Политика конфиденциальности · HEADSPA
- Действуют с:
- 01.05.2026
- Версия:
- 1.0
- Поставщик услуг:
- SIA HEADSPA, рег. № 40203721075 (Контролёр данных)
1 · Введение
1.1. SIA HEADSPA (рег. № 40203721075, юридический адрес: Rūpniecības iela 5-1A, Rīga, LV-1010), далее — HEADSPA, уважает вашу конфиденциальность и защищает персональные данные в соответствии с Общим регламентом защиты данных (GDPR, ЕС 2016/679) и Законом Латвийской Республики об обработке персональных данных физических лиц.
1.2. Настоящая политика конфиденциальности (далее — Политика) разъясняет, как HEADSPA собирает, использует, хранит и защищает ваши персональные данные, а также ваши права в отношении этих данных.
1.3. Политика распространяется на всех клиентов HEADSPA и посетителей сайта head-spa.lv.
2 · Ответственный за защиту данных (DPO)
Имя: Konstantins Talikovs
Роль: директор SIA HEADSPA и ответственный за защиту данных
Email: admin@head-spa.lv
Телефон: +371 22 830 328
Адрес: Rūpniecības iela 5-1A, Rīga, LV-1010
По любому вопросу об обработке ваших данных вы можете связаться с DPO напрямую.
3 · Какие данные мы обрабатываем
3.1. Идентификационные данные
- Имя, фамилия
- Дата рождения
- Номер телефона
- Язык коммуникации (LV / EN / RU)
Цель: управление резервациями, коммуникация, напоминания, выдача документов.
Правовое основание: договор между Клиентом и HEADSPA (GDPR 6.1.b).
3.2. Медицинские данные ⚠️ Особая категория
Согласно статье 9 GDPR, медицинские данные являются особой категорией персональных данных с дополнительной защитой.
Мы обрабатываем:
- Ответы на онлайн-анкету о здоровье — короткая анкета, заполняется после резервации
- Ответы на полную анкету о здоровье в студии — перед процедурой
- Данные о противопоказаниях, аллергиях, хронических заболеваниях, принимаемых медикаментах
- Заметки специалиста о ходе процедуры и состоянии Клиента (только то, что важно для безопасности и адаптации программы)
Цель: обеспечить безопасность процедуры, адаптировать программу, избежать рисков для здоровья.
Правовое основание: явно выраженное согласие (GDPR 9.2.a) — Клиент даёт согласие, заполняя анкету и подписывая информированное согласие в студии.
3.3. Платёжные данные
- Номер банковского счёта (который Клиент указывает сам)
- История платежей
- Номера счетов и суммы
У нас НЕТ доступа к номерам банковских карт Клиента или паролям — эту информацию обрабатывают банки и поставщики платёжных услуг.
Цель: выставление счетов, бухгалтерский учёт.
Правовое основание: юридическая обязанность (Закон Латвии о бухгалтерском учёте) + договор.
3.4. Технические данные с сайта
- IP-адрес
- Тип и версия браузера
- Дата и время посещения сайта
- Просмотренные страницы
- Источник трафика (с какого сайта вы пришли)
Цель: работа сайта, безопасность, статистика.
Правовое основание: законные интересы (GDPR 6.1.f) и — для cookies — согласие.
3.5. Маркетинговые данные (с согласия)
- Согласие на получение новостей, акционных предложений, приглашений
- Клики и открытия в электронных письмах
Цель: маркетинговая коммуникация.
Правовое основание: согласие (GDPR 6.1.a).
4 · Сколько времени мы храним данные
| Категория данных | Срок хранения | Обоснование |
|---|---|---|
| Профиль Клиента (идентификация) | 2 года после последней активной коммуникации | Коммерческая необходимость |
| Онлайн-анкета о здоровье (Слой 1) | 2 года после последней процедуры | История безопасности процедур |
| Студийная подписанная анкета (Слой 2) | 5 лет | Требование латвийского закона для медицинских документов |
| Счета и бухгалтерские данные | 10 лет | Закон Латвии о бухгалтерском учёте |
| Маркетинговые данные | До отзыва согласия или 3 года после последней активности | Согласие |
| Cookies | Зависит от cookie (см. политику cookies) | Согласие или законные интересы |
| Технические серверные логи | 12 месяцев | Безопасность |
По истечении срока данные удаляются или анонимизируются.
5 · Кому мы передаём данные
5.1. Наши сотрудники и партнёры
Доступ к данным имеют только лица, которым он необходим для выполнения обязанностей:
- Александра Таликова — анкеты о здоровье и заметки по процедурам
- Konstantins Talikovs (DPO) — все данные для целей администрирования
- Бухгалтер — счета, платежи, годовой отчёт
5.2. Обработчики данных
| Сервис | Цель | Расположение | Основание передачи |
|---|---|---|---|
| Notion Labs Inc. | CRM (база клиентов, резервации, история визитов) | США | SCC + DPA, EU-US Data Privacy Framework |
| Supabase Inc. | Хранение онлайн-анкеты о здоровье | ЕС (Франкфурт, AWS eu-central-1) | DPA, данные не покидают ЕС |
| Google Workspace | Email, Drive (подписанные анкеты в студии) | ЕС | DPA, EU-US Data Privacy Framework |
| Telegram Bot API | Внутренние операционные уведомления студии | — | Только обезличенные данные (имя + время резервации) |
| AS Citadele banka | Авансовые и финальные платежи, выставление счетов | Латвия | Банковская тайна, регулируется FKTK |
Все обработчики данных подписали Договоры об обработке данных (DPA) с HEADSPA.
5.3. Передача данных за пределы ЕС
Большинство персональных данных Клиента обрабатывается в пределах Европейской экономической зоны (ЕЭЗ).
Передача в третьи страны:
- Notion Labs Inc. (США) — используется как CRM-система для хранения базы клиентов и истории резерваций. Передача защищена: Стандартными договорными положениями ЕС (Standard Contractual Clauses, SCC); Сертификацией EU-US Data Privacy Framework (DPF); Договором об обработке данных (DPA), подписанным с HEADSPA.
- Google Workspace — основная инфраструктура размещена в дата-центрах ЕС. В случае технической передачи данных в США применяются те же гарантии: SCC и EU-US Data Privacy Framework.
HEADSPA не передаёт персональные данные в страны, не имеющие признанного ЕС уровня защиты данных, без применения соответствующих правовых гарантий.
5.4. Категории получателей
HEADSPA не передаёт персональные данные Клиента третьим лицам в маркетинговых, рекламных или коммерческих целях.
Данные передаются только:
- Обработчикам данных, перечисленным в п. 5.2, исключительно для выполнения договорных обязательств перед Клиентом
- Государственным органам — только по законному запросу (налоговая служба VID, PTAC, суд, полиция)
- Бухгалтерским и юридическим консультантам HEADSPA — на основании договоров о конфиденциальности
6 · Ваши права
Согласно GDPR, у вас есть следующие права:
6.1. Право на доступ (статья 15 GDPR)
Вы можете запросить копию всех данных, которые мы обрабатываем о вас. Ответ — в течение 30 дней.
6.2. Право на исправление (статья 16 GDPR)
Если данные неточны или неполны, вы можете запросить их исправление.
6.3. Право быть забытым (статья 17 GDPR)
Вы можете запросить удаление своих данных, за исключением:
- Данных, хранение которых обязательно по закону (счета, подписанные в студии анкеты о здоровье)
- Данных, необходимых для защиты юридических требований
6.4. Право на ограничение обработки (статья 18 GDPR)
Вы можете запросить ограничение обработки, если оспариваете точность данных.
6.5. Право на переносимость данных (статья 20 GDPR)
Вы можете запросить свои данные в структурированном, машиночитаемом формате (CSV или JSON) для переноса к другому поставщику услуг.
6.6. Право возражать (статья 21 GDPR)
Вы можете возразить против обработки данных на основании законных интересов или в маркетинговых целях.
6.7. Право отозвать согласие
Вы можете в любой момент отозвать своё согласие, отправив email на admin@head-spa.lv. Отзыв не влияет на законность обработки до отзыва.
6.8. Право подать жалобу в надзорный орган
Если вы считаете, что ваши права нарушены, можете подать жалобу:
Государственная инспекция данных Латвии
- Elijas iela 17, Rīga, LV-1050
- Тел.: +371 67223131
- Email: pasts@dvi.gov.lv
- Сайт: www.dvi.gov.lv
7 · Безопасность данных
7.1. HEADSPA применяет технические и организационные меры для защиты ваших данных:
Технические меры:
- SSL/TLS шифрование на сайте и в платёжных системах
- Шифрование данных на уровне хранения в Supabase (медицинские данные)
- Контроль доступа с аутентификацией и двухфакторной проверкой
- Регулярное резервное копирование
Организационные меры:
- Обучение персонала по обработке персональных данных
- Соглашения о конфиденциальности с сотрудниками и партнёрами
- Принцип доступа по необходимости (need-to-know)
- Договоры об обработке данных (DPA) со всеми обработчиками
7.2. В случае утечки данных мы уведомляем Государственную инспекцию данных в течение 72 часов, а если утечка несёт высокий риск для прав Клиентов — также соответствующих Клиентов.
8 · Cookies
8.1. На сайте head-spa.lv используются следующие cookies:
| Тип | Цель | Срок | Согласие |
|---|---|---|---|
| Необходимые | Работа сайта | Сессия | Не требуется |
| Функциональные | Язык и предпочтения | 12 месяцев | Требуется |
| Статистические | Анонимный учёт посещений (Google Analytics 4) | 14 месяцев | Требуется |
| Маркетинговые | Meta Pixel, ремаркетинговые системы | 12 месяцев | Требуется |
8.2. Управление cookies — при первом посещении сайта появляется баннер согласия. Настройки можно изменить в любой момент.
9 · Особые категории данных (медицинская информация)
9.1. Перед каждой процедурой Клиент заполняет анкету о здоровье (противопоказания, аллергии, хронические заболевания, беременность, приём медикаментов). Эти данные относятся к особой категории персональных данных согласно ст. 9 Регламента (ЕС) 2016/679 (GDPR).
9.2. Правовое основание обработки: явное согласие Клиента (ст. 9(2)(a) GDPR), выраженное путём подписания анкеты или подтверждения чекбоксом в онлайн-форме.
9.3. Место хранения:
- Онлайн-анкета (заполненная до визита) хранится в Supabase (Франкфурт, ЕС). Данные не передаются в третьи страны.
- Подписанная бумажная анкета в студии сканируется и хранится в Google Workspace (ЕС).
- Содержимое анкеты о здоровье не дублируется в CRM-системе (Notion). В CRM фиксируется только факт заполнения анкеты и общие отметки специалиста о применимости программы.
9.4. Доступ к медицинским данным имеют только:
- Специалист, проводящий процедуру
- Главный специалист HEADSPA (Александра Таликова, медицинское образование)
- Ответственное лицо за защиту данных (Konstantins Talikovs)
9.5. Срок хранения медицинских данных: 3 года с момента последнего визита Клиента, после чего данные удаляются. Если Клиент не возвращается в течение этого срока, анкета удаляется автоматически.
9.6. Клиент имеет право в любой момент запросить удаление медицинских данных до окончания срока хранения, направив запрос на admin@head-spa.lv. Удаление осуществляется в течение 30 дней.
10 · Передача данных за пределы ЕС/ЕЭП
10.1. Большинство обработчиков данных находятся на территории ЕС/ЕЭП.
10.2. Некоторые сервисы (например, Notion Labs) находятся в США. В таких случаях передача данных происходит в соответствии с:
- EU-US Data Privacy Framework (новый фреймворк, в силе с 2023 года)
- Стандартными договорными положениями (SCC)
- Утверждёнными договорами об обработке данных (DPA) с поставщиком услуг
10.3. Медицинские данные (анкеты о здоровье) не передаются за пределы ЕС — они хранятся в Supabase (Франкфурт) и Google Drive (ЕС-сервисы).
11 · Изменения в настоящей политике
11.1. HEADSPA оставляет за собой право изменять настоящую Политику. Изменения публикуются на сайте с указанием даты вступления в силу.
11.2. О существенных изменениях (новые категории данных, новые цели обработки) мы уведомляем Клиентов на зарегистрированный email не позднее чем за 30 дней до вступления изменений в силу.
12 · Контакты
Контролёр данных:
- SIA HEADSPA
- Рег. № 40203721075
- Rūpniecības iela 5-1A, Rīga, LV-1010
Ответственный за защиту данных (DPO):
- Konstantins Talikovs
- Email: admin@head-spa.lv
- Телефон: +371 22 830 328
Надзорный орган:
- Государственная инспекция данных Латвии
- www.dvi.gov.lv