ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее – «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных» и иным применимым законодательством Российской Федерации. Политика определяет порядок обработки и меры по защите персональных данных клиентов (далее – «Субъекты персональных данных»).

1.2. Оператор персональных данных – индивидуальный предприниматель Науменко Ирина Сергеевна, ИНН 490802025872, ОГРН(ИП) 318237500030223, оказывающий услуги в сфере бьюти (далее – «Оператор»).

1.3. Оператор считает приоритетом соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.​

1.4. Настоящая Политика распространяется на все персональные данные, которые Оператор получает от Субъектов персональных данных в связи с оказанием услуг, в том числе при заполнении анкет, онлайн‑форм, при записи на услуги через сайт, мессенджеры и социальные сети.

2. Персональные данные, которые обрабатываются

2.1. Оператор обрабатывает следующие персональные данные клиентов:
– фамилия, имя;
– номер телефона;
– никнейм (логин) в мессенджерах и социальных сетях;
– иные контактные данные, предоставляемые клиентом добровольно;
– фотографии результатов работ («до/после») – при наличии отдельного согласия клиента.

2.2. Для обеспечения безопасности процедур и предупреждения осложнений Оператор может дополнительно обрабатывать минимальный объём сведений о здоровье клиента, а именно: информацию о наличии состояний/заболеваний, которые могут повлиять на безопасность процедур (например, склонность к аллергическим реакциям, нарушения свертываемости крови, хронические состояния, при которых требуется осторожность).

2.3. Сведения, указанные в пункте 2.2, относятся к специальной категории персональных данных, касающихся состояния здоровья, в смысле статьи 10 Федерального закона № 152‑ФЗ. Оператор не запрашивает и не фиксирует диагнозы, результаты анализов, выписки и иную подробную медицинскую информацию, выходящую за рамки минимально необходимого объёма.

2.4. Обработка специальных категорий персональных данных (сведений о наличии состояний/заболеваний) осуществляется только при наличии отдельного, явно выраженного согласия клиента и с соблюдением требований статьи 10 Закона № 152‑ФЗ.

3. Цели обработки персональных данных

3.1. Персональные данные обрабатываются в следующих целях:
– запись клиента на услуги и ведение расписания;
– надлежащее оказание услуг;
– формирование и ведение клиентской базы;
– осуществление связи с клиентом (подтверждение и перенос записи, ответы на вопросы, информирование о готовности работы и т.п.);
– информирование об услугах, акциях, изменениях в расписании и других новостях Оператора (при наличии согласия клиента, если оно требуется);​
– публикация фотографий результатов работ («до/после») на сайте, в социальных сетях и других ресурсах Оператора – при наличии отдельного согласия клиента.

3.2. Сведения о наличии состояний/заболеваний, которые могут повлиять на безопасность процедур, обрабатываются исключительно в целях:
– подбора безопасных материалов и технологий;
– предупреждения осложнений и неблагоприятных реакций;
– отказа от проведения или изменения параметров процедур при наличии противопоказаний.

3.3. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей, и не допускается их обработка, несовместимая с такими целями.​

4. Правовые основания обработки персональных данных

4.1. Правовыми основаниями обработки персональных данных являются:
– добровольное согласие Субъекта персональных данных на обработку его персональных данных, оформленное в соответствии со статьёй 9 Федерального закона № 152‑ФЗ;
– заключение и исполнение договора (оферты) оказания услуг между Оператором и клиентом;​
– исполнение обязанностей Оператора, установленных законодательством РФ (например, в сфере бухгалтерского учета и налоговой отчётности);​
– иные основания, предусмотренные законодательством о персональных данных.

4.2. Для обработки сведений, указанных в пункте 2.2 (персональные данные о наличии состояний/заболеваний, влияющих на безопасность процедур), Оператор получает отдельное согласие клиента на обработку специальных категорий персональных данных в соответствии со статьёй 10 Федерального закона № 152‑ФЗ.

4.3. В случаях, предусмотренных законодательством, Оператор направляет уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных и обеспечивает включение сведений о себе в реестр операторов персональных данных.

5. Порядок и условия обработки, способы хранения и меры защиты

5.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без их использования (на бумажных носителях).

5.2. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

5.3. Персональные данные клиентов хранятся и обрабатываются:
– на бумажных носителях (анкеты, согласия, договоры и иные документы), размещаемых и хранимых в помещениях, контролируемых Оператором;
– в электронном виде в информационных системах Оператора, в том числе с использованием сервисов Яндекс 360 (Яндекс Формы, Яндекс Документы и другие сервисы), при условии соблюдения требований законодательства РФ о персональных данных и локализации персональных данных граждан РФ на территории Российской Федерации.

5.4. При использовании сервисов Яндекс 360 (включая Яндекс Документы) Оператор остаётся оператором персональных данных и несёт ответственность за соблюдение требований Федерального закона № 152‑ФЗ. Яндекс 360 обрабатывает данные клиентов Оператора в соответствии с указанным законом, в том числе с учётом требований по защите и локализации персональных данных.

5.5. Через сервис Яндекс Формы Оператор собирает только общие (неспецильные) персональные данные клиентов: ФИО, контактные данные, предпочтения по услугам, а также согласие на обработку таких данных и согласие на рассылку и публикацию фото (при необходимости). Формы не используются для сбора специальных категорий персональных данных, в том числе сведений о состоянии здоровья, в соответствии с условиями использования сервиса Яндекс Формы.

5.6. Сведения о наличии состояний/заболеваний, которые могут повлиять на безопасность процедур (специальные категории персональных данных), собираются и фиксируются Оператором отдельно:
– путём заполнения клиентом бумажного бланка (анкеты/согласия),
и (или)
– путём внесения сведений мастером в отдельный документ (например, в Яндекс Документ или иную защищенную электронную карточку клиента) на основании устной информации клиента и его письменного согласия.

5.7. Для защиты персональных данных при их обработке в электронном виде Оператор применяет, в том числе, следующие меры:
– использование устойчивых уникальных паролей доступа и их регулярная смена;
– включение двухфакторной аутентификации (2FA) для аккаунтов, в которых обрабатываются персональные данные;
– использование лицензионного антивирусного программного обеспечения и его регулярное обновление;
– ограничение доступа к персональным данным только тем лицам, которым они необходимы для исполнения своих обязанностей;
– настройка прав доступа к документам и формам Яндекс 360 по принципу необходимого и достаточного доступа;
– ведение учёта операций доступа и изменений (по возможности средствами используемых сервисов);
– регулярное резервное копирование данных и хранение резервных копий на защищённых ресурсах.

5.8. Доступ к сведениям, указанным в пункте 2.2 (о наличии состояний/заболеваний), имеют только Оператор и, при наличии, ограниченный круг уполномоченных лиц, непосредственно оказывающих услуги, и лишь в объёме, необходимом для обеспечения безопасности процедур.

5.9. Персональные данные не передаются третьим лицам, за исключением:
– случаев, когда такая передача предусмотрена законодательством РФ;​
– случаев передачи лицам, обрабатывающим персональные данные по поручению Оператора (например, провайдеру сервисов Яндекс 360) при условии соблюдения ими требований конфиденциальности и безопасности данных;
– случаев, когда Субъект персональных данных дал отдельное согласие на передачу его данных третьим лицам.

5.10. Трансграничная передача персональных данных Оператором не осуществляется, за исключением случаев, когда такая передача прямо предусмотрена договором и законодательством и при условии соблюдения требований о защите прав субъектов персональных данных.​

5.11. Обработка персональных данных включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, удаление и уничтожение персональных данных.​

6. Сроки хранения персональных данных

6.1. Персональные данные хранятся не дольше, чем это требуется для целей их обработки, указанных в разделе 3 настоящей Политики, либо в течение сроков, установленных законодательством РФ.​

6.2. По достижении целей обработки либо в случае отзыва согласия Субъектом персональных данных, если дальнейшая обработка не требуется или не допускается, персональные данные подлежат удалению (уничтожению) или обезличиванию, за исключением случаев, когда обязанность по их дальнейшему хранению установлена законодательством.​

7. Права Субъекта персональных данных

7.1. Субъект персональных данных имеет право:
– получать информацию о наличии у Оператора его персональных данных и о порядке их обработки;
– требовать уточнения, блокирования или уничтожения своих персональных данных в случаях, предусмотренных законодательством;
– отозвать своё согласие на обработку персональных данных, направив Оператору соответствующее заявление;
– обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.2. Для реализации своих прав Субъект персональных данных может обратиться к Оператору по контактам, указанным на сайте и (или) в аккаунтах Оператора в мессенджерах и социальных сетях.

8. Заключительные положения

8.1. Оператор вправе вносить изменения в настоящую Политику без предварительного уведомления. Новая редакция Политики вступает в силу с момента её размещения на сайте Оператора, если иное не предусмотрено в самой новой редакции Политики.​

8.2. Актуальная версия Политики размещается на сайте: https://www.nauminpedikur.ru/privacy-policy и предоставляется по запросу Субъекта персональных данных.​

8.3. Во всём, что не урегулировано настоящей Политикой, Оператор руководствуется действующим законодательством Российской Федерации о персональных данных.