Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, обработки, хранения, использования, передачи, защиты и уничтожения персональных данных пользователей платформы LALAPAM (далее — «Платформа»), расположенной по адресу lalapam.ru.

1.2. Политика разработана и действует в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными нормативными правовыми актами Российской Федерации в области персональных данных.

1.3. Политика распространяется на все персональные данные, которые Оператор может получить от Пользователей, Клиентов Пользователей и иных субъектов персональных данных в процессе использования Платформы.

1.4. Регистрируясь на Платформе, передавая свои персональные данные и (или) используя функциональность Платформы, Пользователь выражает своё согласие с условиями настоящей Политики. В случае несогласия с условиями Политики Пользователь обязан прекратить использование Платформы.

1.5. Оператор не контролирует и не несёт ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, размещённым на Платформе.

2. Оператор персональных данных

2.1. Оператором персональных данных является:

• Наименование: Индивидуальный предприниматель Филипкин Денис Николаевич
• ИНН: 731201040405
• Адрес: г. Ульяновск, ул. Кирова д. 6, кв. 225, 432048, Российская Федерация
• Email: support@lalapam.ru

2.2. Оператор назначает ответственного за организацию обработки персональных данных в соответствии со ст. 22.1 ФЗ-152.

3. Определения

3.1. В настоящей Политике используются следующие термины:

• Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ-152).
• Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Оператор — ИП Филипкин Денис Николаевич, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
• Субъект персональных данных — физическое лицо, к которому прямо или косвенно относятся обрабатываемые персональные данные.
• Обработчик — лицо, осуществляющее обработку персональных данных по поручению Оператора на основании заключаемого договора (поручения на обработку).
• Пользователь — физическое или юридическое лицо (индивидуальный предприниматель, самозанятый), зарегистрированное на Платформе и использующее её функциональность для организации продажи своих услуг, товаров и бронирований.
• Клиент Пользователя — физическое лицо, которое взаимодействует с Пользователем через Платформу в качестве потребителя услуг, товаров или бронирований.
• Платформа — программный комплекс LALAPAM, включающий веб-сайт, веб-приложения (PWA), Telegram Mini App и связанные программные интерфейсы (API).

4. Категории персональных данных

4.1. Оператор обрабатывает следующие категории персональных данных:

4.2. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

4.3. Оператор не осуществляет обработку биометрических персональных данных.

5. Цели обработки персональных данных

5.1. Оператор обрабатывает персональные данные исключительно в следующих целях:

1. Исполнение договора — предоставление функциональности Платформы в рамках Пользовательского соглашения, включая создание и управление аккаунтом, обработку заказов, предоставление личного кабинета.
2. Авторизация и аутентификация — идентификация пользователя при входе на Платформу, в том числе через сторонних провайдеров (Telegram, VK ID, Yandex ID, email).
3. Отправка уведомлений — информирование пользователей о статусе заказов, напоминания, сервисные сообщения через каналы: Telegram, мессенджер МАКС (VK), электронная почта (email), push-уведомления в браузере.
4. Формирование фискальных чеков — автоматическое создание чеков через API ФНС «Мой Налог» для самозанятых пользователей в соответствии с требованиями Налогового кодекса РФ.
5. AI-ассистент — генерация рекомендаций, автоматическая настройка бизнес-процессов, обработка текстовых запросов пользователя с использованием технологий искусственного интеллекта.
6. Аналитика и улучшение платформы — сбор и анализ обезличенных и агрегированных данных о взаимодействии с Платформой для повышения качества сервиса, выявления и устранения технических проблем.
7. Обеспечение безопасности — предотвращение несанкционированного доступа, мошенничества, DDoS-атак и иных угроз информационной безопасности.

5.2. Обработка персональных данных, несовместимая с указанными целями, не допускается.

6. Правовые основания обработки

6.1. Обработка персональных данных осуществляется на следующих правовых основаниях:

• Согласие субъекта персональных данных (ст. 6 ч. 1 п. 1 ФЗ-152) — при регистрации на Платформе, при подключении дополнительных каналов коммуникации, при использовании AI-ассистента.
• Исполнение договора (ст. 6 ч. 1 п. 5 ФЗ-152) — обработка данных, необходимая для исполнения Пользовательского соглашения, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта.
• Законный интерес оператора (ст. 6 ч. 1 п. 7 ФЗ-152) — обработка данных, необходимая для обеспечения безопасности Платформы, предотвращения мошенничества, ведения внутренней аналитики и улучшения качества сервиса, при условии, что такая обработка не нарушает права и свободы субъекта персональных данных.
• Исполнение обязанностей, предусмотренных законодательством (ст. 6 ч. 1 п. 2 ФЗ-152) — обработка фискальных данных в соответствии с требованиями Налогового кодекса РФ.

6.2. Согласие на обработку персональных данных может быть отозвано субъектом в порядке, предусмотренном разделом 10 настоящей Политики. Отзыв согласия не влияет на законность обработки, осуществлённой до момента отзыва.

7. Передача данных третьим лицам

7.1. Оператор вправе передавать персональные данные третьим лицам исключительно в случаях, предусмотренных настоящей Политикой и действующим законодательством РФ.

7.2. Перечень третьих лиц, которым могут быть переданы персональные данные:

7.3. Передача данных третьим лицам осуществляется исключительно в объёме, необходимом для достижения заявленных целей обработки.

7.4. Оператор обязует третьих лиц соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также не допускать использование персональных данных в целях, не предусмотренных настоящей Политикой.

8. Трансграничная передача данных

8.1. Оператор осуществляет трансграничную передачу персональных данных в следующие страны:

• США — OpenAI (обработка AI-запросов), Resend (доставка email-сообщений).
• ОАЭ — Telegram (доставка уведомлений через Telegram Bot API).

8.2. Правовые основания трансграничной передачи:

• Согласие субъекта персональных данных на трансграничную передачу (ст. 12 ч. 4 п. 1 ФЗ-152).
• Необходимость исполнения договора между оператором и субъектом персональных данных (ст. 12 ч. 4 п. 2 ФЗ-152).

8.3. Меры защиты при трансграничной передаче:

• Шифрование данных при передаче по протоколу TLS 1.2 и выше.
• Минимизация объёма передаваемых данных — передаются только данные, строго необходимые для оказания соответствующих услуг.
• Обезличивание данных при передаче в OpenAI — из запросов исключаются прямые идентификационные данные пользователя, где это технически возможно.
• Оценка рисков и проверка уровня защиты в стране-получателе в соответствии с требованиями ст. 12 ФЗ-152.

9. Сроки хранения данных

9.1. Оператор хранит персональные данные не дольше, чем этого требуют цели обработки, если иной срок хранения не установлен федеральным законом или договором.

9.2. По истечении срока хранения персональные данные подлежат уничтожению или обезличиванию в срок не более 30 дней, если иное не предусмотрено действующим законодательством.

9.3. В случае отзыва согласия субъектом персональных данных Оператор прекращает обработку и уничтожает персональные данные в срок не более 30 дней с момента получения отзыва, за исключением случаев, когда обработка может быть продолжена на ином правовом основании (п. 6.1 настоящей Политики).

10. Права субъекта персональных данных

10.1. Субъект персональных данных имеет следующие права в соответствии с ФЗ-152:

1. Право на получение информации (ст. 14 ФЗ-152) — субъект вправе получить информацию, касающуюся обработки его персональных данных, в том числе содержащую: подтверждение факта обработки, правовые основания и цели, способы обработки, наименование и адрес оператора, состав обрабатываемых данных, сроки обработки и хранения.
2. Право на доступ к своим данным — субъект вправе запросить и получить копию своих персональных данных, обрабатываемых Оператором.
3. Право на исправление (ст. 14 ч. 1 ФЗ-152) — субъект вправе потребовать уточнения, обновления или исправления неточных или неполных персональных данных.
4. Право на удаление (ст. 14 ч. 1 ФЗ-152, ст. 21 ФЗ-152) — субъект вправе потребовать уничтожения персональных данных, если данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки.
5. Право на отзыв согласия (ст. 9 ч. 2 ФЗ-152) — субъект вправе в любой момент отозвать ранее данное согласие на обработку персональных данных.
6. Право на ограничение обработки — субъект вправе потребовать ограничения обработки своих персональных данных в случаях, предусмотренных законодательством.
7. Право на получение данных в машиночитаемом формате — субъект вправе запросить получение своих персональных данных в структурированном, общеупотребительном и машиночитаемом формате (JSON).
8. Право на обжалование (ст. 17 ФЗ-152) — субъект вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

10.2. Для реализации своих прав субъект персональных данных направляет письменный запрос на адрес электронной почты Оператора: support@lalapam.ru.

10.3. Запрос должен содержать:

• Фамилию, имя, отчество субъекта (при наличии).
• Адрес электронной почты, зарегистрированный на Платформе (или иной идентификатор для верификации).
• Описание запроса (конкретное право, которое субъект желает реализовать).

10.4. Оператор рассматривает запрос и предоставляет ответ в течение 10 рабочих дней с момента получения запроса или обращения субъекта (ст. 20 ФЗ-152). В случае необходимости дополнительной проверки срок может быть продлён, о чём субъект уведомляется.

10.5. Оператор вправе отказать в удовлетворении запроса в случаях, предусмотренных законодательством РФ, в том числе при невозможности идентификации субъекта.

11. Cookies и локальное хранилище

11.1. Платформа использует технологии локального хранилища браузера (localStorage) для обеспечения функционирования сервиса.

11.2. Платформа не использует сторонние рекламные или аналитические cookies.

11.3. Все данные в localStorage хранятся исключительно на устройстве пользователя и не передаются третьим лицам.

12. Меры безопасности

12.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц, в соответствии со ст. 19 ФЗ-152 и Постановлением Правительства РФ № 1119.

12.2. Технические меры защиты:

• Шифрование данных при передаче — все соединения с Платформой защищены протоколом TLS 1.2 и выше (HTTPS).
• Шифрование чувствительных данных в базе данных — API-ключи, токены доступа и иные секретные данные хранятся в зашифрованном виде.
• Контроль доступа — ролевая модель доступа с разграничением прав (Пользователь, Администратор, Сотрудник). Каждый пользователь имеет доступ только к своим данным и данным своей организации.
• Сессионная аутентификация — используются криптографически стойкие идентификаторы сессий с ограниченным сроком действия (30 дней).
• Регулярное резервное копирование — автоматическое резервное копирование базы данных с шифрованием и хранением в защищённом объектном хранилище.
• Логирование действий — ведение журнала событий безопасности для выявления и расследования инцидентов.

12.3. Организационные меры защиты:

• Ограничение круга лиц, имеющих доступ к персональным данным.
• Контроль доступа к серверному оборудованию и программному обеспечению.
• Регулярный аудит мер безопасности и обновление программного обеспечения.

13. Обработка данных Клиентов Пользователя

13.1. В отношении персональных данных Клиентов Пользователя Оператор (LALAPAM) действует как обработчик по поручению Пользователя, который является самостоятельным оператором персональных данных своих Клиентов.

13.2. Пользователь, используя Платформу для взаимодействия со своими Клиентами, обязан:

• Самостоятельно определить правовое основание обработки персональных данных своих Клиентов.
• Получить надлежащее согласие Клиентов на обработку их персональных данных, если это требуется в соответствии с ФЗ-152.
• Информировать Клиентов о том, что их персональные данные обрабатываются с использованием Платформы LALAPAM.
• Обеспечить реализацию прав своих Клиентов как субъектов персональных данных.

13.3. Порядок обработки данных Клиентов Пользователя регулируется Поручением на обработку персональных данных (DPA), которое является неотъемлемой частью Пользовательского соглашения.

13.4. LALAPAM обрабатывает данные Клиентов Пользователя исключительно в рамках поручения Пользователя и в целях, определённых Пользователем. LALAPAM не использует данные Клиентов Пользователя в собственных целях, не предусмотренных поручением.

13.5. В случае получения запросов от Клиентов Пользователя относительно их персональных данных LALAPAM уведомляет об этом соответствующего Пользователя и содействует в исполнении запроса.

14. Изменение Политики

14.1. Оператор вправе вносить изменения в настоящую Политику конфиденциальности.

14.2. Оператор уведомляет пользователей об изменениях не менее чем за 30 (тридцать) календарных дней до вступления изменений в силу путём размещения обновлённой версии Политики на Платформе и (или) направления уведомления по доступным каналам связи (email, push-уведомление, сообщение в мессенджере).

14.3. Продолжение использования Платформы после вступления изменений в силу означает согласие пользователя с обновлённой Политикой.

14.4. В случае несогласия с изменениями пользователь вправе прекратить использование Платформы и удалить свой аккаунт.

14.5. Актуальная версия Политики всегда доступна по адресу: lalapam.ru/ru/privacy.

15. Контактная информация

15.1. По всем вопросам, связанным с обработкой персональных данных, субъект персональных данных вправе обратиться к Оператору:

• Оператор: ИП Филипкин Денис Николаевич
• ИНН: 731201040405
• Адрес: г. Ульяновск, ул. Кирова д. 6, кв. 225, 432048, Российская Федерация
• Email: support@lalapam.ru

15.2. Уполномоченный орган по защите прав субъектов персональных данных — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): rkn.gov.ru.