1. відповідальні особи та контактні дані

Контролер (ст. 4 Z 7 GDPR):
RAK Beauty Project
Власниця: Юлія Сотула
Гегергассе 21/1, 1030 Відень, Австрія
Електронна пошта: rakbeauty.office@gmail.com
Веб-сайт: rakbeauty.com

Менеджер із захисту даних: пані Юлія Сотула (контактна інформація вказана вище)

2. загальна інформація про обробку даних

Ми обробляємо персональні дані відповідно до Загального регламенту захисту даних (GDPR) та чинного австрійського законодавства про захист даних. У цій політиці конфіденційності ми надаємо інформацію про те, які дані ми обробляємо, з якою метою, на якій правовій основі та які права ви маєте.

3. категорії оброблюваних даних

Залежно від використання наших послуг і каналів зв'язку, ми обробляємо, зокрема, такі дані

• Основні дані: Ім'я, адреса, якщо потрібно (наприклад, для рахунків-фактур)
• Контактні дані: Номер телефону, електронна пошта, акаунт у соціальних мережах, якщо є
• Дані про дату та послугу: Дати, заброньовані послуги, відповідні організаційні примітки
• Дані про платіж/транзакцію: Статус платежу, посилання на транзакцію (в наших системах немає повних даних картки/рахунку)
• Комунікаційні дані: Зміст запитів (електронна пошта, телефон, Instagram/мета-форми лідів)
• Онлайн-дані/дані про використання: IP-адреса, дані пристрою/браузера, ідентифікатори файлів cookie, взаємодії на веб-сайті (якщо використовуються файли cookie/відстеження)

4. цілі та правові підстави

Ми обробляємо дані для наступних цілей:

1. Запис на прийом, виконання наших послуг, обслуговування клієнтів 

Правова підстава: ст. 6 п. 1 літ. b GDPR (договірні/переддоговірні заходи)

1. Комунікація та адміністрування (наприклад, запити, зміни у зустрічах, організаційні процеси) 

Правова підстава: ст. 6 п. 1 літ. b та/або літ. f GDPR (законний інтерес в ефективній комунікації/організації)

1. Бухгалтерський облік / податки та юридичні зобов'язання 

Правова підстава: ст. 6 п. 1 літ. c GDPR

1. Маркетинг/реклама (зокрема, Instagram): Управління кампаніями, вимірювання ефективності, ретаргетинг 

Правова підстава: ст. 6 п. 1 літ. a GDPR (згода - зокрема, на файли cookie/пікселі/аналітику, якщо потрібно) та/або ст. 6 п. 1 літ. f GDPR (законний інтерес до прямої реклами в допустимих рамках)

5. термін зберігання

Ми зберігаємо персональні дані лише стільки, скільки це необхідно для відповідних цілей або доти, доки існують законодавчі зобов'язання щодо їх зберігання. Зокрема:

• Дані про клієнта/контракт: протягом ділових відносин та після їх завершення відповідно до встановлених законодавством строків
• Рахунки-фактури/бухгалтерські документи: відповідно до законодавчих зобов'язань щодо зберігання
• Маркетингові/відстежувальні дані: до відкликання згоди, закінчення терміну дії файлів cookie або обґрунтованого заперечення

6. веб-сайт/хостинг і система магазинів (Hostinger)

Наш сайт rakbeauty.com розміщений на хостингу компанії Hostinger. Hostinger надає технічну інфраструктуру (веб-хостинг), щоб зробити наш сайт доступним.

В рамках хостингу можуть оброблятися, зокрема, такі дані: IP-адреса, дата і час доступу, переглянуті сторінки/файли, обсяги переданих даних, інформація про браузер і пристрій, а також дані журналу (лог-файли сервера).

Мета: Технічне забезпечення веб-сайту, забезпечення стабільності та безпеки (наприклад, захист від атак), аналіз помилок.

Правова підстава: ст. 6 п. 1 літ. f GDPR (законний інтерес у безпечній та надійній роботі нашого веб-сайту).

Інтернет-магазин на сайті: Інтернет-магазин інтегрований у наш веб-сайт. Для замовлень/запитів через інтернет-магазин ми обробляємо необхідні дані (наприклад, ім'я, контактні дані, дані рахунків-фактур, дані замовлення) для обробки контракту.

Правова основа: ст. 6 п. 1 літ. b GDPR (договірні/переддоговірні заходи) та ст. 6 п. 1 літ. c GDPR (юридичні зобов'язання, наприклад, зберігання рахунків-фактур).

7. бронювання зустрічей / управління клієнтами (Altegio)

Ми використовуємо Altegio для організації зустрічей та управління клієнтами.

Оброблені дані: Ім'я, контактні дані, дати, замовлені послуги, організаційні примітки (за необхідності).

Призначення: Управління записами, сервісна комунікація, організація процесів у студії.

Правова підстава: ст. 6 п. 1 літ. b GDPR та/або ст. 6 п. 1 літ. f GDPR.

Місцезнаходження/юрисдикція даних: серверна інфраструктура в Європі (як правило, Німеччина або Нідерланди через європейських хостинг-провайдерів); обробка відповідно до GDPR (конкретні деталі можна знайти в DPA провайдера).

8. платежі (смужка)

Ми використовуємо Stripe для обробки платежів.

Оброблені дані: Дані про транзакції, статус платежу, дані рахунків-фактур, якщо такі є; дані про платежі обробляються відповідно до стандарту PCI DSS.

Призначення: Обробка платежів, запобігання шахрайству, виставлення рахунків.

Правова підстава: ст. 6 п. 1 літ. b GDPR та, якщо застосовно, ст. 6 п. 1 літ. f GDPR.

Розташування/юрисдикція даних: глобальна інфраструктура (США + Європа); для клієнтів з ЄС деяка обробка відбувається через європейські центри обробки даних (наприклад, Ірландія). Передача даних до третіх країн можлива через материнську компанію в США (див. пункт 12).

9. реклама через Instagram / Meta (Lead Forms + Meta Pixel)

Ми розміщуємо рекламу через Instagram (Meta Platforms, Inc.).

9.1 Мета-лід-форми (лід-оголошення)

Якщо ви зв'яжетеся з нами через лід-форму в Instagram, введені вами дані будуть збережені в мета-системі (Бізнес-менеджер) і передані нам.

Призначення: Обробка вашого запиту, призначення зустрічей, комунікація з клієнтами.

Правова підстава: ст. 6 п. 1 літ. b GDPR; для подальшого рекламного використання ст. 6 п. 1 літ. a GDPR (згода).

9.2 Метапіксель

Ми використовуємо Meta Pixel для вимірювання успіху (відстеження конверсій), формування цільових груп (ремаркетинг/ретаргетинг) та оптимізації кампаній. Серед іншого, ідентифікатори файлів cookie, дані про пристрої/браузери, IP-адреси та взаємодії можуть оброблятися та передаватися до Meta.

Правова підстава: як правило, ст. 6, п. 1, літ. a GDPR (згода через файли cookie/банер згоди, якщо потрібно).

Розташування даних: Головний сервер у США; додаткові дата-центри в ЄС (наприклад, Ірландія, Данія, Швеція). Дані можуть передаватися в межах глобальної мета-інфраструктури (можлива передача в треті країни; див. пункт 12).

10. Google Analytics (у зв'язку з Google Ads)

Ми використовуємо Google Analytics для аналізу веб-сайту та оптимізації маркетингових заходів (зокрема, у зв'язку з Google Ads).

Оброблені дані: Дані про використання (наприклад, перегляди сторінок, шляхи кліків), технічні дані (браузер/пристрій), ідентифікатори файлів cookie, IP-адреса (залежно від конфігурації).

Мета: Вимірювання охоплення, статистика, вимірювання кампанії, покращення нашого сайту та реклами.

Правова підстава: ст. 6 п. 1 літ. a GDPR (згода через файли cookie/банер згоди).

Місцезнаходження/юрисдикція даних: Обробка через дата-центри Google у США та Європі. Оскільки Google є американською компанією, можлива передача даних до третіх країн; захист може бути забезпечений за допомогою стандартних договірних положень (SCC) (див. пункт 12).

11. файли cookie / управління згодою

Ми використовуємо файли cookie та подібні технології. Вони можуть бути технічно необхідними або слугувати статистичним/маркетинговим цілям (наприклад, Google Analytics, Meta Pixel).

Там, де це вимагається законом, ми встановлюємо аналітичні та маркетингові файли cookie тільки після того, як ви надали свою згоду. Ви можете відкликати або змінити свою згоду в будь-який час за допомогою налаштувань файлів cookie на веб-сайті.

12. перекази до третіх країн (за межами ЄС/ЄЕЗ)

У випадку деяких постачальників послуг (зокрема, Meta, Google, Stripe та Hostinger в контексті технічного забезпечення) не можна виключити передачу персональних даних до третіх країн, зокрема, до США.

За необхідності ми надаємо відповідні гарантії (зокрема, стандартні договірні умови (SCC)) та вживаємо додаткових захисних заходів.

13. безпека даних

Ми вживаємо відповідних технічних та організаційних заходів для захисту персональних даних від несанкціонованого доступу, втрати, неправильного використання або несанкціонованого розголошення.

14 Права суб'єктів даних

Ви маєте право на інформацію, виправлення, видалення, обмеження, перенесення даних, заперечення (зокрема, щодо прямого маркетингу) та відкликання наданої згоди на майбутнє.

Право на подання скарги: Ви можете подати скаргу до наглядового органу: Австрійський орган захисту даних (DSB), Баріхгассе 40-42, 1030 Відень.

15. зміни до цієї політики конфіденційності

Ми залишаємо за собою право оновлювати цю політику конфіденційності у разі зміни процесів, послуг або правової ситуації. Застосовується поточна версія на нашому веб-сайті.