Политика конфиденциальности

1. Общие положения

Настоящая Политика конфиденциальности определяет порядок обработки и защиты персональных данных пользователей платформы pana-design.com (далее — «Платформа»). Оператором персональных данных является ТОО «ПАНА ДИЗАЙН», БИН 251040033970, юридический адрес: Республика Казахстан, г. Алматы, ул. Тажибаевой, д. 157, оф. 7, индекс 050000 (далее — «Компания»).

Обработка персональных данных осуществляется в соответствии с Законом Республики Казахстан № 94-V «О персональных данных и их защите», нормами гражданского законодательства Республики Казахстан и условиями Публичной оферты, размещённой на Платформе.

Используя Платформу или её отдельные сервисы, пользователь подтверждает, что ознакомлен с настоящей Политикой и согласен с условиями обработки своих персональных данных в указанных в Политике целях и объёме.

2. Категории обрабатываемых персональных данных

В зависимости от выбранного сервиса и взаимодействия пользователя с Платформой Компания может обрабатывать следующие категории персональных данных:

• фамилия, имя, отчество (при наличии);
• номер телефона и адрес электронной почты;
• данные учётной записи и параметры Личного кабинета;
• адрес объекта (помещения) для оказания услуги дизайна интерьера;
• сведения о заказах, оплате, доставке и истории обращений;
• платёжная информация в объёме, доступном Компании или платёжному партнёру;
• фотографии, видео, планы, замеры и иные материалы, добровольно загружаемые пользователем для оказания услуги;
• стилевые предпочтения и бюджетные параметры, заданные при прохождении стиль-теста;
• технические сведения, формируемые при использовании Платформы (IP-адрес, идентификаторы устройства, файлы cookie, журналы действий).

3. Цели обработки

• регистрация и идентификация пользователя на Платформе;
• оформление, исполнение и сопровождение заказов на услуги дизайна и/или товары;
• приём и возврат платежей, организация доставки;
• коммуникация по заказу, рассмотрение обращений, жалоб и претензий;
• предотвращение мошенничества и обеспечение информационной безопасности;
• соблюдение требований законодательства Республики Казахстан;
• ведение внутреннего учёта, налоговой и бухгалтерской отчётности, архивирования;
• улучшение качества сервиса и пользовательского опыта.

4. Правовые основания

Обработка персональных данных осуществляется на следующих правовых основаниях:

• согласие субъекта персональных данных, выраженное при регистрации и/или оформлении заказа;
• необходимость исполнения договора, заключённого на условиях Публичной оферты Платформы;
• обязанности, возложенные на Компанию законодательством Республики Казахстан;
• защита законных интересов Компании и других пользователей при разрешении споров.

5. Передача персональных данных третьим лицам

Компания вправе передавать персональные данные пользователя третьим лицам, участвующим в исполнении заказа или обеспечении функционирования Платформы, исключительно в объёме, необходимом для достижения законных целей обработки. К таким лицам относятся:

• дизайнеры, оказывающие услуги пользователю по заказу через Платформу;
• поставщики товаров, договор купли-продажи с которыми заключается через Платформу;
• PayLink Kazakhstan (платёжный партнёр-эквайер, резидент Республики Казахстан) — для приёма онлайн-оплат банковскими картами. Платёжные реквизиты карты вводятся пользователем на защищённой странице PayLink и Компании не передаются;
• банки и иные платёжные организации — при выплатах дизайнерам и поставщикам;
• логистические и курьерские компании, осуществляющие доставку;
• провайдеры IT-инфраструктуры: Yandex Cloud Казахстан (хранение персональных данных в зоне Алматы) и Supabase Inc. (хранение обезличенного содержимого Платформы — см. раздел 6);
• государственные органы — в случаях, прямо предусмотренных законом.

Дизайнеры и поставщики получают доступ только к тем персональным данным, которые объективно необходимы для исполнения соответствующего заказа. Они обязаны использовать эти данные исключительно в целях исполнения заказа и не вправе передавать их третьим лицам или использовать для собственных независимых целей.

6. Место хранения данных и трансграничная передача

Во исполнение требований Закона Республики Казахстан № 94-V «О персональных данных и их защите» Компания обеспечивает хранение и первичную обработку персональных данных граждан Республики Казахстан на территории Республики Казахстан. Для этого используется инфраструктура Yandex Cloud в зоне доступности kz1-a (город Алматы, Республика Казахстан).

На территории Республики Казахстан хранятся, в частности:

• фамилия, имя, отчество пользователей;
• номер телефона и контактная информация;
• почтовый адрес и адрес объекта дизайн-проекта, реквизиты доставки заказов;
• банковские реквизиты для выплат дизайнерам и поставщикам;
• фотографии и иные материалы, удостоверяющие личность (документы KYC поставщиков и дизайнеров);
• журнал доступа к персональным данным (audit log).

Платёжные данные банковских карт (PAN, CVV, срок действия) обрабатываются исключительно платёжным партнёром PayLink Kazakhstan на его инфраструктуре в Республике Казахстан в соответствии со стандартом PCI DSS. На сторону Компании эти данные не передаются и не сохраняются.

Отдельные категории служебной информации, не относящиеся к персональным данным по смыслу Закона № 94-V (структура заказов и проектов, каталог товаров и портфолио, содержимое стиль-теста без привязки к личности, технические журналы), а также служебные функции аутентификации (адрес электронной почты для входа и зашифрованный пароль) размещаются у поставщика облачных услуг Supabase Inc. (США). Такая трансграничная передача осуществляется в обезличенном виде и сопровождается техническими мерами защиты: шифрование канала передачи (TLS), разграничение прав доступа, журналирование значимых действий, регулярная инвентаризация состава данных.

Компания на постоянной основе оценивает состав передаваемых служебных данных и принимает меры к дальнейшему сокращению трансграничной передачи. О существенных изменениях в этой части пользователи извещаются в порядке, предусмотренном настоящей Политикой.

7. Сроки хранения

Персональные данные хранятся не дольше, чем это необходимо для достижения целей обработки, исполнения договора, рассмотрения обращений, соблюдения требований законодательства, налогового и иного обязательного учёта, а также защиты прав и законных интересов сторон в случае спора.

8. Меры защиты

Компания принимает разумные и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц. Применяются:

• разграничение прав доступа по принципу необходимости;
• средства аутентификации и журналирование действий;
• защита каналов передачи данных средствами шифрования;
• резервное копирование критичных данных;
• контроль доступа сотрудников и контрагентов.

9. Файлы cookie и аналитика

Платформа использует файлы cookie и аналогичные технологии для обеспечения работы сервиса, сохранения авторизации, анализа использования и улучшения пользовательского опыта. Пользователь вправе настроить параметры обработки cookie в своём браузере. Полный отказ от cookie может привести к ограничению функциональности отдельных разделов Платформы.

10. Права пользователя

В соответствии с Законом Республики Казахстан № 94-V пользователь как субъект персональных данных имеет право:

• получать информацию об обработке своих персональных данных;
• требовать их уточнения, дополнения, блокирования или удаления;
• отозвать согласие на обработку в пределах, не препятствующих исполнению уже возникших обязательств;
• обжаловать действия Компании в уполномоченных государственных органах и в судебном порядке.

11. Изменения Политики

Компания вправе в одностороннем порядке вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её публикации на Платформе. Существенные изменения дополнительно доводятся до пользователей через интерфейс Платформы или по адресу электронной почты, указанному при регистрации.

12. Контакты оператора

Для реализации прав субъекта персональных данных, получения разъяснений или отзыва согласия пользователь направляет обращение на адрес электронной почты Компании или через Личный кабинет на Платформе. Компания рассматривает обращение в разумный срок, как правило, не более 10 (десяти) рабочих дней.