Политика конфиденциальности (обработки персональных данных)

Дата публикации/вступления в силу: 19.10.2025 г. Индивидуальный предприниматель Попкова Сандра Анатольевна, ОГРНИП 324774600792170, ИНН 745600037824(далее – Оператор), в рамках своей деятельности осуществляет обработку персональных данных и придаёт большое значение защите конфиденциальной информации своих клиентов и посетителей сайта. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Федерального закона РФ от 27.07.2006 No152-ФЗ «О персональных данных» и нормативных актов Роскомнадзора и определяет порядок обработки персональных данных, цели обработки, меры по защите персональных данных, а также права субъектов персональных данных и способы их реализации Важно: Оформляя заказ услуг, оставляя заявку на сайте, направляя Оператору сообщения либо продолжая использование нашего сайта www.sandragrimm.ru, Вы выражаете согласие с условиями настоящей Политики. Если Вы не согласны с какими-либо положениями, просим воздержаться от предоставления персональных данных и использования сайта. 1. Общие положения 1.1. Настоящая Политика разработана в исполнение требований п.2 ч.1 ст.18.1 Федерального закона No152-ФЗ «О персональных данных» и является локальным нормативным актом Оператора, определяющим цели и условия обработки персональных данных, а также меры по их защите. Политика действует в отношении всей информации о пользователях, которую Оператор может получить в ходе использования ими сайта и/или в процессе оказания услуг. 1.2. Положения Политики распространяются на все операции с персональными данными, осуществляемые Оператором, как с использованием средств автоматизации, так и без таковых (неавтоматизированная обработка). Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и раскрытия, в соответствии со ст.19 Закона No152-ФЗ. 1.3. Термины и определения, используемые в Политике: - Персональные данные (ПДн) – любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). К таким данным относятся, в частности: фамилия, имя, отчество, дата рождения, контактные данные (телефон, email, адрес), данные паспорта или иного документа, фото- и видеоматериалы с изображением физического лица, сведения о платежах, иные данные, которые субъекты предоставляют о себе. - Обработка персональных данных – любое действие (операция) или совокупность действий с персональными данными, включая сбор, запись, систематизацию, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление, уничтожение данных. - Оператор – лицо (в данном случае индивидуальный предприниматель), самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки. Оператором персональных данных в рамках настоящей Политики является ИП Попкова Сандра Анатольевна. - Субъект персональных данных (Субъект) – физическое лицо, к которому относятся обрабатываемые персональные данные. В различных случаях субъектами ПДн по отношению к Оператору могут являться: клиенты – физические лица (потребители) услуг Оператора; представители, сотрудники либо контактные лица корпоративных клиентов (юридических лиц или ИП); посетители веб-сайта, оставляющие данные через формы обратной связи; иные лица, чьи данные обрабатываются у Оператора с их согласия или на ином законном основании (например, лица, давшие согласие на съёмку и обработку их изображений). - Сайт – интернет-сайт Оператора, расположенный по адресу: www.sandragrimm.ru, а также его поддомены. - Cookies – небольшие файлы, сохраняемые на устройстве пользователя (компьютере, смартфоне и др.) при посещении сайта. Cookies позволяют «запоминать» информацию о действиях пользователя на сайте и его предпочтениях, а также собирать статистику о посещениях. В рамках настоящей Политики под cookies понимаются также иные технологии, схожие по назначению (например, local storage, пиксель-теги). - Обезличивание персональных данных – действия, в результате которых невозможно определить без дополнительной информации принадлежность персональных данных конкретному субъекту. - Блокирование персональных данных – временное прекращение обработки персональных данных (кроме случаев, когда обработка необходима для уточнения данных). (Примечание: В Политике используются и иные определения согласно закону 152-ФЗ: распространение, предоставление данных, трансграничная передача и т.п. Здесь они не приводятся ради краткости, но используются в соответствующих разделах.) 1.4. Правовые основания обработки. Оператор обрабатывает персональные данные на следующих основаниях: - Согласие субъекта персональных данных на обработку (сбор данных через сайт, заключение договора оферты – является согласием на обработку предоставленных данных). Оператор гарантирует, что согласие свободно, по собственной воле и в своем интересе субъекта - Заключение и исполнение договора с субъектом данных (ст.6 ч.1 п.5 Закона 152-ФЗ) – например, обработка данных клиента для оказания ему услуг фото-/видеосъёмки, выполнения расчетов, доставки результатов. - Выполнение требований закона (ст.6 ч.1 п.1, п.2 Закона 152-ФЗ) – обработка, необходимая для исполнения обязанностей Оператора, возложенных законодательством (например, ведение бухгалтерского учета, налоговой отчетности – обработка паспортных данных для договоров с физлицами, передача фискальных данных о платеже в налоговые органы и т.п.). - Иные законные основания: достижение целей, предусмотренных международными договорами или законом; осуществление правосудия; необходимость защиты жизненно важных интересов субъекта и др. (ст.6 Закона No152-ФЗ). 1.5. Принципы обработки. Оператор придерживается принципов минимизации персональных данных и добросовестности их использования. Обрабатываются только те данные, которые необходимы для конкретно заявленных целей. Не допускается обработка персональных данных, несовместимая с целями сбора; не собираются избыточные данные. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям их обработки. При обработке персональных данных Оператор обеспечивает точность данных, их достаточность, а при необходимости – актуализацию; принимает меры по удалению или уточнению неполных или неточных данных. 2. Цели обработки персональных данных Оператор осуществляет обработку персональных данных исключительно в определённых, явных и законных целях. Каждая операция (процесс) обработки привязана к конкретной цели, о которой субъект информируется. Ниже перечислены основные цели обработки и связанные с ними категории данных: 2.1. Оказание услуг, исполнение договоров с клиентами. Это включает в себя: регистрацию и идентификацию Заказчика, коммуникацию по вопросам оказания услуг, предоставление результатов съёмки, ведение бухгалтерии и расчётов. Для этой цели обрабатываются данные: ФИО, контактные данные (телефон, email, адрес), реквизиты документов (для договора и акта при необходимости), платежные реквизиты (например, последние цифры карты при оплате онлайн), фото/видео с участием клиента (обрабатываются для их передачи клиенту). Правовым основанием здесь служит заключение и исполнение договора по инициативе субъекта (ст.6 ч.1 п.5 152-ФЗ) либо его явное согласие, выраженное путем предоставления данных и акцепта оферты. Срок хранения: данные о заказах хранятся не менее срока исковой давности (3 года) с момента оказания услуг; ключевые документы (договор, акты, счет-фактуры) – 5 лет (требование налогового законодательства). 2.2. Обратная связь с посетителями сайта, обработка запросов. Когда пользователь заполняет форму обратной связи, отправляет заявку или вопрос через сайт либо напрямую на email/мессенджеры, предоставленные персональные данные (имя, контактная информация, содержимое обращения) обрабатываются для ответа на запрос, консультации, подготовки предложения об услугах. Основание обработки – согласие субъекта, выраженное фактом отправки запроса через форму (пользователь соглашается с Политикой, проставляя отметку перед отправкой формы). Срок обработки: до момента ответа и закрытия вопроса, далее переписка может храниться до 1 года в архиве (для улучшения сервиса и истории взаимодействий), либо дольше, если из переписки вырос договор (см. п.2.1) или если требуется для защиты прав (например, если был конфликт). 2.3. Рассылка новостей, уведомлений (маркетинговая рассылка). С согласия клиента Оператор может использовать email-адрес или номер телефона для отправки информационных материалов: новости о новых услугах, специальные предложения, портфолио и т.п. Такие рассылки осуществляются только при наличии предварительного отдельного согласия (например, пользователь сам подписался на новостную рассылку на сайте или дал согласие при оформлении заказа). Субъект вправе в любой момент отказаться от рассылки, воспользовавшись ссылкой «Отписаться» в письме либо направив запрос Оператору. Основание – согласие (ст.6 ч.1 п.1 152-ФЗ). Срок хранения email для рассылки: до отзыва согласия (отписки). После отписки адрес удаляется из базы рассылки в течение 5 (пяти) рабочих дней. 2.4. Аналитика посещаемости сайта, улучшение сервиса. Оператор собирает обезличенные данные о посещении сайта посредством cookie-файлов и встроенных аналитических сервисов (таких как Яндекс.Метрика и аналогичные). Эти данные включают: информацию о устройстве и браузере пользователя, IP-адрес, географическое приблизительное положение, данные о просмотренных страницах и совершённых действиях на сайте, уникальные идентификаторы cookie и др. Цель обработки – анализ активности пользователей на сайте, оптимизация его работы, маркетинговый анализ эффективности рекламы. Данные собираются и анализируются в обезличенном виде (Оператор не пытается установить личность посетителя по cookies). Однако, согласно позиции Роскомнадзора и судебной практике, файлы cookie могут считаться персональными данными, т.к. связаны с конкретным пользователем. Поэтому сбор таких данных производится с согласия пользователя: при первом заходе на сайт показывается уведомление (баннер) о применении cookie, и пользователь, продолжая использование сайта, тем самым даёт согласие на обработку cookie. Пользователь может в любой момент отозвать это согласие, очистив cookies или отключив их в браузере. Срок хранения cookie: cookies хранятся на устройстве пользователя до истечения их срока или до удаления пользователем; аналитические данные хранятся Оператором в системе веб-аналитики в сводном виде до 24 (двадцати четырех) месяцев для долговременного анализа. 2.5. Выполнение законодательно установленных обязанностей. Оператор может обрабатывать и передавать определенные персональные данные, если это требуется по закону или запросу уполномоченных органов. Например: передача фискальных данных о платеже (сумма, наименование и контакт покупателя при необходимости) в налоговые органы через оператора фискальных данных; предоставление информации по мотивированному запросу полиции или суда (при наличии законных оснований); хранение и предоставление персональных данных по требованиям закона о бухгалтерском учёте, о противодействии отмыванию доходов и др. В этих случаях цель обработки – исполнение правовых обязательств, основание – требования законодательства (ст.6 ч.1 п.2 152-ФЗ). Срок хранения определяется конкретными законами (например, бухгалтерские документы – 5 лет, данные о транзакциях – 5 лет). (В случае возникновения новых целей обработки Оператор обновит настоящую Политику и, при необходимости, получит дополнительное согласие субъектов.) 3. Категории обрабатываемых данных и субъектов В рамках указанных целей Оператор обрабатывает персональные данные следующих основных категорий субъектов: - Клиенты – физические лица (Заказчики услуг). Это лица, заключившие с Оператором договор возмездного оказания услуг (акцептовавшие оферту) для личных, семейных нужд. В отношении них обрабатываются данные, перечисленные в п.2.1: контактные и идентификационные данные, данные, необходимые для оказания услуги (в т.ч. изображения этих лиц, если они участвуют в фотосъёмке), а также данные о оплатах. Такие субъекты обладают всеми правами, предусмотренными законом о персональных данных и Законом «О защите прав потребителей» (последний – в части, не противоречащей регулированию персональных данных). - Представители клиентов – юридических лиц / ИП. Оператор оказывает услуги не только потребителям, но и коммерческим организациям, которым персональные данные как таковые не принадлежат. Однако при взаимодействии с юридическими лицами Оператор неизбежно обрабатывает персональные данные представителей этих организаций (руководителей, сотрудников, контактных лиц). Обычно это минимальный объем: ФИО представителя, его должность, рабочий телефон/email. Такие данные используются исключительно для коммуникации и исполнения договора с организацией. Важно отметить: информация о юридических лицах не является персональными данными (напр., название ООО, юридический адрес – не ПДн), поэтому на нее действие Закона 152-ФЗ не распространяется. Однако данные конкретного контактного лица (имя, телефон) – персональные, и Оператор защищает их и обрабатывает по тем же правилам, что и данные клиентов–физлиц. Права этих субъектов (например, право запросить информацию о своих данных) также обеспечиваются. Предоставляя Оператору персональные данные своих работников/представителей, юридическое лицо подтверждает, что получило от них согласие на передачу данных Оператору либо иное правовое основание, позволяющее это сделать. - Пользователи веб-сайта. Лица, посещающие сайт Оператора www.sandragrimm.ru и могущие оставлять свои данные через онлайн-формы, либо автоматически предоставляющие некоторые данные через cookie и системы аналитики. В отношении них обрабатываются: данные, которые они вводят (например, имя и контакт в форме заявки) и технические данные, собираемые автоматически (см. п.2.4 о cookies). Субъектом ПДн здесь является сам посетитель (если это физическое лицо). Такие пользователи либо становятся впоследствии клиентами (тогда применяются все положения, как к клиентам), либо остаются посетителями. Их права на конфиденциальность соблюдаются так же, как и у клиентов. Кроме того, Оператор может обрабатывать персональные данные других категорий субъектов в следующих случаях: - Контрагенты (поставщики, партнеры) – физические лица. Если Оператор заключает договоры с физическими лицами не как с клиентами, а как с поставщиками (например, нанимает фотографа по договору ГПХ, модель, визажиста и т.п.), их данные также подпадают под защиту. В таких случаях Оператор запрашивает у них согласие или действует на основании договора, а обработка ограничивается необходимым для взаимоотношений набором (ФИО, контакты, ИНН для самозанятых, реквизиты для оплаты). Для целей данной Политики основные положения о правах субъектов также применимы к этим лицам. - Лица, изображённые на фотографиях/видео. Отдельно стоит категория субъектов, чьи персональные данные могут обрабатываться в виде изображений (фото, видео) – это могут быть люди, присутствующие в кадре, помимо самого заказчика. Например, при съёмке мероприятия – гости, участники; при съёмке для бизнеса – сотрудники компании-заказчика; при семейной фотосессии – родственники заказчика. Персональные данные этих лиц (их образы) обрабатываются Оператором в процессе выполнения договора с заказчиком. Оператор исходит из того, что заказчик получил согласие этих лиц на съёмку и дальнейшую обработку их изображения, либо такая обработка разрешена законом (ст.152.1 ГК РФ допускает использование изображения без согласия, если фотографирование производится в местах, открытых для свободного посещения, или на публичных мероприятиях, либо если изображённое лицо позировало за плату). Во всяком случае, Оператор принимает на себя обязательство не использовать такие фотографии и видео нигде, кроме как передать их самому заказчику и обработать по его заказу, если иное не будет прямо согласовано (как, например, публикация в портфолио – см. договор оферты, раздел об авторских правах). Все права и меры защиты, касающиеся персональных данных, распространяются на такие изображения. По требованию любого изображенного лица Оператор удалит или обезличит (например, размоет изображение лица) соответствующие материалы, если для хранения/использования таких материалов нет законных оснований. 4. Передача персональных данных третьим лицам 4.1. Оператор в ходе своей деятельности может передавать персональные данные субъектов третьим лицам, но только в случаях: когда это необходимо для достижения целей обработки или предусмотрено законом, и при условии обеспечения конфиденциальности и безопасности данных при передаче. Случаи, в которых может осуществляться предоставление данных: - Передача данных для оказания услуг. В пределах выполнения заказа Оператор может привлечь третьих лиц (соисполнителей, субподрядчиков) – например, ассистента фотографа, ретушера, студию для печати фотокниг, службу доставки, облачное хранилище для передачи файлов. В этих случаях объем передаваемых данных минимален (например, службе доставки – адрес и имя получателя, облачному сервису ретушеру – сами фотографии, ассистенту – необходимые контактные либо технич. данные для участия в съёмке). Каждый такой третий лица действует на основании договора с Оператором, который обязывает его сохранять конфиденциальность полученных данных. За любыми такими третьими лицами Оператор сохраняет контроль и несет ответственность перед субъектом за их действия (как за свои). Если по каким-то причинам субъект не желает, чтобы его данные передавались определенному лицу, он может сообщить об этом, и Оператор либо найдет альтернативу, либо объяснит необходимость. - Передача по требованиям закона. Персональные данные могут быть предоставлены уполномоченным государственным органам (полиции, суду, Роскомнадзору, Роспотребнадзору и др.) в случаях, прямо предусмотренных законодательством. Например, по официальному запросу суда в рамках дела, Оператор обязан предоставить запрашиваемые сведения. В таких случаях Оператор проверяет полномочия запросившего органа и обеспечивает передачу строго того объема данных, который запрошен и необходим. - Передача правообладателям в случае нарушений. В редких случаях, если заказчик предоставил Оператору материалы, нарушающие чужие права (например, музыку для монтажа видео без лицензии) и правообладатель требует сведения о нарушителе, Оператор, действуя в рамках закона, может передать правообладателю контактные данные такого заказчика для урегулирования претензий. Это будет сделано только при наличии законных оснований и официального запроса. - Передача в рамках реорганизации бизнеса. Если Оператор (ИП) будет прекращать деятельность, передавая ее правопреемнику (например, превращение в ООО, либо уступка договора), персональные данные могут перейти к новому владельцу бизнеса при условии соблюдения прав субъектов и уведомления. Субъект в таком случае будет вправе отказаться от продолжения обработки новым оператором. 4.2. Трансграничная передача данных: Персональные данные граждан РФ, собранные Оператором, хранятся на серверах, расположенных на территории Российской Федерации (в соответствии с требованием ч.5 ст.18 Закона 152-ФЗ о первоначальном сборе в РФ). Трансграничная передача (в другие страны) персональных данных Оператором намеренно не осуществляется, за исключением случаев, когда это необходимо для выполнения пожелания субъекта или специфики используемого им сервиса. Например, если клиент запросил передать ему фотографии через облачный сервис, серверы которого могут находиться за пределами РФ, то, предоставляя такую услугу, Оператор фактически осуществляет трансграничную передачу данных с согласия субъекта. Также некоторые сторонние сервисы, используемые Оператором, могут размещать данные за рубежом (например, Google Analytics, принадлежащий компании в США). В таких случаях Оператор получает от субъекта согласие на трансграничную передачу путем акцепта данной Политики и использования соответствующих сервисов. Оператор убедится, что иностранные государства, на чью территорию могут попасть данные, обеспечивают адекватную защиту прав субъектов персональных данных (либо отдельно получит письменное согласие субъекта на конкретную передачу в страну без адекватной защиты, как это допускается законом). 4.3. Передача в маркетинговых целях: Оператор не продаёт и не предоставляет персональные данные клиентов каким-либо сторонним рекламодателям и маркетинговым организациям, не относящимся к оказанию услуг. Персональные данные используются только для целей, описанных в Политике, и только Оператором или его доверенными помощниками. Если в будущем возникнет потребность предоставить данные партнёру (например, фотостудии, предлагающей скидку клиентам Оператора) – это будет сделано только с предварительного явного согласия субъектов. 5. Меры по защите персональных данных Оператор принимает все необходимые меры, предусмотренные ст.19 закона No152-ФЗ, для обеспечения безопасности персональных данных при их обработке. В частности, реализованы следующие меры защиты: - Правовые меры: разработаны и утверждены локальные акты, регламентирующие обработку персональных данных (настоящая Политика, положения договора-оферты о конфиденциальности). С работниками и привлекаемыми лицами, имеющими доступ к данным, заключены соглашения о неразглашении (NDA) либо включены соответствующие условия в договоры. - Организационные меры: определен ответственный за организацию обработки персональных данных (предприниматель осуществляет функцию ответственного лично, либо назначен сотрудник). Проводится обучение лиц, допущенных к обработке, правилам обращения с ПДн. Доступ к персональным данным имеют только те сотрудники или помощники, которым он необходим для выполнения рабочих функций. Вся бумажная документация с персональными данными хранится в сейфе или закрытом шкафу, доступном только Оператору (либо уполномоченным лицам). - Технические меры: используется современное антивирусное ПО и регулярно обновляемые системы защиты на компьютерах, где хранятся данные. Передача конфиденциальных данных через сайт защищена протоколом HTTPS (SSL). Серверы хостинга, на котором находится сайт и базы данных, расположены в сертифицированных дата-центрах с охраной и ограниченным доступом. Резервное копирование данных производится регулярно на защищенные носители. При удалении/уничтожении персональных данных Оператор использует методы, гарантирующие невозможность восстановления (например, безопасное стирание электронных носителей). - Контроль и аудит: Оператор периодически проводит проверку своих процессов обработки на соответствие требованиям законодательства и настоящей Политики. В случае выявления недостатков принимаются меры для их устранения. - Инциденты и реагирование: В случае обнаружения факта несанкционированного доступа или утечки персональных данных Оператор незамедлительно проводит расследование, выявляет причины и принимает меры по ликвидации последствий, а также (при существенном нарушении прав субъектов или угрозе им) уведомляет Роскомнадзор и субъектов в соответствии с требованиями закона. Оператор осознает, что, несмотря на предпринимаемые меры, ни один способ передачи данных по Интернету или метод электронного хранения не гарантирует 100% безопасности. Однако Оператор стремится максимально приблизиться к этому уровню и постоянно совершенствует систему защиты. 6. Права субъектов персональных данных Субъекты персональных данных, чьи данные обрабатываются Оператором, обладают правами, предусмотренными законом No152-ФЗ и другими нормативными актами. Оператор уважает эти права и обеспечивает возможность их реализации. В частности, каждый субъект имеет право: 6.1. Право на получение информации об обработке своих данных. Субъект вправе запросить у Оператора сведения, касающиеся обработки его персональных данных: подтверждение факта обработки, правовые основания, цели, применяемые способы, перечень обрабатываемых данных, источники их получения, сведения о третьих лицах, которым данные раскрываются, сроки обработки (хранения) и т.д. Оператор обязан предоставить такую информацию в понятной форме в течение 30 дней с момента получения запроса субъекта (ч.7 ст. 14 закона 152-ФЗ). Это право может быть ограничено только в случаях, предусмотренных законом (например, Оператор вправе отказать в предоставлении части сведений, если они содержат персональные данные другого субъекта без его согласия). 6.2. Право требовать уточнения, блокирования или уничтожения данных. Если субъект считает, что его данные являются неточными, неполными, или обработка ведется с нарушением закона, он может направить Оператору требование об уточнении (обновлении, изменении) данных, их блокировании (временной приостановке обработки) или уничтожении. Оператор при согласии с требованием обязан внести необходимые изменения или прекратить обработку в срок не более 7 рабочих дней, уведомив субъекта (ст. 14, 15 закона 152-ФЗ). Если оснований для удовлетворения требования нет, Оператор предоставит мотивированный отказ в том же срок. 6.3. Право на отзыв согласия. Если обработка персональных данных осуществляется на основании ранее данного согласения субъекта, субъект вправе в любой момент отозвать такое согласие. О способах отзыва подробно указано в договоре-оферте и в разделе 8 Политики (обычно – направлением письма на email Оператора с соответствующим заявлением). После получения отзыва Оператор обязан прекратить обработку тех данных, которые обрабатывались только на основании согласия, и при отсутствии иных законных оснований – уничтожить их в срок не более 30 (тридцати) дней (если иной срок не установен законодательством). Отзыв согласия не имеет обратной силы: действия по обработке, которые были совершены до отзыва, остаются законными. 6.4. Право на обращение в уполномоченный орган и судебную защиту. Если субъект полагает, что Оператор нарушает его права в сфере персональных данных, он может обратиться с жалобой в Роскомнадзор (федеральный орган, осуществляющий контроль и надзор в сфере персональных данных) либо в суд. Действия/бездействие Оператора могут быть обжалованы. Перед этим мы рекомендуем, по возможности, сперва направить претензию нам (Оператору) напрямую, чтобы мы смогли оперативно исправить ситуацию (см. п.6.6). Но это лишь рекомендация – закон позволяет сразу обращаться в надзор. 6.5. Право на отказ от автоматизированных решений. В случае, если Оператор когда- либо будет осуществлять полностью автоматизированную обработку персональных данных, повлекшую юридические последствия для субъекта (например, профилирование без участия человека), субъект имеет право требовать объяснение такого решения и не соглашаться с ним, потребовав пересмотра с участием человека. На момент публикации Политики Оператор подобных практик не применяет – все решения, касающиеся клиентов, принимаются уполномоченными сотрудниками в индивидуальном порядке. 6.6. Другие права. Субъект также вправе требовать уведомления всех лиц, которым ранее были переданы его неверные или незаконно обрабатываемые данные, о произведенных исправлениях или уничтожении данных (за исключением случаев, когда это невозможно или несопоставимо трудно для Оператора). Имеет право на защиту своих прав, включая возмещение убытков и компенсацию морального вреда в судебном порядке, при нарушении Оператором норм закона. Порядок реализации прав: Для осуществления своих прав субъект может направить Оператору письменный запрос по почте (на адрес местонахождения) либо электронный запрос на e-mail: grimm.sandra@yandex.ru. Запрос должен исходить именно от того лица, чьи данные запрашиваются/ корректируются – поэтому Оператор может запросить дополнительные сведения, позволяющие удостовериться в личности заявителя (например, электронную подпись, либо если запрос в простой форме – копию документа субъекта или иные идентификаторы). Запрос должен содержать либо номер основного документа субъекта (паспорт) и подпись (для письменного), либо иные сведения, позволяющие подтвердить авторство обращения (ч.3 ст. 14 152-ФЗ). Ответ будет предоставлен в течение 30 (тридцати) дней либо быстрее, в зависимости от характера обращения. За реализацию прав субъектов плата не взимается (кроме случаев, прямо предусмотренных законом). 7. Порядок сбора, хранения, обработки и уничтожения персональных данных 7.1. Получение данных: Оператор получает персональные данные непосредственно от субъектов, как правило: через оформление заказа (анкета или договор, заполненный субъектом), через формы на сайте (с отметкой согласия с Политикой), посредством электронной почты или мессенджеров (когда субъект сам направляет свои данные, например, для уточнения деталей заказа). Также возможны случаи получения данных от третьих лиц с согласия субъекта (например, клиент мог поручить своему секретарю передать Оператору данные для связи – тогда Оператор считает, что такое распространение данных произведено с ведома субъекта). Оператор не осуществляет сбора персональных данных из общедоступных источников и не покупает базы данных из сторонних рук. Все данные – от самих субъектов или по их поручению. Предоставляя данные, субъект подтверждает их достоверность и законность их передачи Оператору. Оператор не проверяет актуальность предоставленных данных самостоятельно, полагаясь на предоставленную субъектом информацию, однако при длительных отношениях может уточнять (например, просить подтвердить актуальность контактного телефона). 7.2. Хранение данных: Персональные данные хранятся как в электронном виде (в защищенных информационных системах Оператора), так и при необходимости на бумажных носителях (договоры, акты). Электронные базы данных размещены на серверах на территории РФ. Бумажные документы – в офисе (домашнем офисе) Оператора по адресу регистрации ИП г. Москва, Рублевское шоссе 26к1. Сроки хранения определяются целями обработки и требованиями закона, подробно по каждой категории указаны в п.2. По истечении срока хранения данные подлежат уничтожению или обезличиванию. В период хранения Оператор обеспечивает их конфиденциальность и безопасность. 7.3. Использование данных: Обработка (использование) персональных данных осуществляется в соответствии с заявленными целями. Доступ к данным имеют только сам Оператор и уполномоченные им лица (сотрудники, привлекаемые специалисты), и только в объеме, необходимом для выполнения конкретной задачи. Например, визажист, нанятый для съёмки, не получит никаких контактных данных клиентов – лишь информацию о времени и месте, где нужно присутствовать. Вся обработка ведется на территории РФ, если иное не обусловлено использованием сервисов (см. про трансграничную передачу в п.4.2). Автоматизированная обработка (как в случае cookies) осуществляется с использованием программного обеспечения, настройки которого производит Оператор или доверенные операторы (Яндекс и прочие). Автоматизированного принятия решений, порождающего юридические последствия для субъекта, не производится. 7.4. Передача (предоставление) данных: Осуществляется по правилам, изложенным в разделе 4 Политики. Каждая передача третьему лицу фиксируется в реестре операций с персональными данными (Оператор ведет такой для внутреннего учета). При передаче Оператор всегда заключает соглашение о конфиденциальности с получателем или включает необходимые условия в договор. 7.5. Уничтожение персональных данных: Персональные данные уничтожаются (или обезличиваются) при достижении целей обработки либо при отзыве согласия субъектом, если дальнейшая обработка незаконна. Уничтожение персональных данных производится путем их безвозвратного удаления из электронных систем (с предварительным постоянным стиранием резервных копий) и/или путем физического уничтожения носителей (шредирование бумаг, разрушение жестких дисков, либо, если носитель нужен – полное удаление информации с него с невозможностью восстановления). Составляется акт об уничтожении (для значимых массивов данных). В случае, если субъект отозвал согласие, но закон требует продолжить хранение определенной информации (например, чек о платеже для налоговой) – такие данные будут изъяты из активной обработки (заблокированы) и хранятся только в архиве до истечения срока, потом тоже уничтожаются 25 . Оператор разрабатывает процедуры на случай, если Роскомнадзор запросит демонстрацию процесса уничтожения – в общем случае все делается в соответствии с Требованиями к защите ПДн и рекомендациями регулятора. 8. Условия согласия на обработку cookies и других данных пользователей сайта (Данный раздел выделен для ясности, учитывая особое внимание к cookie-файлам со стороны регуляторов в 2024-2025 гг. и необходимости явного информирования пользователей.) 8.1. Использование cookie-файлов. Как указано в п.2.4, сайт Оператора применяет cookie- файлы для обеспечения функций сайта и анализа трафика. При первом посещении сайта пользователь видит баннер/уведомление с предупреждением о использовании cookies и предложением согласиться. Продолжая использование сайта (пролистывая страницу, нажимая на элементы сайта), пользователь тем самым дает согласие на обработку cookie-файлов и связанных с ними данных. Если пользователь не согласен, он должен покинуть сайт или отключить cookies в браузере. В случае отключения некоторых типов cookies, часть функций сайта может стать недоступной. 8.2. Типы используемых cookies: - Строго необходимые cookies: технические файлы, без которых сайт не функционирует (например, cookies для сохранения состояния сессии, предпочтений отображения). Они могут устанавливаться без явного согласия, так как необходимы сугубо для предоставления запрошенной услуги (отображения сайта). - Аналитические cookies: файлы, собираемые сервисами веб-аналитики (Яндекс и другие) для формирования обобщенной статистики по посещениям. Эти cookies собирают обезличенную информацию, однако имеют уникальный идентификатор браузера. Мы их используем для улучшения качества сервиса. - Функциональные cookies: (если применимо) – позволяющие запоминать выборы пользователя (например, язык сайта, заполненные ранее поля формы). - Рекламные cookies: (если Оператор использует ремаркетинг или таргетинг) – могут применяться третьими лицами для показа рекламы на сторонних платформах. На данный момент Оператор не применяет сторонние рекламные cookies без дополнительного уведомления. 8.3. Управление cookies: Пользователь может в любой момент отозвать согласие на использование cookie, очистив cookies через настройки браузера и прекратив использование сайта. Также можно настроить браузер на блокировку всех сторонних cookies или выдачу уведомлений. Оператор обрабатывает сигнал “Do Not Track” (Если браузер посылает такой заголовок) – на нашем сайте это означает, что аналитические скрипты не будут загружены. Подробнее о том, как отключить cookies, можно узнать в справке вашего браузера. 8.4. Согласие на аналитику: Продолжая использовать наш сайт, пользователь соглашается также на обработку его обезличенных данных сервисами аналитики (такими как Yandex Metrica и другие). Эти сервисы действуют на основании собственных политик конфиденциальности, однако Оператор в договоре с ними обязуется соблюдать требования к защите ПДн. Все данные, передаваемые в аналитику, обезличены и не содержат прямых идентификаторов (мы не передаем имени или контактной информации в эти системы, только технические параметры и уникальные коды). Если вы не хотите подвергаться аналитике – пожалуйста, отключите cookies или используйте режим инкогнито. 9. Заключительные положения 9.1. Настоящая Политика утверждена ИП Попкова Сандра Анатольевна и действует бессрочно до замены новой редакцией. Актуальная редакция доступна для ознакомления всем лицам в любой момент на сайте Оператора (ссылка внизу каждой страницы). Также ссылка на Политику размещена под всеми формами ввода данных на сайте . 9.2. Оператор оставляет за собой право вносить изменения в Политику. При внесении изменений в заголовке Политики (в начале текста) указывается дата последнего обновления. Существенные изменения (например, изменение целей обработки, расширение перечня данных) могут доводиться до сведения субъектов посредством дополнительных уведомлений (например, через электронную рассылку клиентам или всплывающее уведомление на сайте). Продолжение использования сайта или услуг после публикации новой редакции означает согласие с изменениями. 9.3. Ко всем отношениям, связанным с обработкой персональных данных и не урегулированным настоящей Политикой, применяется законодательство Российской Федерации. Вопросы защиты персональных данных, не урегулированные прямо в Политике, регулируются в соответствии с Федеральным законом No152-ФЗ, подзаконными актами Роскомнадзора, а также общими нормами гражданского законодательства о защите частной жизни. 9.4. Контактные данные Оператора по вопросам персональных данных: e-mail: grimm.sandra@yandex.ru. Сюда можно направлять любые запросы, касающиеся реализации ваших прав, сообщений об инцидентах и т.д. Ответственное лицо за обработку персональных данных – ИП Попкова Сандра Анатольевна. 9.5. Данная Политика составлена на русском языке. Если будет предоставлен перевод на другой язык, то в случае разночтений русскоязычная версия имеет приоритет. 9.6. Субъект, предоставляя свои данные Оператору (через сайт или любым другим способом), подтверждает, что ознакомлен с настоящей Политикой, понял её содержание и согласен с её условиями. Оператор, со своей стороны, гарантирует строгое соблюдение настоящей Политики и приложит все необходимые усилия для защиты персональных данных пользователей. (Утверждено ИП Попкова Сандра Анатольевна «19» октября 2025 г.)