1.1. Настоящая Политика определяет порядок обработки и защиты персональных данных в Приложении «ScaleFood» (далее — «Приложение»).
1.2. Распределение ролей по обработке персональных данных:
1.2.1. Ресторан — юридическое лицо или индивидуальный предприниматель, под брендом которого работает Приложение, является собственником персональных данных Пользователей: определяет цели и состав данных, обеспечивает правовые основания и согласия;
1.2.2. Индивидуальный предприниматель Баракатов Ерлан Бегадилович, ИИН 821116300212, действующий под торговым именем компании «Night Tech» (далее — «Администратор») — владелец Приложения, является обработчиком персональных данных по поручению Ресторана: обрабатывает данные Пользователей по поручению Ресторана и в объёме, необходимом для технического функционирования Приложения.
1.3. Настоящая Политика разработана в соответствии с Законом РК «О персональных данных и их защите» № 94-V ЗРК от 21 мая 2013 года.
2.1. Обработка персональных данных осуществляется на следующих правовых основаниях:
2.1.1. согласие субъекта персональных данных на сбор и обработку, выраженное явно (см. п. 8);
2.1.2. необходимость исполнения договора, стороной которого является субъект (оформление и исполнение заказа);
2.1.3. исполнение обязанностей, установленных законодательством РК (налоговый, бухгалтерский учёт, ответы на запросы госорганов).
2.2. Обработка ограничивается достижением конкретных, заранее определённых и законных целей (п. 4) и осуществляется в объёме, не избыточном по отношению к этим целям.
3.1. Данные, предоставляемые Пользователем: имя, номер телефона, адрес доставки, адрес электронной почты.
3.2. Автоматически собираемые данные: IP-адрес, тип устройства, идентификатор устройства (IDFA/GAID), данные о геолокации (при наличии разрешения Пользователя), история заказов.
3.3. Cookies и аналогичные технологии — см. раздел 9.
3.4. Администратор и Ресторан не собирают и не хранят данные банковских карт; они обрабатываются на стороне лицензированного платёжного шлюза.
4.1. Идентификация Пользователя для оформления и исполнения заказа.
4.2. Обеспечение связи между Пользователем, Рестораном и Службой доставки.
4.3. Направление push-уведомлений о статусе заказа и (при наличии отдельного согласия) маркетинговых предложений, с правом Пользователя на отписку.
4.4. Улучшение работы Приложения и анализ пользовательского опыта.
5.1. Данные передаются Ресторану, в котором оформлен заказ, для приготовления и исполнения заказа.
5.2. Данные передаются сторонней Службе доставки (Яндекс Доставка и/или иные службы) в объёме, необходимом для доставки (имя, телефон, адрес доставки). Служба доставки выступает самостоятельным оператором/перевозчиком и обрабатывает данные на основании собственных условий; ни Администратор, ни Ресторан не отвечают за обработку данных Службой доставки за пределами переданного объёма.
5.3. Данные могут передаваться государственным органам РК только по основаниям и в порядке, установленным законодательством.
5.4. Иная передача данных третьим лицам без согласия субъекта не осуществляется, кроме случаев, прямо предусмотренных законодательством РК.
6.1. Сроки хранения по категориям:
6.1.1. контактные данные и история заказов — в течение периода активного использования Приложения и 3 (три) года после последнего заказа, если иной срок не установлен законодательством;
6.1.2. данные, связанные с бухгалтерским и налоговым учётом (счета, документы оплаты) — в течение срока, установленного налоговым законодательством РК (как правило, не менее 5 лет);
6.1.3. автоматически собираемые технические данные (IP, идентификаторы устройства, аналитика) — до 12 месяцев, после чего обезличиваются или удаляются;
6.1.4. геолокация — хранится только на период исполнения активного заказа.
6.2. По истечении сроков хранения или при достижении целей обработки данные удаляются либо обезличиваются, кроме случаев, когда хранение требуется законодательством.
6.3. При отзыве согласия данные удаляются в сроки, предусмотренные п. 7.6, если отсутствуют иные правовые основания для их хранения.
7.1. Субъект персональных данных имеет право на получение информации об обработке его данных (состав, цели, сроки, третьи лица).
7.2. Право требовать исправления (корректировки) неполных или неточных данных.
7.3. Право требовать блокирования персональных данных при наличии оснований, предусмотренных законодательством.
7.4. Право требовать удаления данных, обрабатываемых с нарушением законодательства либо при достижении целей обработки.
7.5. Право отозвать согласие на обработку в любой момент.
7.6. Реализация прав: обращение направляется на e-mail ответственного за обработку (п. 11). Срок рассмотрения — не более 3 (трёх) рабочих дней по требованиям об информации и не более сроков, установленных законодательством РК, по иным требованиям. Удаление по отзыву согласия — в течение 10 (десяти) рабочих дней при отсутствии иных правовых оснований хранения.
7.7. Право на обжалование действий (бездействия) по обработке данных в уполномоченный орган по защите персональных данных и/или в суд РК.
8.1. Обработка персональных данных осуществляется только при явном согласии Пользователя, выражаемом путём проставления отметки (чекбокса) «Я согласен на обработку персональных данных и ознакомлен с Политикой конфиденциальности» при регистрации в Приложении.
8.2. Использование Приложения без проставления такой отметки не допускается; отсутствие отметки означает отсутствие согласия.
8.3. Согласие на получение маркетинговых сообщений запрашивается отдельной отметкой и не является обязательным для использования Приложения.
8.4. Согласие может быть отозвано в порядке п. 7.5–7.6.
9.1. Веб-версия Приложения (WebApp) использует cookies и аналогичные технологии для:
9.1.1. технически необходимых функций (сессия, корзина, авторизация) — обрабатываются без отдельного согласия как необходимые для работы сервиса;
9.1.2. аналитики и улучшения сервиса — обрабатываются при согласии Пользователя.
9.2. Пользователь может управлять cookies через настройки браузера; отключение технически необходимых cookies может ограничить работу WebApp.
10.1. Приложение не предназначено для самостоятельного использования лицами младше 18 лет без согласия их законных представителей.
10.2. Администратор и Ресторан не осуществляют целенаправленный сбор данных несовершеннолетних. При выявлении факта обработки данных несовершеннолетнего без согласия законного представителя такие данные удаляются по обращению (п. 11).
11.1. Ответственный за обработку персональных данных со стороны Администратора:
11.2. Обращения по реализации прав субъекта (раздел 7) направляются по указанному e-mail.
11.3. Переход обработки к ТОО при реорганизации. В случае регистрации Администратором хозяйственного товарищества (ТОО) — правопреемника по торговому имени «Night Tech» — обработка персональных данных переходит к указанному ТОО на тех же условиях и в тех же целях, что предусмотрены настоящей Политикой. Субъекты персональных данных уведомляются о таком переходе через Приложение и/или по контактным каналам в порядке, установленном Законом РК «О персональных данных и их защите». Согласие, данное субъектом до перехода, сохраняет силу при условии, что цели, объём и состав обрабатываемых данных не изменяются; при изменении этих параметров будет запрошено новое согласие.
12.1. Персональные данные Пользователей и Лицензиатов подлежат хранению на серверах, физически находящихся на территории Республики Казахстан.
12.2. Допускается трансграничная передача данных в страны, обеспечивающие защиту прав субъектов персональных данных, исключительно для реализации функций Приложения (push-уведомления через сервисы Apple и Google, облачная аналитика), при условии явного согласия Пользователя (раздел 8).
12.3. Администратор и Ресторан принимают необходимые технические и организационные меры для защиты данных от несанкционированного доступа, изменения, раскрытия и уничтожения.
13.1. Администратор вправе изменять настоящую Политику; актуальная редакция публикуется в Приложении и на сайте. Существенные изменения доводятся до Пользователей заблаговременно.