Политика конфиденциальности и обработки персональных данных сервиса «Хапни»

Редакция от 23 мая 2026 года Дата вступления в силу: 27 мая 2026 года

1. Общие положения

1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») определяет порядок обработки и защиты персональных данных Пользователей сервиса «Хапни» (далее — «Сервис»).

1.2. Оператором персональных данных является Индивидуальный предприниматель Тазин Павел Сергеевич, ИНН 505010825035, ОГРНИП 326508100032845, адрес места нахождения: Россия, Москва, email: hello@korsalabs.ru, телефон: +7 963 723-65-02 (далее — «Оператор»).

1.3. Политика применяется к обработке персональных данных при использовании сайта hapny.ru, веб-интерфейса, Telegram-бота, мини-приложений, личных кабинетов клиентов, кабинетов партнерских кафе, кабинетов курьеров, а также при обращении в поддержку по email, в Telegram, через формы обратной связи и иные каналы Сервиса.

1.4. Политика распространяется на следующие категории субъектов персональных данных:

  • Клиенты;
  • представители и сотрудники Партнерских кафе;
  • Курьеры;
  • лица, обратившиеся в поддержку, оставившие отзыв или взаимодействующие с Оператором иными способами.

1.5. Оператор исходит из принципов законности, справедливости, минимизации данных, ограничения целей обработки, точности, актуальности и недопустимости избыточной обработки.

2. Кто является оператором данных по разным процессам

2.1. Оператор является самостоятельным оператором персональных данных в отношении тех данных, которые он обрабатывает для работы Сервиса, аккаунтов, маршрутизации Заказов, статусов, сопровождения коммуникаций, поддержки, доставки (если она выполняется Оператором), аналитики, безопасности и исполнения обязанностей по закону.

2.2. Партнерские кафе являются самостоятельными операторами персональных данных в отношении тех данных, которые они получают для исполнения Заказов, приготовления и выдачи Продукции, рассмотрения претензий по качеству, возвратов по денежным средствам, принятым ими, исполнения требований законодательства об общественном питании, защите прав потребителей, бухгалтерском и налоговом учете.

2.3. Банки, банки-эквайеры, платежные организации и иные Платежные провайдеры обрабатывают персональные данные и платежную информацию в пределах своей роли в платежной операции и в соответствии со своими правовыми обязанностями, договорами и политиками.

2.4. Если Оператор привлекает третьих лиц для обработки персональных данных по поручению, такая обработка осуществляется на основании договора и только в объеме, необходимом для достижения законных целей обработки.

3. Какие данные мы обрабатываем

3.1. Данные Клиентов, которые могут обрабатываться Оператором:

  • фамилия, имя, отчество (если предоставлены);
  • номер телефона;
  • адрес электронной почты;
  • Telegram ID/username, если Заказ или общение происходят через Telegram;
  • данные аккаунта, логин, история входов, настройки профиля;
  • данные о Заказах: состав, комментарии, стоимость, способ получения, адрес доставки, статус, время оформления, Код выдачи, история Заказов, обращения по Заказу;
  • данные о платежах: платежный статус, маскированные реквизиты, токены оплаты, идентификаторы транзакций, сведения о возвратах и отменах;
  • данные о геолокации, если Пользователь разрешил их использование либо если они необходимы для показа ближайших точек, построения маршрута, доставки или расчета зоны обслуживания;
  • устройства и технические данные: IP-адрес, user agent, тип устройства, ОС, версия приложения/браузера, cookie, local storage, дата и время доступа, технические логи, referrer, crash logs, diagnostics;
  • отзывы, оценки, фотографии, переписка с поддержкой;
  • QR-логи, включая дату и время сканирования, адрес QR, целевую ссылку, user agent, referrer, а также хэш IP-адреса, если такой функционал используется.

3.2. Данные представителей и сотрудников Партнерских кафе, которые могут обрабатываться Оператором:

  • ФИО, должность, наименование организации/ИП;
  • номер телефона, email, служебные контакты;
  • логин и данные доступа к кабинету;
  • действия в интерфейсе кабинета, настройки меню, цены, статусы, журнал операций;
  • реквизиты и сведения, необходимые для подключения и сопровождения Партнерского кафе.

3.3. Данные Курьеров, которые могут обрабатываться Оператором:

  • ФИО, номер телефона, email;
  • логин и данные доступа;
  • сведения о налоговом статусе, ИНН, статусе самозанятого/ИП, если применимо;
  • данные о транспортном средстве, если применимо;
  • геолокация во время выполнения доставок;
  • данные о назначенных доставках, статусах, времени, подтверждении вручения, обращениях поддержки.

3.4. Оператор не получает и не хранит полный номер банковской карты, CVC/CVV, PIN-код и иные полные платежные реквизиты, если иное не следует из используемого платежного решения и закона. Как правило, такие данные обрабатываются Банком-эквайером/Платежным провайдером.

4. Правовые основания и цели обработки

4.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:

  • согласие субъекта персональных данных;
  • необходимость обработки для заключения и исполнения договора, стороной которого является субъект персональных данных;
  • необходимость исполнения обязанностей, возложенных на Оператора законодательством Российской Федерации;
  • необходимость защиты прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • иные основания, прямо предусмотренные законодательством Российской Федерации.

4.2. Цели обработки данных Клиентов:

  • регистрация, авторизация и управление аккаунтом;
  • оформление, подтверждение, сопровождение, выдача, самовывоз и доставка Заказа;
  • отображение меню, статусов, истории Заказов, кодов выдачи и иной информации по Заказу;
  • прием, маршрутизация и сопровождение платежей, возвратов, отмен, сверка статусов;
  • коммуникация с Клиентом по вопросам Заказа, поддержки, безопасности, изменений в Сервисе;
  • предотвращение мошенничества, злоупотреблений и несанкционированного доступа;
  • ведение логов, аудит работы Сервиса, устранение ошибок, обеспечение стабильности и безопасности;
  • рассмотрение претензий, судебная и досудебная защита прав;
  • направление маркетинговых сообщений и персонализированных предложений только при наличии отдельного надлежащего согласия;
  • учет согласий, отказов, обращений субъектов персональных данных.

4.3. Цели обработки данных Партнерских кафе:

  • подключение к Сервису;
  • предоставление доступа к кабинетам и ролям;
  • сопровождение договорных отношений;
  • обеспечение работы меню, доски заказов, аналитики, коммуникаций, отчетов;
  • обеспечение безопасности и аудита действий в кабинете;
  • исполнение требований закона.

4.4. Цели обработки данных Курьеров:

  • предоставление доступа к курьерскому функционалу;
  • распределение доставок;
  • отображение маршрутов, адресов, контактов получателя в объеме, необходимом для доставки;
  • подтверждение исполнения доставки;
  • безопасность, логирование, разрешение инцидентов и споров.

5. С кем мы делимся данными

5.1. Оператор может передавать данные Клиента соответствующему Партнерскому кафе в объеме, необходимом для исполнения Заказа, включая:

  • имя/имя и инициал;
  • номер телефона;
  • состав Заказа;
  • комментарии к Заказу;
  • способ получения;
  • адрес доставки, если применимо;
  • платежный статус;
  • сведения, необходимые для возврата, разрешения спора и исполнения обязанностей по закону.

5.2. Если доставка доступна, Оператор может передавать Курьеру или исполнителю доставки только тот объем данных, который необходим для доставки, включая:

  • имя Клиента;
  • номер телефона;
  • адрес доставки;
  • номер/статус Заказа;
  • служебные комментарии, необходимые для вручения.

5.3. Оператор может передавать данные Банкам-эквайерам, Платежным провайдерам, банкам-эмитентам, платежным системам и иным участникам расчетов в объеме, необходимом для приема оплаты, возврата денежных средств, антифрод-проверок и исполнения требований закона.

5.4. Оператор может передавать персональные данные государственным органам, судам, правоохранительным органам и иным компетентным лицам в случаях и в объеме, предусмотренных законодательством Российской Федерации.

5.5. Партнерским кафе и Курьерам запрещается использовать данные Клиента для самостоятельных маркетинговых коммуникаций, если у них нет отдельного собственного правового основания и они не раскрыли субъекту соответствующую информацию как самостоятельные операторы.

6. Сроки хранения данных

6.1. Данные аккаунта Клиента хранятся в течение срока использования аккаунта, а после прекращения использования — в течение периода, необходимого для исполнения закона, защиты прав и законных интересов Оператора и разрешения возможных споров, но, как правило, не более 3 (трех) лет с даты последней активности, если иной срок не требуется законом или договором.

6.2. История Заказов, статусы платежей, обращения по качеству и возвратам хранятся, как правило, в течение 3 (трех) лет с даты исполнения или отмены Заказа, если более длительный срок не требуется законом или разрешением спора.

6.3. Технические логи, события безопасности, device data и журналы ошибок хранятся, как правило, до 12 (двенадцати) месяцев, если они не требуются для расследования инцидента или разрешения спора.

6.4. Точные данные геолокации для выполнения активного Заказа или доставки хранятся только на период, необходимый для исполнения соответствующего Заказа, а после этого удаляются либо обезличиваются в разумный срок, если их дальнейшее хранение не требуется для разбора претензии, инцидента или исполнения закона.

6.5. Данные, связанные с согласием на рассылки, cookie-согласиями и отзывом согласий, могут храниться в течение срока действия соответствующего согласия и дополнительно в течение срока исковой давности/срока, необходимого для подтверждения факта получения или отзыва согласия.

6.6. Токены оплаты хранятся до момента отвязки способа оплаты Пользователем, прекращения соответствующего функционала или истечения срока действия токена у Платежного провайдера, если иное не требуется законом или правилами платежной инфраструктуры.

6.7. При достижении цели обработки, отзыве согласия или получении требования о прекращении обработки данные подлежат уничтожению, обезличиванию или блокированию в сроки и в порядке, предусмотренных законодательством Российской Федерации, если у Оператора отсутствуют иные законные основания продолжать обработку.

7. Локализация и трансграничная передача

7.1. При сборе персональных данных граждан Российской Федерации Оператор обеспечивает их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории Российской Федерации.

7.2. По умолчанию Оператор не осуществляет трансграничную передачу персональных данных, если это не требуется выбранной Пользователем функцией, не предусмотрено отдельным интерфейсом, отдельным согласием или законом.

7.3. Если Оператор примет решение о запуске функционала, требующего трансграничной передачи персональных данных, он до начала такой передачи выполнит требования законодательства Российской Федерации, включая, если применимо, направление уведомления о намерении осуществлять трансграничную передачу персональных данных в Роскомнадзор и обновление настоящей Политики.

7.4. Пользователь понимает, что при переходе по внешним ссылкам или использовании встроенных внешних элементов на лендинге или в интерфейсе (например, Telegram, Яндекс Карты, внешние шрифты, иные встроенные сервисы) соответствующий внешний ресурс может самостоятельно получать технические данные устройства и браузера Пользователя по собственным правилам. В такой части такой внешний владелец ресурса может выступать самостоятельным оператором.

8. Меры защиты персональных данных

8.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, предоставления и иных неправомерных действий.

8.2. К таким мерам могут относиться:

  • разграничение прав доступа;
  • аутентификация и контроль ролей в кабинетах;
  • ведение журналов доступа и действий;
  • шифрование каналов передачи данных (TLS/HTTPS);
  • использование токенизации и маскирования платежных данных;
  • резервное копирование;
  • защита от вредоносного ПО и сетевых атак;
  • внутренние регламенты и обучение лиц, работающих с данными;
  • контроль подрядчиков и партнеров;
  • минимизация данных и ограничение сроков хранения;
  • хэширование и иные методы псевдонимизации для отдельных технических событий, где это допустимо.

8.3. Несмотря на принимаемые меры, ни одна система передачи или хранения данных не может гарантировать абсолютную защищенность, поэтому Оператор не может гарантировать полное отсутствие рисков, но обязуется действовать добросовестно, разумно и своевременно реагировать на инциденты.

9. Права субъектов персональных данных

9.1. Субъект персональных данных вправе:

  • получать подтверждение факта обработки его данных;
  • получать сведения о правовых основаниях, целях, составе данных, сроках хранения, лицах, которым данные раскрываются, и иных сведениях, предусмотренных законом;
  • требовать уточнения, блокирования или уничтожения данных, если они неполные, устаревшие, неточные, незаконно полученные или не нужны для заявленной цели;
  • требовать прекращения обработки в случаях, предусмотренных законом;
  • отозвать согласие на обработку данных, если обработка основана на согласии;
  • отказаться от получения маркетинговых сообщений;
  • возражать против решений, основанных исключительно на автоматизированной обработке, в случаях, предусмотренных законом;
  • обжаловать действия или бездействие Оператора в Роскомнадзор или суд;
  • по запросу и при наличии технической возможности получить копию своих основных данных и/или экспорт истории в машиночитаемом формате. Такое предоставление рассматривается Оператором как дополнительная сервисная возможность и не ограничивает объем иных прав субъекта по закону.

9.2. Для реализации своих прав субъект может направить запрос на email: hello@korsalabs.ru с темой письма «Персональные данные». Оператор вправе запросить сведения, необходимые для идентификации заявителя и подтверждения факта обработки данных.

9.3. Оператор рассматривает запросы субъектов в сроки, установленные законодательством Российской Федерации. По общему правилу:

  • сведения о факте и параметрах обработки предоставляются в течение 10 рабочих дней, с возможным продлением не более чем на 5 рабочих дней в предусмотренных законом случаях;
  • уточнение данных производится в течение 7 рабочих дней после подтверждения их неточности;
  • прекращение обработки по соответствующему требованию осуществляется в течение 10 рабочих дней с возможным продлением не более чем на 5 рабочих дней в случаях, предусмотренных законом;
  • уничтожение данных после отзыва согласия или достижения цели обработки производится, как правило, в срок до 30 дней, если Оператор не обязан продолжить обработку по иному законному основанию.

10. Автоматизированная обработка и решения

10.1. Оператор может использовать автоматизированную обработку персональных данных для технического функционирования Сервиса, в том числе для:

  • маршрутизации Заказов;
  • расчета примерного времени готовности или доставки;
  • показа ближайших точек;
  • антифрод-проверок;
  • выявления аномальной активности;
  • сортировки и назначения задач Курьерам.

10.2. Оператор не принимает на основании исключительно автоматизированной обработки персональных данных решения, порождающие юридические последствия для субъекта или иным образом затрагивающие его права и законные интересы, если иное прямо не предусмотрено законом или отдельным надлежащим согласием субъекта.

10.3. Если Пользователь считает, что автоматическая логика Сервиса существенно затронула его права, он вправе обратиться к Оператору за разъяснением и пересмотром ситуации человеком.

11. Маркетинговые коммуникации

11.1. Транзакционные и сервисные сообщения, необходимые для исполнения Заказа, обеспечения безопасности, подтверждения действий Пользователя, информирования о статусе Заказа, изменениях в Сервисе, возвратах или правовых уведомлениях, могут направляться без отдельного маркетингового согласия в пределах, необходимых для исполнения договора и/или требований закона.

11.2. Рекламные, промо- и маркетинговые сообщения по email, SMS, push, телефону, Telegram и иным средствам связи направляются только при наличии отдельного предварительного согласия, если иное прямо не допускается законом.

11.3. Пользователь вправе в любой момент отказаться от получения маркетинговых сообщений через настройки аккаунта, ссылку «отписаться», команду в Telegram, обращение в поддержку или иным доступным способом.

12. Cookie, similar technologies и управление согласием

12.1. Сервис может использовать cookie, local storage, SDK-идентификаторы, пиксели, веб-маяки и иные сходные технологии для обеспечения работы сайта и интерфейсов.

12.2. По умолчанию Оператор использует только те технологии хранения, которые необходимы для работы Сервиса, безопасности, авторизации и сохранения базовых пользовательских настроек. Аналитические и маркетинговые cookie включаются только после получения согласия Пользователя, если соответствующий функционал используется.

12.3. Пользователь может в любой момент изменить выбор cookie через баннер/панель настройки cookie, настройки браузера либо инструменты, встроенные в интерфейс Сервиса.

Ниже приводится сводная таблица cookie и сходных технологий, которую можно публиковать как часть Политики или вынести в отдельную cookie page.

Категория Для чего используется Правовое основание Примерный срок хранения Кто может получать доступ Можно ли отключить
Строго необходимые Авторизация, безопасность, защита от CSRF, сохранение сессии, корректная работа корзины и оформления Заказа Исполнение договора / законный интерес в обеспечении безопасности и работоспособности От сессии до 12 месяцев Оператор; при необходимости — подрядчики, обеспечивающие техработоспособность Нет, иначе Сервис может не работать
Функциональные Запоминание языка, города, предпочтений интерфейса, последней выбранной точки, настроек доступности Исполнение договора или согласие, если технология не является строго необходимой До 12 месяцев Оператор Да
Аналитические Анонимизированная или псевдонимизированная статистика посещений, оценка производительности, улучшение UX Согласие Пользователя Обычно до 24 месяцев Оператор и подключенный аналитический провайдер, если он используется Да
Маркетинговые Персонализация промо, оценка эффективности рекламных кампаний, ретаргетинг Отдельное согласие Пользователя Обычно до 24 месяцев Оператор и соответствующий рекламный партнер, если такой функционал включен Да
Встроенные сторонние элементы Корректная работа внешних кнопок/виджетов/карт/внешних шрифтов/встроенных сервисов Действие Пользователя и/или согласие, в зависимости от конкретной интеграции Определяется владельцем внешнего сервиса Соответствующий внешний сервис как самостоятельный оператор Обычно да, через настройки cookie/браузера и отказ от использования встроенного элемента

12.4. При отказе от аналитических и маркетинговых cookie отдельные функции персонализации могут быть недоступны, но базовый функционал Сервиса должен сохраняться, за исключением случаев, когда конкретная технология объективно необходима для его работы.

13. Действия при инцидентах и уведомление об утечках

13.1. Если Оператор установит факт неправомерной или случайной передачи, предоставления, распространения или доступа к персональным данным, повлекший нарушение прав субъектов персональных данных, Оператор действует в соответствии с законодательством Российской Федерации, включая уведомление уполномоченного органа в установленные сроки.

13.2. При наличии правовых оснований и технической возможности Оператор может уведомить затронутых субъектов персональных данных об инциденте, если такой инцидент способен существенно затронуть их права и законные интересы.

13.3. Оператор ведет внутренний учет инцидентов, принимает меры по локализации, расследованию, устранению последствий и предотвращению повторения аналогичных инцидентов.

14. Контакты по вопросам персональных данных

14.1. По вопросам обработки персональных данных, реализации прав субъекта, отзыва согласия, удаления данных, исправления неточностей, прекращения рассылок и иным вопросам конфиденциальности можно обращаться:

Индивидуальный предприниматель Тазин Павел Сергеевич
ИНН: 505010825035
ОГРНИП: 326508100032845
Адрес: Россия, Москва
Email: hello@korsalabs.ru
Телефон: +7 963 723-65-02
Telegram: @hapnycoffee
Ответственный контакт по вопросам персональных данных: hello@korsalabs.ru
Режим работы: по обращениям через email и Telegram.

15. Изменение Политики

15.1. Оператор вправе изменять настоящую Политику в одностороннем порядке в связи с изменениями законодательства, развитием функционала Сервиса, изменением состава участников обработки данных, запуском новых интерфейсов и интеграций либо по иным разумным основаниям.

15.2. Актуальная редакция Политики публикуется в Сервисе и/или на сайте hapny.ru. Если иное не указано в новой редакции, изменения вступают в силу с момента публикации.

15.3. При существенных изменениях, затрагивающих права субъектов персональных данных, Оператор стремится уведомить Пользователей дополнительно через интерфейс Сервиса, email, Telegram или иной доступный канал.

Вернуться на главную