СОГЛАШЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

платформы «Loyalka» Приложение № 3 к Лицензионному договору-оферте Редакция 1 от 15.05.2026 г. Дата публикации: 15.05.2026 Вступает в силу: 15.05.2026 Архив редакций: https://loyalka.ru/legal/archive Ответственный за работу с персональными данными: support@loyalka.ru

Категория данных Статус Цель обработки Уникальный код клиента (clientCode) Обязательный Идентификация Конечного пользователя в рамках Программы лояльности Имя Обязательное Отображение в интерфейсе Лицензиата Город Опциональный Отображение в интерфейсе Лицензиата (если указан Конечным пользователем) История активности (визиты, начисления Баллов и штампов, Бонусы) Автоматически Обеспечение участия в Программе лояльности, создание и выдача наград Данные реферальной активности (реферальные связи, реферальные Баллы, Приветственные награды) Автоматически Обеспечение функционирования реферальной системы (при включении Лицензиатом) • Номер телефона Конечного пользователя не передаётся Лицензиату и не обрабатывается по его поручению. Номер телефона обрабатывается Лицензиаром самостоятельно как оператором в целях аутентификации и направления SMS-кодов (вне предмета настоящего Соглашения). • Специальные категории персональных данных (ст. 10 Закона о персональных данных) и биометрические персональные данные (ст. 11 Закона о персональных данных) по поручению Лицензиата не обрабатываются. • Цели, перечень действий и правовые основания обработки • Лицензиар обрабатывает персональные данные Конечных пользователей по поручению Лицензиата исключительно в следующих целях: обеспечение участия Конечных пользователей в Программах лояльности Лицензиата; учёт начислений Баллов, штампов и Бонусов; обеспечение функционирования реферальной системы (при включении Лицензиатом); формирование истории активности для отображения Лицензиату; направление сервисных уведомлений; техническая доставка информационных и рекламных рассылок Лицензиата (при наличии отдельного согласия Конечного пользователя; содержание рассылки определяется Лицензиатом); автоматизированная модерация контента Лицензиата (в том числе с применением технологий искусственного интеллекта). • Перечень действий (операций) с персональными данными, осуществляемых Лицензиаром по поручению Лицензиата: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Обработка осуществляется с использованием средств автоматизации. • Правовым основанием обработки является поручение Лицензиата (ч. 3 ст. 6 Закона о персональных данных), оформленное настоящим Соглашением. Лицензиат обязан самостоятельно получить согласие Конечных пользователей на обработку персональных данных в соответствии с Законом о персональных данных и Федеральным законом от 24.06.2025 № 156-ФЗ. Платформа предоставляет инструменты для получения такого согласия. • Лицензиар не вправе обрабатывать персональные данные Конечных пользователей в целях, не предусмотренных настоящим Соглашением, без предварительного письменного согласия Лицензиата. • Обязанности Лицензиара (обработчика) • Обрабатывать персональные данные исключительно в целях и в объёме, определённых настоящим Соглашением и поручением Лицензиата. • Обеспечивать конфиденциальность обрабатываемых персональных данных. Не раскрывать персональные данные третьим лицам без поручения Лицензиата, за исключением случаев, предусмотренных законодательством Российской Федерации. • Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (ст. 19 Закона о персональных данных). • Не передавать номер телефона Конечного пользователя Лицензиату. Лицензиат получает доступ к: уникальному коду клиента (clientCode), имени, городу (если указан), истории активности в рамках своей Программы лояльности, данным реферальной активности (при включении реферальной системы). • Уведомить Лицензиата об инциденте безопасности (утечке персональных данных, несанкционированном доступе), произошедшем на стороне Лицензиара, в течение 24 (двадцати четырёх) часов с момента обнаружения. Направить первичное уведомление в Роскомнадзор в течение 24 (двадцати четырёх) часов с момента обнаружения инцидента и уведомление о результатах внутреннего расследования — в течение 72 (семидесяти двух) часов. • По прекращении действия Договора по любому основанию (истечение срока, расторжение, отмена подписки) или по требованию Лицензиата прекратить обработку персональных данных и уничтожить или обезличить персональные данные в сроки, предусмотренные разделом 8 настоящего Соглашения, если иное не предусмотрено законодательством. • Содействовать Лицензиату в обеспечении прав субъектов персональных данных (запрос, уточнение, блокирование, удаление) в течение 10 (десяти) рабочих дней с момента получения соответствующего обращения. • Предоставлять Лицензиату по запросу информацию об обработке персональных данных, необходимую для выполнения Лицензиатом обязанностей оператора. • Обязанности Лицензиата (оператора) • Самостоятельно получать согласие Конечных пользователей на обработку персональных данных в соответствии с Законом о персональных данных и Федеральным законом от 24.06.2025 № 156-ФЗ, используя инструменты Платформы. • Определять цели обработки персональных данных Конечных пользователей в рамках Программы лояльности. Цели обработки не могут выходить за пределы, установленные настоящим Соглашением. • Не экспортировать персональные данные Конечных пользователей, полученные через Платформу, в сторонние системы без самостоятельного получения согласия каждого Конечного пользователя. • Уведомить Лицензиара об инциденте безопасности, произошедшем на стороне Лицензиата (в том числе по вине Сотрудников), в течение 24 (двадцати четырёх) часов с момента обнаружения. Самостоятельно уведомить Роскомнадзор как оператор персональных данных. • Соблюдать требования Закона о персональных данных в отношении персональных данных Конечных пользователей, участвующих в Программах лояльности Лицензиата. • Привлечение субподрядчиков (субобработчиков)

Субподрядчик Цель Состав данных REDSMS Доставка SMS-рассылок Лицензиата (при наличии согласия Конечного пользователя) Номера телефонов Конечных пользователей Timeweb Cloud Хранение и обработка данных (хостинг) Все категории данных Конечных пользователей • REDSMS также используется Лицензиаром как оператором для направления SMS-кодов аутентификации. Указанная обработка не является предметом настоящего Соглашения и регулируется Политикой конфиденциальности. • Кроме того, Лицензиар использует программное обеспечение, развёрнутое на собственной инфраструктуре (данные не передаются третьим лицам): Countly (продуктовая аналитика); Sentry (мониторинг ошибок; чувствительные персональные данные редактируются до обработки); Chatwoot (обработка обращений в службу поддержки). • Лицензиар использует внешние сервисы для автоматизированной модерации текстового контента Лицензиатов: Yandex Cloud GPT (оператор — ООО «Яндекс.Облако») и Timeweb LLM (оператор — ООО «Таймвэб.Облако»). В указанные сервисы передаётся исключительно текстовый контент Лицензиатов (описания Программ лояльности, наград). Персональные данные Конечных пользователей целенаправленно не передаются. Однако контент Лицензиата может содержать косвенные персональные данные, внесённые Лицензиатом самостоятельно. • VK Pixel (оператор — ООО «ВКонтакте») используется для обезличенной аналитики событий при доступе Конечных пользователей через VK Mini App. Передаются обезличенные идентификаторы и данные о событиях. Сервис используется только при доступе через платформу VK и при включённом пикселе. • При привлечении нового субподрядчика, обрабатывающего персональные данные Конечных пользователей, Лицензиар обеспечивает заключение с ним соглашения, предусматривающего обязательства по защите персональных данных не ниже установленных настоящим Соглашением. Актуальный перечень субподрядчиков публикуется в Политике конфиденциальности. • Лицензиат уведомляется об изменении перечня субподрядчиков через Платформу. Лицензиат вправе возражать против привлечения нового субподрядчика в течение 14 (четырнадцати) дней с момента уведомления. При наличии обоснованного возражения стороны проводят переговоры. Если соглашение не достигнуто, Лицензиат вправе расторгнуть Договор. • Технические и организационные меры безопасности • Лицензиар применяет следующие меры для защиты персональных данных: • шифрование данных при передаче (TLS); • шифрование данных при хранении; • разграничение доступа на основе ролей; • логирование доступа к персональным данным; • регулярное обновление программного обеспечения; • размещение инфраструктуры на территории Российской Федерации, в облачном хранилище, имеющим сертификат, соответствующий требованиям Закона о персональных данных. • Лицензиар обязуется поддерживать уровень защиты, соответствующий характеру обрабатываемых данных и требованиям ст. 19 Закона о персональных данных. • Лицензиат вправе запросить у Лицензиара подтверждение соблюдения технических и организационных мер защиты, предусмотренных настоящим Соглашением. Лицензиар предоставляет запрашиваемую информацию в разумные сроки. При необходимости стороны согласовывают порядок проведения аудита. • Сроки хранения и порядок удаления • При активном Бизнес-аккаунте Лицензиата персональные данные Конечных пользователей хранятся и обновляются в течение всего срока действия Договора. • При просроченной оплате подписки или при ограничении Бизнес-аккаунта: персональные данные Конечных пользователей сохраняются до разблокировки или удаления Бизнес-аккаунта. Обработка данных в целях создания новых обязательств (начисление Баллов, создание Бонусов) приостанавливается в соответствии с условиями Договора. • При архивации Бизнес-аккаунта Лицензиатом: персональные данные Конечных пользователей сохраняются; новые начисления и создание Бонусов недоступны; существующие Бонусы сохраняются. • При удалении Бизнес-аккаунта Лицензиата: персональные данные Конечных пользователей удаляются в течение 6 (шести) месяцев после перехода Бизнес-аккаунта в статус «удалён» или до реализации Конечным пользователем права на забвение (что наступит ранее); обезличенные статистические данные (количество визитов, начислений) могут сохраняться в объёме, не позволяющем идентифицировать субъекта. • При удалении аккаунта Конечным пользователем: персональные данные удаляются в течение 30 (тридцати) дней. Лицензиат уведомляется о выходе Конечного пользователя из Программы лояльности (без раскрытия причины удаления и персональных данных). • При отзыве согласия Конечным пользователем: аккаунт подлежит удалению в порядке, предусмотренном Пользовательским соглашением (раздел 12). Лицензиар вправе продолжить обработку при наличии иных оснований, предусмотренных пп. 2–11 ч. 1 ст. 6 Закона о персональных данных. • При прекращении действия Договора по любому основанию обработка персональных данных Конечных пользователей осуществляется в порядке, аналогичном удалению Бизнес-аккаунта (п. 8.4 настоящего Соглашения). • Удаление осуществляется путём необратимого обезличивания или уничтожения с составлением акта уничтожения. • Трансграничная передача • Персональные данные Конечных пользователей обрабатываются и хранятся на территории Российской Федерации. • Трансграничная передача персональных данных не осуществляется, за исключением случаев, когда это прямо предусмотрено использованием внешних сервисов, указанных в разделе 6, и допускается Законом о персональных данных. • Обезличивание персональных данных • Лицензиар вправе обезличивать персональные данные Конечных пользователей в целях: формирования агрегированной аналитики использования Платформы (количество визитов, средние показатели Программ лояльности, конверсия реферальной системы и иные статистические показатели); улучшения качества Платформы и разработки новых функциональных возможностей; обучения и совершенствования моделей автоматизированной модерации контента. • Обезличивание осуществляется способом, исключающим возможность повторной идентификации субъекта персональных данных без использования дополнительной информации. Обезличенные данные не позволяют определить принадлежность данных конкретному Конечному пользователю ни прямо, ни косвенно. • Обезличенные данные не являются персональными данными в смысле Закона о персональных данных и могут обрабатываться Лицензиаром без согласия субъекта и без поручения Лицензиата (ч. 9 ст. 9, ст. 6 Закона о персональных данных). • Лицензиар вправе использовать обезличенные данные для собственных аналитических целей, в том числе после прекращения действия Договора. Обезличенные данные могут предоставляться третьим лицам в агрегированном виде (без возможности идентификации субъектов). • Лицензиат вправе использовать обезличенные статистические данные своей Программы лояльности (количество визитов, начислений, средние показатели), предоставляемые Платформой, в том числе после удаления аккаунтов отдельных Конечных пользователей. • Обезличивание, осуществляемое в целях удаления персональных данных (п. 8.8 настоящего Соглашения), является необратимым и исключает любую возможность восстановления персональных данных. • Обеспечение прав субъектов персональных данных • Лицензиар содействует Лицензиату в обеспечении прав Конечных пользователей, предусмотренных Законом о персональных данных, включая: право на получение информации об обработке персональных данных; право на уточнение, блокирование и удаление персональных данных; право на отзыв согласия на обработку. • Запросы Конечных пользователей, направленные Лицензиару, обрабатываются Лицензиаром самостоятельно в части данных, обрабатываемых Лицензиаром как оператором (аутентификация, функционирование Платформы). Запросы в части данных, обрабатываемых по поручению Лицензиата (история активности в Программе лояльности), перенаправляются Лицензиату или обрабатываются Лицензиаром по согласованию с Лицензиатом. • Ответственность • Лицензиар несёт ответственность за нарушение условий настоящего Соглашения в части обработки персональных данных по поручению Лицензиата в пределах, предусмотренных Договором и законодательством Российской Федерации. • Лицензиат несёт ответственность за законность оснований обработки персональных данных (наличие согласия, соблюдение требований к его оформлению), а также за определение целей обработки. • В случае привлечения одной из сторон к ответственности перед регуляторами или субъектами персональных данных вследствие нарушения настоящего Соглашения другой стороной, виновная сторона обязана возместить убытки в порядке регресса. • Заключительные положения • Настоящее Соглашение является неотъемлемой частью Договора и вступает в силу с момента акцепта Договора. • Лицензиар вправе в одностороннем порядке изменять настоящее Соглашение в порядке, предусмотренном Договором для изменения его приложений. Лицензиат уведомляется об изменениях через Платформу. • Вопросы, не урегулированные настоящим Соглашением, регулируются Договором, Политикой конфиденциальности и законодательством Российской Федерации. • Настоящее Соглашение составлено в соответствии с требованиями ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».