Политика конфиденциальности

1.1. Настоящая Политика конфиденциальности персональных данных (далее — Политика) определяет порядок и условия обработки персональных данных физическим лицом, зарегистрированным в качестве самозанятого в Республике Узбекистан в порядке, установленном законодательством, и осуществляющим деятельность под коммерческим обозначением «Bright Nation Studio» (далее — Оператор, Мы, Bright Nation Studio).

1.2. Политика разработана и действует в строгом соответствии с:

• Конституцией Республики Узбекистан (статья 27);
• Гражданским кодексом Республики Узбекистан;
• Законом Республики Узбекистан «О персональных данных» от 2 июля 2019 года № ЗРУ-547 (с последующими изменениями и дополнениями);
• Законом Республики Узбекистан «Об информации и информатизации»;
• иными нормативными правовыми актами Республики Узбекистан, регулирующими отношения в сфере персональных данных, защиты информации и оказания образовательных услуг.

1.3. Настоящая Политика является публичным документом и размещена в открытом доступе на Сайте. Актуальная редакция Политики всегда доступна по адресу brightnationstudio.com/privacy.

1.4. Политика распространяется на все отношения, связанные с обработкой персональных данных, возникающие между Оператором и субъектами персональных данных (далее — Субъекты) в связи с использованием Сайта, подачей заявок на услуги, заключением и исполнением договоров на оказание образовательных услуг (вокал, гитара, фортепиано), ведением CRM-системы и любыми иными взаимодействиями.

В настоящей Политике используются следующие основные термины и определения в значении, установленном законодательством Республики Узбекистан:

• Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
• Обработка персональных данных — любое действие или совокупность действий, совершаемых с ПД с использованием средств автоматизации или без таковых, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
• Оператор — физическое лицо — самозанятый, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПД.
• Субъект ПД — физическое лицо, к которому относятся ПД (в том числе несовершеннолетние лица, законные представители которых подают заявку).
• Сайт — веб-ресурс Bright Nation Studio, включая все его поддомены и разделы.
• CRM-система — информационная система Оператора для учёта клиентов, расписания, абонементов, посещаемости и иных данных, необходимых для оказания услуг.

Оператор осуществляет обработку ПД на основе следующих обязательных принципов:

• законность, справедливость и прозрачность;
• ограничение обработки достижением конкретных, заранее определённых и законных целей;
• минимизация обрабатываемых ПД (достаточность и релевантность);
• точность и актуальность ПД, своевременное их обновление;
• ограничение сроков хранения ПД;
• обеспечение целостности, конфиденциальности и безопасности ПД;
• подотчётность Оператора.

Оператор обрабатывает следующие категории ПД:

• Идентификационные и контактные данные: имя (ФИО), номер телефона, при необходимости дата рождения, пол, адрес электронной почты, ссылки на мессенджеры.
• Данные об услугах и обучении: выбранное направление (вокал, гитара, фортепиано), предпочтительное время и дни занятий, длительность абонемента, уровень подготовки, цели обучения, индивидуальные особенности (по согласованию).
• Данные CRM и образовательного процесса: дата и время подачи заявки, расписание занятий, факт и время посещения, сведения об оплате и продлении абонементов, академическая успеваемость и прогресс (при ведении записей), примечания преподавателя (для индивидуального подхода).
• Финансовые данные: сведения о способе и факте оплаты услуг (без хранения полных данных банковских карт).
• Иные данные: любая дополнительная информация, добровольно предоставленная Субъектом в переписке, при заключении договора или в процессе обучения.

Оператор не обрабатывает специальные категории ПД (расовая принадлежность, политические взгляды, религиозные убеждения, здоровье, биометрия и т.п.), за исключением случаев, когда это прямо необходимо для оказания услуг и получено отдельное письменное согласие.

Обработка ПД осуществляется исключительно в следующих целях:

• Приём, регистрация и обработка заявок на первое бесплатное занятие и последующее оказание образовательных услуг;
• Заключение, исполнение, изменение и прекращение договоров на оказание услуг (в том числе в электронной форме);
• Организация учебного процесса: составление расписания, учёт посещаемости, контроль качества, индивидуальный подход;
• Ведение и поддержание CRM-системы, клиентской базы, истории обучения и финансового учёта;
• Информирование Субъектов о расписании, изменениях, акциях и новых программах;
• Исполнение требований законодательства Республики Узбекистан (налоговое, бухгалтерское, статистическое, архивное, защита прав потребителей);
• Защита прав и законных интересов Оператора (взыскание задолженности, разрешение споров, претензионная работа);
• Улучшение качества услуг, анализ предпочтений, разработка новых образовательных программ;
• Обеспечение безопасности Сайта и предотвращение мошенничества.

Правовые основания обработки (в соответствии с Законом «О персональных данных»):

• Согласие Субъекта ПД (ст. 19 Закона);
• Необходимость исполнения договора, стороной которого является Субъект;
• Законная обязанность Оператора;
• Законный интерес Оператора (при условии, что такой интерес не нарушает права и свободы Субъекта).

Согласие на обработку ПД считается полученным в момент отправки заявки через форму на Сайте, подписания договора или начала оказания услуг. При отправке формы фиксируются: дата и точное время, имя (ФИО) и номер телефона.

Субъект вправе в любое время отозвать своё согласие путём направления письменного уведомления Оператору любым доступным способом (Telegram, WhatsApp, телефон, почта по адресу студии). Отзыв согласия не влияет на законность обработки ПД, осуществлённой до момента отзыва.

Все персональные данные хранятся в зашифрованном виде (шифрование на уровне диска/базы данных с использованием современных криптографических алгоритмов, не ниже AES-256) на защищённых серверах. Передача данных по сетям осуществляется исключительно по защищённым протоколам (TLS 1.2 и выше).

Оператор применяет комплекс организационных и технических мер защиты, включая: ограничение доступа по принципу «необходимости знать», разграничение прав доступа, регулярное резервное копирование, антивирусную защиту, мониторинг инцидентов, инструктаж персонала (при наличии сотрудников).

В случае обнаружения нарушения безопасности ПД Оператор обязуется в возможно короткие сроки принять меры по устранению последствий и, при необходимости, уведомить Субъектов и уполномоченный орган в соответствии с требованиями законодательства.

Оператор не продаёт и не передаёт ПД третьим лицам для коммерческих целей. Передача ПД допускается только в следующих случаях:

• Преподавателям и лицам, непосредственно оказывающим услуги — в объёме, минимально необходимом для исполнения договора;
• Поставщикам IT-услуг, хостинга, CRM-платформ, облачных сервизов, мессенджеров — на основании договоров, содержащих обязательства по конфиденциальности и защите ПД (поручение обработки);
• Финансовым организациям и платёжным системам — при осуществлении оплаты;
• Государственным органам и организациям — по законным запросам в рамках их полномочий;
• При реорганизации или передаче бизнеса — с предварительным уведомлением Субъектов.

При необходимости трансграничной передачи ПД (например, при использовании зарубежных облачных сервисов) Оператор обеспечивает соблюдение требований статьи 23 Закона «О персональных данных».

ПД хранятся в течение срока, необходимого для достижения целей обработки, а также в течение сроков, установленных законодательством Республики Узбекистан:

• Данные, необходимые для исполнения договора — в течение действия договора и 3 лет после его прекращения (срок исковой давности);
• Финансовые и бухгалтерские документы — не менее 5 лет (в соответствии с требованиями налогового и бухгалтерского законодательства);
• Иные ПД — до достижения цели обработки или до отзыва согласия (если дольше не требуется по закону).

По истечении сроков хранения или при достижении целей ПД подлежат блокированию и последующему уничтожению в порядке, установленном законодательством.

В соответствии с Законом «О персональных данных» Субъект имеет право:

• Получать информацию о наличии у Оператора его ПД, а также о целях, способах, сроках и правовых основаниях обработки;
• Требовать уточнения, блокирования или уничтожения своих ПД;
• Отозвать согласие на обработку ПД;
• Получать копию своих ПД в структурированном виде (при технической возможности);
• Обжаловать действия (бездействие) Оператора в уполномоченный государственный орган по защите ПД или в суд;
• Осуществлять иные права, предусмотренные законодательством.

Для реализации своих прав Субъект направляет запрос Оператору любым удобным способом: через Instagram @bright_nation_studio, Telegram @bright_nation_studio, WhatsApp/телефон +998 94 841-49-94 или лично по адресу студии. Запрос должен содержать достаточные данные для идентификации Субъекта. Оператор рассматривает запросы в сроки, установленные законодательством (как правило, не более 30 календарных дней).

При оказании услуг несовершеннолетним лицам (до 18 лет) обработка их ПД осуществляется исключительно с согласия законных представителей (родителей, опекунов, попечителей). При подаче заявки на несовершеннолетнего законный представитель подтверждает, что является таковым, и несёт полную ответственность за достоверность предоставленных сведений.

Оператор оставляет за собой право запросить документальное подтверждение полномочий законного представителя.

В настоящее время Оператор не осуществляет полностью автоматизированную обработку ПД, которая порождает юридические последствия или иным образом существенно затрагивает права и законные интересы Субъектов, без участия человека. При внедрении таких технологий Оператор обеспечит отдельное информирование и, при необходимости, получение согласия.

Направление информационных, рекламных и маркетинговых сообщений (SMS, Instagram, Telegram, e-mail, звонки) осуществляется только при наличии отдельного, явно выраженного согласия Субъекта. Субъект в любое время может отказаться от получения таких сообщений, направив соответствующий запрос Оператору.

Сайт использует только технически необходимые файлы cookie и локальное хранилище для обеспечения корректной работы (сохранение состояния формы, защита от повторной отправки и т.п.). Оператор не использует сторонние рекламные и аналитические трекеры (Google Analytics, Meta Pixel и аналогичные) без отдельного информирования и согласия пользователя.

В случае выявления факта неправомерного доступа к ПД или иного нарушения безопасности Оператор принимает все разумные меры для минимизации ущерба и, при наличии оснований, уведомляет затронутых Субъектов и (или) уполномоченный государственный орган в порядке и сроки, установленные законодательством Республики Узбекистан.

К настоящей Политике и отношениям, возникающим в связи с обработкой ПД, применяется законодательство Республики Узбекистан. Все споры, связанные с исполнением настоящей Политики, подлежат разрешению путём переговоров. При невозможности достичь соглашения споры рассматриваются в судебном порядке по месту нахождения Оператора в соответствии с законодательством Республики Узбекистан.

Оператор вправе в одностороннем порядке вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на Сайте. Продолжение использования Сайта и/или услуг после опубликования новой редакции означает безоговорочное согласие Субъекта с изменениями.