1. Введение
Настоящая Политика конфиденциальности (далее — «Политика») объясняет, как компания Lepta Payment Solutions Limited («Lepta», «мы», «нас» или «наш») собирает, использует, хранит и передаёт персональные данные в связи с мобильным приложением Event Donations (далее — «Приложение»). Приложение позволяет уполномоченным волонтёрам принимать пожертвования от имени назначенных юридических лиц с использованием технологии Tap-to-Pay.
Настоящая Политика распространяется на две категории лиц:
- Волонтёры: физические лица, уполномоченные юридическим лицом использовать Приложение для сбора пожертвований; и
- Жертвователи: физические лица, совершающие пожертвования через Приложение.
Обработка платежей осуществляется компанией Stripe, Inc. («Stripe»). Обработка ваших персональных данных компанией Stripe регулируется Политикой конфиденциальности Stripe, доступной по адресу stripe.com/privacy. Юридическое лицо, получающее ваше пожертвование, также может иметь собственную политику конфиденциальности, которая будет предоставлена вам в момент совершения пожертвования.
2. Кто несёт ответственность за ваши данные?
В зависимости от вида деятельности ответственность за ваши персональные данные несут разные стороны:
- Юридическое лицо (контролёр данных): Организация, получающая пожертвование, является контролёром данных в процессе обработки транзакций пожертвований, включая сбор и обработку персональных данных жертвователей в целях получения пожертвований и выдачи налоговых квитанций. Юридическое лицо даёт Lepta указания собирать и передавать эти данные от его имени.
- Lepta как обработчик данных: В рамках основного процесса транзакций пожертвований — включая сбор и передачу персональных данных жертвователей через Приложение, а также передачу записей о транзакциях в информационные системы юридического лица — Lepta действует как обработчик данных от имени юридического лица. Lepta обрабатывает эти данные исключительно согласно документально подтверждённым инструкциям юридического лица.
- Lepta как контролёр данных: Lepta определяет цели и средства обработки для ограниченного перечня внутренних видов деятельности: эксплуатация, безопасность и техническое обслуживание платформы Lepta (включая журналы сервера и реагирование на инциденты), управление учётными записями администраторов, выбор и управление собственными поставщиками услуг Lepta, а также соблюдение собственных правовых обязательств Lepta. Lepta не выступает контролёром данных в отношении мониторинга мошенничества, проверки по нормам противодействия отмыванию денег или аналитики данных нескольких юридических лиц.
- Stripe: Stripe обрабатывает данные платёжных карт и персональные данные жертвователей в качестве независимого поставщика платёжных услуг. Stripe не является субобработчиком Lepta. Роль и обязательства Stripe регулируются Политикой конфиденциальности Stripe и её соглашениями с Lepta. Stripe самостоятельно сертифицирована в рамках Рамочного соглашения о конфиденциальности данных ЕС–США.
- Google: Там, где Приложение использует Google Places API для автозаполнения адресов, Приложение отправляет частичный адресный запрос жертвователя и данные о местоположении устройства на сервер Lepta, который направляет запрос в Google. Google выступает субобработчиком Lepta в этих целях. Google, LLC самостоятельно сертифицирована в рамках Рамочного соглашения о конфиденциальности данных ЕС–США. Обработка данных компанией Google регулируется Политикой конфиденциальности Google.
3. Какие персональные данные мы собираем
3.1 Данные волонтёров
При входе в Приложение с кодом авторизации мы собираем:
- Ваше имя и фамилию
- Ваш адрес электронной почты
Эти данные хранятся в зашифрованном защищённом хранилище на вашем устройстве и удаляются при выходе из системы. Они также передаются в Stripe в связи с обработкой платежей.
Если вы загружаете Приложение, но не вводите код авторизации, никакие персональные данные о вас не собираются, не хранятся и не передаются Приложением или Lepta.
3.2 Данные жертвователей
Когда жертвователь совершает пожертвование через Приложение, в зависимости от конфигурации сессии могут быть собраны следующие данные:
- Адрес электронной почты (используется для доставки квитанций о пожертвовании)
- Имя и фамилия
- Почтовый адрес (улица, город, штат/провинция, почтовый индекс, страна) — собирается только в юрисдикциях, где это требуется по закону для выдачи налоговой квитанции
Эти данные жертвователя передаются непосредственно на серверы Stripe через Stripe API. Они не записываются в собственную базу данных Lepta или портал Приложения.
3.3 Данные платёжных карт
Данные платёжных карт (номер карты, срок действия, CVC) полностью обрабатываются Stripe SDK, интегрированным в Приложение. Lepta не имеет доступа к данным платёжных карт, не обрабатывает и не хранит их ни на каком этапе.
3.4 Данные о местоположении устройства
После ввода кода авторизации и начала процесса онбординга Tap-to-Pay Приложение запрашивает разрешение на доступ к точному местоположению вашего устройства. Это необходимо для двух целей:
- Требование Stripe Terminal SDK: Stripe требует подтверждения точного местоположения устройства, чтобы убедиться, что Tap-to-Pay используется в одобренной стране. Это обязательное предварительное условие Stripe Terminal SDK, без выполнения которого Приложение не может быть инициализировано или принимать платежи.
- Автозаполнение адресов: Приложение использует Google Places API для предоставления качественных результатов автозаполнения адресов, когда жертвователь вводит свой почтовый адрес. Данные о местоположении устройства используются для повышения релевантности этих предложений.
Данные о местоположении не хранятся Lepta на портале или в базе данных Приложения.
3.5 Данные, которые не собираются
Приложение не собирает, не использует и не передаёт:
- Рекламные идентификаторы (IDFA или GAID)
- Данные о сбоях, данные о производительности или диагностическую телеметрию (в Приложение не включены SDK для отчётности о сбоях или мониторинга производительности)
- Данные межприложечного или межсайтового отслеживания
- Биометрические данные (включая данные распознавания лиц)
Приложение использует локальную библиотеку ведения журналов для диагностики при разработке. В производственных сборках регистрируются только информационные сообщения, и эти журналы остаются на устройстве и никогда не передаются ни на какой сервер.
4. Как мы используем ваши персональные данные
| Цель | Используемые данные | Правовое основание (GDPR) | Хранение |
|---|---|---|---|
| Регистрация и аутентификация волонтёров | Имя волонтёра, электронная почта, код авторизации | Законный интерес (ст. 6(1)(f)) — необходимо для функционирования службы сбора пожертвований | На устройстве: до выхода из системы. |
| В Stripe: согласно Политике хранения Stripe | |||
| Обработка пожертвований | Имя жертвователя, электронная почта, данные платёжной карты (через Stripe SDK), сумма пожертвования | Исполнение договора (ст. 6(1)(b)) — необходимо для обработки транзакции пожертвования | Stripe: согласно Политике хранения Stripe. |
| Юридическое лицо: согласно его обязательствам по ведению финансовой документации | |||
| Выдача налоговых квитанций | Имя жертвователя, электронная почта, почтовый адрес | Правовое обязательство (ст. 6(1)(c)) — требуется национальным налоговым законодательством в указанных юрисдикциях | Юридическое лицо: согласно применимым требованиям к хранению налоговых документов |
| Выдача налоговых квитанций | Имя жертвователя, электронная почта, почтовый адрес | Правовое обязательство (ст. 6(1)(c)) — требуется национальным налоговым законодательством в указанных юрисдикциях | Юридическое лицо: согласно применимым требованиям к хранению налоговых документов |
| Проверка страны для Tap-to-Pay | Точное местоположение устройства | Законный интерес (ст. 6(1)(c),(f)) — необходимо для соблюдения требований Stripe Terminal SDK и правил платёжных сетей; а также для определения, используется ли устройство в одобренной стране | Не хранится |
| Автозаполнение адресов | Местоположение устройства | Законный интерес (ст. 6(1)(f)) — повышение точности ввода адреса для жертвователей | Не хранится |
| Работа сервера | IP-адреса, строки user-agent, параметры URL (стандартные журналы сервера) | Законный интерес (ст. 6(1)(f)) — безопасность и целостность системы | Временно; 60 дней |
| Религиозный контекст | Если юридическое лицо является религиозной ассоциацией, данные о пожертвовании могут в контексте раскрывать религиозные или философские убеждения жертвователя (ст. 9(1) GDPR) | Ст. 9(2)(d) — обработка осуществляется в ходе законной деятельности религиозной ассоциации с надлежащими гарантиями. Юридическое лицо гарантирует соответствие этому условию. | Согласно срокам хранения, указанным выше |
5. Согласие на получение квитанции и письма благодарности
Там, где Приложение предлагает жертвователям возможность получить квитанцию о пожертвовании или письмо благодарности, это основывается на свободно данном согласии жертвователя. Механизм получения согласия работает следующим образом:
- Согласие на участие представлено в виде отдельного, чётко обозначенного переключателя или флажка, отключённого по умолчанию.
- Само пожертвование не обусловлено наличием согласия — жертвователь может совершить пожертвование, не соглашаясь на получение квитанции или письма.
- Жертвователь информируется в момент дачи согласия о том, что его контактные данные (имя, электронная почта и, где применимо, почтовый адрес) будут переданы юридическому лицу, получающему пожертвование, с целью выдачи квитанции или письма.
- Согласие может быть отозвано в любое время путём обращения в Lepta или к юридическому лицу (см. Раздел 9 ниже).
6. Где хранятся ваши данные и кому они передаются
Lepta не ведёт собственную базу данных персональных данных жертвователей. Данные передаются следующим образом:
- На устройстве: Имя и электронная почта волонтёра хранятся в зашифрованном защищённом хранилище на устройстве и удаляются при выходе из системы.
- Stripe: Имя жертвователя, электронная почта, почтовый адрес (если собирается) и платёжные данные хранятся на серверах Stripe. Stripe является поставщиком платёжных услуг, сертифицированным по стандарту PCI DSS Level 1. Политика хранения данных, меры безопасности и практика конфиденциальности Stripe регулируются Политикой конфиденциальности Stripe (stripe.com/privacy). Stripe самостоятельно сертифицирована в рамках Рамочного соглашения о конфиденциальности данных ЕС–США.
- Юридическое лицо: Данные о транзакциях, необходимые для финансовой документации юридического лица, передаются из Stripe в информационную систему юридического лица. Это отражает существующий поток данных, используемый для donate.jw.org.
- Watchtower Bible and Tract Society of New York, Inc. («WTNY»): WTNY предоставляет более широкую ИТ-среду Lepta на основании Соглашения об ИТ-услугах, включая ERP-систему HuB, Microsoft 365/SharePoint Online (платформа клиентских ресурсов Lepta), облачные услуги Microsoft Azure, Microsoft Power BI, Microsoft Exchange (электронная почта), услуги резервного копирования и хостинг домена — все из США. WTNY выступает обработчиком и субобработчиком Lepta и обрабатывает персональные данные только согласно документально подтверждённым инструкциям Lepta. Дальнейшим субобработчиком WTNY для уровня Microsoft 365/SharePoint Online/Azure/Power BI/Exchange является Microsoft Ireland Operations Limited, которая в свою очередь опирается на Microsoft Corporation (США, сертифицирована по DPF) для предоставления услуг. WTNY сама не сертифицирована в рамках Рамочного соглашения о конфиденциальности данных ЕС–США; соответствующие гарантии для передачи данных Lepta–WTNY описаны в Разделе 7 ниже. Персональные данные жертвователей и волонтёров, переданные через Приложение, не передаются Lepta в WTNY: согласно потоку данных Приложения, данные жертвователей и волонтёров отправляются из Приложения на портал Lepta (размещённый на Amazon Web Services, Inc. в США) и оттуда в Stripe, которая является системой учёта.
- Amazon Web Services, Inc. (журналы сервера, США — субобработчик): Бэкенд Приложения размещён на Amazon Web Services, Inc. («AWS») в США (регион us-east-1). AWS самостоятельно сертифицирована в рамках Рамочного соглашения о конфиденциальности данных ЕС–США. Стандартные журналы запросов сервера могут временно содержать данные, такие как IP-адреса, строки user-agent и параметры URL. Эти журналы хранятся в течение 60 дней, после чего удаляются.
- Google (автозаполнение адресов): Когда жертвователь вводит почтовый адрес, Приложение использует Google Places API для предоставления подсказок автозаполнения. Обработка этих данных компанией Google регулируется Политикой конфиденциальности Google. Google, LLC самостоятельно сертифицирована в рамках Рамочного соглашения о конфиденциальности данных ЕС–США.
Портал Lepta (панель администратора) не хранит персональные данные жертвователей в собственной базе данных. Панель администратора отображает данные о платежах и пожертвованиях через интерфейс Stripe Embedded Payments, получая данные непосредственно из Stripe в режиме реального времени.
Единственные персональные данные, хранящиеся в собственной базе данных портала, — это учётные записи администраторов (имя, электронная почта, хэшированный пароль) для представителей юридических лиц, управляющих системой. Это не записи о жертвователях.
Полный список субобработчиков Lepta доступен по адресу lepta.io/resources.
7. Международная передача данных
Ваши персональные данные могут быть переданы и обработаны в странах за пределами вашей страны проживания, включая США. Там, где такая передача затрагивает персональные данные, поступающие из Европейской экономической зоны (ЕЭЗ), Соединённого Королевства или Швейцарии, приняты соответствующие гарантии. Полные сведения о механизмах передачи изложены в Дополнении Lepta о передаче данных, доступном по адресу leptapay.com/legal/dta. Ниже приведено краткое описание гарантий для каждой передачи.
- Stripe (США — независимый контролёр): Stripe самостоятельно сертифицирована в рамках Рамочного соглашения о конфиденциальности данных ЕС–США (DPF) и Расширения DPF для Великобритании. Решение Европейской комиссии об адекватности (Имплементирующее решение (ЕС) 2023/1795 от 10 июля 2023 года) применяется к передаче персональных данных в Stripe. Lepta отслеживает статус сертификации Stripe в DPF.
- WTNY (США — субобработчик): WTNY не сертифицирована в рамках Рамочного соглашения о конфиденциальности данных. Передача персональных данных от Lepta в WTNY защищена Стандартными договорными условиями ЕС (Модуль 2: Контролёр — Обработчик, когда Lepta выступает контролёром; Модуль 3: Обработчик — Обработчик, когда Lepta выступает обработчиком), одобренными Европейской комиссией и включёнными в Соглашение об ИТ-услугах между Lepta и WTNY. Стандартные договорные условия дополнены Дополнениями о дополнительных гарантиях, предусматривающими дополнительные меры, включая шифрование персональных данных при передаче и хранении, договорные обязательства по переадресации запросов, противодействию запросам на доступ государственных органов в рамках законодательства США о слежке и их оспариванию, уведомлению Lepta о любых обязательных юридических требованиях о предоставлении персональных данных (с учётом применимых правовых ограничений), а также по раскрытию минимального объёма персональных данных, необходимого для исполнения любого неизбежного предписания. Дальнейшим субобработчиком WTNY для услуг Microsoft 365/SharePoint Online/Azure/Power BI/Exchange является Microsoft Ireland Operations Limited (Ирландия), заключившая договор в рамках Microsoft Customer Agreement; Microsoft Ireland Operations Limited в свою очередь опирается на Microsoft Corporation (США, самостоятельно сертифицирована в рамках Рамочного соглашения о конфиденциальности данных ЕС–США), которая предоставляет базовые услуги из центров обработки данных Microsoft в США.
- Google (США — субобработчик): Google, LLC самостоятельно сертифицирована в рамках Рамочного соглашения о конфиденциальности данных ЕС–США. Решение об адекватности применяется к передаче данных в Google как сертифицированному по DPF субобработчику для Google Places API.
- AWS (США — субобработчик): Бэкенд Lepta размещён на AWS в США (регион us-east-1). AWS самостоятельно сертифицирована в рамках Рамочного соглашения о конфиденциальности данных ЕС–США. Решение об адекватности применяется к передаче данных в AWS как сертифицированному по DPF субобработчику.
- Передача данных на HuB-инстанцию юридического лица: Данные о транзакциях передаются из Stripe на инстанцию системы HuB юридического лица. Механизм передачи для этого этапа зависит от местонахождения каждого юридического лица и регулируется собственными договорённостями юридического лица об обработке данных.
Lepta зарегистрирована в Ирландии (ЕЭЗ) и сама не имеет права на сертификацию в рамках Рамочного соглашения о конфиденциальности данных, которое доступно только организациям, базирующимся в США. Lepta опирается на Стандартные договорные условия ЕС и дополнительные меры (для получателей из США, не сертифицированных по DPF) и решение об адекватности DPF (для получателей из США, сертифицированных по DPF) в качестве законных механизмов ограниченной передачи данных.
8. Хранение данных
Lepta хранит персональные данные только в течение времени, необходимого для целей, описанных в настоящей Политике конфиденциальности:
| Категория данных | Место хранения | Срок хранения |
|---|---|---|
| Имя и электронная почта волонтёра | Устройство (зашифровано) | До выхода из системы |
| Имя и электронная почта волонтёра | Stripe | Согласно Политике хранения Stripe |
| Имя жертвователя, электронная почта, адрес | Stripe | Согласно Политике хранения Stripe (хранится на протяжении действия услуг и сверх того — в течение срока, требуемого применимым законодательством) |
| Данные транзакций жертвователя | Юридическое лицо (HuB) | Согласно обязательствам юридического лица по ведению финансовой документации в соответствии с применимым законодательством |
| Данные платёжных карт | Stripe (исключительно) | Согласно политике хранения Stripe и требованиям PCI DSS |
| Местоположение устройства | Не хранится | Неприменимо — используется только в режиме реального времени |
| Журналы сервера (IP, user-agent) | AWS | 60 дней |
| Данные ИТ-среды Lepta (HuB ERP, Microsoft 365/SharePoint Client Resources, файлы/печать/электронная почта/резервное копирование) | WTNY (обработчик/субобработчик) | Согласно инструкциям Lepta по хранению и Разделу 9.3 Условий использования HuB, предусматривающему возврат данных Клиента в структурированном, общеупотребительном, машиночитаемом формате и помощь после расторжения договора не менее 90 дней. |
9. Ваши права
В зависимости от вашего местонахождения вы можете иметь следующие права в отношении ваших персональных данных:
- Право на доступ: Вы вправе запросить копию персональных данных, которые мы храним о вас.
- Право на исправление: Вы вправе запросить исправление неточных или неполных персональных данных.
- Право на удаление: Вы вправе запросить удаление ваших персональных данных с учётом любых правовых обязательств, требующих их хранения.
- Право на ограничение: Вы вправе запросить ограничение обработки ваших персональных данных в определённых обстоятельствах.
- Право на переносимость данных: Когда обработка основана на вашем согласии или исполнении договора, вы вправе получить ваши персональные данные в структурированном, общеупотребительном, машиночитаемом формате.
- Право на возражение: Когда обработка основана на законных интересах, вы вправе возразить против такой обработки. Мы прекратим обработку, если не сможем продемонстрировать убедительные законные основания.
- Право на отзыв согласия: Когда обработка основана на согласии (например, согласие на получение квитанции), вы можете отозвать своё согласие в любое время. Отзыв не влияет на законность обработки, осуществлённой до его отзыва.
Поскольку персональные данные жертвователей обрабатываются и хранятся компанией Stripe и, где применимо, юридическим лицом, получившим пожертвование, запросы на осуществление прав, таких как доступ, исправление, удаление или переносимость данных жертвователей, могут потребовать координации со Stripe и/или соответствующим юридическим лицом. Мы будем содействовать в обработке таких запросов.
Для данных волонтёров, хранящихся локально на вашем устройстве, вы можете удалить эти данные в любое время, выйдя из Приложения.
10. Данные детей
Приложение не предназначено для детей младше 16 лет. Мы не собираем осознанно персональные данные детей младше 16 лет без разрешения родителей, как требует Статья 8 Общего регламента о защите данных. Пожертвования, совершённые несовершеннолетними (лицами до 18 лет или до возраста совершеннолетия в их юрисдикции), могут быть возвращены по запросу родителя или опекуна путём обращения к юридическому лицу, получившему пожертвование. Родитель или опекун может осуществить права субъекта данных от имени ребёнка, обратившись в Lepta с использованием контактных данных, указанных в Разделе 12. Если вы полагаете, что ребёнок предоставил персональные данные через Приложение без надлежащего разрешения, пожалуйста, свяжитесь с нами, и мы примем меры по удалению таких данных.
11. Изменения настоящей Политики конфиденциальности
Мы можем время от времени обновлять настоящую Политику конфиденциальности. В случае существенных изменений мы уведомим вас через Приложение или иными подходящими способами до вступления изменений в силу. Дата «Последнего обновления» в начале настоящей Политики указывает на дату её последней редакции.
12. Свяжитесь с нами
Если у вас есть вопросы по настоящей Политике конфиденциальности, вы хотите осуществить свои права субъекта данных или подать жалобу, пожалуйста, обратитесь:
Lepta Payment Solutions Limited
Watch Tower House, Blackditch, Newcastle, Co. Wicklow, A63 RF61 Ireland
[email protected]
Сотрудник по защите данных / Контакт по вопросам конфиденциальности: Daniel Melinder
Ведущим надзорным органом Lepta является Комиссия по защите данных Ирландии.
Вы также вправе подать жалобу в надзорный орган государства — члена ЕС по месту вашего обычного проживания, места работы или места предполагаемого нарушения.