Политика конфиденциальности и обработки персональных данных автоматизированного комплекса qbeek

1. Общие положения

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «КУБИК» (далее — Оператор).
1.1. Настоящий документ (далее – «Политика») является политикой ООО «КУБИК» (ОГРН 1237700350140, в дальнейшем именуемое «Компания» или «Оператор»), устанавливающий режим защиты конфиденциальной информации («Положение»), обработки и защиты персональных данных пользователей автоматизированного комплекса qbeek в информационно-телекоммуникационной сети Интернет по адресу: https://qbeek.ru (далее – «Сайт») и/или web-версии/мобильном приложении, закрепляет принципы и подходы компании относительно установления режима работы с информацией ограниченного доступа, включая ограничения по доступу, правила обращения и условия получения данной информации.
1.2. Документ разработан в строгом соответствии с Гражданским кодексом РФ, Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом № 98-ФЗ «О коммерческой тайне» и прочими действующими нормативно-правовыми актами Российской Федерации.
1.3. Данная политика распространяется исключительно на обработку и защиту личных сведений пользователей автоматизированного комплекса qbeek, включая тех, кто посещает сайт, гостей и другие категории участников, указанные далее. Для прочих групп субъектов персональных данных, таких как работников ООО «КУБИК» в компании разработаны отдельные правила, ознакомиться с которыми можно по юридическому адресу организации.
1.4. До начала использования Сервиса «КУБИК» просим Вас ознакомиться с положениями данной Политики.
1.5. В случае, если Вы не согласны с данной политикой конфиденциальности и правилами обработки персональных данных, то, пожалуйста, не предоставляйте свои персональные данные и прекратите использование автоматизированного комплекса qbeek.
1.6. По вопросам, не урегулированным данной Политикой, следует руководствоваться нормам российского законодательства.

2. Используемые термины

2.1. Автоматизированный комплекс qbeek - программное обеспечение (далее – ПО), воспроизводимое на оборудовании пользователей-лицензиатов и (или) доступных при использовании сайтов в сети Интернет под доменным именем https://qbeek.ru, в том числе в виде web-версий и (или) мобильного приложения, а также любых дополнительных модулей, баз данных, компонентов, подсистем, обновлений, дополнительных функциональных возможностей, которые могут быть разработаны в будущем для целей повышения эффективности реализации основного функционала по автоматизации процессов взаимодействия между Пользователями в процессе оказания (получения) услуг общественного питания и в иных сферах обслуживания.
Далее по тексту употребление термина автоматизированный комплекс qbeek равнозначно терминам Сервис «КУБИК», Сервис и включает в себя как сам комплекс, так и Сайт, Приложение.
2.2. Владелец конфиденциальной информации – Общество и/или другое лицо, которое владеет этими сведениями на законных основаниях, ограничило доступ к ним и установило порядок их защиты.
2.3. Доступ к конфиденциальной информации — ознакомление отдельных лиц с конфиденциальной информацией после получения согласия Общества или на другом правомерном основании при соблюдении условий неразглашения данных сведений.
2.4. Коммерческая тайна — производственная, техническая, экономическая или организационная информация любого типа, обладающая реальной или потенциальной ценностью вследствие своей неизвестности третьим лицам, свободному доступу которых она не подлежит, и защищённая собственником особым порядком режима коммерческой тайны.
2.5. Контрагент — другая сторона гражданского правового договора организации, которой владелец предоставил конфиденциальную информацию Общества.
2.6. Конфиденциальность информации — обязательство лица, имеющего доступ к информации, не раскрывать её другим лицам без разрешения владельца этой информации.
2.7. Личные данные — всякая информация, касающаяся конкретного человека прямо или косвенно (ФИО, дата и место рождения, адрес проживания, семейное положение, образование, профессия, доходы и др.), достаточная для идентификации личности. Режим конфиденциальности личных данных установлен однозначно и постоянно без специальных процедур оформления.
2.8. Нарушение конфиденциальности информации — действия или бездействия, результатом которых стала утечка конфиденциальной информации любым способом третьим лицам без одобрения владельца либо вопреки требованиям трудового или гражданско-правового соглашения.
2.9. Передача конфиденциальной информации — предоставление владельцем информации контрагенту согласно условиям заключённого договора, включающего обязанность контрагента соблюдать установленные требования по сохранению конфиденциальности передаваемых сведений.
2.10. Порядок защиты конфиденциальной информации — совокупность правовых, административных, технических и иных мероприятий, проводимых организацией для обеспечения охраны конфиденциальности информации.
2.11. Представление конфиденциальной информации Обществом — передача владельцу органами госвласти, иными государственными структурами или местными властями необходимой конфиденциальной информации для исполнения ими своих полномочий.
2.12. Остальные термины применяются в данном документе в значениях, предусмотренных российским законодательством, если иное специально не оговорено текстом документа.

3. Основные права и обязанности Оператора

3.1. Настоящая политика применяется ко всей персональной информации пользователей, полученной в ходе использования ими Сервиса «КУБИК».
3.2. Сервис содержит гиперссылки на сайты, сервисы, ресурсы и прочие третьи стороны в сети Интернет («Сторонние площадки»), переход на которые происходит автоматически. Сервис «КУБИК» не несет ответственность за соблюдение конфиденциальности данных при доступе пользователя к указанным ресурсам или любых иных взаимодействиях с ними. Пользователи обязаны предварительно ознакомиться с правилами обработки персональных данных указанных ресурсов.
3.3. Обработка персональных данных оператором осуществляется в строгом соответствии с Федеральным законом № 152-ФЗ «О персональных данных».
3.4. Принципы обработки персональных данных Компании включают следующее:

Обработка производится исключительно на законных основаниях.
Целью обработки являются конкретные, заранее определённые и правомерные задачи; недопустима обработка данных, противоречащая изначально установленным целям.
Запрещается объединять базы данных, содержащие персональные сведения, обработка которых направлена на достижение несовместимых друг с другом целей.
Подлежат обработке лишь те персональные данные, которые необходимы для достижения заявленных целей.
Состав и объём обрабатываемых сведений адекватны поставленным целям обработки; недопустимо наличие излишней информации относительно обозначенных целей.
При обработке обеспечиваются корректность, полнота и, когда это необходимо, актуализация данных применительно к целям их обработки; предусмотрены меры по устранению неполных или недостоверных сведений.
Хранение персональных данных осуществляется в формате, позволяющем идентифицировать субъекта не дольше срока, необходимого для выполнения условий согласия или поручения на обработку данных, целей такой обработки или установленного российским законодательством периода хранения; договор, участником которого выступает субъект данных, также учитывается при определении сроков хранения.
По завершении процесса обработки персональные данные подлежат уничтожению или деперсонализации после достижения поставленных целей, кроме случаев, предусмотренных законодательством Российской Федерации.

4. Обработка персональных данных

4.1. Оператор осуществляет обработку Персональных данных на условиях, указанных в п. 3.4. настоящей Политики.
4.2. В зависимости от цели обработки Оператор обрабатывает данные любым способом, не запрещенным законодательством, включая сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение.
4.3. Оператор осуществляет обработку персональных данных с использованием базы данных по адресу: г. Москва, ул. Молодежная, д. 3, пом. 1/1.
4.4. Пользователь дает свое согласие Оператору на передачу и обработку своих персональных данных.
4.5. Обработка осуществляется Оператором, а также третьими лицами – партнерами Оператора, которым Оператор поручает обработку и/или передает Персональные данные, а равно предоставляет доступ к ним в целях их обработки в соответствии с законодательством Российской Федерации.
4.6. Допускается обработка персональных данных с использованием и без использования средств автоматизации, а также смешанным способом, а также совершение любых действий по обработке персональных данных, не противоречащих законодательству Российской Федерации и настоящей Политике.
4.7. Условия обработки Персональных данных пользователей:

;Юридические основания обработки; Предоставление согласия субъекта на обработку персональных данных (пункт 1 части 1 статьи 6 Федерального закона № 152-ФЗ): - незарегистрированные гости предоставляют свое согласие на обработку персональных данных путем установки соответствующей отметки в соответствующем функциональном поле Сервиса «КУБИК» до совершения действий (например, оплаты заказа, предоставления вознаграждения персоналу либо заведения, размещения отзывов). Формат и способ выражения согласия могут различаться в зависимости от технической реализации ПО. Выполнение Оператором установленных законом функций, полномочий и обязательств (пункт 2 части 1 статьи 6 Федерального закона № 152-ФЗ). Реализация условий договора, стороной которого выступает субъект персональных данных, включая исполнение договоров, заключаемых по инициативе субъекта или предусматривающих его участие в качестве бенефициара или гаранта (пункт 5 части 1 статьи 6 Федерального закона № 152-ФЗ). Наличие законного интереса оператора (пункт 7 части 1 статьи 6 Федерального закона № 152-ФЗ). Осуществление обработки персональных данных в целях статистики и проведения исследований (пункт 9 части 1 статьи 6 Федерального закона № 152-ФЗ). ;Перечень персональных данных; Фамилия, имя, отчество. Дата рождения. Сведения о платежной системе, тип оплаты (бесконтактный/ввод реквизитов карты), банк карты, банк, через который совершалась оплата по СБП, маска карты (PAN), тип устройства (Android/Apple), сведения о Заведении, в котором совершена транзакция по оставлению чаевых/оплате заказа, время и сумма таких транзакций. Номер мобильного телефона. номер пользовательского устройства (Device ID). Адрес электронной почты. Техническая информация из систем автоматизации ресторанов (если применимо). cookies, данные о пользовательской сессии – последовательность запросов, сделанных Гостем во время использования Сервиса. Данные и записи, полученные в результате переписки и общения с Пользователем (переписка по электронной почте, в мессенджерах, чатах и т.п.), видео- и аудиосвязи. ;Цель обработки персональных данных; Обеспечение доступа к Сервису и поддержание его функциональности. Подтверждение принадлежности учётной записи конкретному Пользователю с целью предотвращения неправомерных действий и защиты прав Пользователя либо третьих лиц. Оформление, выполнение, внесение изменений и прекращение договоров для реализации деятельности компании и предоставления Гостям возможностей пользования Сервисом «КУБИК». Оказание технической и клиентской поддержки, консультирование по вопросам, связанным с функционированием Сервиса. Организация взаимодействия с Пользователями посредством обратной связи для целей использования Сервиса, рассмотрения обращений и заявлений. Информирование путем направления уведомлений и запросов относительно эксплуатации и работы Сервиса. Ведение технического сопровождения, управления, администрирования, модернизации и дальнейшего развития Сервиса. Изучение пользовательских предпочтений и опыта для повышения качества предоставляемых услуг и улучшения функционала Сервиса. Реализация маркетинговых акций и иных мероприятий с применением Сервиса, включая подведение итогов и публикацию результатов указанных мероприятий. Размещение положительных отзывов пользователей на веб-сайте и/или в мобильном приложении оператора в целях повышения уровня доверия и положительного восприятия Сервиса пользователями. Прочие правомерные цели, предусмотренные законодательством Российской Федерации, интересами общественности, принципами правопорядка и морали. ;Перечень действий с персональными данными; Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение персональных данных. ;Вид обработки персональных данных; Автоматизированная. Неавтоматизированная. Смешанная.

4.8. Оператор получает и обрабатывает Персональные данные пользователя лишь тогда, когда пользователь добровольно предоставляет их в рамках использования Сервиса.
Обработка биометрических Персональных данных оператором не ведется. Информация о пользователях, собираемая при использовании автоматизированного комплекса qbeek посредством сервисов интернет-статистики (данные о пользовательской сессии, включающие историю запросов, сделанных пользователем во время взаимодействия с Сервисом), используется для анализа пользовательского поведения на сайте и/или в приложении. Сбор данных позволяет повысить качество работы Сервиса и ее контента. Обработка пользовательских данных осуществляется оператором лишь при условии, если это разрешено настройками браузера пользователя. Важно отметить, что такая обработка персональных данных проводится для предоставления пользователю Сайта и Приложения, а также для выполнения условий их использования.
4.9. Для работы с данными Компания применяет cookies. Это небольшие текстовые файлы, содержащие определённую информацию, которые загружаются на устройство пользователя (ПК, смартфон и другое) во время посещения веб-страницы. Cookies помогают распознавать пользовательские устройства, устанавливать предпочтения пользователей, а также собирать данные о взаимодействиях с сайтом. Это позволяет улучшать функциональность ресурса и устранять возникающие ошибки или баги. При этом список целей использования cookies варьируется в зависимости от особенностей каждого сайта. На сайте и/или в приложении Компания может применять несколько видов cookies:

Технические cookies. Эти файлы необходимы для корректной работы сайта и приложения. Без них функционирование ресурса становится невозможным. Технические cookies обеспечивают перемещение пользователей по страницам, доступ к их разделам, заполнение форм и использование интерактивных элементов, например, чекбоксов.
Сессионные cookies. Это временные файлы, которые сохраняют сведения о действиях пользователя в браузере в течение одной сессии, то есть до момента закрытия браузера.
Аналитические cookies. Используются для сбора данных о том, как часто пользователи посещают сайт и приложение, какие разделы просматривают, на какие ссылки переходят и каким образом перемещаются по ресурсу.
Cookies предпочтений. Такие файлы запоминают настройки и выборы пользователей, сделанные на сайте или в приложении (язык интерфейса, региональные параметры, запросы и так далее). Это помогает обеспечить персонализированный опыт для каждого пользователя.

Пользователь может самостоятельно ограничить или полностью отключить использование cookies в настройках своего браузера. При отказе от некоторых cookies функциональность сайта или приложения может быть нарушена, а часть функций окажется недоступной. Если пользователь не согласен с методами, средствами и инструментами анализа статистики компании, он должен прекратить использование сайта и приложения. В таком случае Компания не сможет предоставить доступ к ресурсу.
Компания при использовании cookies не стремится к идентификации конкретного пользователя сайта или приложения. Организация не размещает персональные данные пользователей в открытых источниках без их согласия. При этом оператор вправе публиковать отзывы в обезличенном виде, включая комментарии о заведении, персонале или платформе. Обработка персональных данных осуществляется с использованием автоматизированных средств или без них, иногда комбинированным способом.
4.10. Компания не размещает и не предоставляет доступ к персональным данным в открытых источниках без полученного согласия пользователя (субъекта персональных данных). Оператор вправе публиковать обезличенные отзывы пользователей, включая оценку Заведения, Персонала и Платформы, в публичном доступе.
4.11. Компания проводит обработку персональных данных с использованием автоматизированных методов и вручную, включая комбинированные способы обработки. При этом соблюдаются требования, которые установлены законодательством о персональных данных, а также связанными с ним нормативными документами для всех типов обработки.
4.12. В случае необходимости Оператор может передать обработку персональных данных другим лицам. В таких ситуациях Компания строго придерживается норм и обязательств, предусмотренных законодательством о персональных данных при передаче обработки информации другим лицам.
4.13. Оператор предпринимает необходимые и достаточные действия для выполнения своих обязанностей в соответствии с Законом о персональных данных и подзаконными нормативными актами, принятыми на его основе. В число таких действий входят:

Назначение ответственного лица, координатора всех процессов, связанных с обработкой персональных данных;
Разработка и утверждение документов, которые устанавливают политику обработки персональных данных. Это включает локальные акты, где для каждой цели обработки определяются категории и перечни данных, группы субъектов, чьи данные обрабатываются, способы, сроки обработки и хранения, а также порядок уничтожения данных после достижения целей или при наличии иных законных оснований. Здесь же прописываются процедуры для предотвращения, выявления и устранения нарушений законодательства Российской Федерации и последствий таких нарушений;
Применение правовых, организационных и технических мер для обеспечения безопасности персональных данных в рамках статьи 19 Закона о персональных данных;
Проведение внутреннего контроля или аудита соблюдения требований законодательства о персональных данных, включая нормативные правовые акты, меры защиты данных, текущую Политику и локальные акты;
Оценка потенциального ущерба заинтересованным субъектам персональных данных в случае нарушения действующего законодательства. Анализируется масштаб возможного ущерба и соотносятся меры, принимаемые оператором для предотвращения подобных ситуаций;
Ознакомление сотрудников, участвующих в обработке персональных данных, с требованиями законодательства Российской Федерации по защите персональных данных. Также предусмотрено их обучение по работе с политикой обработки данных и локальными нормативными документами.

4.14. Оператор, осуществляющий обработку персональных данных, принимает необходимые меры для обеспечения их защиты. Это включает правовые, организационные и технические подходы, направленные на предотвращение незаконного или случайного доступа, уничтожения, изменения, блокировки, копирования, предоставления, распространения персональной информации, а также иных неправомерных действий. Безопасность персональных данных обеспечивается через следующие процессы:

Выявление угроз безопасности данных при их обработке в информационных системах компании.
Применение комплекса организационных и технических мер для выполнения требований законодательства Российской Федерации о защите персональных данных и обеспечении установленного уровня защищенности.
Использование сертифицированных средств защиты информации, включая технологии уничтожения данных, прошедшие необходимую оценку соответствия.
Проверка эффективности применяемых мер до начала эксплуатации информационных систем.
Учет носителей информации, содержащих персональные данные.
Обнаружение попыток несанкционированного доступа к данным и принятие мер для их нейтрализации, включая действия по предотвращению атак на информационные системы и реагированию на компьютерные инциденты.
Восстановление данных, подвергшихся изменениям или уничтожению вследствие неразрешенного доступа.
Установление правил доступа к данным с регистрацией и учетом всех совершаемых операций в системах обработки персональных данных.
Контроль принятых мер для обеспечения необходимого уровня безопасности и защиты информационных систем.
Обработка данных через защищенные каналы связи с применением протокола HTTPS, поддерживаемого SSL-сертификатом одного из публичных удостоверяющих центров для шифрования информации.
На уровне инфраструктуры обеспечивается контроль и управление физическим доступом к оборудованию дата-центров и их защитой от внешних угроз (например, колебаний электроснабжения, неблагоприятных климатических воздействий).
Операционные системы серверов устойчивы к вирусным угрозам и не позволяют доступ из клиентских сетей к служебным ресурсам. Помимо этого, на сетевых системах хранения данных используется проактивная технология фильтрации WAF (Web Application Firewall), которая минимизирует вероятность веб-угроз.

4.15. Оператор осуществляет обработку и хранение персональных данных в течение 5 лет. По истечении данного срока данные подлежат уничтожению. При этом законодательство Российской Федерации или условия договора между Оператором и пользователем могут предусматривать иные сроки обработки данных, например, при завершении срока действия договора или его расторжении.
4.16. Пользователь имеет право в любой момент отозвать согласие на обработку своих персональных данных, отправив уведомление на электронный адрес: hello@qbeek.ru с пометкой «Отзыв согласия на обработку персональных данных». После получения такого уведомления Оператор должен оперативно удалить предоставленные данные пользователя в срок, не превышающий 30 календарных дней, если не предусмотрены исключения. Вместе с тем Оператор может продолжить обработку данных без согласия пользователя, если это предусмотрено законодательством Российской Федерации. Отзыв согласия также может привести к прекращению договора или иных отношений между пользователем и Оператором, поскольку действия, связанные с обработкой данных, будут прекращены.
4.17. При нарушении пользователем условий Пользовательского лицензионного соглашения или законодательства Российской Федерации Оператор имеет право удалить учетную запись пользователя (если применимо) или опубликованную им информацию и прекратить соответствующую обработку и хранение персональных данных.
4.18. Уничтожение персональных данных производится по окончании срока обработки, если отсутствуют законные основания для их дальнейшего хранения (например, обязательства сохранять документы согласно требованиям законодательства Российской Федерации). Кроме того, уничтожение данных осуществляется в других случаях, предусмотренных законодательством. Методы уничтожения зависят от формы обработки данных. Бумажные носители с информацией могут быть измельчены с помощью шредера; данные, хранящиеся в информационных системах, резервных копиях или репозиториях, удаляются, а материальные носители (жесткие диски, флэш-накопители и т.д.) уничтожаются таким образом, чтобы исключить восстановление информации.

5. Права и обязанности пользователя

5.1. Пользователь имеет право запрашивать информацию о процессе обработки своих персональных данных (за исключением ситуаций, предусмотренных федеральными законами), направив письменный запрос в оригинале, оформленный на бумажном носителе и подписанный пользователем или его уполномоченным представителем, по юридическому адресу Оператора, указанному в Едином государственном реестре юридических лиц. Объем предоставляемых сведений о обработке персональных данных устанавливается положениями Закона о персональных данных.
5.2. Пользователь может в любой момент отказаться от получения рекламных и информационных сообщений, уведомив Оператора через электронную почту по адресу hello@qbeek.ru, указав в теме письма "Отказ от получения рекламных и информационных сообщений".
5.3. В случаях, когда персональные данные являются устаревшими, неполными, неточными, незаконно полученными или не требуются для заявленных целей обработки, пользователь имеет право потребовать их уточнения, блокирования либо уничтожения. Для этого необходимо направить Оператору соответствующий запрос на электронную почту hello@qbeek.ru. Если пользователь обнаружит любую неточность в предоставленных данных, он обязан актуализировать их, отправив уведомление на тот же адрес с темой "Актуализация персональных данных" или скорректировав информацию в личном кабинете или учетной записи, если он зарегистрирован. Важно учитывать, что Оператор не осуществляет самостоятельную проверку данных, предоставленных пользователем, кроме случаев, когда такая проверка требуется для выполнения обязательств компании перед пользователем.
5.4. Пользователь может отозвать ранее данное согласие на обработку своих персональных данных в соответствии с пунктом 4.16. настоящей политики. Для этого нужно отправить запрос на электронную почту hello@qbeek.ru с указанием в теме "Отзыв согласия на обработку персональных данных".
5.5. Для реализации прав пользователя, описанных выше, Оператор может запросить подтверждение личности субъекта персональных данных, требуя такое подтверждение в любой форме, соответствующей законодательству.

6. Заключительные положения

6.1. Оператор не несет ответственности за содержание персональных данных, предоставленных пользователем.
6.2. Оператор не контролирует и не отвечает за использование третьими лицами информации, переданной им Пользователем через Сервис, включая личную и другую информацию, получаемую от других пользователей.
6.3. Проверка достоверности и точности персональных данных или иной информации, предоставленной третьими сторонами, а также их последующее использование, находятся вне ответственности Оператора.
6.4. Компания рассматривает запросы пользователей для реализации прав, указанных в разделе 5 Политики, в сроки, установленные законодательством Российской Федерации. При необходимости уточнения дополнительных данных ответ может быть продлён на срок до 5 рабочих дней с обязательным уведомлением о причине продления, если иное не предусмотрено законодательством.
6.5. К настоящей Политике применяется законодательство Российской Федерации.
6.6. Для получения разъяснений по вопросам обработки персональных данных Пользователь может направить запрос на электронный адрес hello@qbeek.ru. В запросе рекомендуется указать ссылку на Политику и подтверждение её принятия для ускорения обработки.
6.7. ООО «КУБИК» вправе вносить изменения в Политику в одностороннем порядке путем публикации новой редакции на сайте или в приложении Сервиса. Новая версия вступает в силу с момента её размещения. Пользователь обязан самостоятельно проверять актуальность Политики. Отказ от изменений означает прекращение использования Платформы.
6.8. Актуальная версия Политики доступна по адресу: https://qbeek.ru/.
6.9. Политика обновляется в следующих случаях:

изменения законодательства РФ о персональных данных;
выявление несоответствий в обработке или защите персональных данных при проверке соблюдения требований;
решение Компании об актуализации.

6.10. Вопросы или обращения по Политике и обработке данных принимаются по электронному адресу hello@qbeek.ru, либо почтовому адресу Компании.