KZ RU EN

Политика конфиденциальности

Последнее обновление: 8 марта 2026 г.

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок сбора, обработки, хранения, передачи и защиты персональных данных пользователей сервиса VenueCall, доступного по адресу https://venuecall.app (далее — «Сервис»).

1.2. Оператором персональных данных является ИП Абдрахманов, ИИН 990331300094, зарегистрированный в городе Алматы, Республика Казахстан (далее — «Оператор»).

1.3. Настоящая Политика разработана в соответствии с Законом Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года № 94-V (далее — «Закон»).

1.4. Используя Сервис, вы подтверждаете, что ознакомились с настоящей Политикой и даёте согласие на обработку ваших персональных данных на изложенных в ней условиях. Если вы не согласны с условиями Политики, вы не должны использовать Сервис.

1.5. Оператор вправе вносить изменения в настоящую Политику. Актуальная версия всегда доступна по адресу https://venuecall.app/privacy.

2. Понятия и термины

Персональные данные	Сведения, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе (ст. 1 Закона).
Обработка персональных данных	Действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.
Оператор	ИП Абдрахманов — лицо, осуществляющее сбор и обработку персональных данных.
Субъект персональных данных	Физическое лицо, к которому относятся персональные данные (владелец заведения, сотрудник, гость).
Сервис / VenueCall	SaaS-платформа для заведений общественного питания (ресторанов, кафе, баров), предоставляющая функции вызова официанта по QR-коду, бронирования, цифрового меню, программы лояльности, чата с персоналом и приёма заказов.
Заведение	Ресторан, кафе, бар или иное предприятие общественного питания, зарегистрированное в Сервисе.
Владелец заведения	Пользователь, зарегистрировавший заведение в Сервисе и управляющий им через административную панель.
Сотрудник (Staff)	Работник заведения, добавленный владельцем для работы с Сервисом (официант, администратор).
Гость	Посетитель заведения, взаимодействующий с Сервисом через QR-код (вызов официанта, просмотр меню, бронирование, оплата).
Третье лицо	Организация или сервис, которым Оператор передаёт данные для выполнения отдельных функций (платёжный провайдер, сервис аналитики и др.).

3. Какие данные мы собираем и зачем

3.1. Данные владельцев заведений

Тип данных	Цель сбора	Правовое основание	Срок хранения
Email	Регистрация, авторизация, уведомления о работе Сервиса	Согласие субъекта (п. 1 ст. 7 Закона), исполнение договора	До удаления аккаунта + 30 дней
Имя	Персонализация, отображение в интерфейсе	Согласие субъекта	До удаления аккаунта
Пароль (хэш bcrypt)	Аутентификация	Исполнение договора	До удаления аккаунта
Название заведения	Идентификация заведения в Сервисе, отображение гостям	Исполнение договора	До удаления аккаунта
Адрес заведения	Геолокация, отображение гостям	Исполнение договора	До удаления аккаунта
Логотип заведения	Брендирование гостевых страниц	Согласие субъекта	До удаления аккаунта

3.2. Данные сотрудников (Staff)

Тип данных	Цель сбора	Правовое основание	Срок хранения
Email	Авторизация, уведомления	Согласие субъекта, исполнение договора	До удаления аккаунта или отзыва доступа владельцем
Имя	Персонализация, отображение в интерфейсе	Согласие субъекта	До удаления аккаунта
Роль (owner / waiter)	Разграничение прав доступа в Сервисе	Исполнение договора	До удаления аккаунта
Пароль (хэш bcrypt)	Аутентификация	Исполнение договора	До удаления аккаунта

3.3. Данные гостей

Тип данных	Цель сбора	Правовое основание	Срок хранения
Номер телефона	Авторизация через OTP-код (WhatsApp)	Согласие субъекта	До 12 месяцев неактивности
Имя (опционально)	Персонализация, обращение в чате	Согласие субъекта	До 12 месяцев неактивности
История заказов	Повторные заказы, аналитика для заведения	Исполнение договора	До 12 месяцев неактивности
Баллы лояльности	Программа лояльности заведения	Исполнение договора	До 12 месяцев неактивности
История чатов	Коммуникация с персоналом заведения	Исполнение договора	90 дней с момента сообщения

3.4. Технические и аналитические данные

Тип данных	Цель сбора	Правовое основание	Срок хранения
Анонимные события (Amplitude)	Улучшение Сервиса, анализ использования (без PII)	Законный интерес Оператора	12 месяцев
Данные об ошибках (Sentry)	Диагностика и устранение технических сбоев (IP, user agent, stack trace)	Законный интерес Оператора	90 дней
Web Push подписка (VAPID)	Доставка push-уведомлений персоналу	Согласие субъекта	До отписки

3.5. Платёжные данные
Оператор не собирает и не хранит данные банковских карт. Обработка платежей осуществляется сертифицированным платёжным провайдером TipTopPayments (стандарт PCI DSS). Оператор получает от провайдера только подтверждение успешного платежа, идентификатор транзакции и сумму.

4. Способы сбора данных

4.1. Прямой сбор — данные, которые вы предоставляете самостоятельно:

при регистрации аккаунта (email, имя, пароль);
при настройке заведения (название, адрес, логотип);
при авторизации как гость (номер телефона);
при использовании чата, оформлении заказа или бронировании.

4.2. Автоматический сбор — данные, которые собираются при использовании Сервиса:

технические данные браузера (user agent, IP-адрес) — через Sentry при возникновении ошибок;
анонимные события взаимодействия (клики, переходы между страницами) — через Amplitude;
данные Web Push подписки (endpoint, ключи) — при разрешении push-уведомлений.

4.3. Сбор от третьих лиц — данные, поступающие от партнёрских сервисов:

подтверждения платежей от TipTopPayments;
статус доставки OTP-сообщений от WhatsApp Cloud API.

5. Обработка и хранение персональных данных

5.1. Персональные данные хранятся в базе данных PostgreSQL, размещённой на платформе Fly.io в регионе Нидерланды (Европейский Союз).

5.2. Меры обеспечения безопасности при хранении:

Пароли хэшируются алгоритмом bcrypt и не хранятся в открытом виде. Восстановление исходного пароля невозможно.
Передача данных между клиентом и сервером осуществляется исключительно по протоколу HTTPS (TLS 1.2+).
Сессии управляются посредством JWT-токенов со сроком действия 7 дней. Токены хранятся в httpOnly cookies, недоступных из JavaScript.
Кэширование чувствительных данных (блоклист токенов, сессии) осуществляется в Redis (Upstash) с шифрованием при передаче (TLS).
Резервное копирование базы данных выполняется автоматически средствами платформы Fly.io.

5.3. Доступ к базе данных и серверной инфраструктуре имеет только Оператор. Учётные данные хранятся в зашифрованном хранилище секретов Fly.io.

6. Передача данных третьим лицам

Оператор передаёт персональные данные третьим лицам исключительно в объёме, необходимом для оказания услуг, и на основании договорных отношений с данными лицами.

Третье лицо	Какие данные передаются	Цель передачи	Страна
TipTopPayments	Сумма платежа, идентификатор заказа (данные карты вводятся гостем на стороне TipTopPayments)	Обработка платежей	Казахстан
WhatsApp Cloud API (Meta)	Номер телефона гостя	Отправка OTP-кода для авторизации	США
Amplitude	Анонимные события (без PII): идентификатор сессии, тип действия, временная метка	Аналитика использования Сервиса	США
Sentry	IP-адрес, user agent, stack trace ошибки	Мониторинг и диагностика ошибок	США
Resend	Email-адрес получателя	Отправка транзакционных email-сообщений (подтверждение регистрации, уведомления)	США
Telegram Bot API	Идентификатор Telegram-чата заведения (без персональных данных гостей)	Отправка уведомлений о новых заказах и бронированиях владельцам заведений	ОАЭ / Великобритания
Fly.io, Inc.	Все серверные данные	Хостинг и хранение базы данных	Нидерланды (ЕС)
Upstash, Inc.	Блоклист токенов, кэш сессий	Кэш данных и блоклист токенов (Redis)	ЕС

Оператор не продаёт, не сдаёт в аренду и не передаёт персональные данные третьим лицам в коммерческих целях.

Оператор может раскрыть персональные данные по законному запросу уполномоченных государственных органов Республики Казахстан в порядке, предусмотренном законодательством.

7. Cookies и аналогичные технологии

7.1. Сервис использует следующие cookies:

Название	Тип	Назначение	Срок действия
Токен аутентификации (JWT)	Строго необходимый (httpOnly, Secure, SameSite)	Поддержание авторизованной сессии пользователя	7 дней
Язык интерфейса	Функциональный	Сохранение выбранного языка (RU / EN / KZ)	1 год

7.2. Сервис не использует рекламные или отслеживающие cookies.

7.3. Amplitude собирает анонимную аналитику через JavaScript SDK без использования сторонних cookies. Данные не содержат персонально идентифицируемой информации (PII).

7.4. Вы можете отключить cookies в настройках браузера, однако это может повлиять на работоспособность Сервиса (в частности, потребуется повторная авторизация при каждом визите).

8. Права субъекта персональных данных

В соответствии со статьёй 15 Закона Республики Казахстан «О персональных данных и их защите» вы имеете право:

8.1. Право на доступ — запросить информацию о том, какие ваши персональные данные обрабатываются Оператором, а также получить копию таких данных.

8.2. Право на изменение — потребовать исправления, дополнения или актуализации ваших персональных данных, если они являются неполными, устаревшими или неточными.

8.3. Право на удаление — потребовать уничтожения ваших персональных данных, если:

данные были получены незаконно;
данные более не соответствуют целям сбора и обработки;
вы отзываете согласие на обработку.

8.4. Право на отзыв согласия — в любой момент отозвать ранее данное согласие на обработку персональных данных. Отзыв согласия не влияет на законность обработки, осуществлявшейся до момента отзыва.

8.5. Право на ограничение обработки — потребовать прекращения обработки персональных данных (за исключением хранения) на время рассмотрения вашего запроса.

8.6. Порядок реализации прав:

Направьте запрос на адрес support@venuecall.app с темой «Персональные данные».
В запросе укажите ваши идентификационные данные (email или номер телефона, зарегистрированные в Сервисе) и суть обращения.
Оператор рассмотрит запрос в течение 15 (пятнадцати) рабочих дней с момента получения.
Удаление аккаунта и связанных данных также доступно через интерфейс Сервиса в разделе «Настройки».

9. Защита персональных данных

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ст. 21 Закона).

9.1. Технические меры:

шифрование передачи данных по протоколу HTTPS (TLS 1.2+);
хэширование паролей алгоритмом bcrypt;
аутентификация посредством JWT-токенов с ограниченным сроком действия (7 дней);
разграничение доступа на уровне ролей (owner, waiter, guest);
блоклист скомпрометированных токенов в Redis;
защита API от атак перебора (rate limiting);
httpOnly, Secure, SameSite атрибуты для cookies;
OTP-коды для гостевой авторизации с ограниченным сроком действия.

9.2. Организационные меры:

доступ к серверной инфраструктуре и базе данных ограничен Оператором;
учётные данные серверов хранятся в зашифрованном хранилище секретов (Fly.io Secrets);
регулярное обновление программного обеспечения и зависимостей;
мониторинг ошибок и инцидентов безопасности (Sentry).

10. Трансграничная передача данных

10.1. Серверы Сервиса расположены в Европейском Союзе (Нидерланды, Fly.io). Персональные данные хранятся на территории ЕС, где действует Общий регламент защиты данных (GDPR), обеспечивающий высокий уровень защиты персональных данных.

10.2. Ряд сервисов-партнёров (Amplitude, Sentry, Resend, WhatsApp Cloud API) расположены в США. Передача данных осуществляется в соответствии со статьёй 16 Закона на основании:

согласия субъекта персональных данных;
необходимости исполнения договора с субъектом;
наличия у принимающей стороны адекватных мер защиты (EU-US Data Privacy Framework, стандартные договорные положения).

10.3. Платёжный провайдер TipTopPayments обрабатывает данные на территории Республики Казахстан.

10.4. Telegram Bot API обрабатывает данные на серверах в ОАЭ и Великобритании. Через Telegram передаются только уведомления о событиях в заведении (новый заказ, бронирование) без персональных данных гостей.

11. Изменение Политики

11.1. Оператор вправе вносить изменения в настоящую Политику конфиденциальности в любое время без предварительного уведомления.

11.2. Актуальная версия Политики размещается по адресу https://venuecall.app/privacy с указанием даты последнего обновления.

11.3. В случае внесения существенных изменений, затрагивающих порядок обработки персональных данных, Оператор уведомит зарегистрированных пользователей по электронной почте не позднее чем за 10 (десять) рабочих дней до вступления изменений в силу.

11.4. Продолжая использовать Сервис после вступления изменений в силу, вы подтверждаете своё согласие с обновлённой Политикой.

12. Контактная информация

Если у вас возникли вопросы, предложения или претензии относительно обработки ваших персональных данных, свяжитесь с нами:

Оператор: ИП Абдрахманов
ИИН: 990331300094
Адрес: г. Алматы, Республика Казахстан
Email: support@venuecall.app
Веб-сайт: https://venuecall.app

Оператор обязуется рассмотреть обращение в течение 15 (пятнадцати) рабочих дней с момента получения.

Если Вы считаете, что Ваши права нарушены, Вы вправе обратиться с жалобой в уполномоченный орган — Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (https://www.gov.kz).