Политика в отношении обработки персональных данных
Настоящая Политика разработана ООО «Наслаждение в СПА» (далее — Оператор) в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции ФЗ-23 от 28.02.2025), Постановлением Правительства РФ от 01.11.2012 № 1119 и иными нормативными правовыми актами Российской Федерации в области защиты персональных данных.
Политика определяет порядок обработки персональных данных и меры по обеспечению их безопасности, применяемые Оператором, и распространяется на любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), которую Оператор получает в связи с осуществлением своей деятельности.
Все процессы записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения и иной обработки персональных данных граждан Российской Федерации осуществляются Оператором с использованием баз данных, находящихся исключительно на территории Российской Федерации, в соответствии с ч. 5 ст. 18 ФЗ-152.
1Основные понятия
- Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
- Оператор — ООО «Наслаждение в СПА», осуществляющее обработку персональных данных самостоятельно или совместно с другими лицами.
- Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
- Автоматизированная обработка — обработка персональных данных с помощью средств вычислительной техники.
- Распространение ПД — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
- Предоставление ПД — действия, направленные на раскрытие персональных данных определённому лицу или кругу лиц.
- Блокирование ПД — временное прекращение обработки персональных данных.
- Уничтожение ПД — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) уничтожаются материальные носители персональных данных.
- Обезличивание ПД — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
- Согласие на обработку ПД — свободное, конкретное, информированное и сознательное волеизъявление субъекта персональных данных, оформленное в соответствии со ст. 9 ФЗ-152 (в редакции от 01.09.2025).
2Перечень обрабатываемых персональных данных
Оператор обрабатывает следующие категории персональных данных:
2.1. Данные, предоставляемые субъектом при оформлении услуги или заявки
- Фамилия, имя, отчество (при добровольном указании)
- Номер мобильного телефона
- Адрес электронной почты (при добровольном указании)
- Пол (при необходимости — для подбора процедур)
- Сведения о состоянии здоровья и противопоказаниях (только в объёме, необходимом для безопасного оказания спа-услуг, на основании письменного согласия)
- Предпочтения по услугам, мастерам, времени посещения
2.2. Данные о платежах
- Факт оплаты, сумма, дата, способ оплаты, идентификатор транзакции
- Платёжные реквизиты карты (номер, срок действия, CVV/CVC) Оператору не передаются и обрабатываются исключительно платёжным оператором ООО НКО «ЮMoney» (см. раздел 9)
2.3. Технические данные
- IP-адрес посетителя сайта
- Тип и версия браузера, операционной системы, устройства
- Дата, время и продолжительность визита
- Страницы, которые посетил пользователь, источник перехода (referrer)
- Cookie-файлы (подробнее — раздел 10)
2.4. Данные, формируемые в процессе оказания услуг
- История посещений и оказанных процедур
- История покупок и подарочных сертификатов
- Отзывы клиента о посещении (при добровольном предоставлении)
Оператор не обрабатывает биометрические персональные данные (за исключением случаев, прямо предусмотренных законом), специальные категории персональных данных (расовая, национальная принадлежность, политические, религиозные убеждения, интимная жизнь), а также данные несовершеннолетних без согласия их законных представителей.
3Цели обработки персональных данных
| Цель обработки | Категория ПД | Правовое основание |
|---|---|---|
| Запись на спа-услуги и массаж, формирование графика посещений | ФИО, телефон, email, предпочтения | п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение договора) |
| Приём и обработка заявок с сайта, обратный звонок, консультации | ФИО, телефон, email, текст обращения | п. 1 ч. 1 ст. 6 ФЗ-152 (согласие субъекта) |
| Оформление и продажа подарочных сертификатов | ФИО заказчика и получателя, телефон, email | п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение договора) |
| Приём онлайн-платежей за услуги | ФИО, email, факт и сумма платежа | п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение договора) |
| Формирование электронных чеков (54-ФЗ) | ФИО, email, сведения о платеже | п. 5 ч. 1 ст. 6 ФЗ-152 (требование закона) |
| Учёт сведений о здоровье клиента для безопасного оказания услуг | Анкета здоровья, противопоказания | ч. 2 ст. 10 ФЗ-152 (письменное согласие) |
| Информирование о новостях, акциях, специальных предложениях | ФИО, телефон, email | п. 1 ч. 1 ст. 6 ФЗ-152 (согласие на рассылку) |
| Аналитика посещаемости сайта, улучшение сервиса | IP, cookie, технические данные | п. 7 ч. 1 ст. 6 ФЗ-152 (законный интерес) |
| Сбор отзывов о посещении (по согласию) | ФИО, текст отзыва | п. 1 ч. 1 ст. 6 ФЗ-152 (согласие) |
| Ведение бухгалтерского и налогового учёта | ФИО, сведения о платежах, чеки | п. 5 ч. 1 ст. 6 ФЗ-152 (требование закона) |
4Правовые основания обработки
Оператор обрабатывает персональные данные на следующих правовых основаниях:
- Согласие субъекта персональных данных (ч. 1 ст. 6, ст. 9 ФЗ-152)
- Заключение и исполнение договора, стороной которого является субъект ПД (п. 5 ч. 1 ст. 6 ФЗ-152)
- Исполнение требований законодательства РФ, в том числе 54-ФЗ «О применении контрольно-кассовой техники» и налогового законодательства
- Законный интерес Оператора при условии соблюдения прав и свобод субъекта (п. 7 ч. 1 ст. 6 ФЗ-152)
- Письменное согласие — при обработке специальных категорий ПД (анкета здоровья)
5Принципы и условия обработки
Оператор соблюдает следующие принципы обработки персональных данных:
- Обработка осуществляется на законной и справедливой основе.
- Обработка ограничивается достижением конкретных, заранее определённых и законных целей.
- Не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только те ПД, которые отвечают целям их обработки.
- Содержание и объём обрабатываемых ПД соответствует заявленным целям обработки.
- При обработке обеспечиваются точность ПД, их достаточность и актуальность.
- Хранение ПД осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки.
- Обрабатываемые ПД уничтожаются либо обезличиваются по достижении целей обработки или утрате необходимости в достижении этих целей.
6Локализация обработки на территории Российской Федерации
Для обеспечения данного требования Оператор использует исключительно российскую инфраструктуру:
- Веб-сайт enjoyspa.ru размещён на платформе «1С-Битрикс» (ООО «1С-Битрикс», РФ) с серверами в Российской Федерации
- База данных клиентов и заявок хранится на серверах российских провайдеров облачной инфраструктуры на территории РФ
- Онлайн-запись осуществляется через YClients (российский сервис, серверы в РФ)
- Приём онлайн-платежей — через ЮKassa (ООО НКО «ЮMoney», лицензия ЦБ РФ № 3510-К, серверы в РФ)
- Коммуникация с клиентами — через российский мессенджер MAX (ООО «MAX», входит в реестр российского ПО, серверы в РФ)
- Формирование электронных чеков — через российских операторов фискальных данных в соответствии с 54-ФЗ
7Третьи лица, привлекаемые к обработке
В целях обеспечения деятельности Оператор привлекает к обработке персональных данных следующих третьих лиц, имеющих собственные политики защиты ПД и являющихся резидентами Российской Федерации:
| Третье лицо | Назначение | Юрисдикция |
|---|---|---|
| ООО «1С-Битрикс» | Платформа сайта и CRM | Российская Федерация |
| YClients | Онлайн-запись клиентов | Российская Федерация |
| ООО НКО «ЮMoney» (ЮKassa) | Приём онлайн-платежей, PCI DSS Level 1 | Российская Федерация |
| Оператор фискальных данных (ОФД) | Передача электронных чеков в ФНС по 54-ФЗ | Российская Федерация |
| ООО «Яндекс» (Яндекс Бизнес, Яндекс Карты, Метрика) | Картография, бизнес-карточка, веб-аналитика | Российская Федерация |
| MyReviews | Сбор и отображение отзывов клиентов | Российская Федерация |
| ООО «MAX» | Мессенджер для коммуникации с клиентами (реестр российского ПО) | Российская Федерация |
| Российский провайдер облачной инфраструктуры | Хранение баз данных, серверная инфраструктура | Российская Федерация |
Привлечение третьих лиц осуществляется с соблюдением требований ч. 3 ст. 6 ФЗ-152 на основании договоров, обязывающих обеспечивать конфиденциальность и безопасность персональных данных при их обработке.
Все привлекаемые третьи лица являются резидентами Российской Федерации, серверы и базы данных, на которых хранятся переданные им персональные данные граждан РФ, расположены на территории Российской Федерации.
8Трансграничная передача персональных данных
Иностранные мессенджеры и базы данных, расположенные за пределами территории Российской Федерации, при обработке персональных данных клиентов Оператором не используются в соответствии с требованиями:
- ч. 5 ст. 18 ФЗ-152 (в редакции ФЗ-23 от 28.02.2025)
- Федерального закона от 01.04.2025 № 41-ФЗ
- ч. 8 ст. 10 Федерального закона от 27.07.2006 № 149-ФЗ
9Обработка платёжных данных
При оплате услуг через сайт enjoyspa.ru приём платежей осуществляется через сервис ЮKassa (ООО НКО «ЮMoney», лицензия Банка России № 3510-К).
- Реквизиты платёжной карты (номер, срок действия, CVV/CVC) вводятся пользователем на стороне ЮKassa и Оператору не передаются
- ЮKassa соответствует стандарту безопасности PCI DSS Level 1 — высшему международному стандарту для платёжных систем
- Передача данных между сайтом и ЮKassa защищена протоколом TLS (HTTPS)
- Серверы ЮKassa расположены на территории Российской Федерации
- Электронные чеки формируются в соответствии с Федеральным законом № 54-ФЗ и направляются в ФНС России через оператора фискальных данных
10Cookie и технические данные
Cookie — небольшие текстовые файлы, которые сайт сохраняет на устройстве посетителя. Оператор использует следующие типы cookie:
10.1. Технические (обязательные)
Необходимы для функционирования сайта: сохранение состояния сессии, защита от подделки запросов, корректное отображение страниц. Без них сайт не сможет работать. Согласие не требуется.
10.2. Аналитические
Используются для анализа посещаемости (Яндекс.Метрика). Помогают понять, какие страницы пользуются спросом и улучшить сервис. Активируются после получения согласия пользователя через cookie-banner.
10.3. Управление cookie
Пользователь может в любой момент отключить cookie в настройках браузера или через cookie-banner на сайте. Без аналитических cookie сайт продолжит работать, но часть функций (рекомендации, персонализация) будет недоступна.
11Меры защиты персональных данных
Оператор принимает организационные и технические меры для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения:
11.1. Организационные меры
- Назначение ответственного за организацию обработки персональных данных
- Утверждённый внутренний регламент обработки ПД
- Соглашения о конфиденциальности с работниками, имеющими доступ к ПД
- Регулярный инструктаж сотрудников по защите персональных данных
- Ограничение доступа к ПД по принципу минимально необходимых полномочий
- Учёт и контроль материальных носителей информации
11.2. Технические меры
- Передача данных между клиентом и сайтом защищена протоколом HTTPS/TLS
- Шифрование данных при хранении (AES-256)
- Многоуровневая система контроля доступа с авторизацией по принципу минимально необходимых прав
- Регулярное резервное копирование данных
- Системы обнаружения и предотвращения вторжений
- Защита от автоматизированных атак (rate-limiting, защита от ботов)
- Регулярные обновления программного обеспечения
12Права субъекта персональных данных
В соответствии со статьями 14–18 ФЗ-152 субъект персональных данных имеет право:
- Получать информацию о факте обработки своих ПД, о целях, способах и сроках обработки
- Знать перечень обрабатываемых персональных данных и источник их получения
- Знать перечень лиц, имеющих доступ к его ПД
- Требовать уточнения, блокирования или уничтожения ПД в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
- Отозвать согласие на обработку персональных данных в любой момент
- Возражать против обработки персональных данных в целях продвижения товаров и услуг (рассылка)
- Запретить принятие решений на основании исключительно автоматизированной обработки своих ПД
- Обжаловать действия или бездействие Оператора, обратившись в Роскомнадзор или в суд
- Защищать свои права и законные интересы, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке
- Получать ответы на свои обращения и запросы в течение 10 рабочих дней (с возможным продлением до 30 дней)
- Требовать прекращения обработки ПД при достижении целей обработки или утрате необходимости в их достижении
Для реализации указанных прав субъект может обратиться к Оператору через контакты, указанные в разделе 14, направив письменное заявление с подтверждением личности.
13Ответственный за организацию обработки
14Контакты Оператора
15Заключительные положения
Настоящая Политика вступает в силу с 25 мая 2026 года и действует бессрочно до её замены новой редакцией.
Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция Политики размещается по адресу https://enjoyspa.ru/soglasiya/policy/ и доступна для ознакомления всем заинтересованным лицам.
При внесении существенных изменений Оператор информирует субъектов персональных данных путём размещения уведомления на сайте не менее чем за 7 (семь) календарных дней до вступления изменений в силу.
Все вопросы, не урегулированные настоящей Политикой, регулируются действующим законодательством Российской Федерации.
Споры, возникающие в связи с обработкой персональных данных, разрешаются в соответствии с законодательством Российской Федерации. Субъект персональных данных вправе обратиться с жалобой в уполномоченный орган по защите прав субъектов персональных данных — Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, https://rkn.gov.ru).