Политика обработки персональных данных
Какие данные собирает KLRest, зачем они нужны, как защищаются и как субъект может запросить доступ или удаление.
1. Оператор и область действия
Оператор персональных данных: [указать юридическое лицо или ИП владельца сервиса, адрес, email для обращений по персональным данным].
Политика применяется к сайту KLRest, кабинетам ресторана, QR-меню, API, интеграциям, уведомлениям, оплатам подписки и иным функциям сервиса.
Ресторан может являться самостоятельным оператором персональных данных своих гостей и сотрудников, если определяет цели и состав обработки в своем бизнес-процессе.
2. Категории данных
Данные представителей ресторана: имя, логин, роль, пароль в хешированном виде, контактные данные, действия в кабинете, сведения о подписке и платежах за сервис.
Данные официантов и сотрудников: имя, логин, роль, фотография, цвет аватара, закрепленные столы, действия по заказам, статусам и запросам гостей.
Данные гостей: номер стола, состав заказа, комментарии, выбранные чаевые, выбранный официант, технические идентификаторы сессии, платежный статус и сведения, возвращаемые платежным шлюзом без данных банковской карты.
Данные ресторана: название, реквизиты, меню, цены, фотографии блюд, залы, столы, настройки дизайна, интеграций и эквайринга.
3. Цели обработки
Данные обрабатываются для регистрации и сопровождения ресторанов, предоставления доступа к кабинетам, отображения меню, приема заказов, передачи заказов кухне и официантам, оплаты, чаевых, подписки, уведомлений и поддержки.
Данные также используются для безопасности, предотвращения злоупотреблений, ведения истории действий, выполнения договорных обязательств, бухгалтерского учета, обработки обращений и улучшения сервиса.
4. Правовые основания
Основаниями обработки являются согласие субъекта персональных данных, заключение и исполнение договора, законный интерес по обеспечению безопасности сервиса, выполнение требований законодательства и обработка данных, необходимая для оказания заказанной услуги.
Согласие может быть выражено через регистрацию, отправку формы, оформление заказа, оплату, загрузку фото сотрудника, включение уведомлений или иное активное действие в интерфейсе.
5. Передача данных
Данные могут передаваться ресторанам, сотрудникам ресторана, платежным провайдерам, банкам, хостинг-провайдерам, сервисам уведомлений, POS/учетным системам, подрядчикам поддержки и иным лицам, если это необходимо для работы сервиса или исполнения закона.
Данные банковских карт вводятся на стороне банка или платежного провайдера. KLRest не хранит полный номер карты, CVC/CVV и иные чувствительные платежные реквизиты карты.
6. Хранение и защита
Данные хранятся на территории Российской Федерации или в иной допустимой инфраструктуре с учетом применимого законодательства и договоров с ресторанами.
Сервис применяет разграничение прав, хеширование паролей, защищенные сессии, технические журналы, ограничение доступа к административным функциям и иные разумные меры защиты.
Срок хранения определяется целями обработки, сроком договора, требованиями закона, бухгалтерского учета, разрешения споров и технической необходимости восстановления данных.
7. Права субъекта
Субъект персональных данных вправе запросить сведения об обработке, уточнение, блокирование, удаление данных, отзыв согласия и прекращение обработки в случаях, предусмотренных законом.
Запрос направляется на email оператора: [указать email для персональных данных]. Оператор может запросить подтверждение личности, если это необходимо для защиты данных.
8. Обновление политики
Политика может обновляться при изменении сервиса, законодательства, состава интеграций, платежных провайдеров или бизнес-процессов.
Актуальная редакция публикуется на сайте KLRest и действует с даты публикации, если в документе не указан иной срок.