1. Оператор данных
Лакартелайв ООД (Lacartelive Ltd.) — независимый оператор персональных данных по ст. 4(7) GDPR.
- Название: Лакартелайв ООД
- ЕИК: XXXXXXXXX
- Юр. адрес: [город, адрес]
- E-mail: hello@lacarte.live
2. Должностное лицо по защите данных (DPO)
DPO: [имя DPO — будет заполнено], e-mail: hello@lacarte.live (тема «GDPR запрос»).
3. Какие данные мы собираем
3.1 Данные бизнес-клиентов (владельцев аккаунтов)
| Категория | Конкретные данные | Источник |
|---|---|---|
| Идентификация | Имя, e-mail, телефон (опц.), название ресторана | Регистрационная форма |
| Реквизиты компании | Название, ЕИК, НДС, юр. адрес, представитель | До первой оплаты |
| Аутентификация | Пароль (хэш), Google OAuth ID, подтверждение e-mail | Регистрация / вход |
| Платежи | Последние 4 цифры карты, billing-адрес, история транзакций | Stripe (PCI-DSS) — полные данные карты НЕ доходят до наших серверов |
| Поведение | IP, браузер, ОС, время доступа | Серверные логи |
| Поддержка | Переписка с поддержкой | E-mail / форма |
3.2 Данные под-пользователей (Account Admins)
Имя, e-mail, должность, права доступа, пароль (хэш), статус подтверждения e-mail.
3.3 Данные конечных клиентов (посетителей меню)
Технические: анонимизированный IP, случайный device ID, язык браузера. Поведение: просмотры блюд, анонимные оценки. Cookies: см. Политику cookies. Конечные клиенты не обязаны создавать аккаунт или предоставлять личные данные для просмотра меню.
3.4 Данные покупателей в онлайн-магазине
При заказе через e-commerce: имя, телефон, страна, город, индекс, адрес доставки, опциональное примечание.
4. Цели обработки
- Предоставление сервиса (регистрация, аутентификация, подписки, AI-контент, уведомления).
- Обработка платежей через Stripe.
- Коммуникация (поддержка, важные уведомления).
- Аналитика для улучшения сервиса.
- Маркетинг — только с вашего явного согласия.
- Соблюдение законов (бухгалтерия, ответы органам власти).
- Защита интересов (предотвращение мошенничества, споры).
5. Правовые основания (ст. 6 GDPR)
| Основание | Применение |
|---|---|
| Ст. 6(1)(b) — исполнение договора | Регистрация, подписка, e-commerce заказы, основной функционал |
| Ст. 6(1)(a) — согласие | Маркетинговые e-mail, аналитические/маркетинговые cookies |
| Ст. 6(1)(c) — правовое обязательство | Бухучёт, выставление счетов |
| Ст. 6(1)(f) — законный интерес | Безопасность платформы, предотвращение мошенничества, базовая аналитика |
6. Сроки хранения
| Тип данных | Срок |
|---|---|
| Активные аккаунты | Пока аккаунт существует + 30 дней льготного периода |
| Финансовые документы (счета, платежи) | 10 лет (болгарский Закон о бухгалтерии, ст. 12) |
| Stripe payment records | До 7 лет (условия Stripe) |
| Серверные логи | 12 месяцев (безопасность) |
| Анонимная аналитика меню | 26 месяцев (GA4 retention) |
| Переписка поддержки | 3 года после последнего контакта |
| Consent log | 3 года после отзыва (GDPR ст. 7 доказательная база) |
| Маркетинговый лист | До отзыва согласия |
7. Получатели и трансферы
Мы не продаём персональные данные. Делимся только с обработчиками:
| Получатель | Цель | Локация | Гарантии |
|---|---|---|---|
| Google LLC (Firebase, Functions, Gemini AI, OAuth) | Хостинг, аутентификация, AI | США + EU | Standard Contractual Clauses, DPA |
| Stripe Payments Europe Ltd. | Обработка платежей | Ирландия + США | PCI-DSS Level 1, SCCs |
| Resend Inc. | Транзакционные e-mail | США | SCCs, DPA |
| Namecheap Email Forwarding | Бизнес e-mail | США | DPA |
| Google Analytics 4 / GTM / Facebook Pixel | Маркетинговая аналитика — только с согласия | США | SCCs; IP-анонимизация включена |
Трансферы за пределы ЕЭЗ — на основе одобренных Еврокомиссией стандартных договорных оговорок и/или дополнительных технических мер.
8. Безопасность данных
Применяем технические и организационные меры: шифрование в пути (TLS 1.2+) и в покое; хэширование паролей PBKDF2; MFA для админ-аккаунтов; принцип минимальных прав; регулярные аудиты; логирование доступа к чувствительным данным; процедуры реакции на инциденты. При инциденте с высоким риском уведомим в течение 72 часов по ст. 33-34 GDPR.
9. Ваши права по GDPR
В зависимости от обстоятельств у вас есть права на: доступ (ст. 15), исправление (ст. 16), удаление / «право быть забытым» (ст. 17), ограничение (ст. 18), переносимость в JSON (ст. 20), возражение (ст. 21), отзыв согласия в любой момент, и не быть объектом автоматизированных решений (ст. 22).
Реализация через OwnerView → Настройки → «Защита данных» (экспорт и удаление) или e-mailом на hello@lacarte.live с темой «GDPR запрос». Ответим в течение 30 дней (с продлением до 60 дней для сложных запросов). Бесплатно, кроме явно необоснованных/чрезмерных запросов.
10. Cookies
См. Политику cookies. Управление согласием — через баннер или ссылку «Управление cookies» в футере.
11. Данные детей
Платформа нацелена на бизнес-клиентов и не предназначена для лиц младше 18 лет. Мы сознательно не собираем данные детей.
12. Изменения политики
Можем периодически обновлять Политику. О существенных изменениях уведомим активных пользователей за 14 дней.
13. Жалобы
При нарушении GDPR можно подать жалобу в Комиссию по защите персональных данных Болгарии (КЗЛД), бул. «Цветан Лазаров» 2, 1592 София; e-mail kzld@cpdp.bg; www.cpdp.bg. До подачи жалобы рекомендуем обратиться к нам.