1. Общие положения
1.1. Настоящий документ определяет Политику ООО «Ортизей», 119435, г. Москва, вн. тер. г. муниципальный округ Хамовники, пер. Большой Саввинский, д. 9, стр. 3, ortizey@coffeemania.ru, ОГРН 1237700512444, ИНН 9704217824, (далее – Оператор) в отношении обработки персональных данных посетителей сайтов, пользователей мобильного приложения, участников программы лояльности, клиентов интернет-магазина (далее – Политика).
1.2. В настоящей Политике используются термины и определения, приведенные в таблице 1. Иные термины, применяемые в настоящей Политике, используются в значениях, определенных законодательством Российской Федерации иными нормативными правовыми актами, национальными стандартами в области обработки и защиты персональных данных.
| Термин | Определение | Источник |
|---|---|---|
| Обработка персональных данных | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Персональные данные | Любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Предоставление персональных данных | Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Распространение персональных данных | Действия, направленные на раскрытие персональных данных неопределенному кругу лиц | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
| Средства вычислительной техники | Совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем | ГОСТ Р 50739-95 |
| Уничтожение персональных данных | Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных | Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных» |
1.3. Настоящая Политика разработана на основании следующих нормативных правовых актов:
- Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
1.4. Политика подлежит опубликованию на официальном сайте Оператора.
1.5. оложения Политики распространяются на все отношения, связанные с обработкой персональных данных посетителей сайтов, пользователей мобильного приложения, участников программы лояльности, клиентов интернет-магазина, осуществляемой в Операторе, как с использованием средств автоматизации, так и без использования средств автоматизации.
2. Цели, состав, основания и срок обработки персональных данных
| Субьекты | Обрабатываемые персональные данные | Цель обработки |
Основания для обработки |
Срок обработки |
| Посетители сайта |
- advertising ID (IDFA, GAID, OAID и др.) - идентификаторы устройства (Install ID / device ID) - IP-адрес - данные об устройстве и ОС (тип устройства, модель, версия ОС, версия приложения) - время установки - время клика/атрибуции - источник установки (media_source / рекламная сеть) - сведения о событиях внутри приложения (внутренние события, конверсии, покупки и др.), параметры событий (например доход от события, валюта, название кампании/рекламы, идентификатор рекламы / группы объявлений / кампании), а также — при соответствующей конфигурации — набор “сырых данных” из отчётов: advertising_id_value, af_ad, af_ad_id, af_ad_type, af_adset, event_name, install_time, click_time, и другие поля атрибуции / событий - URL страницы - referrer - заголовок страницы - тип и версия браузера - разрешение экрана/окна, параметры экрана - cookie-идентификатор (ClientID/UserID) - дата и время начала визита - длительность визита - количество просмотренных страниц - URL начальной и конечной страницы визита - статус визита (отказ/бросок — bounce) - события интерфейса (клики, скроллы, отправка форм и др.) - параметры загрузки страницы (время рендеринга, загрузки) - URL внешней ссылки при клике - возможность передачи дополнительных параметров (например, параметры событий, кастомные метки, e-commerce-события) посредством API для целей и конверсий - идентифицирующая информация, которую пользователь добровольно передал (например, email, CRM-ID и другие идентификаторы) - технические и сетевые данные (IP-адрес, данные HTTP-запроса, время запроса, URL запрашиваемой страницы, прочие “environment variables”) - данные о визитах и действиях (посещения, клики, переходы, источники трафика, UTM-метки, конверсии, действия на сайте/в приложении) - информация из CRM/ERP/систем лояльности/мобильных приложений (например, заказы, покупки, статус, чек, возвраты, история транзакций) - агрегированные статистические и аналитические данные (поведение, сегментация, ретаргетинг, digital-passport пользователя) - логи и события, приходящие из разных источников (веб, мобильные, офлайн-каналы, Wi-Fi, loyalty-программы) - данные об эффективности рекламных кампаний (источник установки/перехода, расходы, доход от конверсии, метрики ROI/CPA/CLV и т. п. |
Аналитика посещений сайтов | Согласие при входе на сайт | До истечения сроков жизни файлов cookie. По достижении указанных сроков обработки персональные данные Пользователя уничтожаются путем удаления из информационных систем с помощью встроенных средств информационной систем |
|
Участники программы лояльности |
ФИО, телефон, емейл, дата рождения, пол |
Регистрация, авторизация в программе лояльности и пользование привилегиями в рамках программы лояльности |
Согласие | Данные обрабатываются в течение срока участия в программе лояльности до удаления аккаунта пользователем или отзыва согласия на обработку персональных данных. По достижении указанных сроков обработки персональные данные Пользователя уничтожаются путем удаления из информационных систем с помощью встроенных средств информационной систем |
| ФИО, телефон, емейл | Рассылка информационных и рекламных сообщений | Согласие | До отзыва согласия на получение информационных и рекламных сообщений. По достижении указанных сроков обработки персональные данные Пользователя уничтожаются путем удаления из информационных систем с помощью встроенных средств информационной систем |
|
| Онлайн-покупатели | ФИО, телефон, емейл, адрес, маскированный номер карты | Предоставление услуги онлайн-покупки на сайте | Договор-оферта | 5 лет после совершения покупки. По достижении указанных сроков обработки персональные данные Пользователя уничтожаются путем удаления из информационных систем с помощью встроенных средств информационной систем |
Обрабатываемые персональные данные не относятся к специальным категориям или биометрическим.
3. Действия с персональными данными
3.1. При обработке персональных данных осуществляются следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, уничтожение.
3.2. Оператор также может передавать персональные данные третьим лицам, для достижения целей, указанных в разделе 2 настоящей Политики. Оператор также может передавать персональные данные следующим третьим лицам:
- любому регулирующему органу, правоохранительным органам, центральным или местным исполнительным органам власти, другим официальным или государственным органам или судам, в отношении которых Оператор обязан предоставлять информацию в соответствии с применимым законодательством по соответствующему запросу;
- третьим лицам, в случае если субъектом персональных данных дано согласие на передачу персональных данных либо передача персональных данных требуется для предоставления соответствующей услуги или выполнения определенного соглашения или договора, стороной или выгодоприобретателем которого является субъект персональных данных;
- своим сотрудникам (в необходимом объеме), а также своим аффилированным лицам;
- партнерам, таким как владельцы сайтов и приложений, рекламные сети и другие партнеры, предоставляющие услуги Оператору, связанные с размещением и отображением рекламы на сайтах, в программах, продуктах или сервисах, которые принадлежат таким партнерам или контролируются ими;
- рекламодателям или другим Партнерам, которые отображают рекламу на Сайтах и/или на Сервисах Оператора, а также таким Партнёрам как поставщики информационных сервисов или консультанты;
- лицам, предоставляющим информацию для выявления угроз безопасности для Сайтов и Сервисов, пользователей Оператора и/или третьих лиц, в том числе при проверке благонадежности при заключении договоров с использованием Сайтов и Сервисов;
- лицам, участвующих в организации приема платежей и проведении платежных операций с использованием Сайтов и Сервисов (поставщики платежных инструментов, банки и иные финансовые организации и т.д.);
- третьим лицам, которым произведена уступка прав или обязанностей по договорам, связанным с предоставлением пользователям Сервисов, или которые осуществляют контроль иным образом над лицами, предоставляющими Сервисы, в результате их приобретения (посредством приобретения юридических лиц, объектов интеллектуальной собственности, имущества, имущественных прав и иным образом);
- любому третьему лицу в целях осуществления прав и законных интересов Оператора или третьих лиц.
Оператор в ходе своей деятельности вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
3.3. На веб-сайтах Оператора используются метрические программы третьих лиц: Яндекс Метрика, Андата.
3.4. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
3.5. В целях оказания услуг и повышения их качества мы передаем информацию о вас следующим третьим лицам:
| Наименование | ИНН |
| ООО «Сэйплэй» | 7706784776 |
| ООО «ВАЙТ КЭБС» | 9725033151 |
| ООО «ОПРОССО» | 6952039108 |
| ООО «МЕЙЛФИТ» | 9729303031 |
| ООО «РЕАЛВЕБ» | 7727479678 |
| ООО «ФЕРСТ ДАТА» | 7709999307 |
| ООО «ИМПУЛЬС ГУРУ» | 3329099246 |
| ООО «ТУРБОТАРГЕТ» | 9702057639 |
| ООО "ГИБРИД» | 6829098278 |
| ООО «ВЕБИТ» | 7716775040 |
| ООО «КИТ СОЛЮШНС» | 7743140561 |
| ООО «ФИСТАШКИ» | 7701881744 |
| ООО «РЕКЛАМНОЕ АГЕНТСТВО КОВАЛЕВЫ» | 5032291136 |
| ООО «АНДАТА» | 7724653712 |
| ООО «Альфа» | 7804448839 |
| ПАО «Мобильные ТелеСистемы» | 7740000076 |
| ПАО «СБЕРБАНК РОССИИ» | 7707083893 |
| ООО «ЯНДЕКС.ОБЛАКО» | 7704458262 |
| ООО «ИА РиалВеб» | 7813323882 |
| ООО «ДЗЕН МОБАЙЛ ЭДЖЕНСИ» | 7707382910 |
| ООО «ЯНДЕКС.ДИРЕКТ» | 7701355942 |
| ООО «ЯНДЕКС» | 7736207543 |
3.5. Трансграничная передача персональных данных Оператором не осуществляется.
3.6. В Операторе допускается обработка общедоступных персональных данных.
3.7. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Порядок взаимодействия с субъектами персональных данных
4.1. Любой субъект, персональные данные которого обрабатываются в Операторе, имеет право доступа к своим персональным данным, в том числе к следующей информации:
· подтверждение факта обработки персональных данных;
· равовые основания и цели обработки персональных данных;
· цели и применяемые способы обработки персональных данных;
· наименование и место нахождения оператора ПДн;
· перечень обрабатываемых персональных данных, относящихся к соответствующему субъекту:
· сроки обработки персональных данных.
4.2. Оператор предоставляет сведения по запросу субъекта ПДн или его законного представителя в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4.3. Запрос субъекта персональных данных или его представителя должен содержать:
· обязательный элемент: адрес электронной почты или иной связанный с субъектом ПДн уникальный идентификатор пользователя, в случае направления запроса, связанного с субъектом с конкретным адресом электронной почты или иным уникальным идентификатором, такой запрос должен производится с того же адреса электронной почты/ иного идентификатора для связи с субъектом, в отношении которого направляется запрос;
· Ф.И.О. субъекта персональных данных или его представителя;
· указание на документ, удостоверяющий личность субъекта персональных данных или его представителя (тип документа, серия и номер, кем и когда выдан);
· сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных и/или указание на факт взаимоотношений, в ходе которых мы получили персональные данные;
· подпись субъекта персональных данных или его представителя. Запрос, отправляемый по электронной почте, должен быть в форме электронного документа, подписанного в соответствии с положениями законодательства Российской Федерации об электронной подписи.
4.4. Оператор будет стремиться рассматривать поступающие обращения в максимально короткий срок, но в любом случае не более одного месяца, если более короткий срок не установлен применимым законодательством Российской Федерации.
4.5. Оператор рассматривает обращения, дает разъяснения и предпринимает меры по защите данных. В случае претензий и жалоб со стороны субъекта персональных данных, Оператор принимает все необходимые меры для устранения возможных нарушений, установления виновных лиц и урегулирования спорных ситуаций в досудебном порядке.
4.6. Субъект персональных данных вправе повторно обратиться к Оператору с запросом сведений, указанных в п.4.1 настоящей Политики, не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального Запроса.
4.7. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования и/ или удаления в случае, если обрабатываемые Оператором персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной Оператором цели обработки.
4.8. Субъект персональных данных вправе обжаловать наши действия или наше бездействие как оператора персональных данных в территориальном органе Роскомнадзора.
4.9. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных, если такое было дано. Отзыв согласия направляется субъектом в адрес Оператора и должен содержать сведения, указанные в п.4.3 настоящей Политики. В случае отзыва субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, предусмотренных законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5. Сбор персональных данных несовершеннолетних
Наши сайты, сервисы и мобильные приложения не предназначены для обработки персональных данных несовершеннолетних. Если у вас есть основания полагать, что ребенок предоставил нам свои персональные данные, то просим вас сообщить нам об этом.
6. Изменение политики
Мы оставляем за собой право вносить изменения в нашу Политику в любое время. Мы просим вас регулярно просматривать все об
