1. Общие положения
1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее — «Политика») определяет порядок и условия, на которых индивидуальный предприниматель Ким Евгения Викторовна, ИИН 870517400047 (далее — «Собственник и Оператор»), осуществляет сбор, хранение, обработку и защиту персональных данных физических лиц (далее — «Субъект» или «Пользователь»), которые взаимодействуют с проектом «Онлайн Гастро-кэмп» через интернет-сайт, Telegram-бот, закрытый Telegram-канал, электронную почту или иные каналы коммуникации Собственника и Оператора.
1.2. Политика разработана в соответствии с требованиями:
•        Закона Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (в действующей редакции, включая изменения, внесённые Законом РК от 17.11.2025 № 231-VIII);
•        Закона Республики Казахстан «О защите прав потребителей»;
•        Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи»;
•        международных стандартов безопасности платёжных карт PCI DSS, а также правил международных платёжных систем Visa и Mastercard в части обработки данных держателей карт.
1.3. Настоящая Политика публикуется в свободном доступе на интернет-сайте Собственника и Оператора по адресу: https://evgeniacooks.com. Действующая редакция Политики применяется ко всем Субъектам с момента её публикации.
1.4. Использование Пользователем функций сайта, регистрация в Telegram-боте, оформление заказа или иное взаимодействие с проектом «Онлайн Гастро-кэмп» означает безоговорочное принятие настоящей Политики и условий обработки персональных данных, изложенных в ней.

2. Основные понятия
В настоящей Политике используются следующие основные понятия:
•        «Персональные данные» — любые сведения, относящиеся к определённому или определяемому физическому лицу;
•        «Собственник базы, содержащей персональные данные» — лицо, которому предоставлено право на формирование и управление базой персональных данных;
•        «Оператор базы, содержащей персональные данные» — лицо, осуществляющее сбор, обработку и защиту персональных данных;
•        «Обработка персональных данных» — действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
•        «Третье лицо» — любое лицо, не являющееся Субъектом, Собственником или Оператором, а также лицом, участвующим в обработке персональных данных по поручению Собственника или Оператора;
•        «Трансграничная передача персональных данных» — передача персональных данных на территорию иностранного государства.

3. Правовые основания обработки персональных данных
3.1. Собственник и Оператор обрабатывает персональные данные Субъекта на следующих правовых основаниях:
•        Согласие Субъекта на сбор и обработку персональных данных, полученное в порядке, установленном статьёй 8 Закона Республики Казахстан «О персональных данных и их защите»;
•        Необходимость исполнения договора оказания услуг (публичной оферты), стороной которого является Субъект, либо принятия мер по заключению такого договора по запросу Субъекта;
•        Необходимость соблюдения Собственником и Оператором требований законодательства Республики Казахстан, в том числе налогового, бухгалтерского законодательства и законодательства о противодействии легализации доходов;
•        Иные основания, прямо предусмотренные статьёй 9 Закона Республики Казахстан «О персональных данных и их защите».
3.2. Согласие Субъекта на обработку персональных данных является конкретным, предметным, информированным, сознательным и однозначным. Согласие выражается путём проставления отметки в специальном поле электронной формы либо нажатия кнопки в Telegram-боте, что в соответствии со статьёй 7 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи» имеет юридическую силу собственноручной подписи.

4. Принципы обработки персональных данных
4.1. Собственник и Оператор обрабатывает персональные данные на основании следующих принципов:
•        законность и справедливость обработки;
•        ограничение обработки достижением конкретных, заранее определённых и законных целей;
•        соответствие содержания и объёма обрабатываемых данных заявленным целям обработки;
•        обеспечение точности персональных данных, их достаточности и актуальности по отношению к целям обработки;
•        хранение персональных данных не дольше, чем этого требуют цели их обработки;
•        обеспечение безопасности и конфиденциальности персональных данных при их обработке.

5. Место хранения персональных данных
5.1. В соответствии с пунктом 2 статьи 12 Закона Республики Казахстан «О персональных данных и их защите» первичная база, содержащая персональные данные граждан Республики Казахстан, размещается и хранится на территории Республики Казахстан, на серверах казахстанских поставщиков услуг.

6. Передача персональных данных третьим лицам
6.1. Собственник и Оператор не передаёт персональные данные Субъекта третьим лицам, за исключением случаев, когда такая передача необходима для исполнения договора с Субъектом, основана на согласии Субъекта или предусмотрена законодательством Республики Казахстан.
6.2. Для целей обработки персональных данных Собственник и Оператор привлекает следующих обработчиков:
 
6.3. С каждым из указанных обработчиков Собственник и Оператор заключает соглашение, содержащее обязательства по соблюдению конфиденциальности и применению мер защиты персональных данных, не менее строгих, чем установленные настоящей Политикой.
6.4. Передача персональных данных уполномоченным государственным органам осуществляется в случаях и в порядке, предусмотренных законодательством Республики Казахстан.
6.5. Трансграничная передача персональных данных осуществляется в соответствии с пунктом 3 статьи 16 Закона Республики Казахстан «О персональных данных и их защите» на основании согласия Субъекта, выраженного в момент принятия настоящей Политики и Согласия на сбор и обработку персональных данных. Направлениями трансграничной передачи являются:
•        Великое Герцогство Люксембург, страны Европейского Союза и Соединённые Штаты Америки — при оплате через сервис PayPal;
•        Российская Федерация — при оплате с банковских карт российских банков-эмитентов через посредника ТОО «ПРО ЭДЮКЕЙШН», а также при размещении сайта на платформе Tilda Publishing;
•        Федеративная Республика Германия — в части серверов размещения сайта на платформе Tilda Publishing;
•        Объединённые Арабские Эмираты и иные страны размещения серверов инфраструктуры Telegram — в части работы Telegram-бота и закрытого Telegram-канала проекта.
6.6. Перечисленные направления трансграничной передачи затрагивают исключительно те категории персональных данных, которые необходимы соответствующему обработчику для исполнения возложенных на него функций (например, для проведения платежа — имя плательщика, метаданные платежа, технические идентификаторы). Иные категории персональных данных, не относящиеся к деятельности конкретного обработчика, ему не передаются.

7. Особые условия обработки платёжных данных
7.1. В соответствии со стандартами безопасности данных индустрии платёжных карт (Payment Card Industry Data Security Standard, PCI DSS) и правилами международных платёжных систем Visa и Mastercard, Собственник и Оператор НЕ собирает, не хранит, не обрабатывает и не имеет технической возможности получить доступ к следующим данным платёжных карт Субъектов:
•        полному номеру платёжной карты (Primary Account Number, PAN);
•        коду безопасности карты (CVV/CVC2);
•        сроку действия карты;
•        ПИН-коду карты.
7.2. Указанные данные обрабатываются исключительно сертифицированными по PCI DSS платёжными организациями, перечисленными в разделе 6 настоящей Политики (АО «Банк ЦентрКредит», АО «Kaspi Bank», ТОО «ПРО ЭДЮКЕЙШН», PayPal (Europe) S.à r.l. et Cie, S.C.A.). Ввод данных платёжной карты осуществляется Субъектом непосредственно на защищённой странице соответствующей платёжной организации. Собственник и Оператор получает только обезличенные метаданные платёжных операций: дату, сумму, валюту, тип платёжной системы, последние четыре цифры карты, статус и идентификатор транзакции.
7.3. Передача данных платёжных карт от Субъекта к платёжной организации осуществляется через защищённое соединение с использованием протокола TLS (Transport Layer Security). Для операций, обрабатываемых по правилам международных платёжных систем Visa и Mastercard, дополнительно применяется технология аутентификации держателя карты 3-D Secure (Visa Secure / Mastercard Identity Check) в случаях, когда её применение поддерживается банком-эмитентом.
7.4. Возврат денежных средств Субъекту осуществляется исключительно на ту платёжную карту, банковский счёт или электронный кошелёк, с которых был произведён первоначальный платёж, в соответствии с правилами международных платёжных систем Visa и Mastercard, а также правилами иных задействованных платёжных сервисов.

8. Цели и состав обрабатываемых данных
8.1. Собственник и Оператор обрабатывает персональные данные Субъектов в следующих целях, с указанием категорий данных, способов обработки и сроков хранения для каждой цели.
Цель 8.1.1. Регистрация Субъекта в проекте, идентификация и предоставление доступа к закрытому Telegram-каналуКатегории субъектов: Клиенты, Посетители сайта.
Перечень данных: фамилия, имя; адрес электронной почты; идентификатор и имя пользователя в Telegram (Telegram ID, username); контактный телефон (по запросу).
Способы обработки: сбор, систематизация, накопление, хранение, использование, передача (доступ для обработчиков), удаление.
Срок хранения: до отзыва согласия Субъекта; после отзыва — прекращение обработки и уничтожение в течение 15 рабочих дней.
Цель 8.1.2. Заключение и исполнение договора оказания информационно-консультационных услуг
Категории субъектов: Клиенты.
Перечень данных: фамилия, имя; адрес электронной почты; контактный телефон; Telegram ID и username; страна и город проживания; метаданные платежа.
Способы обработки: сбор, систематизация, накопление, хранение, использование, передача (платёжным организациям и сервисам поддержки), удаление.
Срок хранения: в течение всего срока действия договора + 5 лет (для целей бухгалтерского и налогового учёта в соответствии с Кодексом Республики Казахстан «О налогах и других обязательных платежах в бюджет»).
Цель 8.1.3. Приём оплаты и формирование фискальных документовКатегории субъектов: Клиенты.
Перечень данных: фамилия, имя; адрес электронной почты; страна; метаданные платёжной операции (сумма, валюта, дата, идентификатор, последние четыре цифры карты, тип платёжной системы).
Способы обработки: сбор, передача в платёжную организацию (АО «Банк ЦентрКредит», АО «Kaspi Bank» или PayPal в зависимости от способа оплаты, выбранного Субъектом), хранение метаданных, формирование платёжных документов.
Срок хранения: 5 лет с даты совершения платежа (требование налогового законодательства Республики Казахстан).
Цель 8.1.4. Двусторонняя коммуникация с СубъектомКатегории субъектов: Клиенты, Посетители сайта.
Перечень данных: фамилия, имя; адрес электронной почты; контактный телефон; Telegram ID; содержание обращений и переписки.
Способы обработки: сбор, систематизация, хранение, использование, удаление.
Срок хранения: 3 года с момента последней коммуникации.
Цель 8.1.5. Информирование о новых продуктах, акциях и мероприятиях (маркетинговые рассылки)Категории субъектов: Клиенты, Подписчики рассылки.
Перечень данных: имя; адрес электронной почты; контактный телефон (по запросу).
Правовое основание: отдельное согласие Субъекта на маркетинговую коммуникацию, отличное от основного согласия на обработку персональных данных, в соответствии со статьёй 14 Закона Республики Казахстан «О рекламе».
Способы обработки: сбор, хранение, использование для рассылок, удаление.
Срок хранения: до отзыва согласия Субъекта на маркетинговые коммуникации; в каждом сообщении рассылки содержится ссылка на отписку.
Цель 8.1.6. Возврат денежных средств и урегулирование претензийКатегории субъектов: Клиенты.
Перечень данных: фамилия, имя; адрес электронной почты; контактный телефон; реквизиты для возврата (предоставляются Субъектом самостоятельно по запросу).
Способы обработки: сбор, хранение, использование, передача в платёжную организацию для возврата, удаление.
Срок хранения: 3 года с даты урегулирования претензии.
Цель 8.1.7. Соблюдение требований законодательства Республики КазахстанПеречень данных: данные, необходимые для исполнения требований налогового, бухгалтерского законодательства, законодательства о противодействии легализации доходов.
Срок хранения: в соответствии с требованиями применимого законодательства Республики Казахстан (как правило, 5 лет).

9. Категории данных, которые Собственник и Оператор НЕ обрабатывает
Собственник и Оператор не собирает и не обрабатывает:
•        биометрические персональные данные (отпечатки пальцев, изображения лица для целей идентификации, данные ДНК и подобные);
•        специальные категории персональных данных: сведения о расовой, этнической принадлежности, политических, религиозных или философских убеждениях, состоянии здоровья, сексуальной ориентации;
•        персональные данные несовершеннолетних, не достигших возраста 18 лет. Использование сервисов проекта «Онлайн Гастро-кэмп» лицами младше 18 лет не предусмотрено. В случае получения сведений о возрасте Субъекта менее 18 лет данные подлежат немедленному удалению.

10. Файлы cookies и аналитика
10.1. На интернет-сайте проекта используются файлы cookies и системы веб-аналитики (включая, но не ограничиваясь Google Analytics, Yandex Metrica) для сбора обезличенной статистической информации о посещаемости и поведении Пользователей.
10.2. Собираемая информация включает: IP-адрес устройства, тип и версию браузера, операционную систему, источник перехода (referrer), время и продолжительность посещения, посещённые страницы. Эта информация используется исключительно в обезличенном виде для улучшения работы сайта и не позволяет идентифицировать конкретное физическое лицо.
10.3. Пользователь вправе самостоятельно настроить свой браузер на блокирование файлов cookies, а также удалить ранее сохранённые файлы. При отключении cookies некоторые функции сайта могут быть недоступны.

11. Сроки хранения и порядок уничтожения данных
11.1. Персональные данные Субъекта хранятся в течение сроков, указанных в разделе 8 настоящей Политики, либо до момента отзыва согласия Субъектом, в зависимости от того, какое событие наступит раньше.
11.2. В соответствии с пунктом 7 статьи 8 Закона Республики Казахстан «О персональных данных и их защите» (в редакции Закона РК от 17.11.2025 № 231-VIII) при отзыве согласия Субъектом Собственник и Оператор обязан прекратить обработку персональных данных в течение пятнадцати рабочих дней, если их хранение или обработка не требуется в соответствии с законодательством Республики Казахстан, либо представить мотивированный отказ.
11.3. Уничтожение электронных персональных данных производится путём удаления записей из баз данных с последующей перезаписью соответствующих областей памяти. Уничтожение данных на физических носителях производится путём механического разрушения носителя или сертифицированного безвозвратного стирания.
11.4. По факту уничтожения персональных данных лицо, ответственное за организацию обработки, составляет акт об уничтожении персональных данных, который хранится у Собственника и Оператора в течение 5 лет.
11.5. Сведения, обязательное хранение которых предусмотрено законодательством Республики Казахстан о бухгалтерском учёте, налогообложении или ином законодательстве, хранятся в течение установленных таким законодательством сроков независимо от отзыва согласия Субъекта.

12. Меры защиты персональных данных
12.1. Собственник и Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
12.2. Применяемые меры защиты включают:
•        использование защищённых протоколов передачи данных (TLS/SSL) при любых операциях с персональными данными;
•        ограничение доступа к персональным данным кругом лиц, прошедших инструктаж и принявших на себя обязательство о сохранении конфиденциальности;
•        использование сертифицированных антивирусных средств и программ обеспечения информационной безопасности;
•        регулярное резервное копирование баз данных и контроль целостности информации;
•        назначение ответственного лица за организацию обработки персональных данных;
•        ведение журнала действий с персональными данными в информационных системах;
•        регулярную оценку эффективности применяемых мер и устранение выявленных уязвимостей.
12.3. В случае выявления факта несанкционированного доступа к персональным данным или иного нарушения их безопасности Собственник и Оператор уведомляет уполномоченный орган Республики Казахстан по защите персональных данных и затронутых Субъектов в кратчайшие сроки в порядке, установленном статьёй 25 Закона Республики Казахстан «О персональных данных и их защите».

13. Права Субъекта персональных данных
13.1. В соответствии со статьёй 24 Закона Республики Казахстан «О персональных данных и их защите» Субъект имеет следующие права:
•        право знать о наличии у Собственника и Оператора своих персональных данных, а также получать информацию об источнике их получения, целях, способах и сроках обработки;
•        право на доступ к своим персональным данным;
•        право требовать изменения, дополнения, исправления своих персональных данных;
•        право требовать блокирования или удаления своих персональных данных в случаях, предусмотренных законодательством;
•        право возражать против обработки персональных данных в маркетинговых целях;
•        право отозвать согласие на обработку персональных данных в любое время;
•        право на защиту своих прав в судебном порядке, в том числе на возмещение убытков и компенсацию морального вреда;
•        право обжаловать действия (бездействие) Собственника и Оператора в уполномоченном органе Республики Казахстан по защите персональных данных.

14. Порядок реализации прав Субъекта
14.1. Для реализации любого из прав, указанных в разделе 13 настоящей Политики, Субъект направляет письменный запрос в свободной форме на электронный адрес Собственника и Оператора: info@evgeniacooks.com.
14.2. Собственник и Оператор обрабатывает запрос Субъекта в срок, не превышающий 30 календарных дней с даты получения. В случае невозможности удовлетворения запроса Собственник и Оператор предоставляет Субъекту мотивированный отказ в письменной форме. Прекращение обработки персональных данных при отзыве согласия осуществляется в срок, установленный пунктом 11.2 настоящей Политики.
14.3. Реализация прав Субъекта осуществляется бесплатно, за исключением случаев, прямо предусмотренных законодательством.

15. Изменения Политики
15.1. Собственник и Оператор оставляет за собой право вносить изменения в настоящую Политику. Актуальная редакция Политики публикуется на интернет-сайте проекта и вступает в силу с момента публикации.
15.2. В случае внесения существенных изменений, затрагивающих права Субъектов, Собственник и Оператор уведомляет Субъектов о таких изменениях через электронную почту, Telegram-бот или иным доступным способом не позднее чем за 14 календарных дней до их вступления в силу.

16. Реквизиты Собственника и Оператора
Индивидуальный предприниматель Ким Евгения Викторовна
ИИН: 870517400047
Республика Казахстан
Электронная почта для обращений по вопросам обработки персональных данных: info@evgeniacooks.com
Сайт проекта: https://evgeniacooks.com