Политика конфиденциальности — Инанна Велнес Берлин
Inanna GmbH
Политика Конфиденциальности
Настоящий текст (Политика конфиденциальности) является переводом на русский язык. Юридически обязательной является исключительно немецкая редакция (Datenschutzerklärung). В случае расхождений между настоящим русским переводом, английским переводом (Privacy Policy) или немецким оригиналом приоритет имеет немецкий текст. Российский Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не применяется.
§ 1 Оператор персональных данных
Оператором персональных данных в значении ст. 4 п. 7 Регламента (ЕС) 2016/679 (Общий регламент по защите данных — GDPR) является:
Inanna GmbH Charlottenstraße 19 10117 Berlin
Генеральный директор: Mr Siddharth Raja
Торговый реестр: HRB 237773 B, Участковый суд Шарлоттенбурга
ИНН (USt-IdNr.): DE352548770
Электронная почта: keepshining@inanna.beauty
WhatsApp: https://inanna.spa/whatsapp
Телефон: 0800 0808 800 (бесплатно на территории Германии)
Сайт: https://inanna.beauty
§ 2 Контактное лицо по вопросам защиты данных
Inanna GmbH не назначала уполномоченного по защите данных, поскольку условия, предусмотренные ст. 37 GDPR и § 38 Федерального закона о защите данных (BDSG), не выполнены. Все запросы, касающиеся обработки персональных данных, направляйте по адресу:
Электронная почта: keepshining@inanna.beauty
Тема: «Datenschutzanfrage» (нем. — запрос о защите данных)
Ответ предоставляется без неоправданных задержек и в любом случае в течение одного месяца с момента получения запроса (ст. 12 абз. 3 GDPR).
§ 3 Обзор операций по обработке данных и правовые основания
Inanna GmbH обрабатывает персональные данные в нижеперечисленных целях. Каждая операция по обработке опирается на самостоятельное правовое основание GDPR, подробно изложенное в соответствующих разделах:
– Обеспечение работы сайта и его безопасности (ст. 6 абз. 1 лит. f GDPR)
– Управление файлами cookie и веб-аналитика (§ 25 TDDDG; ст. 6 абз. 1 лит. a GDPR)
– Доставка контента и обеспечение безопасности через CDN (§ 25 абз. 2 TDDDG; ст. 6 абз. 1 лит. f GDPR)
– Серверное управление тегами и отслеживание конверсий (ст. 6 абз. 1 лит. a и ст. 6 абз. 1 лит. f GDPR)
– Тепловые карты и анализ сессий (ст. 6 абз. 1 лит. a GDPR)
– 3D-тур по помещениям (ст. 6 абз. 1 лит. a и ст. 6 абз. 1 лит. f GDPR)
– Бронирование и управление записями через платформу бронирования (ст. 6 абз. 1 лит. b GDPR)
– Бронирование через сторонний сервис Treatwell (ст. 6 абз. 1 лит. b GDPR)
– Исполнение договоров на оказание услуг и проведение процедур (ст. 6 абз. 1 лит. b GDPR)
– Розничная продажа продукции и расчёты через кассовую систему (ст. 6 абз. 1 лит. b GDPR)
– Доставка товаров через службу доставки (ст. 6 абз. 1 лит. b GDPR)
– Управление промо-сертификатами и программами лояльности (ст. 6 абз. 1 лит. f GDPR)
– Возврат НДС для клиентов из стран, не входящих в ЕС, через Global Blue (ст. 6 абз. 1 лит. c GDPR)
– Обработка данных о состоянии здоровья в целях проведения процедур (ст. 9 абз. 2 лит. a GDPR)
– Диагностическая визуализация и анализ кожи с помощью систем Canfield® и Biologique Recherche® Skin Instant Lab™ (ст. 9 абз. 2 лит. a GDPR)
– Индивидуальные микронутриентные рецептуры через HCK Mikronährstoffe (ст. 9 абз. 2 лит. a GDPR)
– Направление на лабораторный анализ крови в рамках оценки микронутриентного статуса через IMD Labor (ст. 9 абз. 2 лит. a GDPR)
– Документирование результатов: фотографии «до» и «после» (ст. 6 абз. 1 лит. a и ст. 9 абз. 2 лит. a GDPR)
– Видеонаблюдение в общедоступных зонах помещений (ст. 6 абз. 1 лит. f GDPR; § 4 BDSG)
– Обработка платежей (ст. 6 абз. 1 лит. b GDPR)
– Коммуникация по электронной почте, WhatsApp, социальным сетям, чату на сайте и телефону (ст. 6 абз. 1 лит. b и ст. 6 абз. 1 лит. f GDPR)
– Подготовка и контроль качества коммуникации с использованием ИИ (ст. 6 абз. 1 лит. f GDPR)
– Информационная рассылка и маркетинговые коммуникации (ст. 6 абз. 1 лит. a GDPR)
– Приглашения на мероприятия и клиентские коммуникации (ст. 6 абз. 1 лит. a и ст. 6 абз. 1 лит. f GDPR)
– Соблюдение налоговых и торговых обязанностей по хранению документов (ст. 6 абз. 1 лит. c GDPR)
– Подбор персонала (ст. 6 абз. 1 лит. b и ст. 88 GDPR в связке с § 26 BDSG)
– Связи с общественностью (ст. 6 абз. 1 лит. f GDPR)
– Управление рекламными кампаниями Google Ads через агентство (ст. 6 абз. 1 лит. a GDPR)
– Обработка данных несовершеннолетних с согласия законного представителя (ст. 6 абз. 1 лит. a, ст. 8, ст. 9 абз. 2 лит. a GDPR)
§ 4 Хостинг сайта и серверные журналы
Сайт размещён на выделенном сервере компании Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (зарегистрирована в реестре Участкового суда Ансбаха, HRB 6089). Центры обработки данных Hetzner расположены исключительно в пределах Европейской экономической зоны. Hetzner действует в качестве обработчика данных на основании договора об обработке данных по поручению в соответствии со ст. 28 GDPR.
При посещении сайта сервер автоматически собирает и сохраняет в журналах информацию, передаваемую браузером. Эти данные технически необходимы для отображения сайта, обеспечения его стабильности и безопасности. Правовым основанием является ст. 6 абз. 1 лит. f GDPR (законный интерес в безопасном и эффективном функционировании сайта).
Сайт работает на базе Craft CMS и регулярно обновляется. CMS устанавливает технически необходимые сессионные файлы cookie и файлы cookie безопасности (CRAFT_CSRF_TOKEN и CraftSessionId), которые не требуют согласия в силу § 25 абз. 2 Закона о телекоммуникациях и цифровых сервисах (TDDDG). Craft CMS размещена на собственном выделенном сервере; передача данных производителю (Pixel & Tonic, Inc.) не осуществляется.
В серверных журналах фиксируются следующие данные:
– IP-адрес запрашивающего устройства – дата и время обращения – имя и URL запрашиваемого файла – адрес страницы, с которой совершён переход (реферер) – тип и версия браузера, операционная система – объём переданных данных – код состояния HTTP
Объединение с иными источниками данных не производится. Серверные журналы автоматически удаляются через 14 дней, за исключением случаев, когда более длительное хранение необходимо в целях безопасности.
§ 5 Файлы cookie и управление согласием
5.1 Общие положения
Сайт использует файлы cookie — небольшие текстовые файлы, сохраняемые браузером на устройстве пользователя. Часть файлов cookie технически необходима для функционирования сайта (§ 25 абз. 2 TDDDG). Иные файлы cookie служат целям аналитики и маркетинга и требуют предварительного согласия (§ 25 абз. 1 TDDDG в связке со ст. 6 абз. 1 лит. a GDPR).
5.2 Управление согласием (Cookiebot)
Для получения, управления и документирования согласия на использование файлов cookie применяется сервис Cookiebot компании Usercentrics A/S, Havnegade 39, 1058 Копенгаген, Дания. Usercentrics действует в качестве обработчика данных на основании ст. 28 GDPR. При посещении сайта Cookiebot отображает баннер, позволяющий принять или отклонить необязательные файлы cookie. Настройки сохраняются в файле cookie на устройстве пользователя и документируются Cookiebot в целях подтверждения соблюдения § 25 TDDDG и ст. 7 абз. 1 GDPR.
При этом обрабатываются: анонимизированный IP-адрес, дата и время предоставления согласия, User-Agent браузера, URL страницы, анонимный зашифрованный ключ и статус согласия. Правовое основание — ст. 6 абз. 1 лит. c GDPR (обязанность по документированию) в связке со ст. 6 абз. 1 лит. f GDPR (законный интерес в правомерном использовании файлов cookie). Срок хранения — 12 месяцев.
5.3 Технически необходимые файлы cookie
Эти файлы cookie обеспечивают базовые функции сайта и не требуют согласия в силу § 25 абз. 2 TDDDG. К ним относятся сессионные файлы cookie, файлы cookie согласия Cookiebot и файлы cookie, необходимые для интеграции системы бронирования Shore.
5.4 Аналитические файлы cookie (требующие согласия)
С согласия пользователя применяется Google Analytics 4 — сервис веб-аналитики компании Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ирландия. Google Ireland действует в качестве обработчика данных на основании ст. 28 GDPR. Функция анонимизации IP-адреса активирована. Обработка основана на согласии в соответствии с § 25 абз. 1 TDDDG и ст. 6 абз. 1 лит. a GDPR. Отзыв согласия возможен в любое время через баннер Cookiebot или настройки браузера.
Google сертифицирована в рамках EU-US Data Privacy Framework. Подробнее: https://policies.google.com/privacy.
5.5 Маркетинговые файлы cookie (требующие согласия)
С согласия пользователя могут устанавливаться файлы cookie рекламных и социальных платформ для предоставления целевого контента и измерения эффективности кампаний. Установка производится только после явного согласия через баннер Cookiebot. Правовое основание — § 25 абз. 1 TDDDG и ст. 6 абз. 1 лит. a GDPR.
5.6 Сеть доставки контента (Cloudflare)
Сайт использует сеть доставки контента (CDN) и средства обеспечения безопасности компании Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, США. При обращении к сайту соединение проходит через глобальную серверную сеть Cloudflare, при этом могут обрабатываться IP-адрес, данные браузера и параметры запроса. Отдельные технически необходимые файлы cookie (напр. _cfuvid) могут устанавливаться Cloudflare; они освобождены от требования согласия в силу § 25 абз. 2 TDDDG. Правовое основание — ст. 6 абз. 1 лит. f GDPR (законный интерес в обеспечении безопасности и производительности). Cloudflare сертифицирована в рамках EU-US Data Privacy Framework. В отношении CDN- и защитных функций Cloudflare выступает самостоятельным ответственным лицом.
5.7 Серверное управление тегами (Stape)
Для размещения серверного контейнера Google Tag Manager (sGTM) используется Stape Europe OÜ (рег. номер 16564377), Таллинн, Эстония. При взаимодействии с сайтом данные отслеживания (просмотры страниц, события конверсий, информация об устройстве) направляются на контейнер Stape по субдомену vipimo.inanna.beauty перед пересылкой на аналитические и рекламные платформы (Google Analytics, Google Ads, Meta и др.).
Stape действует в качестве обработчика данных на основании ст. 28 GDPR. Контейнер Stape функционирует на европейской инфраструктуре. Файлы cookie, устанавливаемые через серверный контейнер (_ga, ga#, _gcl_au, _gcl_ls, FPID, FPAU, FPLC, FPGSID), являются First-Party-файлами cookie домена inanna.beauty и требуют предварительного согласия в соответствии с § 25 абз. 1 TDDDG; правовое основание — ст. 6 абз. 1 лит. a GDPR.
5.8 Тепловые карты и анализ сессий (Microsoft Clarity)
С согласия пользователя применяется Microsoft Clarity — сервис компании Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ирландия — для анализа поведения посетителей сайта посредством тепловых карт и анонимизированных записей сессий. Microsoft Clarity устанавливает файлы cookie _clck (1 год) и _clsk (1 день) на домене inanna.beauty.
Обработка основана на согласии в соответствии с § 25 абз. 1 TDDDG и ст. 6 абз. 1 лит. a GDPR. Microsoft сертифицирована в рамках EU-US Data Privacy Framework. Отзыв согласия возможен в любое время через баннер Cookiebot. Подробнее: https://clarity.microsoft.com/terms.
5.9 3D-тур (Matterport)
На странице контактов представлен интерактивный 3D-тур по помещениям, предоставляемый компанией Matterport, Inc., 352 E. Java Dr., Sunnyvale, CA 94089, США. При загрузке тура Matterport обрабатывает IP-адрес, сведения об устройстве и данные о взаимодействии. Matterport является самостоятельным ответственным лицом. Matterport устанавливает технически необходимые файлы cookie Cloudflare (_cfuvid) и анонимный идентификатор сессии (sc_anonymous_id) через свои домены (cdn-2.matterport.com, my.matterport.com, static.matterport.com). Эти файлы cookie не требуют согласия в силу § 25 абз. 2 TDDDG.
3D-тур загружается только с согласия пользователя (двухступенчатая интеграция). Правовое основание — ст. 6 абз. 1 лит. a GDPR. Matterport расположена в США и сертифицирована в рамках EU-US Data Privacy Framework (решение об адекватности от 10 июля 2023 г.). Передачи данных можно избежать, не загружая тур.
5.10 Таблица файлов cookie
Нижеследующая таблица содержит все файлы cookie, обнаруженные при сканировании Cookiebot 2 февраля 2026 г. на домене inanna.beauty, с актуализированными классификациями. Файлы cookie сгруппированы по категориям согласия Cookiebot. Файлы cookie категории «Необходимые» не требуют согласия (§ 25 абз. 2 TDDDG). Все прочие категории требуют предварительного согласия (§ 25 абз. 1 TDDDG, ст. 6 абз. 1 лит. a GDPR).
Полный список всех используемых файлов cookie размещён в нижней части данной страницы.
§ 6 Бронирование записей (Shore)
Для управления бронированием и записями используется платформа Shore GmbH, Ridlerstraße 31, 80339 München. При бронировании через сайт, по телефону, через WhatsApp или лично обрабатываются следующие данные:
– имя, адрес электронной почты, номер телефона
– желаемые дата и время записи
– выбранные услуги
– примечания, указанные при бронировании
Обработка осуществляется на основании ст. 6 абз. 1 лит. b GDPR (исполнение договора или преддоговорные меры). Shore действует в качестве обработчика данных на основании ст. 28 GDPR. Данные бронирования хранятся на серверах в пределах Европейского Союза.
Кроме того, записи поступают через платформу Treatwell B.V., Nieuwezijds Voorburgwal 120–126, 1012 SH Amsterdam, Нидерланды. Treatwell является самостоятельным ответственным лицом своей платформы и передаёт данные бронирования (имя, электронная почта, телефон, выбранная услуга и время записи) для обработки. Правовым основанием является ст. 6 абз. 1 лит. b GDPR.
§ 7 Исполнение договоров, оказание услуг и розничная продажа
При получении процедур или услуг Inanna обрабатывает персональные данные, необходимые для исполнения договора: контактные данные, историю записей, записи о процедурах, предпочтения в отношении услуг и всю связанную корреспонденцию. Правовое основание — ст. 6 абз. 1 лит. b GDPR.
При приобретении косметических или уходовых средств в помещениях Inanna GmbH обрабатываются данные, необходимые для совершения покупки: наименование товара, цена, способ оплаты и номер транзакции. Данные обрабатываются через кассовую систему (Shore POS) и передаются в систему бухгалтерского учёта (LexOffice) в целях соблюдения налоговых обязанностей. Правовое основание — ст. 6 абз. 1 лит. b GDPR (исполнение договора) и ст. 6 абз. 1 лит. c GDPR (налоговые обязанности по хранению документов).
В исключительных случаях доставки товаров по запросу клиента обрабатывается адрес доставки и передаётся службе доставки DHL (Deutsche Post DHL Group, Charles-de-Gaulle-Straße 20, 53113 Bonn) исключительно для целей доставки. DHL выступает самостоятельным ответственным лицом в процессе доставки. Правовое основание — ст. 6 абз. 1 лит. b GDPR.
Для клиентов из стран за пределами ЕС, приобретающих товары в студии, используется приложение Global Blue Tax Free (Global Blue AG, Zugerstrasse 70, 6340 Baar, Швейцария) для оформления документов по возврату НДС. Обрабатываются данные паспорта или удостоверения личности, гражданство, сведения о покупке и сумма возврата. Правовое основание — ст. 6 абз. 1 лит. c GDPR (соблюдение налогового законодательства) и ст. 6 абз. 1 лит. b GDPR (исполнение договора купли-продажи). Global Blue выступает самостоятельным ответственным лицом в процессе возврата НДС. Швейцария располагает решением об адекватности согласно ст. 45 GDPR.
При хранении документов после завершения процедуры или продажи в силу законодательных обязанностей (налоговые и торговые требования по § 147 AO и § 257 HGB) правовым основанием является ст. 6 абз. 1 лит. c GDPR. Хранение осуществляется в пределах законных сроков (до десяти лет для налоговых документов, до шести лет для торговой корреспонденции); по истечении этих сроков данные удаляются.
При участии в программах промо-сертификатов или лояльности (§ 16 Общих условий) обрабатываются данные, необходимые для управления программой: имя, дата рождения (для программы Inanna Birthday®), статус рекомендации (для программы Inanna Ambassador®), а также баланс и история использования сертификатов. Правовое основание — ст. 6 абз. 1 лит. f GDPR (законный интерес в поддержании клиентских отношений). Право на возражение в соответствии со ст. 21 GDPR сохраняется.
§ 8 Данные о состоянии здоровья (особые категории)
Inanna оказывает немедицинские оздоровительные, косметологические и трихологические услуги. Для безопасного оказания этих услуг могут собираться и обрабатываться сведения о здоровье, относящиеся к особым категориям персональных данных в значении ст. 9 абз. 1 GDPR:
– сведения из анкеты здоровья (кожные заболевания, аллергии, принимаемые препараты, медицинский анамнез, статус беременности, недавние вмешательства)
– результаты обследования кожи и кожи головы в ходе консультаций – проверка противопоказаний перед определёнными процедурами (лазер, радиочастотная терапия, химические пилинги, микронидлинг)
– записи о процедурах и динамика результатов
Обследование кожи и кожи головы может проводиться с использованием систем Canfield® VISIA® и D2® HairMetrix®, выполняющих высокоразрешающую съёмку, а также Biologique Recherche® Skin Instant Lab™, измеряющего биофизические параметры кожи (гидратация, себум, эластичность). Изображения и результаты измерений хранятся в защищённой среде в помещениях Inanna GmbH и рассматриваются как особые категории персональных данных согласно ст. 9 абз. 1 GDPR. Правовое основание — явное согласие по ст. 9 абз. 2 лит. a GDPR.
Системы Canfield® подлежат регулярному техническому обслуживанию силами Canfield Scientific GmbH, Otto-Brenner-Straße 203, 33604 Bielefeld (стопроцентная дочерняя компания Canfield Scientific, Inc., США). В ходе технического обслуживания персонал Canfield может получать доступ к диагностическим изображениям, хранящимся на оборудовании. Canfield Scientific GmbH действует в качестве обработчика данных на основании ст. 28 GDPR. Обработка осуществляется на территории Германии.
Общим правовым основанием для обработки данных о здоровье является явное согласие в соответствии со ст. 9 абз. 2 лит. a GDPR, предоставляемое при заполнении анкеты здоровья и подписании формы согласия на процедуру перед первым визитом. Согласие может быть отозвано в любое время с действием на будущее; отзыв не затрагивает законность обработки, осуществлённой до момента отзыва. Если в результате отзыва безопасное проведение определённых процедур становится невозможным, мы оставляем за собой право отказать в оказании услуги (§ 9 Общих условий).
Для составления индивидуальных микронутриентных рецептур используется платформа HCK Mikronährstoffe (HCK Mikronährstoffe AG, Untere Bahnhofstrasse 28, 9500 Wil, Швейцария). Данные о здоровье клиента — включая информацию о питании, потребности в добавках и при необходимости показатели крови — вносятся в платформу HCK для составления персонализированных формул. Эти данные относятся к особым категориям в значении ст. 9 абз. 1 GDPR. Обработка основана на ст. 9 абз. 2 лит. a GDPR (явное согласие). HCK действует в качестве обработчика данных на основании ст. 28 GDPR. Швейцария располагает решением об адекватности согласно ст. 45 GDPR.
При необходимости лабораторного анализа крови в рамках оценки микронутриентного статуса проба направляется в IMD Institut für Medizinische Diagnostik Berlin-Potsdam GbR, Nicolaistraße 22, 12247 Berlin. IMD выступает самостоятельным ответственным лицом и подчиняется нормам, регулирующим медицинские лаборатории, а также врачебной тайне. Передаются имя и соответствующие данные о здоровье исключительно для проведения анализа. Правовое основание — ст. 9 абз. 2 лит. a GDPR (явное согласие). Результаты анализа обрабатываются в составе медицинской карты клиента в рамках настоящего раздела.
Данные о здоровье обрабатываются с соблюдением строжайшей конфиденциальности, доступны только специалистам, проводящим процедуры, и минимально необходимому административному персоналу, и, насколько это технически возможно, хранятся отдельно от общих клиентских данных.
§ 9 Документирование результатов: фотографии «до» и «после»
С отдельного, явного согласия могут выполняться фотографии областей обработки до и после курса процедур в целях документирования прогресса и планирования лечения. Такие фотографии могут содержать информацию о здоровье и рассматриваются как особые категории персональных данных в значении ст. 9 абз. 1 GDPR.
Обработка основана на ст. 9 абз. 2 лит. a GDPR; согласие предоставляется отдельно от общего согласия на процедуру. Фотографии хранятся в защищённой среде, не передаются третьим лицам, не публикуются и не используются в маркетинговых целях, за исключением случаев предоставления дополнительного отдельного письменного согласия. Отзыв согласия и реализация права на удаление возможны в любое время.
§ 10 Видеонаблюдение в помещениях
В зоне входа, на рецепции, в коридорах и торговом зале (Spa Shop) установлена система видеонаблюдения. Наблюдение осуществляется в целях защиты помещений и товарных запасов, обеспечения безопасности сотрудников и клиентов, а также предупреждения и расследования правонарушений, включая хищения. Процедурные кабинеты, консультационные помещения и санитарные комнаты не оснащены камерами наблюдения. Система фиксирует исключительно видеоизображение; запись звука не ведётся.
Правовое основание — ст. 6 абз. 1 лит. f GDPR в связке с § 4 BDSG (законный интерес в обеспечении безопасности общедоступных зон). Записи хранятся локально на записывающих устройствах в помещениях Inanna GmbH и не передаются третьим лицам, облачным сервисам или внешним обработчикам.
Срок хранения составляет 72 часа; по истечении этого срока записи автоматически перезаписываются. Исключение составляет видеоматериал, необходимый для расследования конкретного инцидента или для обоснования, осуществления или защиты правовых требований. В таком случае он хранится до завершения соответствующего дела.
Зоны, охваченные наблюдением, обозначены информационными табличками в соответствии со ст. 13 GDPR и § 4 абз. 2 BDSG. #
§ 11 Обработка платежей
Доступные способы оплаты определяют состав обрабатываемых данных:
11.1 Оплата картой и цифровым кошельком через Shore Pay (Stripe)
Оплата картами в помещениях Inanna GmbH — включая Visa, Mastercard, American Express, EC-Karte/Girocard, Apple Pay и Google Pay — а также онлайн-платежи через платформу бронирования обрабатываются через Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Ирландия, в рамках интегрированной системы Shore Pay. Бесконтактные платежи через NFC-карты и мобильные устройства проходят через ту же инфраструктуру. Stripe обрабатывает данные платёжной карты непосредственно; мы не получаем и не храним полные реквизиты карты. Stripe сертифицирована в рамках EU-US Data Privacy Framework. Правовое основание — ст. 6 абз. 1 лит. b GDPR. Stripe действует в качестве обработчика данных на основании ст. 28 GDPR при исполнении транзакций от нашего имени и одновременно выступает самостоятельным ответственным лицом в части PCI-регулируемой обработки карточных данных и предотвращения мошенничества.
11.2 Дистанционные платёжные ссылки (SumUp)
Для дистанционных платежей — включая предоплаты, приобретение подарочных сертификатов и взимание сборов за отмену посредством платёжных ссылок (например, через WhatsApp или электронную почту) — используется SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Ирландия. SumUp обрабатывает данные платёжной карты непосредственно; полные реквизиты карты нами не сохраняются. Правовое основание — ст. 6 абз. 1 лит. b GDPR. SumUp действует в качестве обработчика данных на основании ст. 28 GDPR при исполнении транзакций от нашего имени и одновременно выступает самостоятельным ответственным лицом в части PCI-регулируемой обработки карточных данных и предотвращения мошенничества.
11.3 PayPal
Платежи через PayPal обрабатываются PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, 2449 Люксембург, в качестве самостоятельного ответственного лица. Правовое основание — ст. 6 абз. 1 лит. b GDPR.
11.4 Банковский перевод (Commerzbank)
Банковские переводы и прямое дебетование обрабатываются Commerzbank AG, Kaiserplatz, 60261 Frankfurt am Main, в соответствии с банковскими регуляторными требованиями. Commerzbank выступает самостоятельным ответственным лицом. Правовое основание — ст. 6 абз. 1 лит. b GDPR.
11.5 Наличный расчёт
При оплате наличными персональные данные, связанные с платежом, не обрабатываются. Кассовые чеки хранятся в налоговых целях на основании ст. 6 абз. 1 лит. c GDPR в связке с § 147 AO.
§ 12 Каналы коммуникации
12.1 Электронная почта (Microsoft 365)
Переписка по электронной почте осуществляется через Microsoft 365 компании Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ирландия. При обращении по адресу keepshining@inanna.beauty содержание сообщений, адрес электронной почты и связанные метаданные обрабатываются в инфраструктуре Microsoft. Microsoft действует в качестве обработчика данных на основании ст. 28 GDPR. Microsoft сертифицирована в рамках EU-US Data Privacy Framework. Правовое основание — ст. 6 абз. 1 лит. b GDPR (договорная коммуникация) и ст. 6 абз. 1 лит. f GDPR (законный интерес в эффективной деловой переписке).
12.2 WhatsApp, Instagram, Facebook, Telegram и SMS (Superchat)
Для централизованного управления клиентской перепиской через WhatsApp Business API, Facebook Messenger, Instagram Direct, Telegram и SMS (посредством Twilio, Inc., 101 Spear Street, San Francisco, CA 94105, США, в качестве SMS-шлюза) используется Superchat GmbH, Franz-Joseph-Straße 11, 80801 München. Superchat действует в качестве обработчика данных на основании ст. 28 GDPR.
При обращении через любой из этих каналов могут обрабатываться: имя и информация профиля платформы, сообщения и вложения, номер телефона (WhatsApp, Telegram, SMS) и временные метки. Правовое основание — ст. 6 абз. 1 лит. b GDPR (договорная коммуникация) и ст. 6 абз. 1 лит. f GDPR (законный интерес в коммуникации по предпочтительному каналу клиента).
Операторы базовых платформ обрабатывают данные в качестве самостоятельных ответственных лиц:
– WhatsApp, Instagram, Facebook Messenger: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Ирландия
– SMS: Twilio, Inc., San Francisco, CA, США (сертифицирована в рамках EU-US Data Privacy Framework)
– Telegram: Telegram FZ-LLC, Дубай, ОАЭ
С правилами обработки данных каждой платформы можно ознакомиться в соответствующих политиках конфиденциальности. Альтернативный канал связи — электронная почта keepshining@inanna.beauty.
12.3 Телефон (Deutsche Telekom Cloud PBX)
Телефонная связь обеспечивается через Deutsche Telekom Cloud PBX — продукт Deutsche Telekom AG, Friedrich-Ebert-Allee 140, 53113 Bonn. При звонке на номер 0800 0808 800 (на территории Германии) номер абонента и метаданные вызова (время, продолжительность) обрабатываются Deutsche Telekom в рамках инфраструктуры Cloud PBX. Deutsche Telekom действует в качестве обработчика данных на основании договора об обработке по поручению. Номер телефона может фиксироваться в клиентских записях для целей обратного звонка или управления записями. Правовое основание — ст. 6 абз. 1 лит. f GDPR (законный интерес в управлении клиентской коммуникацией).
Телефонные разговоры не записываются.
12.4 Чат-виджет на сайте (Superchat)
На сайте размещён чат-виджет Superchat GmbH (см. § 12.2). При использовании чата Superchat обрабатывает сообщения, состояние сессии и метаданные браузера. Технически необходимые сессионные файлы cookie (v3:superchat-session-*) устанавливаются на домене widget.superchat.de для поддержания сессии чата. Эти файлы cookie не требуют согласия в силу § 25 абз. 2 TDDDG. Правовое основание — ст. 6 абз. 1 лит. b GDPR (преддоговорная коммуникация) и ст. 6 абз. 1 лит. f GDPR (законный интерес в предоставлении оперативной поддержки).
§ 13 Коммуникация с использованием ИИ (Anthropic / Claude)
Для содействия в подготовке, проверке и совершенствовании внутренних и клиентских коммуникаций, документирования процедур и операционного контента используется Claude — большая языковая модель компании Anthropic, PBC, 548 Market Street, San Francisco, CA 94104, США (европейская деятельность через Anthropic UK Limited). Claude используется в рамках корпоративного тарифа Anthropic, включающего договор об обработке данных по поручению и договорные гарантии в отношении обработки данных.
При использовании Claude соответствующие тексты — которые могут содержать анонимизированные или псевдонимизированные сведения о клиентах, описания процедур или содержание переписки — передаются в инфраструктуру Anthropic. Объём персональных данных, включаемых в каждый запрос, сводится к необходимому минимуму; идентифицирующие сведения анонимизируются или псевдонимизируются в той мере, в какой это практически осуществимо.
Правовое основание — ст. 6 абз. 1 лит. f GDPR (законный интерес в эффективной и качественной коммуникации и операционной поддержке). При обработке данных, затрагивающих сведения о здоровье, обеспечивается анонимизация входных данных до степени, исключающей их квалификацию в качестве персональных, либо обработка основывается на ст. 9 абз. 2 лит. a GDPR (явное согласие на обработку в контексте процедур).
Anthropic расположена в США. Передача данных обеспечивается договорными гарантиями Anthropic, включая стандартные договорные оговорки (SCCs) в соответствии со ст. 46 абз. 2 лит. c GDPR в той мере, в какой EU-US Data Privacy Framework не применяется. В рамках корпоративного тарифа Claude не сохраняет данные бесед для обучения модели.
§ 14 Информационная рассылка (Brevo)
Для отправки информационных рассылок и регулярных сообщений о процедурах используется Brevo GmbH (ранее Sendinblue), Köpenicker Straße 126, 10179 Berlin. Brevo действует в качестве обработчика данных на основании ст. 28 GDPR.
При подписке обрабатываются: адрес электронной почты, имя (при указании), время подписки, IP-адрес на момент подписки (для подтверждения Double-Opt-in), а также данные взаимодействия (открытия, клики) в целях повышения релевантности содержания. Подписка осуществляется по процедуре Double-Opt-in.
Правовое основание — ст. 6 абз. 1 лит. a GDPR (согласие). Отказ от подписки возможен в любое время по ссылке в каждом письме рассылки, по электронной почте keepshining@inanna.beauty или через WhatsApp по адресу https://inanna.spa/whatsapp. Отзыв действует на будущее и не затрагивает законность предшествующей обработки. После отписки адрес электронной почты сохраняется исключительно в списке блокировки для предотвращения повторной подписки; основание — ст. 6 абз. 1 лит. f GDPR (законный интерес в соблюдении отзыва).
§ 15 Приглашения на мероприятия и клиентская коммуникация (Greenvelope)
Для персонализированных приглашений на мероприятия, поздравлений с днём рождения, доставки промо-сертификатов (включая сертификаты программ Inanna Ambassador® и Inanna Birthday® согласно § 16 Общих условий) и отдельных клиентских коммуникаций используется Greenvelope, Inc., Gig Harbor, WA, США — сервис цифровых приглашений. Greenvelope выступает самостоятельным ответственным лицом и обрабатывает имя, адрес электронной почты и данные об ответе получателя. Автоматическая рассылка не осуществляется.
Правовое основание — ст. 6 абз. 1 лит. a GDPR (согласие, в части маркетинговой коммуникации) и ст. 6 абз. 1 лит. f GDPR (законный интерес в поддержании клиентских отношений через персонализированную коммуникацию, в частности поздравления при добровольном предоставлении даты рождения). Согласие может быть отозвано в любое время по электронной почте keepshining@inanna.beauty или через WhatsApp.
Greenvelope расположена в США. Передача данных обеспечивается стандартными договорными оговорками (SCCs) согласно ст. 46 абз. 2 лит. c GDPR. Подробнее: greenvelope.com/privacy.
§ 16 Присутствие в социальных сетях
Мы поддерживаем публичные профили на следующих платформах: Instagram (instagram.com/inanna.wellness, активный), YouTube (активный), Facebook (неактивный профиль) и LinkedIn (используется преимущественно для подбора персонала). При взаимодействии с любым из этих профилей данные обрабатываются соответствующим ответственным лицом платформы в качестве самостоятельного ответственного лица. Мы получаем анонимизированные агрегированные аналитические данные в рамках совместного управления согласно ст. 26 GDPR (для Instagram и Facebook — на основании условий Meta Page Insights; для LinkedIn — на основании LinkedIn Page Insights Joint Controller Addendum).
Прямые сообщения обрабатываются через Superchat (см. § 12.2). Правовое основание — ст. 6 абз. 1 лит. f GDPR (законный интерес в публичном представительстве и взаимодействии с клиентами и заинтересованными лицами).
Фотографии и видеоматериалы, размещаемые на наших профилях в социальных сетях и на сайте, могут содержать изображения моделей, давших отдельное письменное согласие на использование своего образа на всех платформах ответственного лица. Права на изображения моделей регулируются индивидуальными соглашениями и не являются предметом настоящей Политики конфиденциальности.
§ 17 Бухгалтерский учёт и налоговое соответствие (LexOffice)
Для ведения цифрового учёта и хранения бухгалтерских и налоговых данных используется LexOffice — облачная бухгалтерская платформа компании Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg im Breisgau. LexOffice обрабатывает данные счетов, платёжных документов и клиентских транзакций, поступающих из кассовой системы (Shore POS), в целях текущего учёта и соблюдения законных обязанностей по хранению документов.
Правовое основание — ст. 6 абз. 1 лит. c GDPR (соблюдение налоговых обязанностей по § 147 AO и § 257 HGB). Haufe-Lexware действует в качестве обработчика данных на основании ст. 28 GDPR. Данные обрабатываются и хранятся в пределах Европейской экономической зоны.
Годовая отчётность и налоговые декларации составляются Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft (EY), Friedrichstraße 140, 10117 Berlin. EY выступает самостоятельным ответственным лицом и подчиняется законной профессиональной тайне (Закон об аудиторской деятельности — WPO; Закон о налоговых консультантах — StBerG). Данные счетов, платёжных документов и клиентских транзакций передаются EY исключительно для целей составления годовой отчётности и налоговых деклараций. Правовое основание — ст. 6 абз. 1 лит. c GDPR (соблюдение налоговых и торговых обязанностей).
Передача данных в третьи страны не осуществляется.
§ 18 Подбор персонала (JOIN)
Для управления процессом подбора персонала используется платформа JOIN (join.com GmbH, Berlin). При подаче заявки через JOIN или по объявлению, размещённому на JOIN, обрабатываются: имя, контактные данные, резюме, сопроводительное письмо, документы о квалификации и иные представленные материалы. JOIN действует в качестве обработчика данных на основании ст. 28 GDPR.
Правовое основание — ст. 6 абз. 1 лит. b GDPR (преддоговорные меры) в связке с § 26 BDSG (обработка данных в целях трудоустройства; переходная норма до принятия отдельного закона о защите персональных данных работников). При отказе в приёме на работу данные удаляются в течение шести месяцев после завершения конкурса, если не получено согласие на более длительное хранение для рассмотрения будущих вакансий. Автоматизированный отбор не применяется.
§ 19 Связи с общественностью (Presseportal)
Для распространения пресс-релизов и публичных коммуникаций используется Presseportal — сервис компании news aktuell GmbH (группа dpa), Mittelweg 144, 20148 Hamburg. news aktuell действует в качестве обработчика данных на основании ст. 28 GDPR. Presseportal обрабатывает содержание пресс-релизов и контактные данные пресс-службы (имя и адрес электронной почты) в целях медиараспространения. Правовое основание — ст. 6 абз. 1 лит. f GDPR (законный интерес в публичной коммуникации). Обработка затрагивает исключительно профессиональные медиаконтакты и не распространяется на персональные данные клиентов.
§ 20 Управление рекламными кампаниями Google Ads (Oplayo)
Для управления рекламными кампаниями Google Ads привлекается Oplayo GmbH, Skalitzer Strasse 33, 10999 Berlin (зарегистрирована в реестре Участкового суда Берлин-Шарлоттенбург, HRB 195942). Oplayo осуществляет управление кампаниями, включая стратегию ключевых слов, управление ставками, таргетирование аудиторий и анализ конверсий. В этих целях Oplayo может получать доступ к агрегированным данным об эффективности кампаний, данным конверсий и аналитике аудиторий платформы Google Ads.
Непосредственно идентифицирующие клиентские данные Oplayo от нас не получает. Вместе с тем через административный доступ к нашему аккаунту Google Ads Oplayo может обрабатывать псевдонимизированные или агрегированные пользовательские данные рекламной экосистемы Google (события конверсий, ремаркетинг-аудитории). Oplayo действует в качестве обработчика данных на основании ст. 28 GDPR. Правовое основание — ст. 6 абз. 1 лит. a GDPR (согласие на маркетинговые файлы cookie) в связке со ст. 6 абз. 1 лит. f GDPR (законный интерес в эффективной рекламе).
§ 21 Получатели данных и обработчики
Персональные данные передаются следующим категориям получателей:
Обработчики данных (обработка по нашему поручению согласно ст. 28 GDPR)
– Hetzner Online GmbH, Gunzenhausen — выделенный серверный хостинг
– Shore GmbH, München — бронирование, CRM и кассовая система
– Superchat GmbH, München — единая платформа обмена сообщениями и чат-виджет – Twilio, Inc., San Francisco, CA, США
— SMS-шлюз (через Superchat)
– Microsoft Ireland Operations Limited, Dublin, Ирландия — хостинг электронной почты (Microsoft 365) и анализ тепловых карт (Microsoft Clarity)
– Usercentrics A/S (Cookiebot), Копенгаген, Дания — управление согласием на файлы cookie
– Google Ireland Limited, Dublin, Ирландия — веб-аналитика (Google Analytics 4)
– Deutsche Telekom AG, Bonn — облачная АТС
– Anthropic, PBC / Anthropic UK Limited — коммуникация с использованием ИИ (Claude)
– Brevo GmbH, Berlin — информационная рассылка и email-маркетинг
– Haufe-Lexware GmbH & Co. KG (LexOffice), Freiburg im Breisgau — облачный бухгалтерский учёт
– HCK Mikronährstoffe AG, Wil, Швейцария — индивидуальные микронутриентные рецептуры
– Canfield Scientific GmbH, Bielefeld — техническое обслуживание диагностических систем визуализации
– join.com GmbH, Berlin — платформа подбора персонала
– news aktuell GmbH (Presseportal), Hamburg — распространение пресс-релизов
– Stape Europe OÜ, Эстония — серверный хостинг Google Tag Manager
– Oplayo GmbH, Berlin — управление кампаниями Google Ads
Самостоятельные ответственные лица — третьи стороны
– SumUp Limited, Dublin, Ирландия — обработка дистанционных платёжных ссылок; одновременно обработчик при исполнении транзакций
– Stripe Payments Europe, Ltd., Dublin, Ирландия — обработка карточных, цифровых и онлайн-платежей (через Shore Pay); одновременно обработчик при исполнении транзакций
– PayPal (Europe) S.à r.l. et Cie, S.C.A., Люксембург — обработка платежей
– Commerzbank AG, Frankfurt am Main — банковские услуги
– Meta Platforms Ireland Limited, Dublin, Ирландия
— WhatsApp, Instagram, Facebook
– Telegram FZ-LLC, Дубай, ОАЭ — Telegram
– Greenvelope, Inc., США — цифровые приглашения
– Deutsche Post DHL Group, Bonn — доставка товаров (при наличии)
– Cloudflare, Inc., San Francisco, США — CDN и обеспечение безопасности
– Matterport, Inc., Sunnyvale, США — 3D-тур
– Treatwell B.V., Амстердам, Нидерланды — платформа бронирования
– Global Blue AG, Baar, Швейцария — возврат НДС
– IMD Institut für Medizinische Diagnostik Berlin-Potsdam GbR, Berlin — лабораторный анализ крови
– YouTube (Google Ireland Limited), Dublin, Ирландия — видеохостинг
– LinkedIn Ireland Unlimited Company, Dublin, Ирландия — профессиональная сеть
– Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft (EY), Berlin — годовая отчётность и налоговые декларации (ответственное лицо, связанное профессиональной тайной)
Иные получатели
– Государственные органы — в случаях, предусмотренных законом (ст. 6 абз. 1 лит. c GDPR)
Персональные данные не продаются и не передаются третьим лицам в целях, выходящих за рамки настоящей Политики конфиденциальности.
§ 22 Передача данных в третьи страны
Ряд поставщиков услуг, указанных в настоящей Политике, расположены за пределами Европейской экономической зоны (ЕЭЗ) или осуществляют передачу данных в третьи страны. Надлежащие гарантии обеспечиваются следующим образом:
– США (Microsoft, Google, Stripe, Cloudflare): сертификация в рамках EU-US Data Privacy Framework (решение об адекватности от 10 июля 2023 г.)
– США (Meta Platforms): сертификация в рамках EU-US Data Privacy Framework
– США (Matterport): сертификация в рамках EU-US Data Privacy Framework
– США (Anthropic / Claude): стандартные договорные оговорки (SCCs) согласно ст. 46 абз. 2 лит. c GDPR. В рамках корпоративного тарифа Claude не сохраняет данные бесед для обучения модели.
– США (Twilio): сертификация в рамках EU-US Data Privacy Framework
– США (Greenvelope): стандартные договорные оговорки (SCCs) согласно ст. 46 абз. 2 лит. c GDPR
– Швейцария (HCK Mikronährstoffe, Global Blue): решение об адекватности согласно ст. 45 GDPR
– Объединённые Арабские Эмираты (Telegram): решение об адекватности отсутствует. Передача осуществляется на основании ст. 49 абз. 1 лит. a GDPR (явное согласие посредством добровольного использования Telegram). Передачи данных можно избежать, используя электронную почту или WhatsApp.
§ 23 Сроки хранения
Персональные данные хранятся лишь столько, сколько необходимо для соответствующей цели или предписано законом:
– Серверные журналы: 14 дней.
– Записи о согласии (Cookiebot): 12 месяцев.
– Данные серверного тегирования (Stape): постоянное хранение персональных данных не осуществляется; данные передаются транзитом на целевые платформы.
– Данные тепловых карт Microsoft Clarity: не более 13 месяцев (стандартный срок Microsoft).
– Записи о процедурах и клиентские дела: срок клиентских отношений плюс три года (§ 195 BGB), если законом не предусмотрен более длительный срок.
– Кассовые чеки: десять лет для налоговых документов (§ 147 AO); данные адреса доставки — до успешной доставки и истечения применимых сроков возврата или гарантии.
– Данные промо-сертификатов и программ лояльности: срок участия в программе плюс срок действия непогашенных сертификатов; дата рождения — на срок клиентских отношений.
– Данные транзакций Global Blue Tax Free: десять лет (§ 147 AO).
– Анкеты здоровья и формы согласия: срок клиентских отношений плюс три года. При отзыве согласия до истечения этого срока дальнейшее хранение осуществляется на основании ст. 6 абз. 1 лит. f GDPR (законный интерес в защите правовых требований) до истечения срока исковой давности.
– Диагностические изображения Canfield®: до отзыва согласия или три года после последнего визита, в зависимости от того, что наступит позже.
– Микронутриентные рецептуры HCK: срок клиентских отношений плюс три года.
– Данные направлений в лабораторию IMD: срок клиентских отношений плюс три года.
– Фотографии «до» и «после»: до отзыва согласия или три года после последнего визита, в зависимости от того, что наступит позже.
– Записи видеонаблюдения: 72 часа; продление только при необходимости расследования инцидента или защиты правовых требований.
– Данные, обработанные ИИ (Claude): хранение Anthropic в рамках корпоративного тарифа не осуществляется.
– Данные подписчиков рассылки: до отписки; адрес электронной почты затем остаётся в списке блокировки.
– Данные приглашений (Greenvelope): срок коммуникационного цикла мероприятия; удаление по запросу или при отпадении цели обработки.
– Счета и налоговые документы: десять лет (§ 147 AO).
– Торговая корреспонденция: шесть лет (§ 257 HGB).
– Данные телефонных соединений (метаданные Cloud PBX): шесть лет как торговая корреспонденция (§ 257 HGB); содержание разговоров не записывается.
– Данные взаимодействий в социальных сетях: хранение определяется платформой в рамках совместного управления (ст. 26 GDPR); агрегированная статистика, извлечённая ответственным лицом, хранится на срок использования соответствующего канала.
– Документы соискателей (при отказе): шесть месяцев после завершения конкурса.
– Данные конверсий Google Ads: в соответствии с настройками хранения Google; в настоящее время — 14 месяцев.
По истечении применимого срока хранения данные безопасно удаляются или анонимизируются.
§ 24 Ваши права
В соответствии с GDPR вам принадлежат нижеперечисленные права. Для их реализации обращайтесь по адресу keepshining@inanna.beauty или через WhatsApp по адресу https://inanna.spa/whatsapp с пометкой «Datenschutzanfrage» (нем. — запрос о защите данных):
24.1 Право на доступ (ст. 15 GDPR)
Вы вправе запросить подтверждение того, обрабатываем ли мы ваши персональные данные, и при наличии обработки — получить копию данных вместе с информацией о целях обработки, категориях данных, получателях, сроках хранения и иных правах.
24.2 Право на исправление (ст. 16 GDPR)
Вы вправе потребовать незамедлительного исправления неточных и дополнения неполных данных.
24.3 Право на удаление (ст. 17 GDPR)
Вы вправе потребовать удаления данных, если они более не нужны для целей обработки, согласие отозвано (при отсутствии иного правового основания) или обработка является незаконной. Это право не применяется в случаях, когда хранение предписано законом или необходимо для обоснования, осуществления или защиты правовых требований.
24.4 Право на ограничение обработки (ст. 18 GDPR)
При определённых условиях вы вправе потребовать ограничения обработки — например, на период проверки точности данных или при незаконной обработке, когда вы предпочитаете ограничение вместо удаления.
24.5 Право на переносимость данных (ст. 20 GDPR)
Если обработка основана на согласии или на исполнении договора и осуществляется автоматизированно, вы вправе получить свои данные в структурированном, общеупотребительном и машиночитаемом формате.
24.6 Право на возражение (ст. 21 GDPR)
Если обработка основана на ст. 6 абз. 1 лит. f GDPR, вы вправе в любое время заявить возражение по основаниям, связанным с вашей конкретной ситуацией. В этом случае мы прекращаем обработку, если не докажем наличие убедительных законных оснований.
24.7 Право на отзыв согласия (ст. 7 абз. 3 GDPR)
Если обработка основана на согласии, вы вправе отозвать его в любое время с действием на будущее. Законность обработки, осуществлённой на основании согласия до момента его отзыва, остаётся ненарушенной.
Мы отвечаем в течение одного месяца с момента получения запроса. Этот срок может быть продлён на два месяца с учётом сложности и числа запросов; в таком случае мы уведомим вас в течение первого месяца.
§ 25 Право на обращение с жалобой
Вы вправе обратиться с жалобой в надзорный орган. Компетентным органом для Inanna GmbH является:
Berliner Beauftragte für Datenschutz und Informationsfreiheit Friedrichstraße 219, 10969 Berlin
Телефон: +49 30 13889-0
Электронная почта: mailbox@datenschutz-berlin.de
Сайт: datenschutz-berlin.de
§ 26 Обязанность предоставления данных
Предоставление персональных данных может быть предписано законом (например, налоговые требования по § 147 AO) или необходимо для исполнения договора. В отношении данных о здоровье — непредоставление достоверных сведений может привести к невозможности безопасного проведения определённых процедур.
§ 27 Автоматизированное принятие решений
Автоматизированное принятие решений, включая профилирование в значении ст. 22 GDPR, которое порождает правовые последствия или аналогичным образом существенно затрагивает субъекта данных, не применяется.
§ 28 Обработка данных несовершеннолетних
При оказании услуг клиентам моложе 18 лет обработка персональных данных осуществляется на основании согласия законного представителя (ст. 6 абз. 1 лит. a, ст. 8 GDPR). Данные о здоровье несовершеннолетних обрабатываются с явным согласием законного представителя в соответствии со ст. 9 абз. 2 лит. a GDPR. К данным несовершеннолетних применяются те же стандарты конфиденциальности и минимизации, что и ко всем клиентским данным.
§ 29 Уведомление об утечке данных
В случае нарушения безопасности персональных данных, способного повлечь риск для прав и свобод субъекта данных, мы уведомляем компетентный надзорный орган в течение 72 часов (ст. 33 GDPR). При наличии высокого риска субъект данных уведомляется незамедлительно (ст. 34 GDPR).
§ 30 Изменения настоящей Политики конфиденциальности
Настоящая Политика конфиденциальности может обновляться для отражения изменений в операциях по обработке данных, правовом регулировании или спектре услуг. Актуальная редакция всегда доступна по адресу https://inanna.beauty/ru/politika-konfidentsialnosti. О существенных изменениях мы уведомляем не менее чем за 30 дней до их вступления в силу в текстовой форме (§ 126b BGB).
