Политика конфиденциальности
и обработки персональных данных

1.1. Настоящая Политика определяет порядок обработки и защиты персональных данных, получаемых при использовании Сервиса «Orda Control» (далее — Сервис), доступного по адресу ordaops.kz и в виде клиентских приложений Operator Desktop и Kiosk для Windows.

1.2. Использование Сервиса означает выражение согласия пользователя с условиями настоящей Политики.

1.3. Если пользователь не согласен с условиями настоящей Политики, ему следует прекратить использование Сервиса.

Персональные данные — сведения, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Субъект персональных данных — физическое лицо, к которому относятся персональные данные: сотрудник, оператор, клиент клуба, посетитель сайта и т.п.

Собственник (оператор) персональных данных — лицо, определяющее цели и средства обработки персональных данных. В отношении сотрудников, операторов и клиентов клуба Заказчика собственником является сам Заказчик.

Уполномоченное лицо (обработчик) — лицо, осуществляющее обработку персональных данных по поручению собственника. В отношении персональных данных сотрудников, операторов и клиентов клуба Заказчика ТОО «Turanix» действует как уполномоченное лицо.

Обработка персональных данных — действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.

3.1. Оператором обработки персональных данных в Сервисе является Товарищество с ограниченной ответственностью «Turanix» (БИН 260540022744, адрес: Республика Казахстан, Восточно-Казахстанская область, г. Усть-Каменогорск, пр. Илияса Есенберлина, дом 20, кв. 272, индекс 070000).

3.2. Контакты для обращений по вопросам обработки персональных данных:

• email (общий): info@turanix.kz
• email (поддержка и запросы по персональным данным): support@turanix.kz
• телефон: +7 701 107 02 60

3.3. В отношении персональных данных сотрудников, операторов и клиентов клуба собственником (оператором) персональных данных является Заказчик, использующий Сервис. ТОО «Turanix» действует как уполномоченное лицо (обработчик) в рамках поручения, оформленного акцептом публичной оферты.

4.1. Данные учётной записи Заказчика и его сотрудников:

• email, пароль (в захешированном виде, без возможности восстановления оригинала);
• ФИО, краткое имя (отображаемое);
• номер мобильного телефона;
• должность, роль в организации (owner, manager, marketer, other);
• идентификатор чата в Telegram (telegram_chat_id) для получения уведомлений — указывается добровольно;
• фотография профиля (загружается добровольно);
• дата найма, история мест работы внутри Сервиса.

4.2. Данные операторов точек продаж: ФИО, краткое имя, телефон, email, фотография, должность, дата найма, telegram_chat_id, документы оператора и сроки их действия (трудовой договор, медицинская книжка, лицензии — на усмотрение Заказчика).

4.3. Данные клиентов клуба (CRM): имя, телефон, email, номер карты лояльности (штрихкод), бонусные баллы, история визитов и покупок, общая сумма покупок, заметки менеджера.

4.4. Финансовые и операционные данные бизнеса Заказчика: продажи, возвраты, долги, доходы, расходы (по категориям и поставщикам), зарплатные правила и выплаты, склад и остатки, чеки, отчёты смен, Z-отчёты, реестры товаров и категорий.

4.5. Технические данные: IP-адрес, тип браузера и устройства, идентификаторы сессий Supabase Auth, токены устройств Operator Desktop и Kiosk, журналы запросов и событий, журналы аудита (audit log).

4.6. Cookies и локальное хранилище: файлы cookies, данные localStorage (настройки оператора, отложенные чеки), очереди операций Operator Desktop. Подробнее — на странице /cookies.

4.7. Файлы: вложения чата команды, фотографии чеков, документы расходов и рекламных материалов, фотографии операторов — хранятся в Supabase Storage.

4.8. Сервис НЕ собирает: биометрические данные, специальные категории персональных данных (раса, политические убеждения, состояние здоровья, религиозные убеждения), реквизиты банковских карт пользователей, геолокацию в реальном времени.

Персональные данные обрабатываются для следующих целей:

• предоставление доступа к Сервису и идентификация пользователей;
• учёт смен, продаж, расходов, зарплат и иной операционной деятельности Заказчика;
• ведение программы лояльности клиентов клуба Заказчика;
• отправка отчётов и уведомлений через Telegram сотрудникам Заказчика;
• отправка системных email-сообщений (подтверждение регистрации, сброс пароля, заявки с лендинга);
• работа AI/OCR-функций (распознавание чеков, прогнозы, аналитика) — данные передаются обезличенно или в обезличиваемом виде поставщикам моделей;
• обеспечение безопасности Сервиса (журналы аудита, обнаружение аномалий);
• исполнение требований законодательства Республики Казахстан;
• улучшение Сервиса на основе обезличенной аналитики использования.

Обработка персональных данных осуществляется на следующих основаниях:

• согласие субъекта персональных данных, выраженное при регистрации в Сервисе и/или при предоставлении данных сотрудникам Заказчика;
• исполнение договора (публичной оферты), заключённого с Заказчиком;
• законные интересы Исполнителя (обеспечение безопасности Сервиса, противодействие мошенничеству);
• исполнение требований законодательства Республики Казахстан.

7.1. Персональные данные хранятся в защищённой управляемой базе данных PostgreSQL на инфраструктуре Supabase, файлы — в Supabase Storage. Передача данных между клиентом и сервером осуществляется по защищённому протоколу HTTPS/TLS.

7.2. Доступ к данным каждой организации Заказчика изолирован на уровне базы данных (Row Level Security) и проверяется на каждом запросе к API.

7.3. Operator Desktop хранит локально (на устройстве оператора): настройки интерфейса, отложенные чеки и очередь операций (продажи, долги, заявки на инвентарь, отчёты смен), которые ожидают синхронизации с сервером. После успешной синхронизации эти данные передаются на сервер и могут быть удалены локально.

7.4. Резервное копирование баз данных осуществляется средствами Supabase в соответствии с политикой провайдера. Дополнительная backup-логика на стороне Исполнителя в настоящее время не реализована.

7.5. Пароли пользователей хранятся в виде криптографических хешей и не могут быть восстановлены в исходном виде — только сброшены.

Для работы Сервиса ТОО «Turanix» привлекает следующих обработчиков:

Каждый обработчик связан собственными политиками обработки данных и соответствующими договорами.

9.1. Часть привлечённых обработчиков (Supabase, Vercel, OpenAI, Google, Telegram) располагает инфраструктурой за пределами Республики Казахстан, в том числе в США и странах Европейского Союза.

9.2. Регистрируясь в Сервисе и продолжая его использование, пользователь даёт согласие на трансграничную передачу своих персональных данных в указанные страны в объёме, необходимом для оказания услуг Сервиса.

9.3. Трансграничная передача осуществляется в соответствии с требованиями Закона Республики Казахстан «О персональных данных и их защите».

Сервис использует файлы cookies и аналогичные технологии для аутентификации, сохранения настроек пользователя и сбора обезличенной статистики посещений через Vercel Analytics. Подробный перечень cookies, их назначение и сроки хранения описаны на отдельной странице /cookies.

В соответствии с Законом РК «О персональных данных и их защите» субъект персональных данных имеет право:

• получать информацию об обработке своих персональных данных;
• требовать изменения и дополнения своих персональных данных при наличии оснований;
• требовать блокирования или уничтожения своих персональных данных, если они обрабатываются с нарушением требований законодательства;
• отозвать согласие на обработку персональных данных;
• обжаловать действия (бездействие) собственника или уполномоченного лица в уполномоченный государственный орган или в суд.

Для реализации указанных прав необходимо направить запрос на support@turanix.kz. Ответ предоставляется в срок не более 15 (пятнадцати) рабочих дней с момента получения запроса.

В отношении данных сотрудников, операторов и клиентов клуба Заказчика запросы рассматриваются совместно с Заказчиком как собственником этих данных.

Сервис не предназначен для прямого использования лицами, не достигшими 16 лет. Если Заказчик вносит в Сервис данные о несовершеннолетних клиентах клуба, Заказчик гарантирует наличие согласия их законных представителей в соответствии с законодательством Республики Казахстан.

13.1. Персональные данные хранятся в течение срока действия подписки Заказчика и не менее 30 (тридцати) календарных дней после её прекращения для предоставления Заказчику возможности выгрузки данных.

13.2. После истечения этого срока данные могут быть удалены или обезличены, за исключением данных, обязательных к хранению в силу требований законодательства (журналы аудита, налоговые документы).

13.3. Журналы технических событий и аудита хранятся в течение 12 (двенадцати) месяцев.

ТОО «Turanix» вправе в одностороннем порядке вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её публикации по адресу ordaops.kz/privacy. О существенных изменениях пользователи уведомляются не менее чем за 30 (тридцать) календарных дней.