1. Общие положения
1.1. Настоящий документ определяет порядок и условия обработки персональных данных совершеннолетних дееспособных и правоспособных физических лиц (далее — Пользователи), посещающих и/или использующих веб-сайт, расположенный по адресу: https://lapka.ai (далее — Сайт), и представляет собой политику в области обработки и обеспечения безопасности персональных данных (далее — Политика).
1.2. Политика направлена на обеспечение надлежащей защиты персональной информации, предотвращение её несанкционированного распространения и доступ к ней третьих лиц.
1.3. Использование Сайта означает согласие Пользователя с условиями настоящей Политики, а также с установленными правилами обработки персональных данных. В случае несогласия с положениями Политики, Пользователь обязан прекратить использование Сайта.
1.4. Под персональными данными в настоящем документе понимается любая информация, прямо или косвенно относящаяся к определённому или определяемому физическому лицу, включая, но не ограничиваясь: фамилию, имя, отчество, дату рождения, адрес проживания, адрес электронной почты, IP-адрес, данные cookie-файлов и иную информацию, позволяющую идентифицировать Пользователя.
1.5. Политика разработана и применяется в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иных действующих нормативных актов Российской Федерации в области защиты и обработки персональных данных.
1.6. Кроме настоящей Политики, отношения между Пользователем и юридическим лицом (далее — Оператор), регулируются иными соглашениями, регулирующими условия использования сервиса:
— Оферта на предоставление неисключительной лицензии на использование программного обеспечения
— Безопасность платежей
Актуальные редакции указанных соглашений доступны по адресу: https://lapka.ai
2. Обработка персональных данных: кто является оператором
2.1. Обработка персональной информации осуществляется индивидуальным предпринимателем Маклаевой Илоной Вячеславовной, ОГРНИП 325774600696870, ИНН 631939368621, г Москва (далее — Оператор).
Для связи с Оператором можно использовать следующие каналы:
– электронная почта: docs@lapka.ai
2.2. Оператор вправе вносить корректировки и дополнения в настоящую Политику. Актуализированная версия размещается на Сайте и вступает в силу с даты её публикации, если иное не указано в тексте новой редакции. Продолжение использования Сервиса после изменения условий трактуется как согласие Пользователя с обновлённой редакцией Политики.
2.3. Оператор может передавать функции по обработке персональных данных третьим лицам (обработчикам) в соответствии с заключёнными договорами. При этом Оператор обязуется соблюдать принцип конфиденциальности и не раскрывать персональные данные без предварительного согласия субъекта, за исключением случаев, прямо предусмотренных российским законодательством.
2.4. Оператор уведомил уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) об осуществлении обработки персональных данных в соответствии со статьёй 22 Федерального закона № 152-ФЗ.
3. Действия с персональными данными
3.1. В рамках своей деятельности Оператор осуществляет полный цикл обработки персональных данных — как автоматизированными средствами, так и без их использования. К операциям по обработке относятся в том числе:
– сбор и первичная фиксация информации;
– организация, систематизация и накопление данных;
– хранение, уточнение, обновление и изменение;
– извлечение, использование, обезличивание;
– блокировка, удаление и окончательное уничтожение информации.
3.2. Персональные данные могут быть получены Оператором:
– в момент регистрации Пользователя;
– в процессе использования Сайта, включая автоматический сбор информации;
– при добровольном предоставлении дополнительных данных самим Пользователем.
3.3. Срок хранения и обработки персональных данных определяется:
1. достижением целей, ради которых данные были собраны;
2. сроком действия согласия Пользователя на обработку, включая цели маркетингового характера: направление уведомлений, специальных предложений, информации о новых функциях, продуктах или мероприятиях Оператора.
4. Передача персональных данных третьим лицам
4.1. Пользователь уведомлён и осознаёт, что предоставленные им персональные данные могут быть переданы Оператором третьим лицам — в том числе платёжным агентам, информационным системам расчётов и иным партнёрам.
Передача осуществляется на основании договоров, содержащих условия конфиденциальности и обязательства по обеспечению безопасности персональных данных.
4.2. В целях повышения стабильности работы Сайта, улучшения качества предоставляемых услуг, оптимизации пользовательского опыта, а также тестирования и внедрения нового функционала, Оператор применяет сторонние сервисы, которые могут осуществлять обработку персональных данных Пользователей.
На данный момент к таким сервисам относятся:
– Яндекс.Метрика (https://metrika.yandex.ru) — используется для сбора обезличенных статистических данных о действиях Пользователей на Сайте, в том числе с целью анализа трафика и улучшения интерфейсов;
– AmoCRM (https://www.amocrm.ru) — применяется для автоматизации обработки обращений, клиентских заявок и дальнейшей коммуникации с Пользователями в рамках предоставляемых услуг.
ООО РНКО «ПЛАТЕЖНЫЙ КОНСТРУКТОР» ИНН: 7813662356
5. Уничтожение персональной информации
5.1. По достижении целей, ради которых персональные данные были собраны и обрабатывались, Оператор прекращает их обработку и обеспечивает удаление таких данных в сроки, установленные:
– внутренними регламентами Оператора;
– положениями согласия на обработку персональных данных, предоставленного Пользователем.
5.2. В случае отзыва согласия Пользователя на обработку его персональной информации, Оператор обязуется незамедлительно прекратить любые действия с такими данными и произвести их уничтожение.
5.3. Если согласие на обработку данных было предоставлено исключительно в маркетинговых целях (например, для направления рекламных предложений, акций, информации о товарах или услугах), то при отзыве такого согласия прекращение обработки и удаление данных происходит безотлагательно.
5.4. Под уничтожением персональных данных понимается:
– при автоматизированной обработке — удаление данных с серверного и/или облачного хранилища Оператора без возможности восстановления;
– при неавтоматизированной обработке — физическое уничтожение материальных носителей, содержащих персональные данные, вплоть до невозможности восстановления какой-либо информации.
6. Цели обработки персональной информации
Оператор обрабатывает персональные данные Пользователей исключительно в рамках достижения следующих законных и обоснованных целей:
6.1. Обеспечение надлежащего исполнения заключённых между Оператором и Пользователем соглашений, включая предоставление доступа к Сайту и его функционалу, а также поддержание коммуникации с Пользователем — в том числе посредством направления уведомлений, запросов, системных сообщений и иной информации, связанной с функционированием Сайта.
6.2. Повышение качества предоставляемых услуг, оптимизация интерфейса и пользовательского опыта, развитие и тестирование новых инструментов и возможностей платформы, включая анализ поведения Пользователей при взаимодействии с Сайтом.
6.3. Проведение статистических, маркетинговых и иных аналитических исследований с использованием обезличенных (анонимизированных) данных.
6.4. Направление информации рекламного и информационного характера о товарах, услугах, акциях, новинках и мероприятиях, связанных с деятельностью Оператора, при наличии соответствующего согласия Пользователя. Получение согласия на направление информации осуществляется путём явного волеизъявления Пользователя (опция «согласен» не предустановлена), в соответствии с требованиями статьи 18.1 Федерального закона «О рекламе». Факт выраженного согласия фиксируется и хранится Оператором в электронной форме.
6.5. Обработка обращений и запросов Пользователей, касающихся их персональных данных, в том числе запросов на уточнение, удаление или ограничение обработки, а также выполнение иных обязанностей, возложенных на Оператора в соответствии с требованиями законодательства Российской Федерации.
7. Правовые основания обработки персональных данных
7.1. Оператор осуществляет обработку персональной информации Пользователей в строгом соответствии с принципами, установленными статьёй 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», включая:
– законность, добросовестность и прозрачность обработки;
– обработку исключительно для конкретных, заранее определённых и законных целей, с исключением случаев, когда цели обработки противоречат целям первоначального сбора;
– недопустимость объединения информационных массивов, содержащих персональные данные, если их обработка осуществляется в целях, несовместимых между собой;
– соответствие состава обрабатываемых данных целям обработки, отсутствие избыточности;
– обеспечение актуальности, достоверности и достаточности персональных данных;
– ограниченность срока хранения данными моментом достижения целей обработки, с последующим удалением или обезличиванием информации, если иное не предусмотрено федеральным законодательством.
7.2. Основания, на которых Оператор вправе обрабатывать персональные данные Пользователей, включают следующее:
1. Необходимость исполнения договоров, заключаемых между Оператором и Пользователем, включая обеспечение доступа к Сайту, использование его функций, анализ использования и развитие сервисов
(основание: п. 5 ч. 1 ст. 6 Закона № 152-ФЗ);
2. Проведение статистических и исследовательских мероприятий с применением обезличенных данных
(основание: п. 9 ч. 1 ст. 6 Закона № 152-ФЗ);
3. Рассылка информации о товарах, услугах, акциях и событиях, связанных с деятельностью Оператора, на основании полученного согласия субъекта персональных данных
(основание: п. 1 ч. 1 ст. 6 Закона № 152-ФЗ);
4. Ответы на обращения Пользователей по вопросам обработки персональных данных, включая запросы об уточнении, удалении или ограничении обработки, а также выполнение иных предусмотренных законодательством обязанностей
(основание: п. 2 ч. 1 ст. 6 Закона № 152-ФЗ);
5. Обеспечение реализации прав и законных интересов Оператора или третьих лиц, при условии, что при этом не нарушаются права и свободы субъектов персональных данных
(основание: п. 7 ч. 1 ст. 6 Закона № 152-ФЗ).
8. Состав обрабатываемых персональных данных
8.1. Для целей выполнения обязательств по заключённым соглашениям, оказания услуг и предоставления доступа к функционалу Сайта, Оператор обрабатывает следующие персональные сведения Пользователя:
– фамилия, имя, отчество, дата и место рождения, пол, возраст;
– контактная информация (номер телефона, адрес электронной почты);
– сведения об активности Пользователя при использовании Сайта, включая историю транзакций, навигацию по страницам, взаимодействие с контентом;
– иные данные, предоставляемые Пользователем по запросу Оператора в целях предоставления и сопровождения услуг.
8.2. Для повышения стабильности и качества работы Сайта, разработки новых функций и персонализации сервисов, Оператор также обрабатывает техническую и обезличенную информацию:
– cookie-файлы, передаваемые сайтом в браузер для идентификации устройства и сохранения пользовательских настроек;
– IP-адрес, параметры программного и аппаратного обеспечения, включая идентификаторы устройств (MAC, IMEI, UDID и пр.);
– дата и время доступа, запрашиваемые функции, оператор связи;
8.3. Данные, указанные в пункте 8.2, могут использоваться для последующей идентификации Пользователя или его устройства, а также для запоминания сеансов, настроек и предпочтений. Эти данные, хранясь в браузере до удаления или окончания срока действия, будут автоматически передаваться на Сайт при каждом запросе.
8.4. Пользователь вправе ограничить обработку cookie-файлов, однако в этом случае отдельные функции Сайта могут быть недоступны. Возможные действия Пользователя:
– настройка браузера для блокировки cookie;
– использование режима «инкогнито» для временного хранения данных до закрытия сессии;
– прекращение использования Сайта.
8.5. Для целей направления маркетинговых уведомлений (информация о новых продуктах, услугах, акциях и мероприятиях) Оператор обрабатывает:
– адрес электронной почты;
– номер телефона Пользователя.
9. Персональные данные, не подлежащие обработке
9.1. Оператор не осуществляет сбор и обработку следующих категорий персональных данных:
1. Специальные категории данных, включающие сведения о расовой или национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, а также информации об интимной жизни субъекта персональных данных.
2. Биометрические данные, содержащие характеристики физиологического или биологического характера, которые позволяют установить личность физического лица и применяются для идентификации, включая, но не ограничиваясь, отпечатками пальцев, изображением радужной оболочки глаза, голосовыми характеристиками и т.п.
10. Ограничения доступа и управление конфиденциальностью
10.1. Пользователь вправе в любой момент отключить функцию передачи сведений о своём местоположении, настроив параметры конфиденциальности в устройстве. Следует учитывать, что при деактивации геолокации отдельные элементы или функции Сайта могут быть недоступны либо ограничены.
10.2. Для получения технической помощи по настройке конфиденциальности устройства, Пользователь может обратиться к производителю оборудования или своему оператору связи.
10.3. Пользователь принимает к сведению, что блокировка предоставления определённых категорий информации может ограничить функциональные возможности Сайта. В отдельных случаях, при невозможности оказания услуг без указанных данных, инициатива прекращения их обработки может повлечь досрочное прекращение правовых отношений между Оператором и Пользователем.
11. Право на отзыв согласия на обработку персональных данных
11.1. Пользователь вправе в любой момент отозвать ранее выданное согласие на использование его персональных данных в маркетинговых целях — в том числе на получение информации о продуктах, услугах, специальных предложениях и мероприятиях Оператора.
11.2. Отзыв согласия может быть направлен по адресу электронной почты: docs@lapka.ai, с обязательным указанием в теме письма формулировки «Персональные данные». Также допускается использование иного способа отзыва, позволяющего подтвердить волеизъявление Пользователя.
11.3. С момента получения соответствующего уведомления, Оператор прекращает обработку персональной информации в объёме, указанном в согласии, и утрачивает правовое основание для её дальнейшего использования.
12. Доступ к персональной информации
12.1. Пользователь вправе запросить информацию о порядке обработки его персональных данных. В рамках такого запроса Оператор предоставляет:
– подтверждение факта обработки данных;
– правовые основания и цели обработки;
– цели и применяемые методы обработки персональной информации.
12.2. Для реализации данного права Пользователь должен направить в адрес Оператора письменный или электронный запрос о предоставлении доступа к его персональным данным.
12.3. Запрос должен содержать следующую информацию:
– реквизиты документа, удостоверяющего личность (серия и номер);
– дату выдачи и наименование органа, оформившего документ;
– данные, подтверждающие, что обработка персональных данных действительно осуществляется (например, использование Сайта, регистрация аккаунта и др.).
12.4. Запрос направляется по электронной почте: support@lapka.ai.
12.5. Ответ на обращение направляется на тот же адрес электронной почты, с которого поступил запрос, если иное не указано Пользователем в течение 30 (тридцати) календарных дней с момента поступления обращения.
13. Уточнение и удаление персональных данных
13.1. Пользователь имеет право потребовать от Оператора внесения изменений или удаления персональных данных в случаях, если:
– информация является неполной, недостоверной или устаревшей;
– персональные данные были получены с нарушением законодательства;
– данные не соответствуют целям, заявленным при их сборе.
13.2. В случае, если на Сайте предусмотрен личный кабинет, Пользователь вправе самостоятельно вносить изменения в свои персональные данные через интерфейс соответствующего раздела.
13.3. Пользователь может также направить обращение об уточнении или удалении персональных данных по электронной почте: support@lapka.ai
13.4. Оператор рассматривает полученное обращение и, в случае выявления оснований, обязан прекратить обработку персональных данных, осуществляемую с нарушением законодательства, и обеспечить их удаление в течение 30 (тридцати) календарных дней с момента поступления обращения.
13.5. Ответ направляется по адресу электронной почты, с которого поступило соответствующее обращение, если Пользователь не указал другой способ получения ответа в течение 30 (тридцати) календарных дней с момента поступления обращения.
14. Обеспечение безопасности персональных данных
14.1. Оператор принимает комплекс технических, организационных и правовых мер, направленных на защиту персональных данных Пользователей от несанкционированного доступа, утраты, изменения, раскрытия или иных неправомерных действий. В числе таких мер:
– использование технологий шифрования передаваемой информации для предотвращения её перехвата третьими лицами;
– ограничение прямого доступа к серверам хранения персональных данных из внешней сети (интернета);
– назначение уполномоченного лица, ответственного за организацию обработки и защиту персональных данных;
– разработка и внедрение внутренних нормативных документов (приказов, положений, регламентов), определяющих порядок защиты персональной информации и предотвращения утечек;
– регулярный внутренний аудит соблюдения законодательства в области персональных данных, а также контроль исполнения локальных нормативных актов Оператора;
– организация обучения и повышения квалификации сотрудников, допущенных к обработке персональных данных;
– проведение оценки эффективности реализуемых мер защиты и корректировка подходов по итогам такой оценки;
– установление правил разграничения доступа к персональной информации и фиксация действий, совершаемых с такими данными.
14.2. Хранение и обработка персональных данных осуществляется на технических мощностях, размещённых на территории Российской Федерации, что обеспечивает соблюдение Оператором требований законодательства РФ в части локализации персональных данных граждан Российской Федерации.
15. Трансграничная передача персональных данных (Республика Казахстан, Республика Беларусь)
15.1. Общие положения.
15.1.1. Оператор осуществляет трансграничную передачу персональных данных (далее — ПДн) в государства, обеспечивающие надлежащую защиту прав субъектов ПДн в смысле ст. 12 Федерального закона № 152-ФЗ «О персональных данных», а именно в Республику Казахстан и Республику Беларусь.
15.1.2. Первичный сбор, запись и систематизация ПДн осуществляются на территории Российской Федерации; последующая трансграничная передача допускается в объёме и на условиях настоящего раздела.
15.2. Цели передачи.
15.2.1. Обеспечение проведения международной оплаты услуг партнёров ООО «Эдтех Инновации» через платёжные системы Республики Казахстан и Республики Беларусь.
15.2.2. Формирование и направление субъекту ПДн уникальной платёжной ссылки; техническая обработка операции, подтверждение статуса транзакции; направление обязательных сообщений о ходе и результате операции; урегулирование возвратов, отмен и спорных ситуаций.
15.3. Состав передаваемых ПДн (минимально необходимый).
15.3.1. Адрес электронной почты плательщика — как идентификатор транзакции и канал взаимодействия для направления уведомлений.
15.3.2. Служебные атрибуты операции: идентификатор/токен транзакции, сумма, валюта, дата и время, статус/код результата, код причины отказа/возврата, маскированные реквизиты платёжного инструмента (при наличии у платёжного партнёра).
15.3.3. Иные сведения — исключительно в объёме, прямо вытекающем из требований законодательства и/или регламентов платёжных систем, и только при необходимости для достижения целей, указанных в п. 15.2.
15.3.4. Оператор не запрашивает и не обрабатывает полные реквизиты банковских карт (PAN, CVV/CVC); такие реквизиты, при их вводе, обрабатываются платёжными организациями.
15.4. Правовые основания и разграничение согласий.
15.4.1. Заключение и (или) исполнение договора с субъектом ПДн, включая преддоговорные действия по инициативе субъекта, — ст. 6 ч. 1 п. 5 Федерального закона № 152-ФЗ: формирование и отправка платёжной ссылки, проведение платежа, направление обязательных уведомлений, урегулирование возвратов/оспариваний, бухгалтерский и налоговый учёт.
15.4.2. Согласие субъекта ПДн — для необязательных целей и (или) дополнительного объёма данных, не требуемых для оплаты (например, маркетинговые сообщения, персонализация, использование точной геолокации).
15.5. Необходимость предоставления данных и последствия отказа/удаления.
15.5.1. Предоставление ПДн по пп. 15.3.1–15.3.2 является необходимым для проведения оплаты и исполнения договора.
15.5.2. Непредоставление ПДн по пп. 15.3.1–15.3.2 либо последующее требование об их удалении до завершения оплаты делает приём оплаты и оказание соответствующей услуги.
15.5.3. Если требование об удалении указанных ПДн поступило после инициирования оплаты, Оператор обрабатывает и хранит минимально необходимый объём ПДн до завершения расчётов, урегулирования возвратов/оспариваний и истечения установленных законом сроков хранения, после чего удаляет либо обезличивает ПДн.
15.6. Получатели ПДн и их статус.
15.6.1. Платёжные организации и (или) процессинговые центры, зарегистрированные и действующие на территории Республики Казахстан и Республики Беларусь, а также их привлекаемые операционные подрядчики, участвующие в обработке ПДн в пределах договорных полномочий.
15.6.2. Статус получателей — самостоятельные операторы ПДн и (или) лица, осуществляющие обработку ПДн по поручению, определяется условиями заключённых договоров и применимым правом. Договоры предусматривают конфиденциальность, цели, состав ПДн, меры защиты, сроки хранения и ограничения последующей передачи.
15.7. Условия передачи и меры защиты.
Передача ПДн осуществляется по защищённым каналам связи с применением криптографических средств и актуальных методов шифрования/токенизации; получатели применяют правовые, организационные и технические меры защиты, сопоставимые с требованиями ст. 19 Федерального закона № 152-ФЗ, и используют ПДн исключительно для целей, указанных в п. 15.2.
15.9. Сроки хранения.
15.9.1. У Оператора ПДн, переданные в рамках п. 15.3, хранятся в объёме и в течение сроков, необходимых для расчётов, бухгалтерского и налогового учёта, урегулирования возвратов и спорных ситуаций, а также исполнения иных требований закона.
15.9.2. У получателей в Республике Казахстан и Республике Беларусь ПДн хранятся согласно их внутренним регламентам и требованиям применимого законодательства соответствующих государств; последующее использование ПДн ограничено целями, указанными в п. 15.2.
15.10. Права субъекта ПДн, отзыв согласий и их пределы.
15.10.1. Субъект ПДн вправе направлять Оператору запросы о доступе, уточнении, блокировании, удалении ПДн, ограничении обработки, а также отзыв согласий, если такие согласия ранее предоставлялись на необязательные цели.
15.10.2. Отзыв согласия прекращает обработку ПДн только в части необязательных целей, охваченных соответствующим согласием, и не затрагивает обработку ПДн, необходимую для заключения и (или) исполнения договора, включая преддоговорные действия по инициативе субъекта, в том числе формирование и отправку платёжной ссылки, проведение платежа и обязательные уведомления (ст. 6 ч. 1 п. 5 Федерального закона № 152-ФЗ).
15.11. Фиксация волеизъявления и настройки пользователя.
15.11.1. Принятие субъектом ПДн условий настоящей Политики путём проставления отметки/нажатия соответствующей кнопки в интерфейсе Сайта/Сервиса фиксируется в журнале событий (дата и время, идентификатор пользователя, версия Политики/экрана).
15.11.2. Согласия, предоставляемые через интерфейс Сайта/Сервиса, относятся к необязательным целям обработки и дополнительному объёму данных. Проведение оплаты и связанная с этим трансграничная передача ПДн в объёме п. 15.3 осуществляются на основании ст. 6 ч. 1 п. 5 Федерального закона № 152-ФЗ и не требуют отдельного согласия.
15.11.3. Настройки необязательной обработки (персонализация, маркетинговые коммуникации, точная геолокация и т. п.) доступны субъекту ПДн в интерфейсе; изменение таких настроек не затрагивает передачу ПДн, необходимую для формирования платёжной ссылки и проведения оплаты по п. 15.4.1.
15.12. Приостановление передачи и правовой режим.
В случае изменения правового режима принимающей юрисдикции либо установления ограничений/запретов на передачу ПДн Оператор приостанавливает соответствующие передачи и, при необходимости, обеспечивает иные законные основания либо прекращает передачу; заинтересованные стороны информируются в пределах требований законодательства и договоров.
