1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и иными нормативными актами РФ и определяет порядок обработки и меры по обеспечению безопасности персональных данных пользователей сайта https://grileto.ru (далее — Сайт).

1.2. Оператор персональных данных: Индивидуальный предприниматель Будько Виталий Александрович, ИНН 720509847352, ОГРНИП 325237500078890, адрес: 354000, г. Сочи, ул. Голенева, 17/2 (далее — Оператор).
Контакты для обращений по вопросам обработки персональных данных: inbox@grileto.ru, +7 (989) 753-20-00.

1.3. Политика применяется ко всем персональным данным, которые Оператор получает от пользователей при использовании Сайта, регистрации/входе в личный кабинет, оформлении и оплате заказа, организации доставки, а также при обращениях пользователя к Оператору (включая обращения через формы на Сайте и по иным каналам связи).

1.4. Пользователь, предоставляя персональные данные на Сайте, подтверждает, что действует добровольно и в своих интересах либо в интересах лица, чьи данные он предоставляет на законных основаниях, и принимает условия настоящей Политики. В случаях, когда по закону требуется согласие, оно предоставляется пользователем путем совершения соответствующих действий на Сайте (например, проставлением отметки в форме и/или отправкой формы).

2. Термины и определения

2.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (пользователю Сайта).

2.2. Оператор — лицо, самостоятельно организующее и (или) осуществляющее обработку персональных данных и определяющее цели обработки персональных данных, состав персональных данных и действия (операции), совершаемые с персональными данными.

2.3. Пользователь — любое лицо, посещающее Сайт и/или использующее функционал Сайта, включая личный кабинет и оформление заказа.

2.4. Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление/изменение), извлечение, использование, передачу (предоставление/доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

2.5. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

2.6. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.7. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.8. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

3. Состав обрабатываемых персональных данных

3.1. Оператор обрабатывает персональные данные, которые Пользователь предоставляет при регистрации/входе в личный кабинет, оформлении и исполнении заказа, а также при обращении к Оператору, в том числе:

  • имя (и иные сведения профиля, если Пользователь добровольно их указывает в личном кабинете);
  • номер телефона;
  • адрес электронной почты;
  • адрес доставки;
  • сведения о заказе (состав заказа, сумма, статус, способ оплаты/доставки), история заказов в личном кабинете.

3.2. На Сайте могут быть предусмотрены поля со свободным вводом текста (например, комментарий к заказу, поле «Сообщение» в форме обратной связи и т.п.). Пользователь может указать в них дополнительные сведения по собственной инициативе. Оператор просит не сообщать в таких полях избыточные персональные данные (например, паспортные данные, сведения о здоровье и т.п.) и обрабатывает такие сведения только в объеме, необходимом для рассмотрения обращения и/или исполнения заказа.

3.3. В целях обеспечения работоспособности Сайта, сохранения пользовательских настроек и корректной работы корзины Оператор может обрабатывать технические данные, которые передаются устройством Пользователя автоматически, в том числе: IP-адрес, cookie-файлы, сведения о браузере и операционной системе, идентификаторы устройства, дата и время доступа, адреса запрашиваемых страниц, действия Пользователя на Сайте.

3.4. Для анализа посещаемости, улучшения работы Сайта и пользовательского опыта Оператор использует сервис веб-аналитики Яндекс.Метрика. Обработка данных посредством cookie-файлов и средств аналитики осуществляется в соответствии с настройками Сайта и полученным от Пользователя согласием (в том числе через cookie-баннер), если такое согласие требуется по применимому законодательству и правилам соответствующего сервиса. 3.5. Оператор не обрабатывает специальные категории персональных данных (например, сведения о здоровье) и биометрические персональные данные. Если Пользователь по собственной инициативе укажет такие сведения в полях со свободным вводом, Оператор вправе удалить такие сведения и/или не учитывать их при рассмотрении обращения (в объеме, допустимом законодательством).

4. Цели обработки персональных данных и правовые основания

4.1. Оператор обрабатывает персональные данные Пользователя в следующих целях:

4.1.1. Регистрация и использование личного кабинета на Сайте, идентификация Пользователя при входе, обеспечение доступа к функционалу личного кабинета (в т.ч. просмотр истории заказов, управление профилем).
Правовое основание: исполнение договора (пользовательского соглашения/оферты) по инициативе Пользователя и/или согласие Пользователя (в зависимости от конкретной формы и способа предоставления данных).

4.1.2. Оформление, обработка и исполнение заказа, включая подтверждение заказа, обработку обращений по заказу, обеспечение доставки, ведение истории заказов.
Правовое основание: исполнение договора купли-продажи/оказания услуг (публичной оферты), стороной которого является Пользователь, и/или заключение договора по инициативе Пользователя.

4.1.3. Прием онлайн-оплаты и проведение расчетов.
Онлайн-оплата на Сайте осуществляется через платежного провайдера ЮKassa. При выборе способа оплаты Пользователь переходит на платежную страницу/интерфейс ЮKassa (или вводит платежные реквизиты в форме, обслуживаемой ЮKassa), и все платежные реквизиты (включая данные банковской карты и иные платежные данные) обрабатываются ЮKassa самостоятельно.
Оператор не получает, не обрабатывает и не хранит платежные реквизиты Пользователя. Оператор получает от ЮKassa только сведения, необходимые для исполнения заказа и учета расчетов, такие как статус оплаты, идентификатор платежа и иные технические подтверждения факта совершения платежа.
Правовое основание: исполнение договора (публичной оферты), а также исполнение требований законодательства РФ о расчетах и бухгалтерском/налоговом учете (в применимой части).

4.1.4. Организация доставки (включая передачу необходимых данных для доставки собственным курьерам либо службе доставки), а также информирование Пользователя о статусе доставки.
Правовое основание: исполнение договора (публичной оферты).

4.1.5. Обработка обращений Пользователя (в т.ч. через форму на Сайте, по электронной почте, по телефону, в Telegram) и предоставление консультаций/поддержки по вопросам работы Сайта и исполнения заказа.
Правовое основание: исполнение договора (публичной оферты) и/или законный интерес Оператора в обеспечении качественного обслуживания, а также согласие Пользователя — в случаях, когда оно требуется.

4.1.6. Обеспечение работоспособности и безопасности Сайта, предотвращение мошенничества и злоупотреблений, защита учетных записей, ведение журналов событий (логов), а также улучшение качества и удобства Сайта на основе статистики и аналитики.
Правовое основание: законный интерес Оператора в обеспечении безопасной и стабильной работы Сайта, а также согласие Пользователя на использование cookie/аналитики — когда оно требуется.

4.2. Оператор не использует персональные данные Пользователя для целей рассылки рекламных и маркетинговых материалов без получения отдельного предварительного согласия Пользователя. 4.3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.

5. Условия обработки персональных данных. Получатели персональных данных

5.1. Оператор обрабатывает персональные данные с использованием средств автоматизации и/или без их использования.

5.2. Оператор вправе поручать обработку персональных данных третьим лицам (обработчикам) при условии, что:

  • обработка осуществляется для достижения целей, указанных в настоящей Политике (например, прием оплаты, доставка, учет заказов, отправка OTP-кодов, хостинг);
  • с такими лицами заключены договоры, содержащие требования о конфиденциальности и безопасности персональных данных (в объеме, предусмотренном законодательством РФ);
  • передаются только те данные, которые необходимы для выполнения соответствующей функции.

5.3. Оператор может предоставлять персональные данные следующим категориям получателей (в объеме, необходимом для оказания услуг/исполнения заказа):

5.3.1. Платежные сервисы (эквайринг/прием оплат).
Для проведения онлайн-оплаты Оператор использует ЮKassa. Процессинг платежей и обработка платежных реквизитов Пользователя осуществляются на стороне ЮKassa в соответствии с ее правилами и техническими регламентами.
Оператор не имеет доступа к полным данным банковских карт и иным платежным реквизитам Пользователя и не получает такие данные от ЮKassa. Оператор получает только статусы и подтверждения оплаты (например, успешность/отказ, идентификатор платежа), необходимые для подтверждения оплаты, исполнения заказа и ведения учета.5.3.2. Сервисы доставки и курьеры — для доставки заказа: собственная курьерская служба Оператора и/или службы доставки (в том числе Яндекс Доставка). Передаются данные, необходимые для доставки (например, имя, телефон, адрес доставки, сведения о заказе в части, необходимой для передачи/вручения).

5.3.3. Сервисы учета и исполнения заказов — для обработки заказов, учета, формирования статусов, хранения истории заказов: iiko Cloud.

5.3.4. Сервис отправки одноразовых кодов (OTP) для входа/подтверждения телефона — для доставки кода подтверждения по SMS/звонку: МТС Exolve (АО «МТТ» или иной оператор сервиса в рамках выбранного тарифа/договора). Передаются номер телефона и технические сведения, необходимые для доставки кода и контроля попыток/доставки.

5.3.5. Сервис авторизации через VK ID — для входа/идентификации Пользователя посредством учетной записи VK: VK ID. Оператор получает от VK ID идентификатор пользователя и иные сведения в объеме, который Пользователь разрешил предоставить при авторизации (например, телефон и/или email — если предоставлены и разрешены).

5.3.6. Хостинг-провайдер и технические подрядчики — для размещения и обеспечения работоспособности Сайта и его инфраструктуры: Timeweb (и иные подрядчики, привлекаемые Оператором для администрирования Сайта/серверов). Такие лица могут получать доступ к данным исключительно в пределах, необходимых для технического обслуживания.

5.3.7. Сервисы веб-аналитики — для статистики и улучшения работы Сайта: Яндекс.Метрика (в объеме технических/статистических данных, формируемых при использовании Сайта).

5.3.8. Каналы коммуникаций — для обработки обращений и связи с Пользователем: телефонная связь, электронная почта, а также Telegram (если Пользователь инициирует коммуникацию через Telegram). Оператор рекомендует не направлять через Telegram избыточные персональные данные и обрабатывает сообщения в объеме, необходимом для решения вопроса Пользователя/исполнения заказа.

5.4. Оператор не распространяет персональные данные (не раскрывает неопределенному кругу лиц), за исключением случаев, когда такая обязанность предусмотрена законодательством РФ либо когда Пользователь дал на это отдельное согласие. 5.5. Оператор вправе предоставлять персональные данные уполномоченным государственным органам (в том числе правоохранительным) по основаниям и в порядке, установленным законодательством РФ.

6. Сроки обработки, хранение и уничтожение персональных данных

6.1. Персональные данные обрабатываются и хранятся не дольше, чем это необходимо для достижения целей обработки, указанных в настоящей Политике, если иной срок хранения не установлен законодательством РФ.

6.2. Оператор устанавливает следующие основные сроки хранения:

  • данные личного кабинета и история заказов — в течение срока использования личного кабинета Пользователем и/или до удаления учетной записи Пользователем (если применимо), но не менее сроков, необходимых для исполнения обязательств и защиты прав Оператора;
  • данные, связанные с оформлением, оплатой и исполнением заказа (включая сведения о заказе, контактные данные и адрес доставки) — до 5 (пяти) лет с даты исполнения заказа (либо с даты последнего действия по заказу), если более длительный срок не требуется по законодательству РФ;
  • обращения Пользователей (включая переписку по электронной почте и сообщения, полученные через формы на Сайте/Telegram) — до 5 (пяти) лет, если более длительный срок не требуется для рассмотрения претензий/защиты прав Оператора.

6.3. По достижении целей обработки или при наступлении иных оснований для прекращения обработки персональных данных Оператор прекращает обработку и удаляет персональные данные и/или обезличивает их, если сохранение данных более не требуется и не предусмотрено законом.

6.4. Пользователь вправе отозвать согласие на обработку персональных данных в случаях, когда обработка основана на согласии. Для этого Пользователь направляет обращение на электронную почту inbox@grileto.ru с темой письма «Отзыв согласия на обработку персональных данных». Отзыв согласия не влияет на законность обработки, осуществленной до отзыва, а также не прекращает обработку данных, необходимую для исполнения договора и/или обязанностей Оператора по закону.

6.5. В случае поступления от Пользователя требования об уточнении, блокировании или уничтожении персональных данных Оператор рассматривает такое требование и выполняет его в сроки и порядке, установленные законодательством РФ, при наличии правовых оснований.

7. Права Пользователя и порядок реализации прав

7.1. Пользователь (субъект персональных данных) имеет право:

  • получать информацию, касающуюся обработки его персональных данных, в порядке и объеме, предусмотренных законодательством РФ;
  • требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отозвать согласие на обработку персональных данных — в случаях, когда обработка основана на согласии;
  • возражать против обработки персональных данных — в случаях, предусмотренных законодательством РФ;
  • обжаловать действия или бездействие Оператора, нарушающие права субъекта персональных данных, в уполномоченный орган по защите прав субъектов персональных данных и/или в судебном порядке;
  • на иные права, предусмотренные законодательством РФ.

7.2. Для реализации прав, указанных в п. 7.1, Пользователь может направить обращение Оператору:

  • по электронной почте: inbox@grileto.ru;
  • либо иным способом, позволяющим идентифицировать Пользователя и подтвердить факт обращения.

7.3. В обращении рекомендуется указать: ФИО (или имя, указанное в аккаунте), контактный телефон и/или email, суть требования, а также сведения, позволяющие идентифицировать Пользователя на Сайте (например, номер заказа или данные учетной записи). При необходимости Оператор вправе запросить дополнительную информацию для подтверждения личности Пользователя (в пределах, допустимых законодательством РФ), чтобы исключить доступ третьих лиц к персональным данным. 7.4. Оператор предоставляет ответы на обращения Пользователей и исполняет законные требования в сроки, установленные законодательством РФ. В отдельных случаях срок может быть продлен в порядке, предусмотренном законом, о чем Пользователь уведомляется

8. Меры по обеспечению безопасности персональных данных

8.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

8.2. К мерам защиты, применяемым Оператором, относятся, в том числе:

  • ограничение состава лиц, имеющих доступ к персональным данным, и разграничение прав доступа;
  • применение средств аутентификации и контроля доступа к административным разделам Сайта и информационным системам (включая iiko Cloud и иные сервисы);
  • использование защищенных каналов передачи данных (в т.ч. HTTPS/TLS) при взаимодействии Пользователя с Сайтом;
  • ведение журналов (логов) событий безопасности и действий в административных интерфейсах (в объеме, достаточном для выявления инцидентов);
  • регулярное обновление программного обеспечения, используемого для работы Сайта и инфраструктуры;
  • резервное копирование и обеспечение возможности восстановления данных;
  • оценка рисков и применение мер по предотвращению несанкционированного доступа, включая защиту от подбора одноразовых кодов (OTP), лимиты попыток ввода, ограничения по частоте запросов;
  • организационные меры: внутренние регламенты по работе с персональными данными и порядку реагирования на инциденты, обучение/инструктаж лиц, допущенных к обработке персональных данных (при их наличии).

8.3. Оператор обеспечивает конфиденциальность персональных данных. Доступ к персональным данным предоставляется только тем лицам и только в том объеме, который необходим для достижения целей обработки.

8.4. Несмотря на принимаемые меры, ни один способ передачи данных через Интернет или способ электронного хранения не может быть абсолютно безопасным. Оператор принимает все разумные и достаточные меры для защиты персональных данных, однако не может гарантировать абсолютную безопасность данных при возникновении внешних факторов, не зависящих от Оператора.

9. Трансграничная передача и локализация персональных данных

9.1. Оператор обеспечивает соблюдение требований законодательства Российской Федерации о персональных данных, включая требования о локализации персональных данных граждан Российской Федерации: первичный сбор (запись), систематизация, накопление и хранение персональных данных Пользователей осуществляются с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, прямо предусмотренных законодательством РФ.

9.2. Оператор не использует для регистрации и авторизации на Сайте зарубежные сервисы (в частности, не применяет авторизацию через Google и иные иностранные сервисы). Для входа/регистрации на Сайте применяются:

  • подтверждение номера телефона посредством одноразового кода (OTP), направляемого через подрядчика (например, МТС Exolve);
  • авторизация через VK ID.

9.3. В рамках функционирования Сайта и исполнения заказов Оператор не осуществляет трансграничную передачу персональных данных и не планирует ее осуществлять. Оператор организует обработку персональных данных таким образом, чтобы при оказании услуг и выполнении заказов не требовалась передача персональных данных на территорию иностранных государств.

9.4. Использование Telegram осуществляется исключительно как дополнительный канал ответов на вопросы и поддержки Пользователей по их инициативе. Оператор не предназначает Telegram для передачи персональных данных, необходимых для оформления/исполнения заказа, и рекомендует Пользователям не направлять через Telegram избыточные персональные данные (в частности, адрес доставки, платежные сведения и т.п.). Для передачи сведений, необходимых для исполнения заказа, используются функционал Сайта (оформление заказа/личный кабинет), телефонная связь и электронная почта.

10. Заключительные положения

10.1. Настоящая Политика действует бессрочно до замены ее новой редакцией.

10.2. Оператор вправе вносить изменения в Политику при изменении процессов обработки персональных данных, функционала Сайта или требований законодательства РФ. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией.

10.3. Актуальная редакция Политики размещается в сети Интернет по адресу: https://grileto.ru/privacy-policy (либо по иному адресу, указанному на Сайте в разделе документов).

10.4. По всем вопросам, связанным с обработкой персональных данных, Пользователь может обратиться к Оператору по электронной почте inbox@grileto.ru или по телефону +7 (989) 753-20-00.

10.5. Дата актуальной редакции Политики: 19.01.2026.