ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Индивидуального предпринимателя Булас Кэтрин Андреевны
Санкт-Петербург, 2026 г.

1. ОБЩИЕ ПОЛОЖЕНИЯ И ОПРЕДЕЛЕНИЯ
1.1 Назначение документа
Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями:
  • Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152);
  • Федерального закона от 08.08.2024 № 233-ФЗ «О внесении изменений в Федеральный закон "О персональных данных"»;
  • Указа Президента РФ от 02.03.2022 № 100 «О мерах по дальнейшему обеспечению информационной безопасности Российской Федерации»;
  • Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • принципов GDPR и CCPA (в случае обработки данных граждан ЕС и США).
Политика определяет:
  • цели, правовые основания, порядок и объем обрабатываемых персональных данных;
  • категории субъектов персональных данных;
  • реализуемые требования к защите персональных данных;
  • процедуры взаимодействия с субъектами персональных данных.
1.2 Определения
Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без таких средств с персональными данными, включая сбор, запись, организацию, накопление, изменение, использование, распространение, передачу, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных — индивидуальный предприниматель Булас Кэтрин Андреевна (далее — «Оператор», «Исполнитель», «мы»), определяющий цели, содержание и методы обработки персональных данных.
Субъект персональных данных — физическое лицо, к которому относятся персональные данные (далее — «Заказчик», «Клиент», «Пользователь», «вы», «вас»).
Обработчик персональных данных — физическое или юридическое лицо, обрабатывающее персональные данные по поручению Оператора (платежные системы, логистические компании, хостинг-провайдеры, CRM-системы).
Согласие — добровольное, конкретное, информированное и недвусмысленное выражение воли Субъекта в отношении обработки его персональных данных.
Законный интерес — правомерная цель обработки персональных данных, преследуемая Оператором или третьей стороной, если эта цель не противоречит правам и свободам Субъекта.
Биометрические данные — персональные данные, полученные в результате специальной обработки физических, физиологических или поведенческих характеристик человека, позволяющие идентифицировать данного человека (отпечатки пальцев, радужная оболочка глаза, голос, фотография лица).
Специальные категории персональных данных — данные, содержащие сведения о расе, национальности, политических, религиозных и философских взглядах, состоянии здоровья, сведения об уголовных судимостях.
Хранение — сохранение персональных данных и обеспечение их целостности и конфиденциальности.
1.3 Ответственное лицо
Ответственное за обработку персональных данных лицо:
  • Фамилия, имя, отчество: Булас Кэтрин Андреевна
  • Статус: Индивидуальный предприниматель
  • Телефон: +79214432799
  • E-mail: boulas_ketrin@mail.ru
  • Telegram: @Boulaskety
Контактная информация для направления запросов, претензий и жалоб в отношении обработки персональных данных размещена в разделе 13 Политики.

2. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор обрабатывает персональные данные следующих категорий физических лиц:

  • цензии от органов государственной власти. Оператор не передает персональные данные в иностранные государства и не осуществляет трансграничные передачи данных.
Меры защиты при хранении:
  • Шифрование данных при передаче (TLS/SSL протокол, минимум TLS 1.2);
  • Шифрование данных в покое (AES-256 или аналогичное);
  • Ограничение доступа персоналом Оператора (только необходимые лица получают доступ);
  • Регулярное обновление программного обеспечения и систем защиты;
  • Наличие брандмауэров и систем обнаружения вторжений;
  • Резервное копирование данных для восстановления после инцидентов.
6.3 Использование персональных данных
  • Персональные данные используются исключительно в целях, указанных в разделе 4 Политики;
  • Данные не используются для целей, не согласованных с Субъектом;
  • При необходимости использования данных для новой цели требуется отдельное согласие Субъекта;
  • Все работники Оператора, имеющие доступ к персональным данным, подписывают обязательство о неразглашении (уч. 3.7).
6.4 Уточнение и актуализация данных
  • Оператор стремится поддерживать персональные данные актуальными и точными;
  • Субъект вправе в любой момент обновить свои данные (измененный номер телефона, адрес доставки, параметры тела) через личный кабинет или обратившись на e-mail;
  • Оператор уведомляет Субъекта при выявлении неточностей и запрашивает уточнения;
  • При обнаружении неточных данных Оператор исправляет их без задержек.
6.5 Распространение персональных данных
Передача третьим лицам:
Оператор НЕ продает и не передает персональные данные в коммерческих целях без явного согласия Субъекта, за исключением следующих случаев:

Получатель

Цель

Правовое основание

Категория данных

Платежные системы (Яндекс.Касса, СберПай, Tinkoff)

Обработка платежей и QR-коды

Исполнение договора

ФИО, e-mail, номер карты (частичный), сумма платежа

Логистические компании (CDEK, ПочтаРоссии, Яндекс.Доставка)

Доставка товаров

Исполнение договора

ФИО, телефон, адрес доставки, список товаров

Налоговые органы и ФСБ

Выполнение требований законодательства

Требование органов власти

ФИО, адрес, ИНН, данные о продажах (обезличены)

Роскомнадзор

Передача обезличенной информации в ГИС

ФЗ-233 (обязательно с 1.09.2025)

Обезличенные данные об обработке

Хостинг-провайдеры и сервисы аналитики (Яндекс.Метрика)

Администрирование Сайта и аналитика

Законный интерес Оператора

IP-адреса, cookies, данные о поведении пользователя

Органы правоохраны и судов

Разрешение споров, предотвращение преступлений

Требование суда или органа правоохраны

В пределах запроса органа

Маркетинговые партнеры

Совместные рекламные кампании

Явное согласие Субъекта (опционально)

ФИО, e-mail, телефон, интересы


Условия передачи:
  • Все получатели данных подписывают договоры обработки персональных данных с Оператором;
  • Получатели обязаны защищать данные на уровне не менее строгом, чем Оператор;
  • Передача данных на территорию иностранных государств допускается только при наличии соответствующего соглашения или решения органов власти.
6.6 Размещение контента (фото, видео, отзывы)
Размещение фотографий готовых работ и изделий:
  • Оператор вправе размещать фотографии готовых работ ателье (платья, костюмы, пошив) на Сайте, в социальных сетях и в портфолио только при явном, письменном согласии Заказчика;
  • В случае размещения фотографии изделия на фигуре человека требуется отдельное согласие этого лица (если это не Заказчик);
  • Размещение видеоотзывов требует явного согласия Субъекта;
  • При отозвании согласия Оператор удаляет контент в течение 10 рабочих дней (кроме случаев, когда удаление технически невозможно, например архивированные версии в соцсетях).
Использование отзывов:
  • Положительные отзывы и комментарии, оставленные Субъектом, могут быть размещены на Сайте, в каталоге товаров и соцсетях (при условии, что Субъект не запретил это явно);
  • Отрицательные отзывы размещаются только с согласия Субъекта;
  • При любых обстоятельствах контактные данные Субъекта (телефон, адрес) не подлежат публикации.

7. СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Общие сроки
Персональные данные хранятся в течение периода, необходимого для достижения целей обработки, а именно:

Категория данных

Срок хранения

Обоснование

Данные покупателей (e-mail, телефон, адрес)

7 лет

Требования налогового законодательства

История заказов и платежей

7 лет

Закон о ККТ, налоговое законодательство, исковая давность

Банковские реквизиты при онлайн-платежах

До успешного платежа + 90 дней

Требование платежных систем и ФЗ-152

Параметры тела (для услуг ателье)

3 года

Возможность повторного обращения за услугами

Данные слушателей курсов

Период обучения + 1 год

Возможность обращения с претензией, запроса сертификата

Логи доступа и IP-адреса

180 дней

Требования безопасности и борьбы с мошенничеством

Cookies (неперсональные)

В соответствии с настройками браузера

Стандарты веб-аналитики

Согласия на обработку

7 лет

Доказательство наличия согласия при проверке

Практические работы учащихся

Период обучения + 1 год

Возможность повторного обращения, портфолио программы


7.2 Преждевременное удаление
Персональные данные удаляются раньше указанного срока, если:
  • Данные больше не требуются для достижения цели обработки;
  • Субъект отозвал согласие на обработку;
  • Субъект реализовал право на удаление (право на забывание);
  • Обработка данных была незаконной.
7.3 Уничтожение данных
По истечении сроков хранения персональные данные:
  • Удаляются из активных систем (с серверов Оператора);
  • Уничтожаются безвозвратно с использованием методов, исключающих восстановление (перезапись памяти, физическое уничтожение носителей, криптографическое уничтожение ключей шифрования);
  • На печатных носителях — сжигаются, измельчаются или иным образом уничтожаются для исключения восстановления информации;
  • Резервные копии удаляются в течение 30 дней после удаления основных данных (или при следующем плановом обновлении резервных копий).
8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Технические меры защиты
  • Шифрование передачи данных: Все передачи данных на Сайт и с Сайта выполняются по защищенному протоколу HTTPS (TLS 1.2 или выше);
  • Шифрование хранения: Чувствительные данные (пароли, реквизиты карт) хранятся в зашифрованном виде (AES-256 или аналогичное);
  • Контроль доступа: Доступ к серверам и базам данных ограничен и защищен аутентификацией (логин, пароль, двухфакторная аутентификация);
  • Брандмауэры и системы обнаружения вторжений: Установлены средства защиты от несанкционированного доступа;
  • Регулярное обновление: Программное обеспечение, операционные системы и приложения обновляются регулярно для закрытия известных уязвимостей;
  • Резервное копирование: Данные копируются ежедневно на защищенные серверы с возможностью восстановления;
  • Логирование и мониторинг: Ведутся логи доступа и попыток несанкционированного доступа, осуществляется постоянный мониторинг безопасности.
8.2 Организационные меры защиты
  • Ограничение доступа: Персональные данные доступны только сотрудникам Оператора, которым эти данные необходимы для выполнения своих функций;
  • Обязательства работников: Все работники, имеющие доступ к персональным данным, подписывают обязательство о неразглашении и конфиденциальности (уч. 3.7);
  • Обучение персонала: Сотрудники проходят инструктажи и обучение в области защиты персональных данных;
  • Контроль третьих лиц: Все обработчики персональных данных (хостинг-провайдеры, платежные системы, логистические компании) проверяются на соответствие требованиям защиты;
  • Договоры обработки: С каждым обработчиком заключается договор, обязывающий его соблюдать требования ФЗ-152 и GDPR;
  • Инцидент-менеджмент: Разработана процедура для реагирования на инциденты безопасности (утечки данных, взломы) с уведомлением Субъектов данных.
8.3 Физические меры защиты
  • Запираемые помещения: Документы, содержащие персональные данные, хранятся в запертых шкафах или кабинетах с ограниченным доступом;
  • Охрана: Помещения, где хранятся данные, имеют систему охраны и видеонаблюдения;
  • Ограничение посетителей: Посетители, посещающие помещения, где находятся персональные данные, сопровождаются и имеют ограниченный доступ.

9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1 Право на доступ
Субъект имеет право:
  • получить информацию о том, обрабатываются ли его персональные данные;
  • узнать, какие персональные данные обрабатываются;
  • узнать цели обработки, правовые основания, сроки хранения;
  • узнать, кому передаются его данные;
  • получить копию всех обрабатываемых персональных данных в структурированном, общепринятом формате (CSV, PDF, XML и т.п.).
Процедура: Субъект направляет письменный запрос на e-mail Оператора (см. раздел 13). Оператор предоставляет информацию в течение 30 дней.
9.2 Право на исправление (уточнение)
Субъект имеет право потребовать исправления неточных или неполных персональных данных. Это может быть:
  • обновление номера телефона или адреса e-mail в личном кабинете;
  • исправление ошибок в ФИО или адресе доставки;
  • уточнение параметров тела для услуг ателье.
Процедура: Изменения вносятся самостоятельно в личном кабинете или по запросу на e-mail. Оператор выполняет исправление в течение 10 рабочих дней.
9.3 Право на удаление (право на забывание)
Субъект имеет право потребовать удаления своих персональных данных в следующих случаях:
  • персональные данные больше не требуются для целей, для которых они были собраны;
  • Субъект отозвал согласие на обработку;
  • обработка данных была незаконной;
  • удаление требуется для соблюдения юридического обязательства;
  • Субъект возражает против обработки и нет причин продолжать обработку.
Исключения: Оператор может отказать в удалении, если:
  • данные требуются для выполнения юридического обязательства (налоговое законодательство, требование суда);
  • данные требуются для защиты прав Оператора в суде;
  • обработка необходима для предотвращения мошенничества;
  • технически невозможно удалить все копии данных (например, архивы).
Процедура: Субъект направляет письменный запрос на e-mail. Оператор удаляет данные в течение 30 дней (или уведомляет об отказе с объяснением причин).
9.4 Право на ограничение обработки
Субъект имеет право потребовать ограничения (временную остановку) обработки его персональных данных в случаях:
  • Субъект оспаривает точность данных (до проверки);
  • обработка незаконна, но Субъект просит не удалять данные, а только ограничить их использование;
  • данные больше не требуются для целей, но Субъект просит их сохранить для защиты в суде;
  • Субъект подал возражение против обработки (до разрешения вопроса).
При ограничении обработки данные хранятся, но не используются (кроме хранения и обработки с согласия Субъекта).
Процедура: Запрос на e-mail. Оператор ограничивает обработку в течение 10 рабочих дней.
9.5 Право на возражение
Субъект имеет право возражать против обработки персональных данных в следующих случаях:
  • обработка ведется на основе законных интересов (маркетинг, аналитика);
  • обработка используется в целях прямого маркетинга (рассылки, звонки, смс).
При возражении Оператор должен прекратить обработку для этой цели, кроме случаев, когда:
  • Оператор может доказать, что имеет существенное законное основание, перевешивающее интересы Субъекта;
  • обработка необходима для защиты прав Оператора в суде.
Процедура: Субъект может отозвать согласие на маркетинговые рассылки, нажав на ссылку «Отписаться» в любом письме рассылки, или обратившись на e-mail.
9.6 Право на переносимость данных (GDPR)
Субъект имеет право получить копию своих персональных данных в структурированном, машиночитаемом формате (CSV, JSON, XML) и передать их другому оператору.
Процедура: Запрос на e-mail. Оператор предоставляет данные в течение 30 дней в формате, удобном для переноса.
9.7 Право на информацию о наличии персональных данных
Субъект имеет право узнать:
  • обрабатываются ли его персональные данные;
  • какие категории персональных данных обрабатываются;
  • в каких целях;
  • кто имеет доступ;
  • какие сроки хранения.
Процедура: Письменный запрос на e-mail. Ответ в течение 30 дней.
9.8 Право на защиту от автоматизированного принятия решений
Субъект имеет право не быть субъектом решения, основанного исключительно на автоматизированной обработке, которое производит правовые или иные значительные последствия для Субъекта.
Оператор не использует персональные данные для автоматизированного принятия решений (например, отказ в услуге только на основе алгоритма, без участия человека).
10. ПОРЯДОК РЕАЛИЗАЦИИ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1 Подача запроса
Субъект может реализовать свои права, направив письменный запрос Оператору одним из следующих способов:

Способ

Адрес/Контакт

Срок рассмотрения

E-mail

boulas_ketrin@mail.ru

30 календарных дней

Почта России

Санкт-Петербург, Лиговский пр., 52, лит.З, 

30 календарных дней + время доставки

Личное посещение

Адрес мастерской: Санкт-Петербург, Лиговский пр., 52, лит.З, 

Немедленно (при наличии ответственного лица)

Telegram/WhatsApp

+79214432799

5-7 рабочих дней


10.2 Содержание запроса
В запросе Субъект должен указать:
  • наименование или описание право, которое он хочет реализовать (доступ, исправление, удаление, возражение);
  • фамилию, имя, отчество;
  • контактный номер телефона или e-mail;
  • подпись (для письменных запросов);
  • документ, подтверждающий личность (копия паспорта, скан удостоверения личности) при запросе на доступ.
10.3 Проверка личности
Оператор вправе потребовать подтверждение личности Субъекта перед реализацией его прав. Субъект должен предоставить:
  • копию паспорта или удостоверения личности;
  • скриншот телефона или другой документ, подтверждающий связь Субъекта с обрабатываемыми данными.
Проверка проводится в течение 5-7 рабочих дней. После подтверждения личности Оператор реализует право Субъекта.
10.4 Сроки исполнения
  • Стандартный срок: 30 календарных дней с момента получения запроса;
  • Продление срока: Если запрос сложный или требует проверки большого объема данных, Оператор может продлить срок на 60 дней (всего 90 дней), уведомив Субъекта в течение первых 30 дней;
  • Срок в случае отказа: При отказе в реализации права Оператор уведомляет об этом в течение 30 дней с указанием причин отказа и возможности обжалования.
10.5 Обжалование решения
Если Субъект не согласен с решением Оператора (отказом в доступе, удалении и т.п.), он имеет право:
  • направить письменную жалобу Оператору (в течение 30 дней после получения решения);
  • обратиться в Роскомнадзор с жалобой на нарушение прав (адрес: https://pd.rkn.gov.ru/);
  • обратиться в суд (при нарушении ФЗ-152 или GDPR).

11. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1 ЗАПРЕТ НА ПЕРЕДАЧУ ДАННЫХ В ИНОСТРАННЫЕ ГОСУДАРСТВА
В соответствии с Федеральным законом № 152-ФЗ «О персональных данных», Федеральным законом № 233-ФЗ от 08.08.2024 и Указом Президента РФ № 100 от 02.03.2022 «О мерах по дальнейшему обеспечению информационной безопасности Российской Федерации», передача персональных данных Субъектов за пределы Российской Федерации на территорию иностранных государств ЗАПРЕЩЕНА.
11.2 Исключения из запрета
Исключения из запрета на трансграничную передачу персональных данных возможны только в следующих случаях:
А) По решению органов государственной власти РФ:
  • при наличии решения ФСТЭК России о достаточности защиты персональных данных в иностранном государстве;
  • по требованию органов судебной власти (решение суда о передаче данных);
  • по требованию органов правоохраны (требование ФСБ, МВД, Прокуратуры);
  • по требованию Роскомнадзора в целях борьбы с запрещенной информацией.
Б) При наличии соответствующей лицензии:
  • Оператор может запросить разрешение у ФСТЭК России на трансграничную передачу при соблюдении требований к защите и наличии договорных гарантий с иностранными обработчиками.
11.3 Хранение данных исключительно в РФ
Все персональные данные Субъектов, включая основные, резервные копии, логи доступа и архивы, хранятся исключительно на территории Российской Федерации на серверах и облачных сервисах, зарегистрированных и расположенных в РФ (Яндекс, Tilda и иные).
11.4 Соответствие требованиям GDPR и CCPA
Граждане ЕС и США, в случае обработки их данных:
Если Субъект является гражданином Европейского Союза или США, он должен знать, что:
  • Его персональные данные обрабатываются в соответствии с законодательством Российской Федерации, а не GDPR или CCPA;
  • Передача данных в ЕС или США требует явного согласия и не гарантируется;
  • Оператор стремится соблюдать принципы GDPR (прозрачность, минимизация, безопасность), но в пределах законодательства РФ;
  • Права Субъектов (доступ, удаление, переносимость) реализуются в соответствии с ФЗ-152, а не GDPR;
  • При необходимости защиты прав по GDPR Субъект может обратиться в компетентный орган своей страны.
11.5 Передача в Российскую Федерацию
Персональные данные хранятся и обрабатываются исключительно в Российской Федерации в соответствии с требованиями ФЗ-152, ФЗ-233 и Указа Президента РФ № 100. Трансграничные передачи запрещены и не осуществляются без специального разрешения органов государственной власти.

12. БЕЗОПАСНОСТЬ И РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ
12.1 Инцидент безопасности
Инцидент безопасности — это событие, приведшее или потенциально приведшее к несанкционированному доступу, раскрытию, изменению или уничтожению персональных данных, включая:
  • взлом сервера или базы данных;
  • утечка персональных данных в интернет;
  • кража устройства с содержащимися данными;
  • заражение вредоносным ПО;
  • социальная инженерия (фишинг, претексты).
12.2 Процедура реагирования на инцидент
При обнаружении инцидента безопасности Оператор:
  1. Немедленно прекращает несанкционированный доступ — отключает затронутые системы, блокирует учетные записи, восстанавливает системы из резервных копий;
  2. Оценивает масштаб инцидента — определяет, какие данные скомпрометированы, количество затронутых Субъектов, степень риска;
  3. Проводит расследование — выясняет причины инцидента, способ получения доступа, когда инцидент произошел;
  4. Уведомляет Субъектов — направляет уведомление о инциденте Субъектам, чьи данные скомпрометированы, в течение 72 часов (в соответствии с GDPR) или в кратчайшие сроки (в соответствии с ФЗ-152), с указанием:
  • какие данные скомпрометированы;
  • вероятные риски для прав и свобод Субъектов;
  • рекомендации по защите (смена пароля, мониторинг счета и т.п.);
  • контактную информацию Оператора;
  1. Уведомляет органы власти — направляет уведомление в Роскомнадзор в течение 30 дней (в соответствии с ФЗ-233) и в правоохранительные органы при наличии признаков преступления;
  2. Устраняет уязвимость — исправляет причину инцидента, внедряет дополнительные меры защиты, проводит аудит безопасности;
  3. Документирует инцидент — ведет записи об инциденте, действиях по его разрешению и результатах для возможности последующего анализа и улучшения.
12.3 Уведомление Роскомнадзора
Оператор уведомляет Роскомнадзор о нарушениях требований ФЗ-152 в течение 30 дней путем подачи заявления на портале https://pd.rkn.gov.ru/. Заявление содержит:
  • описание нарушения;
  • дату обнаружения;
  • действия по устранению;
  • результаты расследования.
12.4 Сохранение доказательств
Оператор сохраняет все доказательства и логи инцидента в течение минимум 1 года для возможности анализа органами власти и судом.
13. КОНТАКТНАЯ ИНФОРМАЦИЯ ОПЕРАТОРА
Для всех запросов, претензий и жалоб в отношении обработки персональных данных Субъект может обратиться к Оператору следующими способами:
Контактные данные Оператора:
Индивидуальный предприниматель:
  • ФИО: Булас Кэтрин Андреевна
  • ОГРНИП: 323784700247342
  • ИНН: 234504523192
  • Адрес регистрации: 
  • Санкт-Петербург, Лиговский пр., 52, лит.З, 
Ответственное лицо по персональным данным:
  • ФИО: Булас Кэтрин Андреевна (Индивидуальный предприниматель)
  • Должность: Оператор персональных данных
  • Телефон: +79214432799
  • E-mail: boulas_ketrin@mail.ru
Способы связи:
  • E-mail (основной): boulas_ketrin@mail.ru
  • Telegram: @Boulaskety
  • Почтовый адрес: Санкт-Петербург, Лиговский пр., 52, лит.З, 
  • Сайт: https://boulas.ru (раздел «Контакты»)
Сроки ответа:
  • На запросы, поступившие по e-mail: 30 календарных дней;
  • На запросы, поступившие по телефону: в течение рабочего дня;
  • На запросы, поступившие в мессенджерах: 5-7 рабочих дней.
Роскомнадзор:
Если Субъект не согласен с решением Оператора или желает подать жалобу на нарушение требований ФЗ-152, он может обратиться в Роскомнадзор:

14. ОБЯЗАТЕЛЬСТВА РАБОТНИКОВ И ТРЕТЬИХ ЛИЦ
14.1 Обязательство о неразглашении
Все работники Оператора, имеющие доступ к персональным данным Субъектов, подписывают Обязательство о неразглашении персональных данных (приложение к трудовому договору или отдельный документ), в котором они:
  • обязуются не разглашать персональные данные третьим лицам;
  • обязуются использовать персональные данные только в целях, определённых Политикой;
  • обязуются соблюдать требования ФЗ-152 и настоящей Политики;
  • понимают, что разглашение данных может привести к дисциплинарным мерам (выговор, увольнение) и уголовной ответственности.
14.2 Договоры обработки с третьими лицами
Все третьи лица (обработчики данных), которым передаются персональные данные (платежные системы, логистические компании, хостинг-провайдеры), подписывают Договор об обработке персональных данных, в котором они:
  • обязуются обрабатывать данные только в целях, определённых Оператором;
  • обязуются защищать данные на уровне не менее строгом, чем Оператор;
  • не имеют право передавать данные третьим лицам без согласия Оператора;
  • обязуются уничтожить данные по окончании выполнения обязательств;
  • допускают проведение проверок (аудитов) безопасности;
  • уведомляют Оператора о любых инцидентах безопасности.
14.3 Аудит и контроль
Оператор периодически проводит аудиты в отношении:
  • работников, имеющих доступ к персональным данным (проверка выполнения Обязательств о неразглашении);
  • обработчиков данных (проверка соответствия требованиям Договора об обработке);
  • защиты персональных данных (проверка эффективности технических и организационных мер).
Аудиты проводятся минимум 1 раз в год или при возникновении подозрений на нарушение.

15. ИЗМЕНЕНИЕ И АКТУАЛИЗАЦИЯ ПОЛИТИКИ
15.1 Право на изменение
Оператор оставляет за собой право вносить изменения в настоящую Политику в одностороннем порядке в связи с:
  • изменением законодательства РФ (новые федеральные законы, указы, постановления);
  • изменением требований Роскомнадзора и органов власти;
  • внедрением новых технологий и систем защиты;
  • расширением перечня услуг и обрабатываемых данных;
  • необходимостью улучшения защиты персональных данных.
15.2 Уведомление об изменениях
Об изменениях в Политике Оператор уведомляет Субъектов следующими способами:
  • На Сайте: опубликование актуальной версии Политики на странице https://boulas.ru/politika_personalnykh_dannyh с указанием даты последнего обновления;
  • По e-mail: отправка уведомления Субъектам, подписанным на рассылку, за 14 дней до вступления изменений в силу (если изменения существенны);
  • В мессенджерах: уведомление в Telegram-канале, InstagramStories, WhatsApp об изменениях политики.
15.3 Дата вступления в силу изменений
  • Несущественные изменения (уточнения контактной информации, исправление опечаток) вступают в силу немедленно;
  • Существенные изменения (изменение целей обработки, добавление новых категорий данных) вступают в силу через 14 дней после уведомления Субъектов;
  • Субъекты вправе отозвать согласие, если не согласны с изменениями, направив уведомление на e-mail в течение 14 дней.

16. СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ И МЕЖДУНАРОДНЫМ СТАНДАРТАМ
16.1 Законодательство РФ
Настоящая Политика разработана в полном соответствии с:
  • ФЗ-152 «О персональных данных» (в редакции ФЗ-233 от 08.08.2024);
  • Требованиями Роскомнадзора;
  • Постановлениями Правительства РФ по защите персональных данных;
  • Требованиями ФЗ-54 по применению контрольно-кассовой техники;
  • Требованиями налогового законодательства РФ.
16.2 Международные стандарты
Оператор применяет принципы и требования:
  • GDPR (Регламент (ЕУ) 2016/679) — при обработке персональных данных граждан Европейского Союза;
  • CCPA и CPRA (California Consumer Privacy Act) — при обработке персональных данных жителей штата Калифорния;
  • ISO/IEC 27001 — стандартт информационной безопасности;
  • ISO/IEC 27002 — практики по информационной безопасности.
16.3 Принципы обработки персональных данных
Оператор следует принципам, установленным GDPR и ФЗ-152:
  1. Законность, справедливость и прозрачность — обработка данных осуществляется в соответствии с законом, справедливо и открыто;
  2. Ограничение цели — данные собираются для конкретных, явно заявленных и обоснованных целей;
  3. Минимизация данных — собираются только необходимые данные;
  4. Точность — данные должны быть точными и актуальными;
  5. Ограничение хранения — данные хранятся не дольше необходимого;
  6. Целостность и конфиденциальность — данные защищены от несанкционированного доступа, изменения и уничтожения;
  7. Подотчётность — Оператор ответственен за соблюдение всех требований и может доказать это.

17. ЗАКЛЮЧЕНИЕ И ДАТА ВСТУПЛЕНИЯ В СИЛУ
17.1 Статус документа
Настоящая Политика обработки персональных данных является обязательным документом, определяющим порядок обработки и защиты персональных данных Оператором. Политика является неотъемлемой частью Публичной оферты и Условий использования Сайта boulas.ru.
17.2 Принятие Политики
Оформляя заказ, подписываясь на услуги ателье, записываясь на курс или посещая Сайт, Субъект подтверждает:
  • что прочитал и полностью согласен со всеми условиями настоящей Политики;
  • что понимает свои права и обязанности;
  • что дает согласие на обработку своих персональных данных в соответствии с Политикой;
  • что может отозвать согласие в любой момент.
17.3 Дата размещения и актуальность
  • Дата последнего обновления: [20/01/2026]
  • Версия: 1.0 
Актуальная версия Политики всегда доступна на Сайте: https://boulas.ru/politika-personalnykh-dannyh/
17.4 Контактная информация для вопросов
Если у Субъекта возникли вопросы о настоящей Политике, он может обратиться к Оператору по контактам, указанным в разделе 13.

ПРИЛОЖЕНИЕ A: СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Настоящее согласие размещается на Сайте в виде чекбокса при оформлении заказа, записи на услугу или подписке на рассылку.
Форма согласия:
☑ Я согласен(а) с условиями Политики обработки персональных данных и даю согласие на:
  • сбор, обработку, хранение и использование моих персональных данных (ФИО, контакты, адрес доставки, параметры тела, история заказов) исключительно на территории Российской Федерации;
  • передачу моих данных третьим лицам, расположенным в России (платежные системы, логистические компании, хостинг-провайдеры, облачные сервисы Яндекс и Tilda);
  • отправку мне информации о статусе заказа, услуг, курсов по электронной почте и Telegram;
  • отправку маркетинговых рассылок о новых товарах, скидках, предложениях [может быть отдельный чекбокс];
  • размещение моих отзывов и фотографий на Сайте [может быть отдельный чекбокс];
  • использование моих практических работ в целях портфолио программы [для слушателей курсов].
Я понимаю, что могу отозвать данное согласие в любой момент, направив письмо на e-mail: [email] или в Telegram: [контакт].
Я ознакомлен(а) с Политикой обработки персональных данных и принимаю все условия.
Made on
Tilda