Политика
конфиденциальности

IОбщие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей мобильного приложения «FIGARÓ» (далее — «Приложение») и сайта shopfigaro.com (далее — «Сайт»). Приложение и Сайт совместно именуются «Сервис».

1.2. Политика разработана в соответствии с Конституцией РФ, Гражданским кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), Законом РФ от 07.02.1992 № 2300-1 «О защите прав потребителей», Федеральным законом от 13.03.2006 № 38-ФЗ «О рекламе», Федеральным законом от 31.07.2023 № 408-ФЗ (о применении рекомендательных технологий) и иными нормативными актами РФ.

1.3. Использование Сервиса возможно только при условии ознакомления с настоящей Политикой и предоставления необходимых согласий через специальные формы (чекбоксы) при регистрации. Простое использование Сервиса само по себе не означает согласия на обработку персональных данных.

1.4. Действующая редакция Политики постоянно доступна в Приложении и на Сайте. Архив предыдущих редакций предоставляется по запросу.

IIОпределения

В целях настоящей Политики применяются следующие определения:

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Обработка персональных данных — любое действие или совокупность действий с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Оператор — индивидуальный предприниматель Пархаданов Шамиль Магомедович, организующий и осуществляющий обработку ПДн, определяющий цели и способы обработки.

Пользователь — физическое лицо, использующее Сервис.

Трансграничная передача (ТГП) — передача ПДн на территорию иностранного государства иностранному физическому или юридическому лицу.

Обезличивание — действия, в результате которых становится невозможно без дополнительной информации определить принадлежность ПДн конкретному субъекту.

Информационная система ПДн (ИСПДн) — совокупность баз данных и обеспечивающих их обработку информационных технологий и технических средств.

Рекомендательные технологии — информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений о предпочтениях пользователей.

Cookies (куки-файлы) — небольшие текстовые файлы, размещаемые на устройстве Пользователя при посещении Сайта.

IIIОператор персональных данных

IVПравовые основания обработки

Оператор обрабатывает ПДн на следующих правовых основаниях:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
• Гражданский кодекс РФ (положения о договоре розничной купли-продажи и публичной оферте)
• Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»
• Федеральный закон от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники»
• Федеральный закон от 28.12.2009 № 381-ФЗ «Об основах государственного регулирования торговой деятельности»
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»
• Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе»
• Федеральный закон от 31.07.2023 № 408-ФЗ
• Налоговый кодекс РФ
• Договор розничной купли-продажи (публичная оферта), заключаемый с Пользователем
• Согласие субъекта персональных данных
• Настоящая Политика

VКатегории субъектов персональных данных

Оператор обрабатывает ПДн следующих категорий субъектов:

• Посетители Сервиса без регистрации — лица, использующие Сайт или Приложение без создания учётной записи
• Зарегистрированные пользователи — лица, создавшие учётную запись в Приложении или Сайте
• Покупатели — лица, оформляющие или оформившие заказ (включая «гостевые заказы» без регистрации)
• Участники программы лояльности — Пользователи, присоединившиеся к бонусной программе
• Получатели маркетинговых рассылок — Пользователи, давшие отдельное согласие
• Авторы отзывов и пользовательского контента — Пользователи, размещающие отзывы, оценки, фотографии товаров
• Участники UX-исследований — Пользователи, добровольно участвующие в тестировании и исследованиях Сервиса
• Лица, обращающиеся в службу поддержки

Для каждой категории применяется индивидуальный объём обрабатываемых данных, соответствующий целям обработки (см. разделы 6 и 7).

VIПеречень обрабатываемых данных

6.1. Идентификационные данные

• Фамилия, имя, отчество (при наличии)
• Дата рождения
• Пол

6.2. Контактные данные

• Номер мобильного телефона
• Адрес электронной почты
• Адреса доставки (включая дополнительные сохранённые адреса)
• Контактные данные получателя заказа, если он не является покупателем

6.3. Учётные данные

• Уникальный внутренний идентификатор Пользователя
• Логин (если применимо)
• Пароль в виде криптографического хеша (исходный пароль Оператору неизвестен)

6.4. Транзакционные данные

• История заказов: состав, статусы, даты, суммы
• Способ оплаты (без реквизитов платёжного средства)
• История возвратов и обращений по заказам
• Баланс бонусных баллов и история операций программы лояльности

6.5. Поведенческие данные

• Просмотренные товары и категории
• Содержимое корзины и списка избранного
• Поисковые запросы внутри Сервиса
• Источник перехода на Сайт (UTM-метки, реферер)
• Сведения о сессиях использования

6.6. Технические данные мобильного Приложения

• Идентификатор устройства (device_id)
• Модель устройства, версия операционной системы
• Версия Приложения
• Push-токен для отправки уведомлений
• IP-адрес
• Сведения об ошибках и сбоях

6.7. Технические данные Сайта

• IP-адрес
• Данные браузера (User-Agent, разрешение экрана, язык)
• Время и продолжительность визита
• Cookies и аналогичные идентификаторы (см. раздел 8)

6.8. Данные обращений в поддержку

• Содержание обращения и переписки
• Дополнительные контактные данные, сообщённые при обращении
• Прикреплённые материалы (фото, скриншоты)

6.9. Пользовательский контент

• Отзывы, оценки, комментарии к товарам
• Фотографии, прикладываемые к отзывам
• Имя или псевдоним, отображаемые при публикации (с отдельным согласием на распространение по ст. 10.1 152-ФЗ)

6.10. Данные UX-исследований

• Аудио- и видеозаписи интервью (с явного согласия участника)
• Записи действий в Сервисе во время тестирования
• Ответы на опросы и анкеты

6.11. Данные, не обрабатываемые Оператором

Оператор не хранит и не обрабатывает:

• Полные реквизиты банковских карт, CVV/CVC-коды, PIN-коды. Платёжные данные обрабатывает платёжный сервис ЮKassa (ООО НКО «ЮMani») — оператору поступают только токен платежа, статус операции и маскированный номер карты (последние 4 цифры) для отображения в истории.
• Биометрические персональные данные.
• Специальные категории ПДн (расовая, национальная принадлежность, политические, религиозные убеждения, состояние здоровья, интимная жизнь).
• Данные о судимости.

VIIЦели обработки и правовые основания

VIIICookies и аналогичные технологии
(для Сайта)

8.1. Сайт использует cookies и аналогичные технологии (локальное хранилище, пиксели, веб-маяки). Управление согласием осуществляется через cookie-баннер, отображаемый при первом посещении Сайта.

8.2. Категории используемых cookies:

8.3. Пользователь может управлять cookies через cookie-баннер на Сайте, а также через настройки браузера (отключение, удаление). Отключение технически необходимых cookies может привести к недоступности части функционала.

IXПередача данных третьим лицам

Оператор передаёт ПДн только в объёме, необходимом для конкретной цели, и только следующим категориям получателей:

9.1. Платёжный сервис

ЮKassa (ООО НКО «ЮМани», ИНН 7750005725) — для приёма платежей. Передаются: данные о заказе, контакты для отправки чека. Платёжные реквизиты Пользователь вводит непосредственно на стороне ЮKassa.

9.2. Службы доставки

СДЭК, курьерские службы и иные логистические партнёры — для доставки заказов. Передаются: ФИО получателя, адрес, телефон, состав заказа.

9.3. SMS-провайдеры

Передача номера телефона провайдерам SMS-шлюза для отправки кодов подтверждения и (при наличии согласия) рекламных сообщений.

9.4. Email-провайдер

Транзакционные письма (подтверждение заказа, статус доставки) отправляются через инфраструктуру VK (mail.ru). Передаётся: email-адрес Пользователя, текст письма.

9.5. Аналитические сервисы

• Firebase Cloud Messaging (Google LLC, США) — для отправки push-уведомлений в Приложении.
• Firebase Analytics (Google LLC, США) — используется в ограниченном объёме исключительно для отслеживания доставки и открытия push-уведомлений, не для общей аналитики поведения Пользователя.
• Яндекс Метрика (ООО «Яндекс», Россия) — для анализа использования Сайта: статистика посещений, поведенческая аналитика, тепловые карты. Данные хранятся на серверах Яндекса на территории РФ.

9.6. Хостинг и инфраструктура

Серверы Сервиса размещены в дата-центрах ООО «Селектел» (selectel.ru, Россия, Москва / Санкт-Петербург). Данные хранятся на территории Российской Федерации.

9.7. Государственные органы

Федеральная налоговая служба, Роскомнадзор, правоохранительные органы и иные госорганы — в случаях и порядке, предусмотренных законодательством РФ.

9.8. Правопреемники

В случае реорганизации бизнеса данные могут быть переданы правопреемнику с сохранением условий конфиденциальности.

Все указанные получатели обязуются обеспечивать конфиденциальность и безопасность ПДн в соответствии с законодательством РФ.

XТрансграничная передача данных

10.1. В связи с использованием сервисов Firebase (Google LLC) производится трансграничная передача ограниченного объёма данных на серверы Google, расположенные за пределами РФ (в том числе на территории США, Ирландии и иных стран).

10.2. Передаваемые данные ограничены: device_id, push-токен, события доставки и открытия push-уведомлений, технические сведения об устройстве и Приложении.

10.4. Оператором подано уведомление о намерении осуществлять трансграничную передачу персональных данных в Роскомнадзор в соответствии со ст. 12 152-ФЗ.

10.5. Пользователь вправе отозвать согласие на ТГП в любой момент по контактам Оператора. Отзыв согласия может ограничить функциональность push-уведомлений.

XIРекомендательные технологии

В соответствии с Федеральным законом от 31.07.2023 № 408-ФЗ Оператор информирует о применении рекомендательных технологий в Сервисе.

11.1. Какие данные используются

Для формирования рекомендаций используются: история просмотров товаров, содержимое корзины и избранного, поисковые запросы внутри Сервиса, история заказов, сведения о товарах из каталога Оператора (бренд, категория, цена, размер, цвет).

11.2. Цели применения

• Подбор и отображение товаров, потенциально интересных Пользователю («Вам может понравиться», «С этим покупают», «Похожие товары»)
• Персонализация главной страницы и каталога
• Подбор тематических подборок и рассылок

11.3. Алгоритмы

Применяются алгоритмы коллаборативной фильтрации, контентного анализа и комбинированные подходы. Алгоритмы анализируют обезличенные совокупные показатели (просматриваемость, кликабельность, частота покупок) и индивидуальную историю Пользователя.

11.4. Управление рекомендациями

Для отказа от персонализированных рекомендаций обратитесь на office@shopfigaro.com.

11.5. Контактное лицо

Вопросы по применению рекомендательных технологий направляйте на office@shopfigaro.com.

XIIХранение и защита данных

12.1. Локализация

Хранение ПДн граждан РФ осуществляется на серверах, расположенных на территории Российской Федерации, в соответствии с ч. 5 ст. 18 152-ФЗ. Допускается параллельное хранение в иных юрисдикциях исключительно в объёмах и случаях, не нарушающих требование локализации первичных баз.

12.2. Меры защиты

Оператор применяет правовые, организационные и технические меры защиты ПДн:

• Шифрование канала передачи данных (TLS) между Сервисом и пользовательскими устройствами
• Хранение паролей в виде криптографических хешей
• Разграничение доступа к ИСПДн по ролям, журналирование доступа
• Регулярное резервное копирование
• Договоры о конфиденциальности с подрядчиками и сотрудниками
• Внутренние документы об обработке ПДн (политики, инструкции)
• Контроль физического доступа к носителям данных

12.3. Доступ к данным

Доступ к ПДн ограничен уполномоченными лицами Оператора и его подрядчиками, действующими под обязательствами конфиденциальности. Несанкционированный доступ исключается организационно-техническими мерами.

XIIIСроки хранения

По истечении срока хранения данные подлежат уничтожению или обезличиванию. Уничтожение электронных данных производится методами, исключающими возможность восстановления (гарантированное удаление, физическое разрушение носителей при выводе из эксплуатации). Уничтожение документируется актами в соответствии с внутренними процедурами Оператора.

XIVСогласия пользователя и их отзыв

14.1. Структура согласий

При регистрации в Сервисе Пользователю предлагается оформить следующие согласия через отдельные чекбоксы:

1. Ознакомление с Политикой конфиденциальности и согласие на обработку ПДн для целей, указанных в разделе 7 (обязательное).
2. Согласие на трансграничную передачу ПДн в связи с использованием сервисов Firebase (обязательное для функционирования push-уведомлений; отказ ограничивает соответствующий функционал).
3. Согласие на распространение ПДн при публикации отзывов и иного UGC по ст. 10.1 152-ФЗ (запрашивается перед первой публикацией).
4. Согласие на маркетинговые SMS-рассылки (добровольное).
5. Согласие на маркетинговые email-рассылки (добровольное).

14.2. Отзыв согласия

Пользователь вправе отозвать любое из согласий в любой момент письменным обращением на office@shopfigaro.com

14.3. Последствия отзыва

• Отзыв согласия на основную обработку ПДн влечёт прекращение использования Сервиса и удаление учётной записи (за исключением данных, обработка которых требуется законом).
• Отзыв согласия на ТГП ограничивает функциональность push-уведомлений.
• Отзыв согласия на маркетинговые рассылки прекращает соответствующие коммуникации в кратчайшие сроки.

XVМаркетинговые коммуникации

15.1. Оператор направляет рекламные и информационные сообщения только при наличии явного предварительного согласия Пользователя, выраженного через соответствующий чекбокс.

15.2. Каналы маркетинговых коммуникаций:

• SMS — об акциях, скидках, новинках
• Email — рассылки, дайджесты, персональные предложения
• Push-уведомления — при разрешении уведомлений в настройках устройства

15.3. В каждом маркетинговом email содержится ссылка для отписки одним кликом (one-click unsubscribe). В SMS-сообщениях указывается способ отказа от рассылки.

15.4. Оператор не передаёт контактные данные Пользователя третьим лицам для их собственных рассылок без отдельного согласия.

XVIПрава субъекта персональных данных

Пользователь имеет право:

• Получать сведения о факте, целях, способах, сроках обработки своих ПДн
• Требовать уточнения, обновления, исправления ПДн
• Требовать удаления ПДн при отсутствии законных оснований для обработки
• Отзывать согласие на обработку (полностью или для отдельных целей)
• Требовать ограничения обработки в случаях, предусмотренных законом
• Возражать против обработки, основанной на законных интересах Оператора
• Обжаловать действия Оператора в Роскомнадзоре (rkn.gov.ru) или в суде

Порядок реализации прав

Запросы направляются:

• На email: office@shopfigaro.com
• По почте на адрес Оператора

В запросе необходимо указать ФИО, контактный email/телефон (для верификации соответствия учётной записи), суть запроса. Оператор может запросить дополнительную информацию для подтверждения личности заявителя.

Срок ответа: не более 30 календарных дней с момента получения запроса.

XVIIНесовершеннолетние пользователи

17.1. Сервис не предназначен для лиц младше 14 лет. Оператор не осуществляет преднамеренный сбор ПДн лиц младше 14 лет.

17.2. В случае выявления факта обработки ПДн лица младше 14 лет без законных оснований данные подлежат немедленному удалению.

17.3. Для лиц в возрасте от 14 до 18 лет обработка ПДн осуществляется с учётом ограничений, установленных гражданским законодательством, и при необходимости — с согласия законного представителя.

17.4. При обнаружении факта регистрации несовершеннолетнего без необходимых согласий законные представители вправе обратиться к Оператору для блокировки или удаления учётной записи.

XVIIIИнциденты информационной безопасности

18.1. В случае выявления неправомерного или случайного доступа к ПДн, их уничтожения, изменения, блокирования, копирования, распространения или иных неправомерных действий Оператор:

• Уведомляет Роскомнадзор в установленные законом сроки (в течение 24 часов с момента выявления — о факте инцидента; в течение 72 часов — о результатах внутреннего расследования)
• При необходимости уведомляет затронутых субъектов ПДн
• Принимает меры по устранению последствий и предотвращению повторных инцидентов
• Документирует инцидент и принятые меры

18.2. Пользователь, обнаруживший признаки утечки или иного нарушения, может сообщить об этом на office@shopfigaro.com.

XIXОсобенности мобильного приложения

19.1. Системные разрешения

Приложение запрашивает следующие разрешения операционной системы:

Каждое разрешение запрашивается в момент первой необходимости и может быть отозвано Пользователем в настройках операционной системы.

19.2. Push-уведомления

Push-уведомления отправляются через Firebase Cloud Messaging. Используется push-токен устройства — не идентификатор Пользователя. Подписка на push управляется системными настройками устройства.

19.3. Удаление аккаунта

Для удаления учётной записи и связанных персональных данных обратитесь на office@shopfigaro.com. Запрос будет обработан в течение 30 дней. После удаления данные обрабатываются в соответствии с разделом 13.

19.4. App Tracking Transparency (iOS)

Приложение не использует межприложенческое отслеживание (cross-app tracking) и не запрашивает разрешение через ATT, поскольку IDFA для рекламных целей не используется.

19.5. Соответствие политикам магазинов приложений

Третьи стороны, привлекаемые Оператором (Google LLC, ЮKassa и иные), действуют в соответствии с собственными политиками конфиденциальности и обязательствами перед операторами магазинов приложений (Apple App Store, Google Play). Декларации Data Safety (Google Play) и Privacy Nutrition Labels (App Store) соответствуют настоящей Политике.

XXСторонние ресурсы

Сервис может содержать ссылки на сайты и ресурсы третьих лиц. Оператор не несёт ответственности за обработку ПДн на таких ресурсах. Перед использованием стороннего ресурса рекомендуется ознакомиться с его политикой конфиденциальности.

XXIИзменения политики

21.1. Оператор вправе вносить изменения в Политику. Актуальная редакция публикуется в Приложении и на Сайте.

21.2. При существенных изменениях (расширение целей обработки, новые получатели данных, изменение трансграничной передачи) Оператор уведомляет Пользователей через Сервис, email или иной доступный канал не менее чем за 14 дней до вступления изменений в силу.

21.3. При существенных изменениях, требующих этого по закону, Оператор запрашивает повторное согласие.

21.4. Архив предыдущих редакций Политики доступен по запросу на office@shopfigaro.com.

XXIIКонтакты

Орган по защите прав субъектов ПДн

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
Адрес: 109074, г. Москва, Китайгородский пр., д. 7, стр. 2
Сайт: rkn.gov.ru