Политика конфиденциальности

1. Оператор персональных данных

Оператором персональных данных является ООО «РоуПлан» (далее — «Оператор», «мы»).

2. Основные понятия

• Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
• Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
• Субъект персональных данных (Пользователь) — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
• Автоматизированная обработка — обработка персональных данных с помощью средств вычислительной техники.
• Обезличивание — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту без использования дополнительной информации.

3. Правовые основания обработки

Обработка персональных данных осуществляется на следующих правовых основаниях:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
• Согласие субъекта персональных данных на обработку его персональных данных (ст. 6, ст. 9 152-ФЗ).
• Исполнение договора, стороной которого является субъект персональных данных (оказание услуг по подписке RawPlan).
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
• Иные федеральные законы и нормативные правовые акты РФ, регулирующие вопросы обработки персональных данных.

4. Состав обрабатываемых персональных данных

Мы обрабатываем следующие категории персональных данных:

• Идентификационные данные: фамилия, имя, адрес электронной почты, номер телефона.
• Данные профиля здоровья: пол, дата рождения, рост, вес, целевой вес, уровень физической активности, пищевые предпочтения, аллергии, заболевания (предоставляются Пользователем добровольно для формирования персональных планов питания).
• Данные об оплате: информация о транзакциях, история платежей. Данные банковских карт не хранятся на серверах Оператора — обработка осуществляется сертифицированными платёжными системами, соответствующими стандарту PCI DSS.
• Технические данные: IP-адрес, тип и версия браузера, операционная система, информация об устройстве, файлы cookie.
• Данные об использовании сервиса: посещённые страницы, действия на сайте, дата и время посещения.
• Данные о согласии: факт дачи согласия, версия согласованного документа, дата и время, IP-адрес, идентификатор браузера Пользователя.

5. Цели обработки персональных данных

Персональные данные обрабатываются в следующих целях:

• Регистрация и идентификация Пользователя на Сайте.
• Предоставление доступа к функциям сервиса и персонализированному контенту.
• Формирование индивидуальных планов питания на основе данных профиля.
• Обработка платежей, управление подписками и предоставление чеков.
• Информирование Пользователя о новых меню, акциях и обновлениях сервиса (при наличии согласия на маркетинговую рассылку).
• Направление транзакционных уведомлений (чеки, уведомления о предстоящих списаниях, изменениях условий договора).
• Обработка обращений и запросов Пользователя в службу поддержки.
• Улучшение качества сервиса, анализ пользовательского опыта в обезличенном виде.
• Обеспечение безопасности и предотвращение мошенничества.
• Исполнение требований законодательства Российской Федерации.

6. Согласие на обработку персональных данных

6.1. Возрастные ограничения

Сервис RawPlan предназначен исключительно для лиц, достигших возраста 18 лет. При регистрации Пользователь обязан подтвердить своё совершеннолетие отдельным чекбоксом.

Оператор обрабатывает специальную категорию персональных данных — сведения о состоянии здоровья (вес, рост, аллергии, пищевые ограничения, цели по питанию). В соответствии с пунктом 1 части 2 статьи 10 Федерального закона №152-ФЗ «О персональных данных», обработка таких данных у несовершеннолетних допускается исключительно с письменного согласия их законного представителя. Оператор не располагает техническими средствами для верификации такого согласия, а потому регистрация лиц младше 18 лет на сервисе не производится.

Если в процессе онбординга (заполнения профиля) Пользователь укажет дату рождения, свидетельствующую о недостижении им 18 лет, учётная запись такого Пользователя подлежит немедленному удалению, а все ранее собранные персональные данные — обезличиванию или удалению в течение 30 дней.

Подтверждение совершеннолетия фиксируется в журнале согласий (таблица user_consents, тип adult_confirmation) с указанием даты, IP-адреса и User-Agent как доказательство добросовестности Оператора при приёме согласия.

7. Порядок отзыва согласия

Пользователь вправе в любой момент отозвать своё согласие на обработку персональных данных, направив письменное заявление:

• По электронной почте: privacy@rawplan.ru с темой «Отзыв согласия на обработку ПД».
• Через форму обратной связи на Сайте с пометкой «Отзыв согласия».

Оператор обязан прекратить обработку персональных данных и обеспечить их уничтожение в срок не более 30 (тридцати) рабочих дней с момента получения отзыва, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством РФ. Отзыв согласия может повлечь невозможность использования сервиса в полном объёме.

8. Меры по защите персональных данных

Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий:

• Передача данных осуществляется по защищённому протоколу HTTPS (TLS 1.2+).
• Пароли хранятся в хешированном виде (bcrypt).
• Доступ к персональным данным имеют только уполномоченные сотрудники Оператора, прошедшие обучение и подписавшие обязательства о неразглашении.
• Платёжные операции обрабатываются сертифицированными платёжными системами, соответствующими стандарту PCI DSS.
• Регулярное резервное копирование данных с шифрованием.
• Мониторинг и логирование доступа к данным, выявление аномальной активности.
• Регулярный аудит безопасности информационных систем Оператора.

9. Передача данных третьим лицам

Оператор не продаёт и не передаёт персональные данные третьим лицам в коммерческих целях. Передача осуществляется только в следующих случаях и только в необходимом объёме:

• Платёжные системы — для обработки транзакций: ООО НКО «ЮMoney» (ЮKassa), ИНН 7750005725, 115035, г. Москва, ул. Садовническая, 82 стр. 2. Передаются только данные, необходимые для проведения платежа (email, сумма, номер заказа).
• Сервисы веб-аналитики — в обезличенном виде для анализа посещаемости и улучшения качества сервиса: ООО «Яндекс», ИНН 7736207543, 119021, г. Москва, ул. Льва Толстого, 16 (счётчик Яндекс.Метрики). Передаются: IP-адрес (анонимизированный), User-Agent, маршрут перехода по страницам, действия на сайте. Персонализированные данные (email, имя) в Яндекс.Метрику не передаются.
• Почтовые сервисы — для отправки транзакционных и информационных писем: собственный SMTP-сервер Оператора; email-адрес и имя Пользователя используются для адресации.
• По требованию закона — в случаях, прямо предусмотренных законодательством Российской Федерации (по запросу суда, правоохранительных органов, надзорных органов).

10. Трансграничная передача

Персональные данные Пользователей хранятся и обрабатываются на территории Российской Федерации в соответствии с ч. 5 ст. 18 Федерального закона № 152-ФЗ. Трансграничная передача персональных данных на территории иностранных государств Оператором не осуществляется.

11. Файлы cookie

Сайт использует файлы cookie для обеспечения корректной работы, сохранения пользовательских настроек и анализа использования сервиса. Типы используемых cookie:

• Необходимые (technical) — для работы авторизации, защиты от CSRF-атак, сохранения сессии. Без этих cookie Сайт работать не может. Согласие не требуется.
• Функциональные — для сохранения предпочтений Пользователя (язык, тема оформления, закрытые баннеры).
• Аналитические — для анализа посещаемости и улучшения сервиса (Яндекс.Метрика). Собираются в обезличенном виде.

Пользователь вправе отключить cookie в настройках браузера. Отключение может повлиять на функциональность Сайта — некоторые возможности станут недоступны.

12. Права субъекта персональных данных

В соответствии с Федеральным законом № 152-ФЗ Пользователь имеет право:

• Получить информацию об обработке своих персональных данных (ст. 14 152-ФЗ).
• Требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 14 152-ФЗ).
• Отозвать согласие на обработку персональных данных (ст. 9 152-ФЗ).
• Требовать прекращения обработки персональных данных в целях продвижения товаров и услуг (ст. 15 152-ФЗ).
• Получить копию персональных данных в структурированном электронном формате (право на переносимость).
• Обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке (ст. 17 152-ФЗ).

Для реализации своих прав направьте запрос на privacy@rawplan.ru. Ответ будет предоставлен в течение 30 (тридцати) дней с момента получения запроса. В личном кабинете также доступны функции самообслуживания: экспорт данных в JSON, удаление учётной записи, управление согласиями.

13. Сроки обработки и хранения

Персональные данные обрабатываются и хранятся в следующие сроки:

• Данные учётной записи — в течение срока действия учётной записи и 3 (трёх) лет после её удаления.
• Данные о платежах — в течение 5 (пяти) лет в соответствии с требованиями налогового законодательства РФ (ст. 23 НК РФ).
• Данные о согласии на обработку ПД — в течение 5 (пяти) лет с момента дачи согласия или до его отзыва (неудаляемый журнал для доказательной базы).
• Технические данные (логи) — в течение 12 (двенадцати) месяцев.
• Данные веб-аналитики — в обезличенном виде в течение 24 (двадцати четырёх) месяцев.

По истечении сроков хранения персональные данные уничтожаются или обезличиваются.

14. Изменения настоящей Политики

Оператор вправе вносить изменения в настоящую Политику. О существенных изменениях Пользователь будет уведомлён по электронной почте или через уведомление на Сайте не менее чем за 15 (пятнадцать) календарных дней до вступления изменений в силу. Продолжение использования Сайта после вступления изменений в силу означает согласие Пользователя с обновлённой Политикой.

15. Контактная информация

По всем вопросам, связанным с обработкой персональных данных, вы можете обратиться:

16. Заключительные положения

Настоящая Политика является публичным документом Оператора и подлежит размещению на Сайте. Политика вступает в силу с момента её размещения на Сайте и действует бессрочно до замены новой редакцией.

В случае возникновения споров, связанных с обработкой персональных данных, Пользователь вправе обратиться в уполномоченный орган по защите прав субъектов персональных данных — Роскомнадзор (rkn.gov.ru).