Политика обработки персональных данных посетителей сайтов, пользователей мобильного приложения, участников программы лояльности, клиентов интернет-магазина в ООО «Ортизей»

1. Общие положения

1.1. Настоящий документ определяет Политику ООО «Ортизей», 119435, г. Москва, вн. тер. г. муниципальный округ Хамовники, пер. Большой Саввинский, д. 9, стр. 3, ortizey@coffeemania.ru, ОГРН 1237700512444, ИНН 9704217824,  (далее – Оператор) в отношении обработки персональных данных посетителей сайтов, пользователей мобильного приложения, участников программы лояльности, клиентов интернет-магазина (далее – Политика). 1.2. В настоящей Политике используются термины и определения, приведенные в таблице 1. Иные термины, применяемые в настоящей Политике, используются в значениях, определенных законодательством Российской Федерации иными нормативными правовыми актами, национальными стандартами в области обработки и защиты персональных данных.

Таблица 1 – Перечень терминов и определений

1.3. Настоящая Политика разработана на основании следующих нормативных правовых актов: -  Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных»; -  Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; 1.4. Политика подлежит опубликованию на официальном сайте Оператора. 1.5. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных посетителей сайтов, пользователей мобильного приложения, участников программы лояльности, клиентов интернет-магазина, осуществляемой в Операторе, как с использованием средств автоматизации, так и без использования средств автоматизации.

2. Цели, состав, основания и срок обработки персональных данных

Субьект: Посетители сайта Цель обработки: Аналитика посещений сайтов Основание: Согласие при входе на сайт Срок обработки: До истечения сроков жизни файлов cookie. По достижении указанных сроков данные уничтожаются путем удаления из информационных систем. Обрабатываемые персональные данные:

• Рекламные идентификаторы (IDFA, GAID, OAID и др.)
• Идентификаторы устройства (Install ID / device ID)
• IP-адрес
• Данные об устройстве и ОС (тип устройства, модель, версия ОС, версия приложения)
• Время установки
• Время клика / атрибуции
• Источник установки (media_source / рекламная сеть)
• Сведения о событиях внутри приложения (внутренние события, конверсии, покупки и др.), параметры событий (доход, валюта, название кампании/рекламы, идентификатор рекламы / группы объявлений / кампании)
• При соответствующей конфигурации — набор «сырых данных» из отчётов: advertising_id_value, af_ad, af_ad_id, af_ad_type, af_adset, event_name, install_time, click_time и другие поля атрибуции / событий
• URL страницы
• Referrer
• Заголовок страницы
• Тип и версия браузера
• Разрешение экрана / окна, параметры экрана
• Cookie-идентификатор (ClientID / UserID)
• Дата и время начала визита
• Длительность визита
• Количество просмотренных страниц
• URL начальной и конечной страницы визита
• Статус визита (отказ / бросок — bounce)
• События интерфейса (клики, скроллы, отправка форм и др.)
• Параметры загрузки страницы (время рендеринга, загрузки)
• URL внешней ссылки при клике
• Возможность передачи дополнительных параметров (например, параметры событий, кастомные метки, e-commerce-события) посредством API для целей и конверсий
• Идентифицирующая информация, которую пользователь добровольно передал (например, email, CRM-ID и другие идентификаторы)
• Технические и сетевые данные (IP-адрес, данные HTTP-запроса, время запроса, URL запрашиваемой страницы, прочие «environment variables»)
• Данные о визитах и действиях (посещения, клики, переходы, источники трафика, UTM-метки, конверсии, действия на сайте / в приложении)
• Информация из CRM / ERP / систем лояльности / мобильных приложений (например, заказы, покупки, статус, чек, возвраты, история транзакций)
• Агрегированные статистические и аналитические данные (поведение, сегментация, ретаргетинг, digital-passport пользователя)
• Логи и события из разных источников (веб, мобильные, офлайн-каналы, Wi-Fi, loyalty-программы)
• Данные об эффективности рекламных кампаний (источник установки / перехода, расходы, доход от конверсии, метрики ROI / CPA / CLV и т. д.)

Субьект: Участники программы лояльности Цель обработки: Регистрация, авторизация в программе лояльности и пользование привилегиями в рамках программы лояльности Основание: Согласие Срок обработки: В течение срока участия в программе лояльности до удаления аккаунта пользователем или отзыва согласия. По достижении указанных сроков данные уничтожаются. Обрабатываемые персональные данные:

• ФИО
• Телефон
• Емейл
• Дата рождения
• Пол

Цель обработки: Рассылка информационных и рекламных сообщений Основание: Согласие Срок обработки: До отзыва согласия на получение рассылок. По достижении указанных сроков данные уничтожаются. Обрабатываемые персональные данные:

• ФИО
• Телефон
• Емейл

Субьект: Онлайн-покупатели Цель обработки: Предоставление услуги онлайн-покупки на сайте Основание: Договор-оферта Срок обработки: 5 лет после совершения покупки. По достижении указанных сроков данные уничтожаются. Обрабатываемые персональные данные:

• ФИО
• Телефон
• Емейл
• Адрес
• Маскированный номер карты

Обрабатываемые персональные данные не относятся к специальным категориям или биометрическим.

3. Действия с персональными данными

3.1. При обработке персональных данных осуществляются следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, уничтожение.

3.2. Оператор также может передавать персональные данные третьим лицам, для достижения целей, указанных в разделе 2 настоящей Политики. Оператор также может передавать персональные данные следующим третьим лицам:

• любому регулирующему органу, правоохранительным органам, центральным или местным исполнительным органам власти, другим официальным или государственным органам или судам, в отношении которых Оператор обязан предоставлять информацию в соответствии с применимым законодательством по соответствующему запросу;
• третьим лицам, в случае если субъектом персональных данных дано согласие на передачу персональных данных либо передача персональных данных требуется для предоставления соответствующей услуги или выполнения определенного соглашения или договора, стороной или выгодоприобретателем которого является субъект персональных данных;
• своим сотрудникам (в необходимом объеме), а также своим аффилированным лицам;
• партнерам, таким как владельцы сайтов и приложений, рекламные сети и другие партнеры, предоставляющие услуги Оператору, связанные с размещением и отображением рекламы на сайтах, в программах, продуктах или сервисах, которые принадлежат таким партнерам или контролируются ими;
• рекламодателям или другим Партнерам, которые отображают рекламу на Сайтах и/или на Сервисах Оператора, а также таким Партнёрам как поставщики информационных сервисов или консультанты;
• лицам, предоставляющим информацию для выявления угроз безопасности для Сайтов и Сервисов, пользователей Оператора и/или третьих лиц, в том числе при проверке благонадежности при заключении договоров с использованием Сайтов и Сервисов;
• лицам, участвующих в организации приема платежей и проведении платежных операций с использованием Сайтов и Сервисов (поставщики платежных инструментов, банки и иные финансовые организации и т.д.);
• третьим лицам, которым произведена уступка прав или обязанностей по договорам, связанным с предоставлением пользователям Сервисов, или которые осуществляют контроль иным образом над лицами, предоставляющими Сервисы, в результате их приобретения (посредством приобретения юридических лиц, объектов интеллектуальной собственности, имущества, имущественных прав и иным образом);
• любому третьему лицу в целях осуществления прав и законных интересов Оператора или третьих лиц.

Оператор в ходе своей деятельности вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

3.3. На веб-сайтах Оператора используются метрические программы третьих лиц: Яндекс Метрика, Андата.

3.4. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

3.5. В целях оказания услуг и повышения их качества мы передаем информацию о вас следующим третьим лицам:

Наименование

ИНН

ООО «Сэйплэй»

7706784776

ООО «ВАЙТ КЭБС»

9725033151

ООО «ОПРОССО»

6952039108

ООО «МЕЙЛФИТ»

9729303031

ООО «РЕАЛВЕБ»

7727479678

ООО «ФЕРСТ ДАТА»

7709999307

ООО «ИМПУЛЬС ГУРУ»

3329099246

ООО «ТУРБОТАРГЕТ»

9702057639

ООО "ГИБРИД»

6829098278

ООО «ВЕБИТ»

7716775040

ООО «КИТ СОЛЮШНС»

7743140561

ООО «ФИСТАШКИ»

7701881744

ООО «РЕКЛАМНОЕ АГЕНТСТВО КОВАЛЕВЫ»

5032291136

ООО «АНДАТА»

7724653712

ООО «Альфа»

7804448839

ПАО «Мобильные ТелеСистемы»

7740000076

ПАО «СБЕРБАНК РОССИИ»

7707083893

ООО «ЯНДЕКС.ОБЛАКО»

7704458262

ООО «ИА РиалВеб»

7813323882

ООО «ДЗЕН МОБАЙЛ ЭДЖЕНСИ»

7707382910

ООО «ЯНДЕКС.ДИРЕКТ»

7701355942

ООО «ЯНДЕКС»

7736207543

3.5. Трансграничная передача персональных данных Оператором не осуществляется.

3.6. В Операторе допускается обработка общедоступных персональных данных.

3.7. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Порядок взаимодействия с субъектами персональных данных

4.1. Любой субъект, персональные данные которого обрабатываются в Операторе, имеет право доступа к своим персональным данным, в том числе к следующей информации:

· подтверждение факта обработки персональных данных;

· равовые основания и цели обработки персональных данных;

· цели и применяемые способы обработки персональных данных;

· наименование и место нахождения оператора ПДн;

· перечень обрабатываемых персональных данных, относящихся к соответствующему субъекту:

· сроки обработки персональных данных.

4.2. Оператор предоставляет сведения по запросу субъекта ПДн или его законного представителя в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

4.3. Запрос субъекта персональных данных или его представителя должен содержать:

· обязательный элемент: адрес электронной почты или иной связанный с субъектом ПДн уникальный идентификатор пользователя, в случае направления запроса, связанного с субъектом с конкретным адресом электронной почты или иным уникальным идентификатором, такой запрос должен производится с того же адреса электронной почты/ иного идентификатора для связи с субъектом, в отношении которого направляется запрос;

· Ф.И.О. субъекта персональных данных или его представителя;

· указание на документ, удостоверяющий личность субъекта персональных данных или его представителя (тип документа, серия и номер, кем и когда выдан);

· сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных и/или указание на факт взаимоотношений, в ходе которых мы получили персональные данные;

· подпись субъекта персональных данных или его представителя. Запрос, отправляемый по электронной почте, должен быть в форме электронного документа, подписанного в соответствии с положениями законодательства Российской Федерации об электронной подписи.

4.4. Оператор будет стремиться рассматривать поступающие обращения в максимально короткий срок, но в любом случае не более одного месяца, если более короткий срок не установлен применимым законодательством Российской Федерации.

4.5. Оператор рассматривает обращения, дает разъяснения и предпринимает меры по защите данных. В случае претензий и жалоб со стороны субъекта персональных данных, Оператор принимает все необходимые меры для устранения возможных нарушений, установления виновных лиц и урегулирования спорных ситуаций в досудебном порядке.

4.6. Субъект персональных данных вправе повторно обратиться к Оператору с запросом сведений, указанных в п.4.1 настоящей Политики, не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального Запроса.

4.7. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования и/ или удаления в случае, если обрабатываемые Оператором персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной Оператором цели обработки.

4.8. Субъект персональных данных вправе обжаловать наши действия или наше бездействие как оператора персональных данных в территориальном органе Роскомнадзора.

4.9. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных, если такое было дано. Отзыв согласия направляется субъектом в адрес Оператора и должен содержать сведения, указанные в п.4.3 настоящей Политики. В случае отзыва субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, предусмотренных законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

5. Сбор персональных данных несовершеннолетних

Наши сайты, сервисы и мобильные приложения не предназначены для обработки персональных данных несовершеннолетних. Если у вас есть основания полагать, что ребенок предоставил нам свои персональные данные, то просим вас сообщить нам об этом.

6. Изменение политики

Мы оставляем за собой право вносить изменения в нашу Политику в любое время. Мы просим вас регулярно просматривать все обновления нашей Политики.