Политика обработки
персональных данных

Общие положения и термины

1.1. Настоящая Политика (далее — «Политика») определяет порядок обработки и защиты персональных данных, поступающих Оператору от пользователей сайта паспортфото.рф (xn--80a2aaabbifmbu.xn--p1ai), далее — «Сайт».

1.2. Политика разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ»), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», подзаконными актами Роскомнадзора.

1.3. Термины в настоящей Политике используются в значениях, установленных ст. 3 152-ФЗ:

• Персональные данные (ПД) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПД).
• Оператор — индивидуальный предприниматель, осуществляющий обработку ПД, а также определяющий цели обработки, состав данных, действия с ними.
• Субъект ПД — пользователь Сайта, чьи персональные данные обрабатываются Оператором.
• Обработка ПД — любое действие (операция) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
• Автоматизированная обработка — обработка ПД с помощью средств вычислительной техники.
• Трансграничная передача — передача ПД на территорию иностранного государства органу власти, физическому или юридическому лицу (ст. 12 152-ФЗ).
• Согласие — конкретное, информированное и сознательное выражение воли субъекта ПД на обработку его данных (ст. 9 152-ФЗ).

1.4. Действующая редакция Политики постоянно размещена по адресу паспортфото.рф/privacy.html и доступна круглосуточно.

Сведения об Операторе

2.1. Оператор обрабатывает персональные данные пользователей на основании настоящей Политики, договора-оферты, размещённого на Сайте (terms.html), а также Согласия пользователя (consent.html), предоставленного при заказе услуги.

2.2. Контактные данные для связи по вопросам обработки ПД:

• Электронная почта: online@wow.photo
• Telegram: @wowphotowow

2.3. Ответственным за организацию обработки персональных данных является Оператор (ИП Маклаков М. А.) лично, согласно ч. 1 ст. 22.1 152-ФЗ.

Состав обрабатываемых данных

3.1. Оператор обрабатывает следующие категории персональных данных пользователей Сайта:

3.2. Правовой режим изображения лица. Оператор обрабатывает изображение лица исключительно для технической цели — автоматического кадрирования и приведения снимка к стандарту МВД РФ (Приказ № 773 от 16.11.2020). Оператор не использует изображение для установления личности субъекта ПД и не ведёт базу биометрических шаблонов. Поэтому в рамках настоящего сервиса изображение лица обрабатывается как иные персональные данные, а не как биометрические ПД по смыслу ст. 11 152-ФЗ. С учётом повышенной чувствительности таких данных Оператор применяет к ним усиленный режим защиты и запрашивает отдельное Согласие.

3.3. Оператор не обрабатывает специальные категории персональных данных (ст. 10 152-ФЗ): о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, судимости.

3.4. Оператор не обрабатывает ПД несовершеннолетних в возрасте до 14 лет без согласия их законных представителей. При заказе фотографии для несовершеннолетнего акцепт оферты и Согласие даёт родитель или иной законный представитель.

Цели обработки

4.1. Оператор обрабатывает персональные данные исключительно для достижения следующих конкретных, заранее определённых и законных целей:

• оказание услуги по автоматической обработке фотографии (кадрирование, коррекция фона, приведение к стандарту МВД РФ);
• доставка пользователю готового результата (JPG) по указанной им электронной почте;
• приём и сверка платежа через платёжный сервис;
• связь с пользователем по вопросам заказа, поддержки и претензий;
• ведение внутреннего учёта оказанных услуг и соблюдение обязанностей налогоплательщика по ст. 23, 29 Налогового кодекса РФ;
• улучшение качества сервиса: измерение производительности, анализ поведения пользователей на Сайте в обезличенной форме;
• защита прав и законных интересов Оператора и третьих лиц (ч. 1 ст. 6 п. 7 152-ФЗ).

4.2. Оператор не обрабатывает персональные данные для целей, не совместимых с перечисленными выше.

4.3. Оператор не осуществляет автоматизированное принятие решений, порождающих юридические последствия для пользователя (ст. 16 152-ФЗ): результат обработки является фотографией, а не правовым актом.

Правовые основания обработки

5.1. Обработка персональных данных осуществляется на следующих правовых основаниях (ч. 1 ст. 6 152-ФЗ):

• Согласие субъекта ПД (п. 1) — для обработки изображения лица, отправки результата на email и трансграничной передачи;
• Исполнение договора (п. 5) — публичной оферты, размещённой по адресу /terms.html, стороной которого является субъект ПД;
• Исполнение обязанностей, возложенных законом (п. 2) — налоговый учёт и бухгалтерская отчётность;
• Законные интересы Оператора (п. 7) — при условии, что интересы не нарушают прав и свобод субъекта: защита Сайта от атак и злоупотреблений, ведение служебных журналов.

5.2. Согласие на обработку персональных данных предоставляется пользователем посредством активного действия — проставления отметки в чекбоксе на Сайте перед началом оказания услуги. Полный текст Согласия размещён по адресу /consent.html.

Способы и сроки обработки

6.1. Оператор обрабатывает персональные данные автоматизированным способом (с использованием средств вычислительной техники) и неавтоматизированным способом (при рассмотрении обращений пользователей).

6.2. База данных, содержащая персональные данные граждан Российской Федерации, находится на сервере, расположенном на территории Российской Федерации (VPS-хостинг Timeweb, Москва), что соответствует ч. 5 ст. 18 152-ФЗ.

6.3. Сроки хранения различаются по категориям ПД:

6.4. По истечении указанных сроков персональные данные уничтожаются автоматически средствами информационной системы, либо в срок не позднее 30 дней с момента достижения цели обработки или отзыва согласия (ч. 4 ст. 21 152-ФЗ), если не предусмотрено иное законом.

6.5. Уничтожение персональных данных подтверждается актом, оформляемым Оператором в соответствии с Требованиями Роскомнадзора.

Передача персональных данных третьим лицам

7.1. Оператор передаёт персональные данные следующим третьим лицам исключительно в объёме, необходимом для достижения целей обработки:

7.2. Оператор заключает с российскими контрагентами (обработчиками по поручению) соглашения в порядке ч. 3 ст. 6 152-ФЗ, устанавливающие обязанность соблюдать конфиденциальность и обеспечивать защиту переданных ПД.

7.3. Оператор не продаёт и не передаёт персональные данные третьим лицам в целях рекламы, маркетинга или иных коммерческих целях, не связанных с оказанием услуги.

7.4. Оператор передаёт ПД государственным органам только в случаях, прямо предусмотренных законом, — на основании судебного акта, официального запроса в рамках расследования уголовного или административного дела.

Трансграничная передача

8.1. Получатели ПД, расположенные за пределами Российской Федерации:

• OpenRouter, Inc. (США) — сервис-маршрутизатор запросов к AI-моделям;
• Google LLC (США) — API моделей Gemini для обработки изображений;
• Google LLC (США) — инфраструктура Google Fonts и Material Symbols Outlined (загрузка шрифтов браузером пользователя).

8.2. Страны получения ПД: Соединённые Штаты Америки (США). Согласно Приказу Роскомнадзора, США не относятся к числу государств, обеспечивающих адекватную защиту прав субъектов ПД. Это означает, что трансграничная передача допускается только при наличии согласия субъекта ПД, оформленного в соответствии с ч. 4 ст. 12 152-ФЗ.

8.3. Категория передаваемых данных: изображение лица пользователя. Передача осуществляется без прямой связки с адресом электронной почты и платёжными данными (принцип псевдонимизации: в запросе к AI указывается только идентификатор задачи). Метаданные, способные самостоятельно идентифицировать пользователя, не передаются.

8.4. Правовое основание: письменное согласие субъекта ПД, предоставленное в электронной форме (ч. 4 ст. 9, ч. 4 ст. 12 152-ФЗ).

8.5. Меры защиты при трансграничной передаче:

• передача осуществляется по защищённым каналам TLS 1.2+;
• применяется псевдонимизация (исключение прямых идентификаторов);
• с получателями заключены условия использования, включающие обязательства о неиспользовании данных для обучения моделей (согласно политикам OpenRouter и Google AI);
• Оператор уведомил Роскомнадзор о намерении осуществлять трансграничную передачу в порядке ч. 3 ст. 12 152-ФЗ.

8.6. Пользователь имеет право отказаться от трансграничной передачи, не проставив соответствующую отметку в форме заказа. В этом случае услуга на текущих технических условиях не может быть оказана, о чём пользователь уведомляется на Сайте.

Cookies и аналитические системы

9.1. Cookie — небольшой фрагмент текста, который Сайт сохраняет в браузере пользователя для последующего чтения. Оператор использует cookie для работы функциональности Сайта и сбора обезличенной аналитики.

9.2. Категории cookie, используемые Оператором:

• Технически необходимые — обеспечивают работу Сайта (идентификатор сессии, выбор согласия cookie, состояние формы). Отключение делает пользование Сайтом невозможным.
• Аналитические — Яндекс.Метрика (счётчик № 108585707). Устанавливаются только после подтверждения пользователем в cookie-баннере.

9.3. Яндекс.Метрика собирает обезличенные сведения о посещении Сайта: источник перехода, просмотренные страницы, время, IP (анонимизированный), действия пользователя, в том числе через сервис «Вебвизор» (анонимизированная запись действий на странице без возможности восстановить персональные данные). Политика ООО «Яндекс» доступна по адресу yandex.ru/legal/confidential.

9.4. Управление cookie. Пользователь может:

• в cookie-баннере на Сайте выбрать «Только необходимые» — тогда аналитические cookie не устанавливаются;
• в настройках браузера запретить cookie или удалить их вручную;
• воспользоваться плагином для отключения Яндекс.Метрики: yandex.ru/support/metrica/general/opt-out.html.

9.5. Отказ от аналитических cookie не влияет на возможность пользоваться услугой.

Меры защиты персональных данных

10.1. Оператор принимает все разумные и необходимые технические и организационные меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (ст. 19 152-ФЗ).

10.2. Технические меры:

• передача всех данных по защищённому соединению HTTPS (TLS 1.2+);
• хранение на изолированном VPS-сервере с ограниченным SSH-доступом по ключам, нестандартный порт;
• использование Row-Level Security в базе данных (Supabase PostgreSQL);
• резервное копирование с шифрованием;
• журналирование действий;
• автоматическое удаление данных по истечении срока хранения.

10.3. Организационные меры:

• назначен ответственный за организацию обработки ПД — сам Оператор;
• утверждены внутренние правила обработки ПД;
• проводится учёт носителей персональных данных;
• ограничен круг лиц, имеющих доступ к ПД;
• ведётся работа по выявлению и устранению угроз безопасности ПД.

10.4. В случае утечки ПД Оператор уведомляет Роскомнадзор в течение 24 часов с момента обнаружения и предоставляет сведения о принятых мерах в течение 72 часов (ч. 3.1 ст. 21 152-ФЗ в редакции ФЗ-266 от 14.07.2022).

Права субъекта персональных данных

11.1. Пользователь (субъект ПД) имеет право:

• получать сведения об Операторе, о месте нахождения Оператора, о наличии у него своих персональных данных (ст. 14 152-ФЗ);
• знакомиться с персональными данными в доступной форме;
• требовать уточнения, блокирования или уничтожения персональных данных в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 14 152-ФЗ);
• отзывать согласие на обработку персональных данных в любой момент (ч. 2 ст. 9 152-ФЗ);
• получать информацию, касающуюся обработки персональных данных (ч. 7 ст. 14 152-ФЗ);
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке (ст. 17 152-ФЗ);
• защищать свои права и законные интересы, в том числе на возмещение убытков и компенсацию морального вреда.

11.2. Порядок реализации прав. Для осуществления перечисленных прав пользователь направляет Оператору обращение:

• в электронной форме на адрес: online@wow.photo (с электронной почты, указанной при заказе услуги — для идентификации);
• письменно на почтовый адрес Оператора (предоставляется по запросу).

11.3. Обращение должно содержать: ФИО, сведения, подтверждающие факт оказания услуги (идентификатор заказа и/или email, указанный при заказе), существо требования. К обращению, направленному по почте, прилагается копия документа, удостоверяющего личность, или его заверенная копия.

11.4. Оператор рассматривает обращение в течение 10 рабочих дней с момента получения и направляет ответ в той же форме, в которой поступило обращение.

11.5. Отзыв согласия. При получении отзыва согласия Оператор прекращает обработку и уничтожает персональные данные в срок не более 30 дней с момента поступления отзыва, за исключением данных, обработка которых продолжается на иных законных основаниях (налоговый учёт, исполнение договора).

Изменения Политики

12.1. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения на Сайте.

12.2. При существенных изменениях (расширение состава ПД, новые цели, новые получатели, новые страны трансграничной передачи) Оператор размещает на Сайте соответствующее уведомление не менее чем за 10 календарных дней до вступления изменений в силу.

12.3. Действующая редакция с историей версий доступна по адресу паспортфото.рф/privacy.html.

Контакты

Регулирующий орган — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Адрес для жалоб: rkn.gov.ru/treatments/ask-question.