Политика конфиденциальности
платформы «Loyalka»
Приложение № 2 к Лицензионному договору-оферте
Редакция 1 от 14.05.2026 г.
Дата публикации: 14.05.2026
Вступает в силу: 14.05.2026
Общие положения
Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных, осуществляемой ОБЩЕСТВОМ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ВАУЛАБТЕХ" (ИНН 9731158367, ОГРН 1257700540602), именуемым в дальнейшем «Лицензиар» или «Loyalka», при использовании платформы Loyalka (далее — «Платформа»).
Политика распространяется на все персональные данные, обрабатываемые Лицензиаром в связи с функционированием Платформы, и применяется к следующим категориям субъектов: Конечные пользователи (участники Программ лояльности); Лицензиаты (владельцы Бизнес-аккаунтов); Сотрудники Лицензиатов.
Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 24.06.2025 № 156-ФЗ (в части требований к оформлению согласия), иными нормативными правовыми актами Российской Федерации в области персональных данных. Лицензиар подаёт уведомление в Роскомнадзор об обработке персональных данных в соответствии с ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ и включён в реестр операторов персональных данных.
При обработке персональных данных Лицензиар руководствуется следующими принципами: обработка осуществляется на законной и справедливой основе; обработка ограничивается достижением конкретных, заранее определённых и законных целей; не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях; обработке подлежат только те данные, которые отвечают целям обработки (принцип минимизации); содержание и объём обрабатываемых данных соответствуют заявленным целям; при обработке обеспечивается точность, достаточность и актуальность данных; хранение осуществляется не дольше, чем этого требуют цели обработки; данные подлежат уничтожению или обезличиванию по достижении целей обработки. Лицензиар не осуществляет обработку специальных категорий персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ). Лицензиар не осуществляет обработку биометрических персональных данных (ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ). Настоящая Политика является Приложением № 2 к Лицензионному договору-оферте и неотъемлемой частью Пользовательского соглашения для Конечных пользователей (Приложение № 5).
Используя Платформу, субъект персональных данных подтверждает ознакомление с настоящей Политикой. Ознакомление с Политикой не является согласием на обработку персональных данных; согласие предоставляется в порядке, предусмотренном разделом 7 настоящей Политики.
Категории субъектов и перечень данных
Лицензиар обрабатывает персональные данные следующих категорий субъектов:
Конечные пользователи
| Данные | Статус | Цель обработки |
|---|---|---|
| Номер телефона | Обязательный | Регистрация, аутентификация, SMS-уведомления |
| Имя | Обязательное | Идентификация в Платформе |
| Фамилия | Опциональная | Дополнительная идентификация |
| Город | Опциональный | Локализация и аналитика |
Лицензиаты (владельцы Бизнес-аккаунтов)
| Данные | Статус | Цель обработки |
|---|---|---|
| Имя владельца | Обязательное | Идентификация, коммуникация |
| Номер телефона | Обязательный | Регистрация, аутентификация |
| Название бизнеса | Обязательное | Отображение в Платформе |
| Опциональный | Уведомления, закрывающие документы | |
| Описание, адрес, город, фото, соцсети | Опциональные | Профиль бизнеса в Платформе |
Сотрудники Лицензиатов
| Данные | Статус | Цель обработки |
|---|---|---|
| Имя | Обязательное | Идентификация в Бизнес-аккаунте |
| Номер телефона | Обязательный | Регистрация, аутентификация |
| Фамилия | Опциональная | Дополнительная идентификация |
Помимо персональных данных, указанных в таблицах выше, Лицензиар автоматически собирает технические данные при использовании Платформы: IP-адрес; тип и версия браузера или операционной системы; идентификатор устройства (для мобильного приложения); дата, время и продолжительность доступа; адреса запрашиваемых страниц. Каждому Конечному пользователю автоматически присваивается уникальный код клиента (clientCode), используемый для идентификации при фиксациях участия. Код не содержит персональных данных, но позволяет Лицензиату идентифицировать Конечного пользователя в рамках Программы лояльности. Технические данные собираются в обезличенном виде и используются для обеспечения работоспособности, безопасности и аналитики Платформы. Для этих целей Лицензиар использует программное обеспечение, развёрнутое на собственной инфраструктуре (данные не передаются третьим лицам): Countly — продуктовая аналитика (идентификатор пользователя, идентификатор устройства, события, просмотры, включённые категории согласий); Sentry — мониторинг ошибок (технические данные; чувствительные персональные данные редактируются до отправки); Chatwoot — обработка обращений в службу поддержки (имя, телефон, город, идентификатор обращения, данные о тарифе). Контактные данные Сотрудников не раскрываются Конечным пользователям. Сотрудники получают доступ только к данным Бизнес-аккаунта своего Лицензиата.
Цели обработки персональных данных
Лицензиар обрабатывает персональные данные в следующих целях: аутентификация и идентификация субъектов в Платформе; обеспечение участия Конечных пользователей в Программах лояльности; аналитика поведения Конечных пользователей (в объёме, определённом Тарифом Лицензиата); направление сервисных уведомлений (о начислениях, изменениях условий, блокировках, удалении аккаунта); направление информационных и рекламных рассылок (при наличии отдельного согласия); исполнение Лицензионного договора-оферты (для Лицензиатов); выставление и обработка платежей (для Лицензиатов); обеспечение работы службы поддержки; автоматизированная модерация контента Лицензиатов (в том числе с применением технологий искусственного интеллекта); выполнение требований законодательства Российской Федерации.
В ходе обработки с персональными данными совершаются следующие действия (операции): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Обработка осуществляется с использованием средств автоматизации и без их использования. Лицензиар не обрабатывает персональные данные в целях, не указанных в настоящей Политике, без получения дополнительного согласия субъекта.
Правовые основания обработки
Обработка персональных данных Конечных пользователей осуществляется на основании согласия субъекта (п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ). Согласие оформляется отдельным документом (отдельный экран или форма в Платформе) в соответствии с требованиями Федерального закона от 24.06.2025 № 156-ФЗ.
Обработка персональных данных Лицензиатов осуществляется на основании исполнения договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 152-ФЗ), — Лицензионного договора-оферты.
Обработка персональных данных Сотрудников Лицензиатов осуществляется на основании п. 5 ч. 1 ст. 6 152-ФЗ — для обеспечения доступа к Бизнес-аккаунту Лицензиата в рамках исполнения договора между Лицензиаром и Лицензиатом. Лицензиат обеспечивает правомерность передачи персональных данных Сотрудников Лицензиару и несёт ответственность за получение необходимых согласий Сотрудников.
Обработка персональных данных в целях направления рекламных и информационных рассылок осуществляется на основании отдельного согласия субъекта, предоставляемого независимо от согласия на обработку персональных данных и от акцепта договорных документов, в соответствии со ст. 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе».
Оператор и обработчик персональных данных
Лицензиар является оператором персональных данных в части: аутентификации и идентификации всех субъектов в Платформе; функционирования Платформы (хранение, техническая обработка); направления сервисных уведомлений; ведения аналитики в обобщённом (обезличенном) виде.
Лицензиат является оператором персональных данных Конечных пользователей в рамках своей Программы лояльности (история активности, Баллы, Бонусы и связанные данные). Лицензиат самостоятельно обеспечивает получение согласия Конечных пользователей на обработку персональных данных до начала их участия в Программе лояльности с использованием инструментов, предоставляемых Платформой.
Лицензиар обрабатывает персональные данные Конечных пользователей по поручению Лицензиата (в качестве обработчика) на условиях Соглашения об обработке персональных данных (СОПД, Приложение № 3 к Лицензионному договору-оферте).
Лицензиат самостоятельно несёт обязанности оператора персональных данных, включая обязанность уведомления Роскомнадзора об обработке персональных данных Конечных пользователей.
Передача персональных данных третьим лицам
Номер телефона Конечного пользователя не передаётся Лицензиатам. Лицензиат получает доступ к: имени Конечного пользователя (и городу, если указан); уникальному коду клиента (clientCode); истории активности в рамках своей Программы лояльности (визиты, начисления, Бонусы).
Экспорт персональных данных Конечных пользователей Лицензиатом в сторонние системы допускается только при самостоятельном получении Лицензиатом конкретного и информированного согласия каждого соответствующего Конечного пользователя на такую передачу. Согласие должно содержать указание на получателя данных и цель передачи.
Лицензиар вправе привлекать субподрядчиков (третьих лиц) для обработки персональных данных в целях исполнения своих обязательств. Актуальный перечень субподрядчиков:
| Сервис | Цель | Данные |
|---|---|---|
| CloudPayments | Обработка платежей | Данные Лицензиатов |
| REDSMS | SMS-уведомления | Номера телефонов |
| Timeweb Cloud | Хранение данных | Все категории |
| Яндекс.Метрика | Улучшение работы сайта | Файлы куки |
Кроме того, Лицензиар использует следующие внешние сервисы: Yandex Cloud GPT (оператор — ООО «Яндекс.Облако») — автоматизированная модерация текстового контента Лицензиатов; персональные данные Конечных пользователей целенаправленно не передаются; обрабатывается текстовый контент Лицензиатов (описания Программ, наград), который может содержать косвенные персональные данные, внесённые Лицензиатом. Timeweb LLM — альтернативный сервис модерации контента (оператор — ООО «Таймвэб.Облако»); используется при включении в конфигурации Платформы; условия обработки аналогичны Yandex Cloud GPT. VK Pixel (оператор — ООО «ВКонтакте», ИНН 7842349892) — аналитика событий для пользователей, осуществляющих доступ через VK Mini App; передаются обезличенные идентификаторы и данные о событиях; используется только при доступе через платформу VK и при включённом пикселе. Обезличенные данные о посещениях Платформы передаются в сервис Яндекс.Метрика (оператор — ООО «Яндекс», ИНН 7736207543) для целей веб-аналитики. Данные обрабатываются ООО «Яндекс» в соответствии с его собственной политикой конфиденциальности. Перечень субподрядчиков может обновляться Лицензиаром. Актуальный перечень публикуется в настоящей Политике. При привлечении нового субподрядчика, обрабатывающего персональные данные, Лицензиар обеспечивает заключение с ним соглашения, предусматривающего обязательства по защите персональных данных. Лицензиар вправе раскрыть персональные данные по запросу уполномоченных государственных органов в случаях, предусмотренных законодательством Российской Федерации.
При передаче Бизнес-аккаунта Лицензиата другому лицу (смена оператора персональных данных) Лицензиар уведомляет Конечных пользователей через Платформу. Конечный пользователь вправе отказаться от участия в Программе лояльности нового оператора и удалить свои данные.
Согласие на обработку персональных данных и его отзыв
Согласие Конечного пользователя на обработку персональных данных оформляется отдельным документом (отдельный экран или форма в Платформе), содержащим: наименование оператора; перечень персональных данных, на обработку которых даётся согласие; перечень действий (операций) с персональными данными; цели обработки; срок действия согласия, в соответствии с Федеральным законом от 24.06.2025 № 156-ФЗ. Согласие предоставляется до начала использования Платформы. Согласие действует до момента его отзыва субъектом или до удаления аккаунта субъекта в Платформе. Без предоставления согласия использование Платформы невозможно.
Согласие на получение информационных и рекламных рассылок предоставляется отдельно от согласия на обработку персональных данных и отдельно от акцепта договорных документов.
Субъект персональных данных вправе отозвать согласие на обработку персональных данных в любое время, направив уведомление через настройки Платформы или по адресу: [email поддержки]. При отзыве согласия Конечным пользователем его аккаунт подлежит удалению в порядке, предусмотренном Пользовательским соглашением (раздел 12). При отзыве согласия Лицензиатом — в порядке расторжения Лицензионного договора-оферты (раздел 19).
Отзыв согласия не влияет на законность обработки, осуществлявшейся до отзыва. В случае отзыва согласия Лицензиар вправе продолжить обработку персональных данных при наличии иных оснований, предусмотренных пп. 2–11 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ (в частности, для целей бухгалтерского учёта, исполнения требований законодательства, защиты прав и законных интересов Лицензиара).
Сроки хранения персональных данных
При активном аккаунте (Бизнес-аккаунте или аккаунте Конечного пользователя): данные хранятся и обновляются в течение всего срока действия договора (Лицензионного договора-оферты или Пользовательского соглашения соответственно).
При просроченной оплате (PAST_DUE), ограничении (SUSPENDED) или отмене подписки (CANCELED): данные сохраняются до возобновления подписки, снятия ограничения или удаления Бизнес-аккаунта. При архивации бизнеса Лицензиатом: данные сохраняются в режиме только для чтения на весь срок действия Бизнес-аккаунта.
При удалении Бизнес-аккаунта (DELETED): финансовая история и данные для целей бухгалтерского учёта — 36 (тридцать шесть) месяцев; персональные данные Конечных пользователей — 6 (шесть) месяцев после перехода в статус удалённого или до реализации права на забвение (что наступит ранее). Основание хранения: обеспечение возможности реализации Конечными пользователями действующих Бонусов и восстановления Бизнес-аккаунта в порядке, предусмотренном Лицензионным договором-офертой; контент Лицензиата — удаляется в течение 30 (тридцати) дней.
При удалении аккаунта Конечным пользователем: персональные данные удаляются в течение 30 (тридцати) дней. Лицензиат уведомляется о выходе Конечного пользователя из Программы (без раскрытия причины).
Обезличенные статистические данные (количество визитов, начислений) могут сохраняться после удаления аккаунта в объёме, не позволяющем идентифицировать субъекта. Обезличивание осуществляется таким образом, что определение принадлежности данных конкретному субъекту без использования дополнительной информации невозможно (необратимое обезличивание). Уничтожение персональных данных осуществляется путём необратимого удаления из информационных систем Лицензиара. При уничтожении составляется акт уничтожения персональных данных.
Права субъектов персональных данных
Субъект персональных данных вправе: получить информацию об обработке своих персональных данных Лицензиаром (ст. 14 152-ФЗ); потребовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 14 152-ФЗ); отозвать согласие на обработку персональных данных (ст. 9 152-ФЗ); получить информацию о третьих лицах, которым переданы или могут быть переданы его персональные данные (ч. 7 ст. 14 152-ФЗ); обжаловать действия или бездействие Лицензиара в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
Для реализации своих прав субъект направляет обращение по адресу: [email поддержки] или через форму обратной связи в Платформе.
Срок рассмотрения обращения — 10 (десять) рабочих дней с момента получения. В случаях, предусмотренных ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ, Лицензиар вправе продлить срок рассмотрения до 30 (тридцати) календарных дней с направлением субъекту мотивированного ответа.
Безопасность персональных данных
Персональные данные хранятся на серверах, расположенных на территории Российской Федерации, в облачной инфраструктуре, сертифицированной в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ. Хостинг-провайдер: Timeweb Cloud.
Лицензиар принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
В случае инцидента безопасности (утечки, несанкционированного доступа): если инцидент произошёл на стороне Лицензиара — Лицензиар уведомляет Роскомнадзор в течение 24 (двадцати четырёх) часов с момента обнаружения инцидента и направляет результаты внутреннего расследования в течение 72 (семидесяти двух) часов. Лицензиар также уведомляет затронутых субъектов в разумный срок. Если инцидент произошёл на стороне Лицензиата — Лицензиат обязан уведомить Лицензиара в течение 24 (двадцати четырёх) часов и самостоятельно уведомить Роскомнадзор как оператор персональных данных.
Обработка данных несовершеннолетних
Регистрация в Платформе в качестве Конечного пользователя допускается для лиц, достигших [14/16] лет.
Лица, не достигшие 18 лет, регистрируются с согласия законного представителя (родителя, усыновителя, опекуна). При регистрации несовершеннолетнего Пользователя Платформа запрашивает подтверждение наличия такого согласия. Лицензиар вправе запросить документальное подтверждение.
Лицензиар не осуществляет целенаправленный сбор персональных данных лиц, не достигших установленного возрастного порога. При обнаружении данных такого лица без подтверждения согласия законного представителя аккаунт может быть заблокирован.
Хранение и трансграничная передача данных
Персональные данные хранятся и обрабатываются исключительно на территории Российской Федерации. Трансграничная передача персональных данных не осуществляется.
Файлы cookie и аналитика
При использовании веб-версии Платформы Лицензиар может использовать файлы cookie и аналогичные технологии. Файлы cookie подразделяются на следующие категории:
Необходимые (не могут быть отключены): обеспечивают аутентификацию, безопасность сессии и базовую функциональность Платформы.
Аналитические: используются для сбора обезличенной статистики посещений и использования Платформы. Лицензиар использует сервис Яндекс.Метрика (оператор — ООО «Яндекс», ИНН 7736207543). Данные обрабатываются в соответствии с политикой конфиденциальности ООО «Яндекс». Пользователь вправе отключить аналитические cookie через настройки браузера. Согласие на использование аналитических файлов cookie предоставляется отдельно от согласия на обработку персональных данных и от акцепта договорных документов.
При использовании мобильного приложения и VK Mini App Лицензиар собирает данные об использовании с помощью: Countly (развёрнут на собственной инфраструктуре) — идентификатор пользователя, идентификатор устройства, события, просмотры; VK Pixel (при доступе через VK Mini App и включённом пикселе) — обезличенные события аналитики, передаваемые ООО «ВКонтакте». Данные Countly не передаются третьим лицам. Данные VK Pixel обрабатываются ООО «ВКонтакте» в соответствии с его политикой конфиденциальности.
Изменение Политики
Лицензиар вправе в одностороннем порядке изменять настоящую Политику.
Актуальная редакция Политики размещается по адресу: https://loyalka.ru/legal/privacy-policy.
О существенных изменениях Политики Лицензиар уведомляет субъектов персональных данных посредством уведомления в Платформе не позднее чем за 10 (десять) календарных дней до вступления изменений в силу.
Продолжение использования Платформы после вступления изменений в силу означает согласие субъекта с новой редакцией Политики. Если изменения затрагивают цели обработки, перечень обрабатываемых данных или перечень действий с персональными данными, Лицензиар запрашивает у субъекта новое согласие на обработку персональных данных в порядке, предусмотренном разделом 7.
Контактная информация
По вопросам обработки персональных данных субъект вправе обратиться к Лицензиару:
Реквизиты Лицензиара
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ВАУЛАБТЕХ"
ИНН: 9731158367 | ОГРН: 1257700540602
Адрес: 121354, Г.МОСКВА, ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ МОЖАЙСКИЙ, УЛ КУБИНКА, Д. 18/2, КВ. 60
Ответственный за обработку персональных данных: Армизонов Владислав Александрович, генеральный директор
E-mail: support@loyalka.ru
Сайт: https://loyalka.ru