Политика конфиденциальности (обработки персональных данных)

Настоящая Политика конфиденциальности персональных данных (далее – Политика) разработана индивидуальным предпринимателем Попковой Сандрой Анатольевной (ОГРНИП 324774600792170, ИНН 745600037824, далее – Оператор) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Федерального закона от 29.12.2022 № 572-ФЗ (с учетом изменений от 01.09.2025) о биометрических персональных данных. Политика определяет порядок обработки персональных данных лиц (субъектов ПД), взаимодействующих с Оператором (в том числе при использовании веб-сайта Оператора). Политика вступает в силу с 19 октября 2025 года. Использование услуг и/или посещение веб-сайта Оператора означает согласие субъекта персональных данных с условиями Политики. При несогласии с условиями Политики субъект обязан прекратить взаимодействие с Оператором. 1. Основные понятия В Политике используются следующие основные понятия: Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных – любое действие (операция) с персональными данными, совершаемое с использованием средств автоматизации или без них (сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение и т.п.). Оператор персональных данных – индивидуальный предприниматель Попкова С.А., самостоятельно определяющий цели обработки персональных данных и организующий их обработку. Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются Оператором. Конфиденциальность персональных данных – обязательное для соблюдения Оператором требование не допускать разглашения, утраты или несанкционированного доступа к персональным данным без согласия субъекта или наличия иного законного основания. Биометрические персональные данные – сведения о физиологических и биологических особенностях человека (например, изображения лица, голосовые данные), на основании которых можно установить его личность. Биометрические данные относятся к особо защищаемым (специальным) категориям персональных данных и обрабатываются только с соблюдением специальных требований закона. 2. Общие положения 2.1. Оператор не осуществляет обработку персональных данных, не предусмотренных Политикой, и обеспечивает конфиденциальность сведений в соответствии с требованиями законодательства. 2.2. Персональные данные субъектов обрабатываются Оператором исключительно для законных целей (см. раздел 4). Сбор и обработка данных осуществляются только при наличии необходимых оснований (согласие субъекта или иных, предусмотренных законом). 2.3. Оператор гарантирует, что персональные данные будут храниться не дольше, чем необходимо для достижения заявленных целей обработки (см. раздел 7), и не используются в иных целях без согласия субъекта, кроме случаев, предусмотренных законодательством. 2.4. При пользовании услугами или веб-сайтом Оператора субъект данных принимает условия настоящей Политики. В случае изменений условий Политики Оператор разместит новую редакцию на сайте; действия новой редакции распространяются на собираемые после публикации данные. Актуальная версия Политики доступна на сайте Оператора. 2.5. Если субъект персональных данных предоставляет Оператору информацию третьих лиц (например, контактные данные других лиц), он гарантирует, что имеет право передать эти данные Оператору и добился их согласия на обработку или имеет иное правовое основание на передачу таких данных. 3. Персональные данные, подлежащие обработке В зависимости от характера услуг Оператор может обрабатывать следующие категории персональных данных субъектов: 3.1. Идентификационные данные: фамилия, имя, отчество, дата рождения, паспортные данные (серия, номер, когда необходимо для оформления договоров или платежей). 3.2. Контактные данные: адрес электронной почты, номер мобильного и/или стационарного телефона, почтовый адрес (при необходимости доставки документов), реквизиты банковской карты или счета (для оплаты услуг), ИНН/СНИЛС субъекта при необходимости (например, для заключения договора оказания услуг). 3.3. Данные о трудовой и финансовой информации: место работы, должность, работодателя (если это необходимо по условиям услуг), сведения о платежах, налогах и иные документы, связанные с исполнением договорных обязательств. 3.4. Фотографические и видеоданные: изображения лица, видеозаписи с участием субъекта, аудиозаписи голоса (например, при проведении фотосессий или видеосъемок). Эти данные относятся к биометрическим и обрабатываются только с согласия субъекта (см. раздел 6). 3.5. Технические данные: IP-адреса устройств, файлы cookies и иные данные об использовании веб-сайта Оператора (время посещения, посещаемые страницы, сведения о браузере и устройстве) – только в случае наличия сайта и согласия субъекта. Такие данные используются для обеспечения функционирования сайта и улучшения его удобства. 3.6. Иные персональные данные: иные сведения, которые субъект предоставляет Оператору добровольно (например, при регистрации, заполнении форм обратной связи, при общении с менеджером) или которые необходимы для исполнения услуг. Субъект предоставляет указанные персональные данные путем заполнения форм на сайте Оператора (если он им обладает), по телефону, по электронной почте или при личном общении. Также Оператор может получать данные автоматически (технические данные) при доступе субъекта к сайту. 4. Цели обработки персональных данных Обработка персональных данных осуществляется Оператором в следующих целях: 4.1. Оказание услуг и исполнение договоров. Выполнение обязательств по договорам с субъектом или договоров с третьими лицами, в том числе предоставление фотосъемочных и видеосъемочных услуг, разработка и передача материалов по заказу. 4.2. Установление и поддержание обратной связи. Связь с субъектом с целью консультаций, уточнения деталей услуг, направления уведомлений о ходе исполнения заказа, изменений в услугах, доставки документов, а также связи в целях разрешения спорных вопросов и претензий. 4.3. Обработка заявок и обращений. Регистрация и обработка вопросов, запросов или заявок субъектов, поступающих через сайт Оператора, электронную почту, телефон или лично. 4.4. Бухгалтерский и налоговый учет. Оформление документов и ведение учета в целях исполнения требований бухгалтерского, налогового законодательства и законодательства о статистике (например, хранение договоров, актов оказанных услуг, первичных учетных документов на срок, установленный законодательством). 4.5. Безопасность и техническая поддержка. Обеспечение безопасности услуг и веб-сайта (например, предотвращение мошенничества, несанкционированного доступа), а также оптимизация работы сайта (согласование с желаниями пользователей, выявление и устранение технических неполадок). 4.6. Маркетинговые и информационные мероприятия (с согласия). Рассылка новостей, коммерческих предложений, информирование об акциях и специальных предложениях Оператора при условии явного согласия субъекта. Данная цель может использоваться только при получении отдельного согласия на рассылку. 5. Правовые основания обработки Обработка персональных данных осуществляется на основании: 5.1. Добровольного согласия субъекта ПД. В случаях, когда закон требует получения согласия (например, при обработке специальных категорий данных, таких как биометрические данные, или при информационных рассылках), Оператор запрашивает у субъекта четкое информированное согласие в письменной (в том числе электронной) форме. Без такого согласия указанные данные не обрабатываются. 5.2. Договора или договора оказания услуг. Если обработка персональных данных необходима для заключения, исполнения или прекращения договора между субъектом и Оператором, либо в целях расчетов и платежей по договору. 5.3. Требований законодательства. В целях выполнения обязательств, установленных федеральными законами и иными нормативными актами (например, хранение отчетов и первичных документов в соответствии с налоговым и бухгалтерским законодательством, исполнение запросов государственных органов). 5.4. Законных интересов Оператора или третьих лиц. Обработка может осуществляться для защиты жизни, здоровья или иных жизненно важных интересов субъекта или третьих лиц, а также для реализации прав и законных интересов Оператора (кроме случаев, когда эти интересы нарушают права субъекта на конфиденциальность данных). При отсутствии указанных оснований Оператор не обрабатывает персональные данные субъекта. 6. Обработка биометрических персональных данных 6.1. Биометрические персональные данные (например, изображения лица, голосовые данные) не обрабатываются Оператором без получения отдельного специального письменного согласия субъекта персональных данных. Это соответствует положениям статьи 11 ФЗ-152: такие сведения могут обрабатываться Оператором только при наличии письменного согласия субъекта, за исключением случаев, прямо предусмотренных законом . 6.2. Никакая обработка изображений (фото/видео), включая материалы, предоставленные субъектом (например, фотографии, сделанные на съемках), не проводится с целью распознавания или идентификации личности. Оператор не применяет биометрические технологии и не осуществляет автоматическую или ручную идентификацию субъектов по их изображениям или голосу. 6.3. В случае необходимости сбора, хранения или передачи биометрических персональных данных (например, если для согласования фотосессий необходимо получить изображения лиц третьих лиц), Оператор предварительно получает у соответствующих субъектов отдельное письменное согласие с четким указанием целей и объема обработки таких данных. Только после получения такого согласия будет проводиться ограниченная обработка биометрических данных строго в рамках заявленных целей. 6.4. Обработка биометрических данных выполняется в строгом соответствии с требованиями законодательства (в частности ФЗ-152 и ФЗ-572). Оператор обязуется не хранить и не использовать биометрические данные вне рамок целей, на которые получено согласие, а также уничтожать или обезличивать такие данные после прекращения необходимости их обработки. Любая иная обработка биометрических данных помимо описанной выше не осуществляется. 7. Сроки хранения персональных данных Персональные данные хранятся в течение времени, необходимого для достижения целей обработки, а после этого уничтожаются или обезличиваются. Конкретные сроки установлены исходя из целей: 7.1. Данные, полученные для исполнения договорных обязательств (например, контактные и идентификационные данные клиента, информация о заказе), хранятся до полного выполнения обязательств по договору. После исполнения договора копии документов (договора, акта оказанных услуг) сохраняются в течение сроков, требуемых законодательством (не менее 5 лет для целей бухгалтерского и налогового учета), а затем уничтожаются. 7.2. Технические данные (IP-адрес, файлы cookies и т.п.) хранятся в течение срока, необходимого для обеспечения работоспособности сайта и анализа его посещаемости. После этого они обезличиваются или удаляются. 7.3. Биометрические персональные данные (если таковые были собраны на основании согласия) хранятся только в период выполнения тех целей, ради которых они запрашивались. По окончании этих целей биометрические данные подлежат немедленному уничтожению или обезличиванию, если иное не предусмотрено договором или законом. 7.4. В случае отзыва субъектом согласия на обработку персональных данных (см. раздел 10) Оператор прекращает обработку и уничтожает данные (если отсутствует иное законное основание для их хранения). 8. Передача и трансграничная передача персональных данных 8.1. Третьим лицам. Передача персональных данных субъектов третьим лицам (организациям или физическим лицам) не осуществляется, за исключением следующих случаев: по письменному согласованию с субъектом персональных данных; при обращении государственных органов и судебных инстанций с запросами в порядке, установленном законодательством (например, по запросам правоохранительных органов или судов, если такие запросы обоснованы законом); при привлечении Оператором технических специалистов или организаций для оказания услуг (например, IT-поддержки сайта, бухгалтерского обслуживания) – при этом такие лица обязаны использовать переданные данные только для оказания услуг Оператору и обеспечивать их защиту. 8.2. Трансграничная передача. Персональные данные не передаются за пределы территории Российской Федерации. В случае возникновения необходимости передачи данных в иностранные государства Оператор обеспечивает соблюдение требований статьи 12 ФЗ-152 (например, передача только в страны с адекватной защитой персональных данных или при наличии письменного согласия субъекта на передачу). На настоящий момент трансграничная передача данных не осуществляется. 9. Защита персональных данных Оператор принимает необходимые организационные и технические меры для защиты персональных данных субъектов от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования и распространения. В частности применяются следующие меры: 9.1. Организационные меры: назначение ответственных за работу с персональными данными; разработка и соблюдение внутренних инструкций по обработке ПД; проведение инструктажей сотрудников, имеющих доступ к данным; разграничение прав доступа в информационных системах (то есть каждый сотрудник может работать только с той информацией, которая необходима ему по должности). 9.2. Технические меры: использование антивирусного программного обеспечения, систем межсетевого экранирования (firewall); защищенные протоколы передачи данных (шифрование при передаче конфиденциальной информации по сети Internet); резервное копирование данных; хранение данных в защищенных базах (с шифрованием или другими средствами защиты) на серверах, доступ к которым ограничен. 9.3. Контроль и мониторинг: ведется журнал доступа к информационным системам, регулярно проверяется актуальность и безопасность технических средств; работники, обрабатывающие персональные данные, несут ответственность за соблюдение конфиденциальности в соответствии с законодательством. 9.4. Конфиденциальность: Оператор не передает персональные данные третьим лицам и не разглашает их без согласия субъекта (за исключением случаев, предусмотренных законом). Все сотрудники Оператора и привлекаемые лица обязаны соблюдать конфиденциальность полученных персональных данных. Эти меры обеспечивают соблюдение требований ФЗ-152 о персональных данных и дополнительных требований ФЗ-572 о безопасности при обработке биометрической информации. 10. Права субъектов персональных данных Субъект персональных данных имеет право: 10.1. Получать информацию об источниках и целях обработки своих персональных данных, о способах их обработки и сроках, а также о применяемых способах защиты данных. 10.2. Доступа к своим персональным данным, включая право получать копии данных (по письменному запросу Оператора). 10.3. Требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, обработаны с нарушением закона или не нужны для заявленной цели. 10.4. Отозвать свое согласие на обработку персональных данных в любое время, направив Оператору письменное или электронное заявление. После получения отзыва согласия Оператор прекратит обработку данных (если отсутствует иное законное основание) и удалит или обезличит их. 10.5. Ограничения обработки: требовать прекратить обработку данных в целях прямой рекламы или при нарушении закона в ходе обработки. 10.6. Переноса данных: получать свои персональные данные в структурированном формате, пригодном для передачи другому оператору (если такие операции технически возможны и не противоречат закону). 10.7. Обжаловать (жаловаться) на действия или бездействие Оператора в Роскомнадзор (РКН) и в судебном порядке, если он считает, что его права нарушены при обработке персональных данных. Оператор обязан рассмотреть обращение субъекта и предоставить ответ в срок не позднее 30 календарных дней с момента получения запроса, если иное не установлено законом. Субъект персональных данных вправе самостоятельно распоряжаться своими данными, а отказ от предоставления данных или отзыв согласия могут влечь невозможность получения услуг или полное прекращение взаимодействия с Оператором. 12. Условия согласия на обработку cookies и других данных пользователей сайта 12.1. Использование cookie-файлов. Как указано в п.3.5, сайт Оператора применяет cookie-файлы для обеспечения функций сайта и анализа трафика. При первом посещении сайта пользователь видит баннер/уведомление с предупреждением о использовании cookies и предложением согласиться. Продолжая использование сайта (пролистывая страницу, нажимая на элементы сайта), пользователь тем самым дает согласие на обработку cookie-файлов и связанных с ними данных . Если пользователь не согласен, он должен покинуть сайт или отключить cookies в браузере. В случае отключения некоторых типов cookies, часть функций сайта может стать недоступной. 12.2. Типы используемых cookies: Строго необходимые cookies: технические файлы, без которых сайт не функционирует (например, cookies для сохранения состояния сессии, предпочтений отображения). Они могут устанавливаться без явного согласия, так как необходимы сугубо для предоставления запрошенной услуги (отображения сайта). Аналитические cookies: файлы, собираемые сервисами веб-аналитики (Яндекс и др.) для формирования обобщенной статистики по посещениям . Эти cookies собирают обезличенную информацию, однако имеют уникальный идентификатор браузера. Мы их используем для улучшения качества сервиса. Функциональные cookies: (если применимо) – позволяющие запоминать выборы пользователя (например, язык сайта, заполненные ранее поля формы). Рекламные cookies: (если Оператор использует ремаркетинг или таргетинг) – могут применяться третьими лицами (например, Яндекс) для показа рекламы на сторонних платформах. На данный момент Оператор не применяет сторонние рекламные cookies без дополнительного уведомления. 12.3. Управление cookies: Пользователь может в любой момент отозвать согласие на использование cookie, очистив cookies через настройки браузера и прекратив использование сайта . Также можно настроить браузер на блокировку всех сторонних cookies или выдачу уведомлений. Оператор обрабатывает сигнал “Do Not Track” (Если браузер посылает такой заголовок) – на нашем сайте это означает, что аналитические скрипты не будут загружены. Подробнее о том, как отключить cookies, можно узнать в справке вашего браузера. 12.4. Согласие на аналитику: Продолжая использовать наш сайт, пользователь соглашается также на обработку его обезличенных данных сервисами аналитики (такими как Yandex Metrica). Эти сервисы действуют на основании собственных политик конфиденциальности, однако Оператор в договоре с ними обязуется соблюдать требования к защите ПДн. Все данные, передаваемые в аналитику, обезличены и не содержат прямых идентификаторов (мы не передаем имени или контактной информации в эти системы, только технические параметры и уникальные коды). Если вы не хотите подвергаться аналитике – пожалуйста, отключите cookies или используйте режим инкогнито. 12. Изменения в Политике Оператор имеет право вносить изменения и дополнения в настоящую Политику. Изменения вступают в силу с момента их размещения на сайте Оператора. Субъекты персональных данных рекомендуются самостоятельно знакомиться с актуальной версией Политики. Действующая редакция Политики всегда доступна по адресу сайта Оператора или в его офисе. 13. Реквизиты Оператора Индивидуальный предприниматель Попкова Сандра Анатольевна ОГРНИП 324774600792170 ИНН 745600037824 Адрес: Российская Федерация, г. Москва E-mail: grimm.sandra@yandex.ru