Политика обработки персональных данных

Оператор — [полное наименование оператора ПД: ИП/ООО/самозанятый и т.п.], осуществляющий обработку персональных данных и определяющий цели обработки, состав персональных данных, действия (операции), совершаемые с персональными данными.

Сервис — программный комплекс Bookly, включая личный кабинет специалиста (мастера) и личный кабинет клиента, публичные страницы онлайн-записи и иные интерфейсы, предоставляемые Оператором.

Субъект персональных данных — физическое лицо, персональные данные которого обрабатываются в Сервисе.

Специалист — пользователь, использующий Сервис для ведения записи, клиентской базы, расписания и связанных функций (личный кабинет мастера).

Клиент — пользователь, оформляющий запись к Специалисту и/или использующий личный кабинет клиента в Сервисе.

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Оператор обрабатывает персональные данные на законной и справедливой основе, соблюдает конфиденциальность персональных данных, обеспечивает их безопасность и реализует правовые права субъектов персональных данных.

Настоящая Политика применяется ко всем субъектам, чьи персональные данные обрабатываются в Сервисе, в том числе Специалистам, Клиентам и посетителям сайта (в части cookie и технических данных).

Использование Сервиса, в том числе прохождение регистрации, оформление онлайн-записи, использование личных кабинетов и подтверждение согласия в интерфейсе, означает ознакомление с настоящей Политикой и выражение согласия на обработку персональных данных в объёме и на условиях, указанных ниже (если иное прямо не предусмотрено законом).

3.1. Специалист (личный кабинет мастера)

Могут обрабатываться, в том числе:

• идентификационные и контактные данные: имя, фамилия, телефон, адрес электронной почты;
• данные профиля и публичной витрины: сведения о специализации, адресе приёма, ссылках на соцсети, фото;
• данные учётной записи и аутентификации: идентификаторы в системе аутентификации, сведения о способе входа;
• данные, связанные с оказанием функций Сервиса: расписание, записи, CRM-данные, настройки уведомлений;
• данные, которые Специалист вносит о своих клиентах вручную (ФИО, телефон, примечания и т.п.) — в объёме, указанном Специалистом.

3.2. Клиент (онлайн-запись и личный кабинет клиента)

Могут обрабатываться, в том числе:

• идентификационные и контактные данные: имя, фамилия, телефон, адрес электронной почты;
• данные, связанные с записью: выбранные услуги, время визита, статусы записи, история взаимодействий;
• данные учётной записи и аутентификации;
• данные для уведомлений: настройки каналов (в т.ч. email, push, мессенджеры при подключении).

3.3. Технические данные и cookie

Автоматически могут обрабатываться технические данные: IP-адрес, сведения об устройстве и браузере, идентификаторы сессии, cookie и аналогичные технологии, метки времени запросов, данные, необходимые для обеспечения безопасности, предотвращения злоупотреблений и стабильной работы Сервиса.

Персональные данные обрабатываются в следующих целях:

• регистрация и аутентификация пользователей, обеспечение доступа к личным кабинетам;
• предоставление функциональности Сервиса: онлайн-запись, управление расписанием, CRM-функции для Специалиста, взаимодействие Специалиста и Клиента в рамках Сервиса;
• направление сервисных и информационных уведомлений, связанных с записью, статусами, безопасностью аккаунта и настройками пользователя;
• исполнение соглашений с пользователями и иных обязательств Оператора;
• улучшение качества Сервиса, аналитика и диагностика работы (в обезличенном виде — по возможности);
• соблюдение требований законодательства Российской Федерации.

Обработка персональных данных осуществляется на основаниях, предусмотренных ст. 6 и ст. 10 152-ФЗ, в том числе:

• согласие субъекта персональных данных на обработку его персональных данных;
• исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта;
• осуществление прав и законных интересов Оператора при условии, что не нарушаются права субъекта;
• иные основания, предусмотренные законодательством РФ.

При ручном внесении данных клиента в CRM Специалист действует как самостоятельный контролёр (оператор) в отношении таких данных в части своих обязанностей перед субъектом, если иное прямо не следует из соглашений сторон.

Оператор обеспечивает обработку указанных данных в рамках предоставления Сервиса (хранение, отображение, использование для функций записи и уведомлений) и применяет меры защиты, предусмотренные настоящей Политикой.

Специалист обязуется вносить персональные данные клиентов только при наличии надлежащих правовых оснований (в частности, согласия субъекта, если оно требуется) и не использовать Сервис для незаконной обработки данных.

Сервис использует cookie и локальное хранилище браузера для поддержания сеанса работы, разграничения режимов доступа, сохранения настроек интерфейса, отображения баннера согласия на использование cookie и обеспечения безопасности.

Пользователь может ограничить использование cookie в настройках браузера; при этом отдельные функции Сервиса могут стать недоступными или работать ограниченно.

Оператор вправе поручать обработку персональных данных третьим лицам (процессорам) при условии соблюдения требований 152-ФЗ и наличия соответствующих договоров/обязательств о конфиденциальности и защите данных.

Передача может осуществляться провайдерам инфраструктуры (хостинг, базы данных), сервисам аутентификации, почтовым и иным провайдерам доставки сообщений, push- и мессенджер-платформам — в объёме, необходимом для работы Сервиса.

Если обработка связана с использованием инфраструктуры, расположенной за пределами РФ, Оператор обеспечивает соблюдение требований законодательства о трансграничной передаче (при необходимости — на основании решений об адекватности, типовых договоров или иных предусмотренных законом оснований).

Персональные данные обрабатываются не дольше, чем этого требуют цели обработки, если иное не установлено законодательством РФ.

По достижении целей обработки, при отзыве согласия (если обработка основана на согласии) и отсутствии иных законных оснований Оператор прекращает обработку и уничтожает или обезличивает персональные данные, если иное не требуется для исполнения закона или справедливого баланса интересов.

В Сервисе может быть предусмотрен функционал удаления/обезличивания данных по запросу пользователя (в т.ч. для Специалиста — в объёме, реализованном интерфейсом и техническими средствами Сервиса).

Оператор принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

К мерам могут относиться: разграничение доступа, использование защищённых каналов связи, контроль действий в учётных записях, применение политик безопасности на уровне приложения и инфраструктуры.

Субъект персональных данных вправе:

• получать сведения об обработке его персональных данных;
• требовать уточнения персональных данных, их блокирования или удаления в случаях, предусмотренных законом;
• отозвать согласие на обработку персональных данных, если обработка основана на согласии;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в суд.

Для реализации прав предусмотрено направление обращения на адрес [email для обращений по ПД]. Оператор вправе запросить сведения, необходимые для идентификации субъекта, и ответить в сроки, установленные законодательством.

Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения на странице Сервиса, если иное не предусмотрено новой редакцией.

Оператор: [полное наименование оператора ПД: ИП/ООО/самозанятый и т.п.]

Адрес: [юридический/почтовый адрес]

ИНН: [ИНН], ОГРН (ОГРНИП): [ОГРН / ОГРНИП при наличии]

Email для обращений по персональным данным: [email для обращений по ПД]

Сайт Сервиса: [URL сервиса, например https://…]