Политика конфиденциальности

Настоящая Политика конфиденциальности (далее — «Политика») разработана в соответствии с Законом Республики Казахстан «О персональных данных и их защите» № 94-V от 21 мая 2013 года, а также с учётом требований General Data Protection Regulation (GDPR), California Consumer Privacy Act (CCPA) и правил магазинов приложений Apple App Store и Google Play.

Политика описывает, каким образом ИП «Бойко М.Э.» (далее — «Компания», «Оператор», «Мы», «ORDA») собирает, обрабатывает, хранит, использует и защищает персональные данные Пользователей (далее — «Вы», «Пользователь», «Субъект данных») мобильного приложения «Орда Доставка» и сайта ordadostavka.kz (далее совместно — «Сервисы»).

Регистрация в наших Сервисах и использование их функциональности означает полное и безоговорочное согласие Пользователя с настоящей Политикой. Если вы не согласны с какими-либо положениями Политики — пожалуйста, не используйте наши Сервисы.

1. Общие положения и термины

В настоящей Политике используются следующие термины:

• Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (Субъекту данных).
• Обработка персональных данных — любое действие или совокупность действий, осуществляемых с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
• Оператор персональных данных — государственный орган, физическое или юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных.
• Субъект персональных данных — физическое лицо, к которому относятся соответствующие персональные данные.
• Сервисы — мобильное приложение «Орда Доставка» и веб-сайт ordadostavka.kz, принадлежащие Компании.
• Пользователь — физическое лицо, использующее Сервисы.
• Cookies — небольшие текстовые файлы, сохраняемые на устройстве Пользователя при использовании Сервисов.
• Согласие — свободное, конкретное, информированное и однозначное волеизъявление Пользователя.

2. Оператор данных и контакты

Оператором персональных данных в Сервисах является:

• Полное наименование: Индивидуальный предприниматель «Бойко М.Э.»
• ИИН: 690311450233
• Руководитель: Бойко Марина Эдуардовна
• Юридический адрес: 020100, Республика Казахстан, Акмолинская область, Аккольский район, г. Акколь, улица Байсеитовой, дом 10
• Почтовый адрес: 020100, Республика Казахстан, Акмолинская область, г. Акколь, ТРЦ Акколь, 1 этаж
• Email для обращений по вопросам персональных данных: supermarketorda@gmail.com
• Телефон: +7 778 580 09 01

3. Принципы обработки

Компания обрабатывает персональные данные в соответствии со следующими принципами:

• Законность — обработка осуществляется только на законных основаниях
• Справедливость — обработка ведётся добросовестно, с учётом интересов Субъекта
• Ограничение цели — данные собираются только для конкретных, явных и легитимных целей
• Минимизация данных — собираются только необходимые данные
• Точность — данные поддерживаются в актуальном и достоверном состоянии
• Ограничение хранения — данные хранятся не дольше необходимого
• Целостность и конфиденциальность — применяются соответствующие меры защиты
• Подотчётность — Оператор несёт ответственность за соблюдение указанных принципов

4. Какие данные мы собираем

4.1. Данные, предоставляемые Пользователем при регистрации

• Фамилия, имя, отчество (при наличии)
• Номер мобильного телефона
• Адрес электронной почты (если указан)
• Пол (если указан, для персонализации)
• Дата рождения (если указана, для поздравлений и возрастной аналитики)

4.2. Данные о заказах и доставке

• Адрес доставки: город, район, улица, дом, квартира, подъезд, этаж, домофон
• Комментарий курьеру
• Выбранное время доставки или самовывоза
• Состав корзины: наименования и количество товаров
• Сумма заказа, применённые промокоды, использованные бонусы
• Способ оплаты (без хранения данных банковской карты)
• История всех заказов
• Статус выполнения заказа

4.3. Данные о местоположении (геолокация)

Собираются только при явном согласии Пользователя и используются исключительно для определения адреса доставки или поиска ближайшей точки самовывоза. Точные координаты сохраняются только в момент оформления заказа.

4.4. Технические данные

• Модель и производитель устройства
• Версия операционной системы (iOS, Android)
• Идентификатор устройства (Advertising ID / IDFA)
• IP-адрес подключения
• Push-токен (для отправки уведомлений)
• Версия приложения
• Язык интерфейса
• Часовой пояс
• Параметры экрана

4.5. Данные об использовании Сервисов (аналитика)

• Открытые экраны и разделы приложения
• Действия: добавление товара в корзину, оформление заказа и т.д.
• Время и продолжительность сессий
• Источник привлечения (UTM-метки, реферальные ссылки)
• Сбои и ошибки в работе приложения

4.6. Данные обращений в службу поддержки

• Содержание переписки через чат в приложении
• Номер телефона, email, с которых обратились
• Прикреплённые файлы и скриншоты
• История всех обращений

4.7. Данные, которые мы НЕ собираем

Компания не собирает и не хранит:

• Полные реквизиты банковских карт (CVV, срок действия) — это делает платёжный процессор
• Пароли в открытом виде — только зашифрованные хэши
• Содержимое SMS или звонков
• Биометрические данные (отпечатки пальцев, Face ID хранятся только на вашем устройстве)
• Список контактов и записная книжка
• Содержимое галереи и других приложений
• Данные о состоянии здоровья
• Данные о политических, религиозных убеждениях

5. Цели обработки

Компания обрабатывает персональные данные в следующих целях:

• Регистрация и ведение учётной записи Пользователя
• Идентификация Пользователя при авторизации
• Оформление, обработка и доставка заказов
• Связь с Пользователем по вопросам заказа (звонки курьера, оповещения)
• Проведение платежей через платёжные системы
• Начисление и списание бонусов, применение промокодов
• Оказание услуг поддержки через чат, телефон или email
• Отправка транзакционных push-уведомлений (статус заказа, готовность)
• Отправка маркетинговых уведомлений (при отдельном согласии)
• Анализ качества сервиса и улучшение работы приложения
• Предотвращение мошенничества и злоупотреблений
• Выполнение требований законодательства Республики Казахстан (налоговое, бухгалтерское)
• Разрешение споров и защита законных интересов Компании

6. Правовые основания

Компания обрабатывает персональные данные только при наличии законных оснований:

• Согласие Субъекта данных — основное основание при регистрации
• Исполнение договора — для выполнения заказа и оказания услуг доставки
• Соблюдение требований закона — налоговая, бухгалтерская отчётность
• Законные интересы Оператора — защита от мошенничества, развитие бизнеса

7. Согласие на обработку

Согласие на обработку персональных данных даётся Пользователем:

• При регистрации в приложении (отметка «Согласен с Политикой»)
• При оформлении заказа
• При подписке на рассылки
• При разрешении геолокации и push-уведомлений

Согласие может быть отозвано в любой момент письменным обращением на supermarketorda@gmail.com. Отзыв согласия влечёт удаление данных и невозможность использования Сервисов.

8. Получение данных от третьих лиц

В отдельных случаях Компания может получать данные от:

• Платёжных систем (Kaspi.kz и др.) — о статусе платежа
• Apple / Google — при входе через Apple ID / Google Sign-In
• Рекламных платформ (Meta, Google Ads) — обезличенные данные об эффективности рекламы

9. Передача данных третьим лицам

Компания не продаёт персональные данные третьим лицам.Передача возможна только в следующих случаях и только в объёме, необходимом для достижения цели:

• Курьеру / сборщику заказа — имя, телефон, адрес доставки, состав заказа
• Платёжным системам (Kaspi, банки-эквайеры) — для проведения оплаты
• Системе 1С:Предприятие — для обработки заказа в магазине
• Хостинг-провайдеру (Supabase Inc., США) — для хранения данных на защищённых серверах
• Облачным сервисам уведомлений — Apple Push Notification Service, Firebase Cloud Messaging
• Email-провайдеру — для отправки транзакционных писем
• Аналитическим сервисам — в обезличенном виде
• Правоохранительным и государственным органам — по официальному запросу в соответствии с законом РК

Со всеми третьими лицами заключены соглашения о конфиденциальности и обработке данных.

10. Трансграничная передача

Некоторые обработчики (Supabase Inc., Apple, Google) находятся за пределами Республики Казахстан (США, ЕС). Эти страны обеспечивают адекватный уровень защиты персональных данных (GDPR, SOC 2 Type II).

Согласие на трансграничную передачу даётся Пользователем при принятии настоящей Политики.

11. Меры защиты данных

11.1. Технические меры

• Передача данных только по защищённому протоколу HTTPS с TLS 1.2+
• Шифрование паролей алгоритмом bcrypt
• Шифрование токенов доступа (JWT)
• Резервное копирование данных с шифрованием
• Система Row Level Security (RLS) в базе данных
• Регулярные обновления системного ПО и зависимостей
• Мониторинг подозрительной активности 24/7
• Ограничение IP-адресов для доступа к административным панелям

11.2. Организационные меры

• Доступ к данным только у уполномоченных сотрудников
• Обучение персонала правилам обработки данных
• Заключение соглашений о неразглашении (NDA)
• Журналирование всех действий с персональными данными
• Регулярный аудит безопасности
• Разделение прав доступа по ролям

11.3. Инфраструктурные меры

• Использование сертифицированной инфраструктуры Supabase (SOC 2 Type II, ISO 27001)
• Физическая защита серверов, где хранятся данные
• Избыточность систем (несколько дата-центров)

12. Сроки хранения

Персональные данные хранятся не дольше, чем необходимо:

• Данные аккаунта — всё время использования + 90 дней после удаления
• Данные заказов — 5 лет (налоговое законодательство РК)
• Данные платежей — 5 лет (налоговое законодательство)
• Техническая аналитика — 12 месяцев в обезличенном виде
• Cookies — от 1 дня до 1 года в зависимости от типа
• Переписка поддержки — 3 года с момента обращения
• Логи безопасности — 6 месяцев

13. Права субъектов данных

В соответствии с Законом РК «О персональных данных и их защите» вы имеете следующие права:

• Право на доступ — получить копию своих данных
• Право на исправление — запросить корректировку неточных данных
• Право на удаление — потребовать удалить ваши данные
• Право на ограничение обработки — приостановить обработку
• Право на переносимость — получить данные в машиночитаемом формате
• Право на возражение — возразить против обработки
• Право отозвать согласие — в любой момент
• Право на жалобу — в уполномоченный орган по защите прав субъектов персональных данных РК

Для реализации прав обратитесь на supermarketorda@gmail.comс подтверждением личности. Мы ответим в течение 10 рабочих дней.

14. Использование Cookies

На сайте ordadostavka.kz используются следующие типы Cookies:

• Технические (необходимые) — для корректной работы сайта. Не требуют согласия.
• Функциональные — запоминают ваши настройки (язык, регион)
• Аналитические — помогают понимать, как используется сайт (обезличено)
• Рекламные — только при явном согласии

Вы можете управлять Cookies через настройки браузера. Отключение технических Cookies может нарушить работу сайта.

15. Push-уведомления

Мы отправляем push-уведомления следующих типов:

• Транзакционные — обязательные: статус заказа, готовность, доставка
• Операционные — подтверждение операций: оплата, возврат, бонусы
• Маркетинговые — акции, скидки, новости (только при согласии)

Отключить push-уведомления можно в настройках приложения или в настройках вашего устройства в любое время.

16. Геолокация

Доступ к геолокации запрашивается явно при первом использовании и применяется только для:

• Определения адреса доставки (обратное геокодирование)
• Поиска ближайших точек самовывоза
• Расчёта стоимости и времени доставки

Мы не отслеживаем ваше местоположение в фоновом режиме и не сохраняем историю перемещений. Данные геолокации используются в момент активного использования приложения и не привязываются к долгосрочной истории.

17. Дети и несовершеннолетние

Сервисы не предназначены для лиц младше 16 лет. Мы сознательно не собираем персональные данные несовершеннолетних.

Если родитель или законный представитель обнаружил, что ребёнок младше 16 лет зарегистрировался в приложении — просьба написать на supermarketorda@gmail.comдля немедленного удаления аккаунта и связанных данных.

Приложение имеет возрастной рейтинг 4+ в App Store и Everyone в Google Play. Мы не собираем данные о несовершеннолетних в соответствии с COPPA (США) и GDPR (ЕС).

18. Рекламные коммуникации

Мы можем направлять Пользователям рекламные материалы о новых товарах, акциях, скидках — только при явном согласии.

В каждом маркетинговом сообщении есть возможность отписаться:

• В push-уведомлениях — настройки приложения
• В email-рассылках — ссылка «отписаться»
• В SMS — ответ «СТОП» или «STOP»

19. Хранение данных о платежах

Компания не хранит полные реквизиты банковских карт.

Все операции по банковским картам проводятся через сертифицированные платёжные системы, соответствующие стандарту PCI DSS Level 1:

• Kaspi Bank — для Kaspi Pay
• Банки-эквайеры — для карт Visa/Mastercard

Мы храним только токенизированные данные (безопасный идентификатор карты) для повторных платежей по вашему согласию. Номер, CVV и срок действия — никогда не хранятся на наших серверах.

20. Порядок удаления аккаунта

Вы можете удалить свой аккаунт следующими способами:

• Через приложение: Профиль → Настройки → Удалить аккаунт
• По запросу: написать на supermarketorda@gmail.com с указанием номера телефона

После удаления аккаунта:

• Персональные данные удаляются в течение 30 дней
• Данные о заказах переводятся в обезличенный формат
• Финансовая информация сохраняется 5 лет (налоговое законодательство)
• Восстановление аккаунта невозможно

21. Инциденты безопасности

В случае утечки персональных данных Компания обязуется:

• Уведомить уполномоченный орган РК в течение 72 часов с момента обнаружения
• Уведомить затронутых Пользователей в максимально короткий срок
• Предоставить информацию о характере утечки и принимаемых мерах
• Принять все необходимые меры для предотвращения повторных инцидентов

22. Изменения Политики

Компания оставляет за собой право вносить изменения в настоящую Политику. О существенных изменениях Пользователи будут уведомлены:

• По email (если email указан)
• Через push-уведомление в приложении
• Через баннер в приложении при следующем входе

Продолжение использования Сервисов после изменений означает согласие с новой редакцией Политики.

Предыдущие редакции Политики доступны по запросу на supermarketorda@gmail.com.

23. Разрешение споров

Все споры, связанные с обработкой персональных данных, разрешаются:

• Путём переговоров между Пользователем и Компанией
• Через подачу жалобы в Комитет по информационной безопасности Министерства цифрового развития РК (уполномоченный орган по защите прав субъектов персональных данных)
• В судебном порядке по месту нахождения Компании или месту жительства Пользователя

Применимое право — законодательство Республики Казахстан.

24. Контакты для обращений

По всем вопросам обработки персональных данных:

• Email: supermarketorda@gmail.com
• Телефон: +7 778 580 09 01 (ежедневно с 09:00 до 22:00)
• Почтовый адрес: 020100, г. Акколь, ТРЦ Акколь, 1 этаж, Акмолинская область, Республика Казахстан
• Чат в приложении: Профиль → Поддержка

Срок ответа на обращения — 10 рабочих дней.

Уполномоченный государственный орган

В случае несогласия с действиями Оператора вы вправе обратиться в уполномоченный орган:

• Министерство цифрового развития, инноваций и аэрокосмической промышленности РК
• Комитет по информационной безопасности
• Сайт: gov.kz/memleket/entities/mdai

Настоящая Политика соответствует требованиям Закона РК «О персональных данных и их защите» № 94-V, GDPR (ЕС), CCPA (США), App Store Review Guidelines 5.1.1 и Google Play Developer Policies.