Версия: 1108 от 11.08.2025
Дата вступления в силу: 11.08.2025

Общие положения

1. Настоящая Политика определяет порядок и условия обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ИП Лисин Артём Евгеньевич (далее — Оператор), в соответствии с Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных» и иными применимыми нормативными актами.
2. Политика является общедоступным документом Оператора и подлежит размещению/предоставлению для ознакомления субъектам персональных данных.
3. Термины используются в значениях, установленных законом, включая: «персональные данные», «обработка», «оператор», «обезличивание» и др.
4. Обработка персональных данных осуществляется с использованием средств автоматизации (например, CRM, сервисы онлайн‑записи) и/или без использования средств автоматизации (бумажные договоры, журналы и т.п.). При неавтоматизированной обработке Оператор соблюдает особенности, установленные Правительством РФ.

Сведения об Операторе и контактные каналы

5. Оператор: Индивидуальный предприниматель Лисин Артём Евгеньевич, ОГРН/ОГРНИП 322695200040429, ИНН 690809226125, адрес регистрации: 171161, РОССИЯ, обл ТВЕРСКАЯ, г ВЫШНИЙ ВОЛОЧЕК, ул 4-Я ПРОЛЕТАРСКАЯ, ДОМ 69.
6. Контакты для обращений субъектов персональных данных:
— e‑mail: yunastudio.main@gmail.com;
— адрес направления сообщений: г. Сестрорецк, ул. Воскова 12, стр. 1 пом. 9Н;
— телефон: +7 921 412 21 57.
7. Ответственным за организацию обработки персональных данных является ИП Лисин Артём Евгеньевич.
Принципы обработки и правовые основания
8. Оператор обрабатывает персональные данные на основе принципов законности, справедливости, целевого ограничения, минимизации и ограничения сроков хранения.
9. Обработка допускается при наличии оснований, предусмотренных законом, в частности:
— согласие субъекта;
— исполнение договора с субъектом/заключение договора по инициативе субъекта;
— исполнение обязанностей, возложенных законом;
— защита жизненно важных интересов, если получить согласие невозможно;
— иные основания, предусмотренные 152‑ФЗ.
10. Согласие даётся свободно, конкретно, предметно, информированно и однозначно; форма согласия выбирается так, чтобы Оператор мог подтвердить факт его получения. Для случаев, требующих письменной формы, используется бумажное согласие или электронный документ, подписанный электронной подписью по закону.

Категории субъектов и персональных данных

11. Категории субъектов, чьи персональные данные может обрабатывать Оператор:
— клиенты/посетители студии (включая владельцев абонементов);
— посетители сайта/онлайн‑сервисов Оператора;
— участники мероприятий/розыгрышей/акций;
— законные представители несовершеннолетних (если услуги оказываются детям/подросткам).
12. Категории персональных данных:
a) обычные персональные данные: ФИО, телефон, e‑mail, ник/ID в мессенджере, дата рождения/возраст, сведения об услуге/абонементе, история посещений, обращения/переписка, данные о лояльности/скидках;
b) платёжные/учётные данные: состав заказа/абонемента, сумма, статус оплаты, кассовые/бухгалтерские документы (при этом банковские реквизиты карты как правило обрабатываются банком/агрегатором; Оператор фиксирует лишь факт/параметры платежа, если так устроен процесс);
c) изображение и видео: фото/видео с тренировок, мероприятий, камер наблюдения;
d) технические данные сайта: IP‑адрес, сведения о браузере/устройстве, cookie/идентификаторы, данные аналитики (в той мере, в какой они относятся к определяемому лицу).
13. Биометрические персональные данные (например, распознавание лица, отпечаток пальца) Оператор не обрабатывает, если иное не будет прямо внедрено и оформлено отдельными документами и письменными согласиями.

Цели обработки

14. Оператор определяет цели обработки заранее и не обрабатывает данные несовместимо с заявленными целями.
15. Основные цели:
15.1. Запись на занятия и оказание услуг, управление абонементами, расписанием, доступом в студию, коммуникации по организационным вопросам.
15.2. Заключение и исполнение договора (оферта/абонемент/разовые услуги), включая идентификацию клиента в рамках договора и урегулирование спорных ситуаций.
15.3. Приём оплат, бухгалтерский и налоговый учёт, выдача чеков/документов.
15.4. Поддержка и качество сервиса: обработка обращений, контроль качества, анализ загрузки расписания, сервисные уведомления.
15.5. Маркетинг и продвижение (рассылки, акции, персональные предложения) — только при предварительном согласии и с возможностью немедленного прекращения по требованию субъекта.
15.6. Обеспечение безопасности (при наличии видеонаблюдения, пропускного режима), защита имущества, расследование инцидентов.
15.7. Работа сайта, обеспечение его функционирования, техническая аналитика и оценка эффективности используемых онлайн-сервисов.

Согласия и «раздельные галочки»

16. Оператор использует раздельные основания/согласия по принципу «минимально необходимого»:
— договор/оказание услуг — данные, необходимые для исполнения договора;
— маркетинг — отдельное предварительное согласие;
— публикация фото/видео — отдельное согласие на использование изображения + (при публикации/распространении) согласие на обработку данных, разрешённых для распространения, при необходимости.
17. Отказ от маркетингового/фото‑видео согласия не должен блокировать оказание базовой услуги, если для неё эти обработки не являются необходимыми.

Несовершеннолетние

18. Если услуги Оператора оказываются несовершеннолетним, обработка их персональных данных осуществляется в объёме, необходимом для заключения и исполнения договора, организации записи на занятия, коммуникации с законным представителем и обеспечения безопасного оказания услуг.
19. Согласие на обработку персональных данных несовершеннолетнего предоставляется его законным представителем в случаях, когда такое согласие требуется в соответствии с законодательством Российской Федерации. Оператор вправе запросить сведения и документы, подтверждающие статус законного представителя, если это необходимо для надлежащего оформления согласия, договора или иных документов.
20. Оператор стремится к минимизации объёма персональных данных несовершеннолетних и не осуществляет их распространение без отдельного надлежащего правового основания.
21. Вопросы фото-, видеосъёмки и использования изображения несовершеннолетнего регулируются отдельным согласием законного представителя.

Фото/видео, мероприятия и социальные сети

22. Обнародование и дальнейшее использование изображения гражданина (фото, видео) допускается только с согласия гражданина, за исключением случаев, прямо предусмотренных законодательством Российской Федерации.
23. Если Оператор осуществляет фото- или видеосъёмку клиентов, гостей мероприятий, участников занятий или иных лиц для размещения на сайте, в социальных сетях, рекламных материалах или иных публичных источниках, Оператор оформляет отдельное согласие на использование изображения и, при необходимости, отдельное согласие на обработку персональных данных, разрешённых субъектом для распространения.
24. Такое согласие должно позволять определить как минимум:
— перечень площадок и способов использования изображения;
—цели использования;
— срок действия согласия;
— порядок и способ его отзыва;
— ограничения или запреты, установленные субъектом персональных данных.
25. В отношении несовершеннолетних отдельное согласие на фото-, видеосъёмку и использование изображения предоставляется их законным представителем.

Cookie, аналитика и механика согласия на сайте

26. При посещении сайта Оператора могут обрабатываться технические данные, включая IP-адрес, сведения о браузере и устройстве, а также cookie-файлы, необходимые для функционирования сайта.
27. Аналитические и маркетинговые инструменты используются Оператором только при их фактическом внедрении на сайте и при наличии соответствующего правового основания в соответствии с законодательством Российской Федерации.
28. На дату утверждения настоящей Политики сайт Оператора находится в стадии разработки, в связи с чем перечень конкретных cookie-файлов, аналитических и маркетинговых инструментов подлежит уточнению и отражается в актуальной редакции Политики после внедрения соответствующих сервисов.

Видеонаблюдение (CCTV)

29. Оператор осуществляет видеонаблюдение в зоне ресепшена и в зале для занятий в целях обеспечения безопасности посетителей и работников, защиты имущества, предотвращения нарушений и разрешения спорных ситуаций.
30. Видеонаблюдение не осуществляется в помещениях, где ожидается повышенная приватность, в том числе в раздевалках и санитарных узлах.
31. Видеозаписи не используются для принятия решений, порождающих юридические последствия для субъектов персональных данных, за исключением случаев, прямо предусмотренных законодательством Российской Федерации.
32. Срок хранения видеозаписей составляет не более 14 календарных дней, если более длительное хранение не требуется для фиксации и разбирательства по инциденту, обращению, спору или по иному основанию, предусмотренному законодательством Российской Федерации.

Передача третьим лицам, обработчики и договоры поручения

33. Оператор не раскрывает персональные данные третьим лицам без согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
34. Для обеспечения работы сервисов Оператор вправе поручать обработку персональных данных уполномоченным обработчикам на основании договоров, предусматривающих соблюдение конфиденциальности персональных данных, требования к их защите, цели и объём обработки, перечень допустимых действий с персональными данными, а также обязанность уведомлять Оператора об инцидентах, связанных с персональными данными, без неоправданной задержки.
35. Оператор несёт ответственность перед субъектом персональных данных за действия уполномоченных обработчиков, если иное не установлено законодательством Российской Федерации. Уполномоченный обработчик несёт ответственность перед Оператором в соответствии с условиями заключённого договора и законодательством Российской Федерации.
36. Основные обработчики и получатели персональных данных, привлекаемые Оператором:
— amoCRM — ведение карточек клиентов, истории обращений и коммуникаций;
— Listok CRM — ведение записи на занятия, расписания, истории посещений и данных, необходимых для оказания услуг;
— АО «Тинькофф Банк» — обработка платежей при оплате услуг.

Локализация и трансграничная передача

37. При сборе персональных данных граждан Российской Федерации, в том числе с использованием информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение таких персональных данных с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с требованиями законодательства Российской Федерации.
38. Трансграничная передача персональных данных осуществляется Оператором только при наличии правового основания, фактической необходимости такой передачи и при соблюдении требований законодательства Российской Федерации о персональных данных.

Меры защиты, безопасность и обезличивание

39. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного/случайного доступа, изменения, уничтожения, распространения и иных неправомерных действий.
40. Меры в общем виде включают:
— разграничение доступа и учёт действий пользователей в информационных системах (CRM/админ‑панели);
— управление учётными записями и паролями, MFA где возможно;
— антивирус/межсетевое экранирование/резервное копирование;
— договорные меры с обработчиками и контроль их соблюдения;
— обучение сотрудников, допуск к данным по необходимости.
41. Требования к защите персональных данных в ИСПДн применяются с учётом постановления Правительства РФ № 1119 (уровни защищённости/система защиты).
42. Для аналитики и внутренней отчётности Оператор может использовать обезличивание (и/или псевдонимизацию) данных, чтобы снизить риски и ограничить обработки, не требующие идентификации клиента. Обезличивание понимается в значении закона и может выполняться методами, описанными в подзаконных актах/подходах регулятора.

Сроки хранения и уничтожение

43. Оператор хранит персональные данные не дольше, чем этого требуют цели их обработки, договорные отношения с субъектом персональных данных и требования законодательства Российской Федерации.
44. Персональные данные, обрабатываемые в связи с заключением и исполнением договора, оказанием услуг, расчётами и исполнением обязанностей по бухгалтерскому и налоговому учёту, хранятся в течение сроков, установленных законодательством Российской Федерации.
45. Персональные данные, обрабатываемые на основании согласия субъекта персональных данных для маркетинговых коммуникаций, хранения фото- и видеоматериалов, а также иных дополнительных целей, хранятся до достижения соответствующей цели или до отзыва согласия субъектом персональных данных, если более длительный срок не требуется в силу закона или для защиты прав и законных интересов Оператора.
46. Видеозаписи, полученные в рамках видеонаблюдения, хранятся в течение срока, указанного в настоящей Политике для видеонаблюдения, если более длительное хранение не требуется для фиксации и разбирательства по инциденту, обращению, спору или по иному основанию, предусмотренному законодательством Российской Федерации.
47. По достижении целей обработки, при утрате необходимости в достижении этих целей либо при наступлении иных оснований, предусмотренных законодательством Российской Федерации, персональные данные подлежат уничтожению или обезличиванию в установленном порядке.

Права субъекта и порядок обращений

48. Субъект персональных данных имеет права, предусмотренные законодательством Российской Федерации о персональных данных, включая право на получение информации об обработке его персональных данных, доступ к таким данным, их уточнение, блокирование, уничтожение, отзыв согласия на обработку персональных данных, а также иные права, предусмотренные законом.
49. Запрос субъекта персональных данных должен содержать сведения, позволяющие Оператору идентифицировать заявителя и установить факт обработки его персональных данных. Оператор вправе запросить дополнительную информацию, необходимую для подтверждения личности заявителя и обоснованности запроса.
50. Ответ на запрос субъекта персональных данных предоставляется в сроки, установленные законодательством Российской Федерации.
51. Требование субъекта персональных данных о прекращении обработки его персональных данных подлежит рассмотрению и исполнению в случаях и в сроки, предусмотренные законодательством Российской Федерации, за исключением случаев, когда Оператор вправе продолжить обработку персональных данных без согласия субъекта на основании закона.
52. Обращения и запросы по вопросам обработки персональных данных направляются по контактным данным Оператора, указанным в разделе «Сведения об Операторе».

Инциденты и уведомления Роскомнадзора (24/72)

53. При установлении факта неправомерной или случайной передачи/раскрытия персональных данных, повлёкшей нарушение прав субъектов, Оператор действует по регламенту:
— направляет первичное уведомление в Роскомнадзор в течение 24 часов;
— направляет дополнительное уведомление по итогам внутреннего расследования в течение 72 часов.
54. Порядок взаимодействия с Роскомнадзором по уведомлениям об инцидентах осуществляется по правилам, утверждённым Роскомнадзором.
55. Оператор обеспечивает, чтобы обработчики по договорам поручения оперативно уведомляли Оператора о подобных инцидентах и предоставляли информацию для 24/72‑процедуры.

Заключительные положения

50. Оператор вправе обновлять Политику. Новая редакция вступает в силу с даты её размещения/утверждения, если иное не указано в документе.
51. Если отдельные вопросы обработки регулируются договорами с клиентами/согласиями, применяется также соответствующая договорная документация, при условии что она не ограничивает права субъектов и соответствует закону.