ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.

Настоящая политика конфиденциальности (далее — «Политика») регулирует условия и порядок обработки персональных данных оператором в приложении Tarf.co и/или на сайте https://tarf.co/ (далее — «Сервис»).

1.2.

Оператором персональных данных является: ИП Алифиренко В.В. ИНН 770504140755, адрес местонахождения: Новокузнецкая улица, 13с1, г. Москва, 115184 (далее — «Оператор»).

1.3.

Политика распространяет своё действие как на зарегистрированных, так и на незарегистрированных пользователей Сервиса (далее — «Пользователь»).

1.4.

Пользователь соглашается с обработкой персональных данных в соответствии с условиями Политики, продолжая использовать Сервис. В случае несогласия с каким-либо из условий Политики Пользователь должен прекратить использование Сервиса.

2. ПЕРСОНАЛЬНЫЕ ДАННЫЕ, КОТОРЫЕ ОПЕРАТОР ОБРАБАТЫВАЕТ, ЦЕЛИ ИХ ОБРАБОТКИ

2.1.

Состав обрабатываемых персональных данных, цели, сроки их обработки и уничтожения описаны в Приложении №1 к Политике.

2.2.

Оператор обрабатывает только те данные, обработка которых необходима:

• 2.2.1 по закону (если в рамках использования Пользователем Сервиса основанием обработки персональных данных выступают требования закона);
• 2.2.2 для исполнения обязательств Оператора по договору, заключаемому с Пользователем (если в рамках Сервиса между Оператором и Пользователем заключаются какие-либо договоры);
• 2.2.3 для достижения целей, для которых создан Сервис.

2.3.

Оператор в рамках использования Сервиса не обрабатывает биометрические данные, а также данные специальных категорий (например, сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни).

2.4.

Оператор получает персональные данные напрямую от Пользователя или его устройства. В случае, если необходимо получение персональных Пользователя от третьих лиц, Пользователь информируется об этом посредством функционала Сервиса, либо в тексте документов, согласие с которыми предоставляет Пользователь (при наличии).

2.5.

Оператор по общему правилу не осуществляет трансграничную передачу персональных данных, обрабатываемых с использованием Сервиса, если иное не указано в Приложении №1 к Политике.

3. COOKIE-ФАЙЛЫ. АНАЛИТИЧЕСКИЕ СИСТЕМЫ

3.1.

На Сервисе могут использоваться cookie-файлы и аналитические системы.

3.2.

Cookie-файлы – это небольшие текстовые файлы, которые записываются на устройство, которое Пользователь использует для взаимодействия с Сервисом, и хранят информацию об активности Пользователя.

3.3.

На Сервисе могут использоваться:

• 3.3.1 cookie-файлы, обеспечивающие корректность работы Сервиса. Например, Session Cookies (используются для управления сессией Пользователя, например, позволяют сохранять авторизацию Пользователя в Сервисе после того, как Пользователь покинет страницу); Preference Cookies (используются для запоминания настроек, выбранных Пользователем, например, выбранный язык отображения информации на Сервисе, если функционалом Сервиса предусмотрены различные опции); Secure Cookies (используются для того, чтобы обеспечить безопасные каналы взаимодействия Пользователя с Сервисом);
• 3.3.2 аналитические сервисы для сбора статистических и технических данных, связанных с использованием Пользователем Сервиса, и их последующей аналитики (например, сведений о частоте посещения Сервиса, просмотренных страницах, сайтах, с которых Пользователь перешел на Сервис Оператора, использованные поисковые слова, сведения о времени, проведенном на Сервисе и др.). В частности, на Сервисе установлена Яндекс.Метрика (политика конфиденциальности этой системы доступна по адресу: https://yandex.ru/legal/confidential); ClickStream. Оператор оставляет за собой право в любой момент прекратить использовать какие-либо из систем сбора статистических и технических данных, а также начать использовать какие-либо иные подобные системы.

3.4.

По умолчанию настройки большинства браузеров и устройств позволяют принимать cookie-файлы. Пользователь может отказаться от использования cookie-файлов, изменив технические настройки браузера, либо устройства (если это позволяет сделать операционная система), которые Пользователь использует для взаимодействия с Сервисом.

3.5.

При отказе от использования cookie-файлов некоторые функции Сервиса могут быть недоступны для использования.

4. ПЕРЕДАЧА И ПОЛУЧЕНИЕ ДАННЫХ. ПОРУЧЕНИЕ ОБРАБОТКИ ДАННЫХ

4.1.

При использовании Сервиса Оператор может передавать персональные данные Пользователя третьим лицам, получать персональные данные от третьих лиц, а также поручать третьим лицам обработку данных Пользователя, если это необходимо для достижения целей обработки данных.

4.2.

Оператор информирует о случаях передачи персональных данных, поручения их обработки в текстах документах, с которыми Пользователь выражает согласие при использовании Сервиса (например, в тексте договора, заключаемого между Оператором и Пользователем с использованием Сервиса, тексте согласий на обработку персональных данных, которое предоставляет Пользователем в рамках Сервиса), а также посредством функционала Сервиса.

5. ВЗАИМОДЕЙСТВИЕ С ОПЕРАТОРОМ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общие сведения

5.1. В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» («Закон о персональных данных») у субъекта персональных данных есть следующие права:

• право на доступ к персональным данным;
• право на уточнение персональных данных;
• право на блокирование и удаление персональных данных;
• право на отзыв согласия на обработку персональных данных.

Право на доступ к персональным данным

5.2. Для реализации права на доступ к персональным данным (в объеме, предусмотренном статьей 14 Закона о персональных данных), Пользователь должен направить почтой запрос в письменной форме по юридическому адресу Оператора. Адрес указан внизу этого документа. Также актуальный адрес всегда можно уточнить в Едином государственном реестре юридических лиц (https://egrul.nalog.ru/index.html), указав в строке поиска ОГРНИП Оператора: 322774600440990

5.3. Запрос Пользователя должен быть составлен в письменной форме и, в частности, содержать:

• номер основного документа, удостоверяющего личность Пользователя;
• сведения о дате выдачи указанного документа и выдавшем его органе;
• номер телефона и/или адрес электронной почты, которые Пользователь указал при регистрации или авторизации на Сервисе;
• какую информацию Пользователь хочет получить (перечень информации, которую Пользователь может запросить, предусмотрен частью 7 статьи 14 Закона о персональных данных);
• подпись Пользователя.

5.4. Оператор вправе связаться с Пользователем по имеющимся у Пользователя контактным данным (при наличии таковых у Оператора) для того, чтобы подтвердить правомерность исполнения полученного запроса.

5.5. Оператор может отказать в удовлетворении запроса Пользователя, если он не соответствует форме, Пользователь не указал информацию, предусмотренную пунктом 5.3, либо направил запрос способом, не указанным в пункте 5.2 этого документа, а также в случае, если Оператору не удалось подтвердить правомерность исполнения запроса Пользователя (п. 5.4 выше).

Право на уточнение персональных данных

5.6. Если Пользователь выявил, что на Сервисе указаны его неточные персональные данные (например, Пользователь допустил ошибку при их указании, данные устарели или более не являются актуальными), если это предусмотрено функционалом Сервиса, Пользователь может самостоятельно внести корректировки в эти данные в личном кабинете на Сервисе.

5.7. Если в связи с функциональностью Сервиса Пользователь не может внести корректировки самостоятельно, Пользователь может обратиться к Оператору по адресу электронной почты support@tarf.co и указать данные, которые хотел бы уточнить или изменить, а также указать сведения о сервисе, информационном ресурсе, в рамках которых Оператору необходимо уточнить данные Пользователя.

5.8. Если в связи с обращением Пользователя Оператор выявит, что он действительно обрабатывает неточные данные, Оператор прекратит обработку неактуальных данных и скорректирует их в соответствии с запросом Пользователя.

5.9. Также до момента корректировки данных Оператор может заблокировать неточные данные на период проверки информации и до момента внесения необходимых корректировок.

Право на блокирование и удаление персональных данных Пользователя

5.10. Если Пользователь считает, что какие-то из его персональных данных Оператор обрабатывает неправомерно, Пользователю необходимо сообщить об этом по адресу: support@tarf.co, и указать сведения о сервисе, информационном ресурсе, в рамках которых Оператор, по мнению Пользователя, неправомерно обрабатывает его персональные данные.

5.11. При получении таких запросов Оператор:

• проводит проверку поступивших сообщений;
• при необходимости, блокирует данные на период проверки;
• при подтверждении информации о неправомерности обработки – прекращает обработку таких данных, если у Оператора нет иных правовых оснований на обработку этих данных (например, Оператор может продолжить обработку данных, если такая обработка необходима для исполнения требований законодательства), в том числе, уничтожает персональные данные Пользователя.

5.12. Если Оператор не сможет уничтожить персональные данные Пользователя незамедлительно, Оператор блокирует их на срок до 6 (шести) месяцев (как это предусмотрено частью 6 статьи 21 Закона о персональных данных), и уничтожает их не позднее этого срока.

Право на отзыв согласия на обработку персональных данных

5.13. Чтобы отозвать согласие на обработку персональных данных Пользователю нужно направить заявление на отзыв согласия на обработку персональных данных. Заявление на отзыв согласия на обработку персональных данных может быть составлено в свободной и удобной для Пользователя форме.

5.14. Заявление на отзыв согласия должно содержать следующую информацию:

• фамилию, имя и отчество Пользователя;
• номер телефона и адрес электронной почты (как указаны на Сервисе);
• данные о сервисе, информационном ресурсе, в отношении которого Пользователь направляет заявление на отзыв согласия.

5.15. Заявление на отзыв согласия на обработку персональных данных может быть направлено одним из следующих способов:

• в письменной форме почтовым отправлением по юридическому адресу Оператора (для удобства, юридический адрес указан внизу этого документа). Также актуальный адрес всегда можно уточнить в Едином государственном реестре юридических лиц (https://egrul.nalog.ru/index.html), указав в строке поиска ОГРНИП Оператора: 322774600440990;
• по адресу электронной почты: support@tarf.co.

5.16. После получения заявления на отзыв согласия на обработку персональных данных, в течение 30 (тридцати) рабочих дней Оператор прекратит обработку персональных данных Пользователя для целей, указанных в согласии, и уничтожит эти данные. Если Оператор не сможет уничтожить персональные данные Пользователя незамедлительно, Оператор блокирует их на срок до 6 (шести) месяцев (как это предусмотрено частью 6 статьи 21 Закона о персональных данных), и уничтожает их не позднее этого срока.

5.17. Несмотря на факт отзыва согласия Оператор может продолжить обработку персональных данных Пользователя, если у него есть иные правовые основания для такой обработки (например, Оператор может продолжить обработку данных, если такая обработка необходима для исполнения требований законодательства).

Запрос дополнительной информации. Отказ в удовлетворении требований

5.18. При получении от Пользователя запросов, связанных с реализацией прав, предоставленных Законом о персональных данных, либо по иным вопросам, связанным с обработкой персональных данных, в исключительных случаях Оператор может попросить Пользователя предоставить дополнительную информацию (например, чтобы уточнить запрос Пользователя и выполнить его корректно, чтобы идентифицировать Пользователя, если по каким-то причинам Оператор не может сделать это на основе предоставленной информации).

5.19. Обратите внимание, в случае отказа Пользователя предоставить дополнительную информацию по запросу Оператора, Оператор не сможет реализовать права Пользователя, если такая информация необходима для их корректной реализации, либо может отработать запрос Пользователя некорректно / предоставить информацию не в полном объеме.

5.20. Оператор вправе отказать в реализации прав Пользователя, либо ограничить объем обязательств Оператора по их реализации, если:

• Пользователь направит запрос в форме и по содержанию, не соответствующий требованиям Закона о персональных данных;
• это предусмотрено требованиями законодательства (например, об оперативно-розыскной деятельности, противодействии легализации денежных средств и т. д.).

Сроки обработки запросов Пользователей

5.21. Запросы, связанные с реализацией прав Пользователей, Оператор обрабатывает и выполняет в установленные Законом о персональных данных сроки: не позднее 10 (десяти) рабочих дней (если иной срок не предусмотрен действующим законодательством) с момента получения такого запроса.

5.22. Срок на обработку запроса, связанного с реализацией прав Пользователя, может быть продлен Оператором на 5 (пять) рабочих дней. При возникновении такой необходимости Оператор уведомит Пользователя, указав причины продления срока.

5.23. Иные запросы, связанные с Политикой и обработкой данных на Сервисе, не предусмотренные законодательством о персональных данных, Оператор обрабатывает в зависимости от текущей загруженности подразделений Оператора, отвечающих за решение соответствующих вопросов.

6. БЕЗОПАСНОСТЬ И КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1.

Оператор обеспечивает безопасность и сохраняет конфиденциальность персональных данных Пользователей. Для этого Оператор принимает все необходимые правовые, организационные и технические меры защиты данных, предусмотренные законодательством о персональных данных, чтобы защитить Пользователей и их данные от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональной информации, а также от иных неправомерных действий в отношении данных Пользователей.

6.2.

Оператор принимает следующие меры по обеспечению выполнения обязанностей, предусмотренных Законом о персональных данных в области обработки персональных данных:

• назначается лицо, ответственное за организацию обработки персональных данных;
• назначается лицо, ответственное за обеспечение безопасности персональных данных в информационных системах;
• издаются документы, определяющие политику Оператора в отношении обработки персональных данных, и иные локальные акты, внутренние нормативные документы по вопросам обработки персональных данных, а также внутренние нормативные документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
• осуществляется внутренний контроль и аудит соответствия обработки персональных данных законодательству РФ, требованиям к защите персональных данных, локальным актам, внутренним нормативным документам Оператора в отношении обработки персональных данных;
• осуществляется оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношения указанного вреда и принимаемых Оператором мер;
• осуществляется ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами, внутренними нормативными документами по вопросам обработки персональных данных, и (или) обучение указанных работников;
• своевременно выявляются нарушения работниками подразделений требований к режиму конфиденциальности;
• разделены полномочия пользователей в информационных системах в зависимости от их должностных обязанностей;
• устанавливаются правила по предоставлению доступа к информационным системам персональных данных, проводится периодический пересмотр (ревизия) прав доступа работников в зависимости от занимаемой ими должности и должностных обязанностей;
• применяются иные организационные и технические меры по обеспечению безопасности персональных данных в соответствии с требованиями нормативных правовых актов, локальных актов, внутренних нормативных документов Оператора по вопросам обработки персональных данных.

6.3.

С целью обеспечения безопасности персональных данных при их обработке Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности:

• определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• осуществляется учет машинных носителей персональных данных;
• проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятию мер в случае обнаружения;
• обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

7. ИЗМЕНЕНИЯ ПОЛИТИКИ

7.1.

Время от времени Оператор может вносить изменения в Политику. Новая версия Политики вступает в силу с момента ее публикации на Сервисе (если иное не предусмотрено новой редакцией Политики).

7.2.

Пользователь может отказаться от принятия соответствующих изменений, прекратив использование Сервиса.

8. КОНТАКТНЫЕ ДАННЫЕ ОПЕРАТОРА

8.1.

Если иное не предусмотрено Политикой, Пользователь может направлять запросы, связанные с ней, по следующим контактным данным:

Приложение 1
к Политике конфиденциальности сервиса https://tarf.co/

Список целей обработки персональных данных, состав обрабатываемых персональных данных, сроки и основания их обработки, категории субъектов

1. Цель обработки персональных данных - Исполнение обязательств Компании по договорам, заключенным в рамках предоставления сервиса Компании

1.1. Категории субъектов персональных данных
Клиенты

1.2. Перечень обрабатываемых персональных данных:

• фамилия, имя;
• номер телефона;
• адрес электронной почты;
• геолокация;
• user id;
• информация о партнерах Компании, у которых клиент может оформить заказ с использованием сервиса Компании;
• адреса доставки / самовывоза заказа;
• данные о заказе клиента (включая его номер, состав заказа, выбранный способ и слоты доставки/самовывоза заказа, информация о выбранной политике замен товаров в заказе, комментарии к заказу, данные о сумме заказа, в том числе, фактически списанной по итогам сборки);
• история заказов клиента;
• данные о чеках, направленных клиенту (включая чеки о предоплате и итоговый чек, в том числе, дату и время оплаты, суммы оплаты, способ расчета, валюту, RRN (идентификатор банковской транзакции), номер телефона Клиента, позиции в чеке);
• данные о взаимодействии со службой поддержки сервиса Компании (включая историю коммуникаций, записи разговоров при обращении на горячую линию);
• маскированный номер банковской карты (карт), с которой (-ых) производится оплата;
• данные о подписке СберПрайм;
• данные о картах лояльности Клиента, оформленных у партнеров Компании, начислениях по ним в сервисе Компании;
• данные об идентификаторе Сбер ID;
• данные о бонусном счёте в программе лояльности СберСпасибо, его состоянии;
• справка по соответствующей банковской операции;
• данные об устройстве Клиента;
• информация о предоставленных и примененных промокодах;
• информация об участии Клиента в стимулирующих мероприятиях, реализуемых на сервисе Компании;
• история действий Клиента на сервисе Компании;
• данные об отзывах, оставляемых Клиентом;
• данные о факте осуществления Клиентом предпринимательской деятельности;
• данные о компании, представителем/работником которой является Клиент.

1.3. Способы обработки, порядок уничтожения персональных данных
С использованием средств автоматизации и без использования таких средств, смешанная обработка; безвозвратное удаление персональных данных из информационных систем с использованием встроенного в информационной системе функционала.

1.4. Сроки обработки и хранения
В течение срока действия договора, а также 3 года после его прекращения (срок исковой давности), в течение сроков, установленных применимым законодательством

1.5. Основание обработки
Договор, требования законодательства, законный интерес Компании

2. Цель обработки персональных данных - Продвижение товаров, работ, услуг на рынке

2.1. Категории субъектов персональных данных
Клиенты

2.2. Перечень обрабатываемых персональных данных

• user id;
• номер телефона;
• имя, адрес электронной почты.

2.3. Способы обработки, порядок уничтожения персональных данных
С использованием средств автоматизации и без использования таких средств, смешанная обработка; безвозвратное удаление персональных данных из информационных систем с использованием встроенного в информационной системе функционала.

2.4. Сроки обработки и хранения
В течение срока действия согласия

2.5. Основание обработки
Согласие

3. Цель обработки персональных данных - Аналитика сервиса Компании

3.1. Категории субъектов персональных данных
Клиенты, посетители сайта сервиса Компании

3.2. Перечень обрабатываемых персональных данных

• фамилия, имя;
• геолокация;
• адрес электронной почты;
• номер телефона;
• user id;
• данные об идентификаторе Сбер ID;
• адреса доставки / самовывоза заказа клиента;
• история заказов клиента;
• данные о взаимодействии со службой поддержки клиента;
• данные о наличии подписки СберПрайм;
• данные о бонусном счёте в программе лояльности СберСпасибо, его состоянии;
• данные об устройстве клиента, посетителя сервиса Компании;
• история действий клиента, посетителя сервиса на сервисе Компании;
• данные об отзывах, оставляемых клиентом;
• данные о факте осуществления клиентом предпринимательской деятельности.

3.3. Способы обработки, порядок уничтожения персональных данных
С использованием средств автоматизации и без использования таких средств, смешанная обработка; безвозвратное удаление персональных данных из информационных систем с использованием встроенного в информационной системе функционала.

3.4. Сроки обработки и хранения
В течение срока действия договора, согласия

Основание обработки
Договор, согласие

4. Цель обработки персональных данных - Противодействие мошенничеству на сервисе Компании

4.1. Категории субъектов персональных данных
Клиенты

4.2. Перечень обрабатываемых персональных данных

• номер телефона;
• адрес электронной почты;
• данные об устройстве клиента;
• информация о предоставленных и примененных промокодах;
• адреса доставки / самовывоза заказа;
• данные о заказе;
• история заказов;
• данные о чеках, направленных пользователю (включая чеки о предоплате и итоговый чек, в том числе, дату и время оплаты, суммы оплаты, способ расчета, валюту, RRN (идентификатор банковской транзакции), номер телефона Клиента, позиции в чеке);
• данные о взаимодействии со службой поддержки Клиента;
• маскированный номер банковской карты (карт), с которой (-ых) производится оплата.

4.3. Способы обработки, порядок уничтожения персональных данных
С использованием средств автоматизации и без использования таких средств, смешанная обработка; безвозвратное удаление персональных данных из информационных систем с использованием встроенного в информационной системе функционала.

4.4. Сроки обработки и хранения
В течение срока действия договора с субъектом персональных данных

4.5. Основание обработки
Законный интерес Компании