Политика конфиденциальности SmartKartica

Версия: 3.0
Дата вступления в силу: 5 апреля 2026 года
Дата последнего обновления: 5 апреля 2026 года

Настоящая Политика конфиденциальности регулирует порядок сбора, использования, хранения, передачи, раскрытия, защиты и иной обработки персональных данных при использовании SmartKartica, включая сайт https://smartkartica.rs/, связанные поддомены, кабинет администратора, публичные регистрационные формы, API, средства выпуска и доставки цифровых карт, сценарии Apple Wallet и Google Wallet, платежные и биллинговые функции, модули коммуникаций, технической поддержки, интеграций, чековых и кассовых процессов, а также иные компоненты платформы.

Мы исходим из того, что защита персональных данных является частью архитектуры сервиса. Обработка данных осуществляется на основе принципов законности, добросовестности, прозрачности, ограничения цели, минимизации данных, точности, ограничения сроков хранения, конфиденциальности, целостности и подотчетности. В той мере, в какой к конкретной операции применим Регламент (ЕС) 2016/679 (GDPR), мы учитываем требования GDPR. В отношении операций, подпадающих под право Республики Сербия, мы учитываем Закон о защите данных о личности Республики Сербия и иные применимые нормы.

1. Оператор персональных данных и контактные данные

Оператором персональных данных в рамках собственной деятельности SmartKartica является VMTech d.o.o. Beograd.

• Полное наименование: VMTech d.o.o. Beograd
• Регистрационный номер (Matični broj): 22069152
• Налоговый номер (PIB): 114779614
• Юридический адрес: Topalovićeva 4, Zvezdara, 11050 Belgrade, Serbia
• Контактный e-mail: support@smartkartica.rs
• Телефон: +381 61 680 7039
• Сайт: https://smartkartica.rs/

2. Сфера действия Политики

Настоящая Политика применяется к посетителям сайта, потенциальным клиентам, зарегистрированным пользователям панели SmartKartica, представителям компаний-клиентов, конечным пользователям цифровых карт, лицам, проходящим публичную регистрацию и верификацию, а также к лицам, чьи данные поступают через API, webhook, биллинг, wallet-сценарии, чековые и иные интеграционные контуры.

3. Когда VMTech является оператором, а когда обработчиком

3.1. VMTech является оператором в отношении тех данных и процессов, по которым именно VMTech определяет цели и существенные средства обработки. К таким случаям относятся, в частности: работа сайта и публичных страниц; регистрация и сопровождение аккаунтов пользователей сервиса; биллинг, выставление счетов, рекуррентные платежи, финансовый и налоговый учет; обработка обращений в поддержку; обеспечение информационной безопасности; аудит, журналы действий, расследование инцидентов и споров; соблюдение обязательных требований закона; доказательство принятия юридических документов; защита прав и законных интересов VMTech.

3.2. Компании-клиенты SmartKartica обычно являются самостоятельными операторами в отношении персональных данных своих конечных клиентов, участников программ лояльности, покупателей, держателей цифровых карт и иных end users, поскольку именно они определяют цели программы, правила начислений и списаний, набор собираемых данных, бизнес-логику, содержание коммуникаций, состав шаблонов, критерии сегментации, тексты уведомлений, условия участия и иные ключевые параметры обработки.

3.3. В отношении таких end-user данных VMTech, как правило, действует как обработчик и обрабатывает данные по поручению и в интересах соответствующего клиента, предоставляя инфраструктуру, интерфейсы, API, доставку pass-контента, wallet-интеграции, биллинговые и служебные функции. При этом клиент обязан самостоятельно обеспечить правовое основание, надлежащие уведомления о конфиденциальности, правомерность загрузки данных, законность отправки сообщений и соблюдение применимых норм.

3.4. Даже если VMTech выступает как обработчик для клиентских end-user данных, VMTech может быть самостоятельным оператором ограниченного объема данных и отдельных операций, если такая обработка необходима для сетевой и информационной безопасности, противодействия мошенничеству и злоупотреблениям, обеспечения работоспособности платформы, резервного копирования, журналирования, расследования инцидентов, исполнения требований закона, соблюдения налогового, бухгалтерского, платежного или доказательственного режима, защиты прав VMTech, третьих лиц или иных легитимных интересов.

4. Какие данные могут обрабатываться

4.1. Контактные и идентификационные данные. Это могут быть имя, фамилия, e-mail, номер телефона, наименование компании, должность, роль пользователя, биллинговые и служебные контактные данные, а также иная информация, которую пользователь добровольно предоставляет при регистрации, заказе сервиса, обращении в поддержку или использовании функциональности платформы.

4.2. Данные учетной записи и безопасности. Мы можем обрабатывать адрес электронной почты, пароль в хешированном виде, сведения о подтверждении e-mail, токены подтверждения, токены сброса пароля, данные о двухфакторной аутентификации и резервных кодах, сведения о попытках входа, блокировках, ролях доступа, языковых настройках интерфейса, статусе аккаунта, company ID, user ID, request ID и иные связанные технические данные.

4.3. Данные публичной регистрации и onboarding. В рамках публичных форм регистрации и присоединения к программам лояльности могут обрабатываться имя, e-mail, номер телефона, выбранный язык, данные верификационных сессий, хеши кодов подтверждения, tracking ID внешнего SMS-провайдера, количество попыток, IP-адрес, user-agent, CAPTCHA-токены, idempotency-ключи и иные данные, необходимые для выпуска карты и защиты от спама и злоупотреблений.

4.4. Данные компаний-клиентов и их представителей. Это могут быть сведения о компании, тарифе, плане подписки, валюте, статусе подписки, налоговых и регистрационных данных, реквизитах для выставления счетов, биллинговом адресе, разрешениях, настройках аккаунта, настройках локализации, API-ключах, ограничениях по IP и иных параметрах использования сервиса.

4.5. Данные конечных клиентов компаний-клиентов. В зависимости от конфигурации конкретного проекта и инструкций клиента в систему могут передаваться или создаваться имя, фамилия, e-mail, телефон, статус клиента, параметры программы лояльности, значения кастомных полей, метаданные профиля, история участия в программе, история начислений, скидок, cashback, уровней, QR/штрих-кодных атрибутов и другие данные, которые клиент решает использовать в своей программе.

4.6. Данные цифровых карт, pass-объектов и wallet-интеграций. Мы можем обрабатывать серийный номер карты, данные шаблона, динамические значения полей, версию шаблона, настройки локализации, object ID и class ID Google Wallet, Apple pass type identifier, токен аутентификации pass, push token, device ID, отпечаток устройства, статус установки, удаления или сохранения pass, данные callback-событий, сведения о последней синхронизации и иные данные, необходимые для выпуска, обновления и сопровождения цифровых карт.

4.7. Данные устройства и технические признаки. В зависимости от сценария могут обрабатываться IP-адрес, user-agent, название и версия браузера, ОС, локаль, временные метки, технические идентификаторы, логи запросов, device fingerprint, device label и иные технические сигналы, относящиеся к безопасности, отладке, доставке pass-контента, push-уведомлениям и диагностике интеграций.

4.8. Платежные и биллинговые данные. Мы можем обрабатывать информацию о тарифе, валюте, суммах, счетах, датах выставления и оплаты, идентификаторах транзакций, идентификаторах платежных сессий, merchant payment ID, gateway transaction ID, токенизированных способах оплаты, маскированных реквизитах карты, статусах списаний, возвратов и ошибок, а также связанные фискальные и расчетные данные.

4.9. Данные юридических согласий и акцептов. Мы можем хранить сведения о типе документа, версии, языке, времени принятия, IP-адресе, user-agent и технических параметрах, необходимых для подтверждения факта и контекста акцепта условий, политики, recurring payment consent и иных юридически значимых действий.

4.10. Данные коммуникаций и поддержки. В ходе переписки и поддержки могут обрабатываться содержание обращений, история переписки, вложения, служебные примечания, сведения о доставке писем и уведомлений, а также информация, необходимая для решения проблемы, проверки полномочий и сопровождения клиента.

4.11. Данные чековых, кассовых и торговых сценариев. Если клиент использует соответствующую функциональность, могут обрабатываться QR URL чека, сырые и нормализованные чековые данные, параметры продавца, точки продаж, дата и время покупки, итоговые суммы, состав товарных позиций, статусы дедупликации, валидности продавца, результаты начислений и сопутствующие технические метаданные.

5. Какие данные не должны загружаться в сервис без отдельного письменного основания

• полные реквизиты платежных карт, CVV/CVC-коды, полные банковские счета и иные аутентификационные платежные данные;
• государственные идентификаторы, паспортные данные, номера социального страхования и иные чувствительные государственные идентификаторы, если они не необходимы для законной и специально согласованной цели;
• медицинские данные, сведения о состоянии здоровья, страховые медицинские данные;
• биометрические идентификаторы и данные для уникальной биометрической идентификации;
• данные о несовершеннолетних в объеме, выходящем за рамки явно законной и надлежащим образом оформленной обработки;
• специальные категории персональных данных в смысле GDPR и аналогичных законов;
• пароли, секреты, токены или учетные данные третьих систем, кроме случаев, когда это объективно необходимо для подключения интеграции самим клиентом и обрабатывается в защищенном контуре;
• иные данные, создающие несоразмерный регуляторный, платформенный, договорный или репутационный риск для VMTech, Apple, Google, платежных провайдеров или самого клиента.

6. Источники получения данных

Мы можем получать данные напрямую от пользователя, от компании-клиента, автоматически при использовании сайта, кабинета, API, wallet-flow, биллинга и интеграций, а также от внешних провайдеров, включая платежные шлюзы, e-mail и SMS-провайдеров, anti-bot системы, Apple, Google, webhook-источники и фискальные или торговые интеграции.

7. Цели обработки и правовые основания

Персональные данные могут обрабатываться для создания и сопровождения учетных записей, исполнения договора, регистрации клиентов, верификации e-mail и телефона, выпуска и доставки цифровых карт, отправки сервисных сообщений, обработки платежей, обеспечения безопасности, ведения аудита и журналов, оказания поддержки, исполнения обязательств перед государственными органами, локализации, перевода интерфейсов и обеспечения совместимости с Apple Wallet, Google Wallet и другими внешними платформами.

Правовыми основаниями обработки, в зависимости от сценария, являются: исполнение договора или действия до заключения договора; соблюдение правовой обязанности; законный интерес VMTech, клиента или третьего лица, если такой интерес не перевешивается правами и свободами субъекта данных; согласие субъекта данных в случаях, когда по закону требуется именно согласие.

8. Как мы используем внешних провайдеров и кому можем передавать данные

Мы не продаем персональные данные. При этом в рамках функционирования платформы данные могут передаваться строго в необходимом объеме компаниям-клиентам и их авторизованным пользователям, провайдерам электронной почты, SMS-провайдерам, anti-bot и security-провайдерам, платежным и биллинговым провайдерам, системам электронной фактуры и налоговой отчетности, Apple, Google, инфраструктурным и интеграционным провайдерам, провайдерам ИИ-перевода и текстовой обработки, а также юристам, аудиторам, органам власти и судам, если это необходимо по закону или для защиты прав и интересов VMTech.

9. Apple Wallet, Google Wallet и связанные сторонние платформы

SmartKartica интегрируется с Apple Wallet и Google Wallet для выпуска, обновления, отображения и доставки цифровых карт. Эти платформы не контролируются VMTech и действуют по собственным правилам, политике конфиденциальности, техническим требованиям и бренд-гайдлайнам.

Если конечный пользователь или клиент использует pass в Apple Wallet или Google Wallet, определенный объем данных и технических идентификаторов может обрабатываться соответствующей платформой как самостоятельным оператором в рамках ее экосистемы. Мы не контролируем последующую обработку Apple или Google за пределами нашего сервиса.

Клиенты SmartKartica обязаны самостоятельно следить за тем, чтобы содержание их pass-объектов, программы лояльности, предложения, уведомления, linked websites, изображения, названия, описания, use case и иные материалы соответствовали требованиям Apple, Google и иных применимых платформ. Мы вправе ограничить, приостановить, удалить или отказаться обслуживать content, который, по нашему разумному мнению, нарушает такие требования, создает риск блокировки платформой или может повлечь нарушение закона.

10. Международные передачи данных

Данные могут обрабатываться в Сербии и в иных юрисдикциях, где расположены наши провайдеры, партнеры, инфраструктура и интеграции. Если и в той мере, в какой к передаче применяются требования GDPR или аналогичных режимов, мы используем разумно необходимые и применимые правовые механизмы защиты, включая договорные и организационные гарантии, ограничение доступа, минимизацию передаваемого объема и иные законные механизмы.

11. Сроки хранения данных

Мы храним данные не дольше, чем это необходимо для достижения законной цели обработки, исполнения договора, соблюдения обязательного законодательства, защиты прав и интересов сторон, разрешения споров, поддержания безопасности и доказательной базы. Платежные, счетные, налоговые, фискальные и связанные с recurring payment данные хранятся не менее сроков, требуемых обязательным правом, налоговым и бухгалтерским режимом, а также правилами платежных провайдеров.

12. Обезличенные и агрегированные данные

В той мере, в какой это допускается законом, мы можем использовать обезличенные, агрегированные или статистические данные, которые больше не позволяют прямо или косвенно идентифицировать конкретное лицо, для анализа использования платформы, повышения надежности, планирования емкости, аналитики продукта и улучшения сервиса.

13. Автоматизированные процессы и решения

Платформа использует автоматизированные процессы, необходимые для технического функционирования: верификация контактов, дедупликация, anti-fraud checks, маршрутизация уведомлений, выпуск и обновление pass-объектов, push-синхронизация, проверка статусов, биллинговые и recurring payment flows, обработка webhook, расчеты бонусов и иные операции, встроенные в логику сервиса. Если определенная автоматизированная логика задается самим клиентом, ответственность за правомерность такой бизнес-логики несет соответствующий клиент как оператор.

14. Права субъектов данных

В зависимости от применимого закона субъект данных может иметь право на доступ к данным, исправление неточных данных, удаление, ограничение обработки, переносимость данных, отзыв согласия, возражение против обработки, а также право на жалобу в компетентный надзорный орган. Для обработки, подпадающей под право Сербии, субъект данных может обращаться к Поверенному по информации общественного значения и защите данных о личности: https://www.poverenik.rs/.

15. Безопасность персональных данных

Мы применяем разумные технические и организационные меры безопасности, соразмерные характеру сервиса и рискам обработки. Такие меры могут включать ролевой контроль доступа, хеширование паролей и отдельных токенов, защищенные каналы передачи, журналирование, контроль целостности, лимиты запросов, anti-abuse-механизмы, сегрегацию данных по компаниям, резервное копирование, мониторинг и иные меры.

16. Дети и несовершеннолетние

Сервис не предназначен для самостоятельного использования детьми без надлежащего правового основания и контроля со стороны соответствующего оператора данных. Компании-клиенты не должны использовать платформу для незаконной или ненадлежащей обработки данных детей и несовершеннолетних.

17. Cookies и аналогичные технологии

SmartKartica использует cookies, server-side session mechanism, локальное хранение настроек и иные аналогичные технологии для обеспечения работы сайта, выбора языка, сохранения пользовательских предпочтений, защиты сессий, CSRF/anti-abuse-функций и иных законных технических целей. Подробности приведены в отдельной Политике файлов Cookie.

18. Изменение Политики

Мы вправе время от времени обновлять настоящую Политику, если это необходимо вследствие изменений в архитектуре сервиса, законодательстве, составе провайдеров, правилах Apple или Google, платежных контурах, функциональности платформы, практиках безопасности или по иным разумным основаниям.

19. Заключительные положения

Настоящая Политика должна толковаться в связи с фактической архитектурой SmartKartica, нашими договорными документами, техническими возможностями платформы, применимым правом и ролями сторон в конкретной обработке. По вопросам конфиденциальности и реализации прав субъекта данных обращайтесь по адресу support@smartkartica.rs.