Политика конфиденциальности

Настоящая Политика конфиденциальности (далее — «Политика») регулирует порядок сбора, хранения, использования и защиты персональных данных пользователей мобильного приложения «Point Coffee» (далее — «Приложение»), разработанного и эксплуатируемого компанией ООО «ORZU HAVAS INVESTMENT» (далее — «Оператор»).

Политика разработана в соответствии с требованиями:

• Закона Республики Узбекистан «О персональных данных» от 02.07.2019 № ЗРУ-547;
• Правил публикации приложений в App Store (Apple App Store Review Guidelines, п. 5.1);
• Требований Google Play к политике конфиденциальности (Google Play Developer Policy);
• Иных применимых норм законодательства Республики Узбекистан.

Используя Приложение, вы подтверждаете, что ознакомились с настоящей Политикой и даёте согласие на обработку ваших персональных данных в порядке и целях, описанных ниже.

Если вы не согласны с условиями Политики — пожалуйста, прекратите использование Приложения.

Персональные данные — любая информация, которая прямо или косвенно позволяет идентифицировать физическое лицо (субъекта персональных данных).

Обработка персональных данных — любое действие (операция) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, изменение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Пользователь — физическое лицо, установившее и использующее Приложение.

Оператор — ООО «ORZU HAVAS INVESTMENT», осуществляющий обработку персональных данных.

Приложение — мобильное приложение «Point Coffee» для платформ iOS и Android, предоставляющее доступ к сервису заказа напитков через кофейные автоматы и программе лояльности «Loyal Coffee».

В процессе использования Приложения Оператор собирает следующие категории данных:

3.1. Данные, предоставляемые пользователем

• Номер мобильного телефона (при регистрации через SMS-верификацию);
• Имя и фамилия (при заполнении профиля);
• Дата рождения (при заполнении профиля, для начисления бонусов ко дню рождения);
• Реферальный код (при использовании программы «Приведи друга»).

3.2. Данные, собираемые автоматически

• Данные об устройстве: модель, версия операционной системы, уникальные идентификаторы устройства, язык системы;
• FCM-токен для отправки push-уведомлений;
• Данные о местоположении (геопозиция) — только при явном разрешении пользователя — для отображения ближайших кофейных автоматов на карте (интеграция Яндекс.Карты);
• Журналы ошибок и технические логи для диагностики и улучшения Приложения;
• IP-адрес и параметры сетевого соединения.

3.3. Данные о транзакциях и программе лояльности

• История заказов: состав, стоимость, время, идентификатор кофейного автомата;
• Способ оплаты (Click, Payme, Uzum Bank) — Оператор не хранит реквизиты банковских карт напрямую; обработка платежей осуществляется через сертифицированные платёжные системы;
• Баланс бонусных коинов, история начислений и списаний;
• Данные о реферальных приглашениях: кто пригласил, кто был приглашён (без раскрытия третьим лицам).

3.4. Данные, которые Оператор НЕ собирает

• Данные о банковских картах, номера карт, CVC-коды;
• Биометрические данные;
• Данные из телефонной книги или других приложений на устройстве;
• Данные о несовершеннолетних (Приложение предназначено для лиц старше 18 лет).

Оператор обрабатывает персональные данные исключительно в следующих целях:

• Регистрация и аутентификация пользователя в Приложении;
• Выполнение заказов через кофейные автоматы и формирование чеков;
• Начисление, учёт и списание бонусных коинов в рамках программы лояльности «Loyal Coffee»;
• Отправка push-уведомлений о статусе заказа, акциях и промо-предложениях (только с согласия пользователя);
• Отображение ближайших кофейных автоматов на карте;
• Техническая поддержка пользователей;
• Улучшение качества Приложения: анализ ошибок, тестирование функций;
• Выполнение требований законодательства Республики Узбекистан;
• Предотвращение мошенничества и несанкционированного доступа.

Обработка персональных данных осуществляется на следующих правовых основаниях:

• Согласие пользователя — при регистрации в Приложении пользователь явно даёт согласие на обработку данных путём подтверждения настоящей Политики;
• Исполнение договора — обработка необходима для оказания услуг, заказанных пользователем (выдача напитка, зачисление баллов и пр.);
• Законный интерес Оператора — обеспечение безопасности, предотвращение мошенничества, анализ качества сервиса;
• Соблюдение требований законодательства — хранение данных о транзакциях в соответствии с налоговым и бухгалтерским законодательством РУз.

Оператор не продаёт и не передаёт персональные данные третьим лицам в коммерческих целях. Передача данных возможна только в следующих случаях:

6.1. Платёжные партнёры

Для проведения платежей данные пользователя передаются платёжным системам Click, Payme и Uzum Bank в минимальном объёме, необходимом для авторизации транзакции. Каждый из партнёров имеет собственную политику конфиденциальности.

6.2. Картографический сервис

Для отображения карты кофейных автоматов используется сервис Яндекс.Карты. Данные о геопозиции пользователя могут обрабатываться Яндексом в соответствии с его политикой конфиденциальности.

6.3. Push-уведомления

Для доставки push-уведомлений используется сервис Firebase Cloud Messaging (Google FCM). FCM-токены передаются Google Inc. в объёме, необходимом для функционирования сервиса.

6.4. Государственные органы

Оператор обязан передать данные по запросу уполномоченных государственных органов Республики Узбекистан в случаях, предусмотренных законодательством.

6.5. Правопреемники

В случае реорганизации или слияния Оператора с другим юридическим лицом персональные данные могут быть переданы правопреемнику с сохранением всех обязательств по защите данных.

Персональные данные хранятся на серверах, расположенных на территории Республики Узбекистан или в юрисдикциях с надлежащим уровнем защиты персональных данных.

Сроки хранения:

• Данные аккаунта (телефон, ФИО, дата рождения): в течение всего периода пользования Приложением + 3 года после удаления аккаунта;
• История заказов и транзакций: 5 лет (в соответствии с требованиями налогового законодательства РУз);
• История бонусных коинов: в течение действия аккаунта. Неиспользованные коины сгорают через 6 месяцев с момента последней покупки (пользователь уведомляется заранее);
• Технические логи и журналы ошибок: 90 дней;
• Push-токены: до отзыва пользователем разрешения на уведомления или удаления аккаунта.

Оператор применяет следующие технические и организационные меры для защиты данных:

• Шифрование данных при передаче по протоколу HTTPS/TLS;
• Хранение паролей и токенов в хэшированном виде;
• Ролевая система доступа к административной панели (RBAC): каждый сотрудник имеет доступ только к данным, необходимым для выполнения своих функций;
• Регулярное резервное копирование баз данных;
• Мониторинг и аудит подозрительной активности;
• Ограничение физического доступа к серверной инфраструктуре.

В соответствии с законодательством Республики Узбекистан пользователь имеет право:

• Получить информацию о том, какие его данные обрабатываются Оператором;
• Запросить исправление неточных или устаревших данных;
• Запросить удаление своих данных («право на забвение»);
• Отозвать согласие на обработку данных;
• Отказаться от получения push-уведомлений (через настройки Приложения или устройства);
• Отозвать разрешение на доступ к геолокации (через настройки устройства).

Для реализации своих прав пользователь может:

• Направить запрос по электронной почте: info@orzuhavas.uz;
• Воспользоваться разделом «Настройки» → «Конфиденциальность» в Приложении;
• Нажать «Удалить аккаунт» в настройках профиля.

Оператор рассматривает запросы в течение 30 календарных дней с момента получения.

Пользователь вправе в любой момент удалить свой аккаунт в Приложении. Для этого:

• Перейдите в раздел «Профиль» → «Настройки» → «Удалить аккаунт»;
• Подтвердите операцию через SMS-код.

После подтверждения:

• Аккаунт деактивируется немедленно;
• Персональные данные (ФИО, дата рождения, FCM-токен, геолокационные данные) удаляются в течение 30 дней;
• История транзакций и заказов сохраняется в обезличенном виде в течение сроков, установленных налоговым законодательством;
• Неиспользованный баланс бонусных коинов аннулируется без возврата (при удалении аккаунта по инициативе пользователя).

Также запрос на удаление можно направить по адресу: info@orzuhavas.uz.

Приложение предназначено исключительно для лиц старше 18 лет. Оператор не осуществляет сознательного сбора персональных данных несовершеннолетних.

Если вам стало известно, что ребёнок зарегистрировался в Приложении, просьба незамедлительно уведомить Оператора по адресу: info@orzuhavas.uz. Мы удалим такой аккаунт в течение 72 часов.

Приложение использует локальное хранилище устройства (Local Storage) исключительно для:

• Хранения токена авторизации (JWT) в зашифрованном виде;
• Кэширования пользовательских предпочтений (язык интерфейса, последний выбранный автомат).

Оператор может использовать встроенные инструменты сбора аналитики для оценки активности пользователей в целях улучшения Приложения. Данные передаются в агрегированном и обезличенном виде.

В случае использования облачных сервисов (Firebase/Google, Yandex), данные могут обрабатываться на серверах, расположенных за пределами Республики Узбекистан. Оператор принимает меры для обеспечения надлежащего уровня защиты данных в рамках таких взаимодействий.

Оператор вправе вносить изменения в настоящую Политику. При существенных изменениях пользователь будет уведомлён:

• Push-уведомлением в Приложении;
• Уведомлением при следующем входе в Приложение с запросом повторного принятия.

Актуальная версия Политики всегда доступна по ссылке в Приложении и на сайте Оператора. Дата последнего обновления указана в заголовке документа.

По всем вопросам, связанным с обработкой персональных данных, вы можете обратиться:

• Оператор: ООО «ORZU HAVAS INVESTMENT»
• ИНН: 311 943 355
• Директор: Рузикулова К.А.
• Адрес: Республика Узбекистан, г. Ташкент, Юнусабадский район, Абдулла Кадыри 39
• Телефон: +998 90 991 90 00
• Электронная почта: info@orzuhavas.uz
• Режим работы: Пн–Пт, 09:00–18:00 (UTC+5)

Оператор обязуется рассмотреть обращение в течение 30 календарных дней и предоставить мотивированный ответ.

Политика конфиденциальности вступает в силу с даты публикации в App Store и Google Play.