервисы; платёжные провайдеры и эквайринг; картографические сервисы; аналитические системы; системы мониторинга и диагностики; сервисы автоматизации ресторанного бизнеса (iiko, r_keeper и аналогичные).
11.3. Конкретный перечень субобработчиков зависит от тарифа Заказчика, выбранных им настроек и подключённых интеграций.
12.1. В рамках использования Платформы возможна трансграничная передача персональных данных при взаимодействии с сервисами Apple (APNs, App Store), Google (Firebase Cloud Messaging, Google Play), а также иными международными техническими сервисами.
12.2. Трансграничной передаче могут подвергаться: push-токены устройств; идентификаторы устройств; IP-адреса; технические параметры устройств и операционных систем.
12.3. Оператор принимает меры по обеспечению правомерности трансграничной передачи в соответствии с требованиями законодательства Российской Федерации.
12.4. Заказчик обязан учитывать возможность трансграничной передачи данных конечных пользователей при формировании собственной политики обработки персональных данных и получении необходимых согласий.
13.1. Оператор принимает меры по обеспечению записи, систематизации, накопления, хранения, уточнения и извлечения персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации.
13.2. Использование иностранных технических сервисов допускается в случаях, предусмотренных законодательством Российской Федерации о персональных данных, в том числе в части обеспечения передачи в соответствии с международными договорами Российской Федерации.
14.1. Сайт Оператора и интерфейсы Платформы могут использовать файлы cookie и аналогичные технологии для обеспечения работы сайта, аутентификации пользователей, аналитики и улучшения функциональности.
14.2. Cookie используются в следующих целях: обеспечение технической работы сайта и приложений; сохранение пользовательских сессий; сбор аналитических данных об использовании; выявление технических ошибок и диагностика.
14.3. Пользователь вправе настроить браузер таким образом, чтобы браузер отклонял все файлы cookie или оповещал о направлении cookie. При этом некоторые функции сайта или приложения могут перестать работать корректно.
15.1. Платформа может обеспечивать направление конечным пользователям push-уведомлений, SMS, e-mail и иных сообщений.
15.2. Транзакционные уведомления, связанные с оформлением и исполнением заказа, направляются в объёме, необходимом для надлежащего исполнения услуги.
15.3. Маркетинговые и рекламные сообщения направляются только при наличии требуемых согласий конечного пользователя, получение которых является обязанностью Заказчика.
15.4. Заказчик самостоятельно несёт ответственность за содержание направляемых сообщений, наличие согласий субъектов, соблюдение законодательства о рекламе и требований операторов связи.
15.5. Оператор вправе ограничить или приостановить направление сообщений, если их содержание нарушает законодательство, права пользователей, правила операторов связи или платёжных провайдеров.
16.1. Персональные данные хранятся не дольше, чем этого требуют цели их обработки, если более длительный срок не установлен законодательством Российской Федерации.
16.2. Персональные данные представителей Заказчика хранятся в течение срока действия договора и в течение срока, установленного применимым законодательством для хранения документов и исполнения обязанностей по налоговому и бухгалтерскому учёту.
16.3. Персональные данные конечных пользователей, обрабатываемые по поручению Заказчика, хранятся в течение срока использования Заказчиком Платформы.
16.4. После прекращения договора Заказчик вправе в течение 30 календарных дней запросить выгрузку данных конечных пользователей.
16.5. По истечении срока хранения или после выполнения поручения об удалении Оператор вправе удалить персональные данные, если их дальнейшее хранение не требуется по закону или для защиты прав Оператора.
16.6. Резервные копии данных могут храниться в течение срока, предусмотренного внутренними регламентами Оператора по резервному копированию, но не более срока, предусмотренного законодательством.
17.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения.
17.2. К применяемым мерам относятся: разграничение прав доступа к данным; использование защищённых соединений (HTTPS/TLS); журналирование доступа; резервное копирование; мониторинг и обнаружение аномалий; контроль действий сотрудников; использование антивирусных и иных защитных средств; регулярное обновление программного обеспечения; назначение ответственных лиц за обработку персональных данных.
17.3. Оператор не раскрывает персональные данные третьим лицам без законного основания.
18.1. Субъекты персональных данных имеют следующие права в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ:
19.1. Субъект персональных данных вправе направить запрос на адрес электронной почты Оператора: support@foodonaut.ru.
19.2. В запросе необходимо указать: фамилию, имя, отчество; контактные данные для ответа; суть запроса (уточнение, блокирование, удаление данных, получение информации об обработке и т. п.); иные сведения, необходимые для идентификации субъекта и исполнения запроса.
19.3. Запросы субъектов персональных данных, относящиеся к данным конечных пользователей Заказчика, могут быть перенаправлены соответствующему Заказчику как оператору персональных данных.
19.4. Оператор рассматривает запросы в сроки, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
20.1. Запросы конечных пользователей на удаление или изменение персональных данных, как правило, направляются непосредственно Заказчику как оператору персональных данных.
20.2. Заказчик вправе направить Оператору поручение об удалении, блокировании или изменении данных конкретного конечного пользователя в соответствии с Поручением на обработку персональных данных.
20.3. Оператор оказывает техническое содействие в исполнении таких поручений в разумные сроки.
20.4. Удаление персональных данных может быть ограничено в случаях, когда данные необходимы для выполнения требований законодательства в сфере бухгалтерского учёта и налогообложения, для урегулирования споров, защиты прав и законных интересов Оператора или Заказчика, противодействия мошенничеству.
21.1. В случае выявления инцидента в сфере информационной безопасности, затрагивающего персональные данные, Оператор принимает меры по локализации, расследованию и устранению инцидента.
21.2. Оператор уведомляет Заказчика об инциденте в разумный срок с момента его обнаружения в объёме, достаточном для принятия Заказчиком необходимых мер.
21.3. Заказчик как оператор персональных данных конечных пользователей несёт самостоятельную ответственность за уведомление уполномоченных регуляторов и субъектов персональных данных в порядке, установленном законодательством Российской Федерации.
22.1. Оператор вправе использовать обезличенные данные для целей аналитики, диагностики, статистики, разработки и улучшения функциональности Платформы.
22.2. Обезличенные данные не позволяют идентифицировать конкретного субъекта персональных данных и не являются персональными данными в понимании Федерального закона № 152-ФЗ.
23.1. Оператор несёт ответственность за обработку персональных данных в пределах своей зоны ответственности, определённой настоящей Политикой и применимым законодательством.
23.2. Заказчик несёт ответственность за законность обработки персональных данных конечных пользователей, наличие оснований для обработки и получение необходимых согласий субъектов.
23.3. Оператор не несёт ответственности за действия Заказчика, нарушающие права субъектов персональных данных или законодательство о персональных данных.
24.1. Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке.
24.2. Новая редакция Политики вступает в силу с момента её публикации на сайте yobatech.ru, если иной срок не указан в новой редакции.
24.3. Пользователи и Заказчики обязаны самостоятельно отслеживать изменения Политики. Продолжение использования Платформы после вступления изменений в силу означает согласие с новой редакцией Политики.
Оператор: Индивидуальный предприниматель Иванова Марина Александровна
ИНН: 503406310122
Адрес: Московская область, г. Орехово-Зуево, ул. Коминтерна, д. 3, кв./оф. 254
E-mail для обращений по персональным данным: support@foodonaut.ru
Сайт: yobatech.ru
Оператор обязуется включиться в реестр операторов, осуществляющих обработку персональных данных, в случаях и порядке, предусмотренных законодательством Российской Федерации.
Номер записи в реестре операторов персональных данных: не присвоен.