Политика обработки персональных данных

Сервис Lyru.ru — цифровой сервис персонального подбора ухода по зонам «кожа лица», «волосы и кожа головы», «кожа тела», доступный по адресу https://lyru.ru, а также через мобильные приложения (при их наличии). Сервис сочетает информационно-аналитические функции (диагностика, рекомендации, AI-сопровождение) и дистанционную продажу товаров. Пользователь — любое физическое лицо, использующее Сервис, в том числе зарегистрировавшее аккаунт. Аккаунт — учётная запись Пользователя, через которую осуществляется вход в Сервис. Профиль — данные о конкретном человеке (сам Пользователь или иное лицо), для которого ведутся маршрут ухода, диагностика, рекомендации, история покупок и т. д. Один Аккаунт может содержать несколько Профилей. Диагностика — цифровой опросно-аналитический сценарий, включающий вопросы, самооценку, загрузку фотографий и (в предусмотренных тарифах) предоставление пользователем результатов сторонних анализов/исследований. Результат Сервиса — информационно-аналитический вывод, сформированный на основе предоставленных пользователем данных, содержащий рекомендации по уходу, маршруту выбора косметических средств и открытие релевантной части магазина. Результат не является медицинским заключением, диагнозом, назначением лечения или консультацией врача. AI-функции — автоматизированная обработка данных (дневник, обращения, re-check) для формирования weekly insights, обновления рекомендаций и иных информационных сервисных выводов в рамках тарифа Premium.

2.1. Настоящая Политика действует в отношении всех персональных данных, которые Оператор может получить о Пользователе при использовании Сервиса, включая: — регистрацию и создание Аккаунта; — создание и ведение Профилей; — прохождение Диагностики; — загрузку фотографий, файлов, результатов анализов (предоставленных пользователем); — ведение дневника наблюдений; — оплату цифровых услуг и товаров; — участие в бонусной и реферальной программах; — приобретение и активацию подарочных сертификатов; — обращение в службу поддержки; — использование AI-функций. 2.2. Использование Сервиса означает безоговорочное согласие Пользователя с настоящей Политикой. В случае несогласия Пользователь обязан прекратить использование Сервиса. 2.3. Оператор обрабатывает персональные данные только при наличии хотя бы одного из следующих оснований: — согласие Пользователя (в том числе выраженное в форме акцепта оферты, заполнения форм, отметки чекбокса); — исполнение договора, стороной которого является Пользователь (публичная оферта); — обработка необходима для соблюдения юридических обязательств Оператора; — законный интерес Оператора (обеспечение безопасности Сервиса, предотвращение противоправных действий). 2.4. Оператор обрабатывает, но не хранит фотографии Заказчика дольше срока, необходимого для оказания услуги.

3.1. Оператор обрабатывает следующие данные: — адрес электронной почты, номер телефона (при использовании), логин, пароль (в обезличенном виде), данные авторизации через сторонние сервисы (при наличии); — имя или обозначение Профиля, указание, кому принадлежит Профиль (сам Пользователь или другое лицо), связь Профиля с заказами, тарифами, историей; — изображения соответствующей зоны (лицо, волосы/кожа головы, тело), загруженные Пользователем в рамках Диагностики или дневника; — текстовые записи, комментарии, отметки о динамике, субъективные реакции на уход, история изменений во времени; — загруженные документы, скриншоты, текстовые значения результатов анализов, тестов, обследований (дерматологических, трихологических и иных), полученные Пользователем вне Сервиса. Сервис не проводит лабораторных исследований и не отбирает биоматериал; — информация о приобретённых тарифах (Beauty, Expert, Premium), оплатах, истории рекомендаций, архиве изменений, статусе Premium, количестве AI-обращений, weekly insights, re-check; — данные о заказах, суммах, применённых промокодах, сертификатах, бонусах; номер заказа; информация об оплате (через платёжных агентов — Оператор не хранит полные данные банковских карт); — фамилия, имя, отчество получателя, почтовый адрес, индекс, контактный телефон (передаются службам доставки); — фамилия и имя получателя, email получателя (а также email покупателя, если сертификат приобретается для передачи); — IP-адрес, тип браузера, версия ОС, тип устройства, cookies, история посещений страниц, действия на Сайте (клики, скроллы); — фотографии Пользователя — без дальнейшего хранения данных и исключительно в целях предмета оферты.

4.1. Обеспечение функционирования Сервиса: — создание и поддержка Аккаунта и Профилей; — проведение Диагностики и формирование Результата Сервиса (информационно-аналитического вывода по уходу); — открытие релевантной части магазина на основании Результата; — ведение архива рекомендаций и истории изменений. 4.2. Предоставление цифровых услуг (тарифы Beauty, Expert, Premium): — обработка заказов на цифровые услуги; — доступ к дневнику, AI-функциям (weekly insights, re-check, AI-анализ обращений); — обновление рекомендаций по динамике. 4.3. Дистанционная продажа товаров: — формирование и обработка заказов; — доставка товаров (передача данных службам доставки); — обработка возвратов и претензий. 4.4. Обработка платежей и бонусных программ: — проведение оплат через платёжные сервисы; — начисление и списание бонусов, применение промокодов и сертификатов; — выплата реферального вознаграждения (10% от фактически оплаченной суммы). 4.5. Подарочные сертификаты: создание, отправка и активация сертификатов по выбранной зоне и тарифу. 4.6. Поддержка пользователей и качество сервиса: — ответы на обращения в службу поддержки; — улучшение работы алгоритмов и AI-функций (на обезличенных данных); — анализ поведения для повышения удобства Сервиса. 4.7. Безопасность и соблюдение закона: — предотвращение мошенничества и несанкционированного доступа; — выполнение требований налогового, бухгалтерского и иного законодательства РФ; — реагирование на запросы государственных органов в установленном порядке. 4.8. Маркетинг и коммуникации (только с согласия Пользователя): — рассылка информационных и рекламных материалов; — таргетирование рекламы на основе данных об использовании Сервиса.

5.1. Пользователь подтверждает и соглашается, что Результат Сервиса: — не является медицинским диагнозом, заключением, назначением лечения или лечебным протоколом; — не заменяет очную консультацию врача-дерматолога, трихолога или иного медицинского специалиста; — не гарантирует какого-либо медицинского или лечебного эффекта; — предназначен исключительно для информационных и рекомендательных целей — помощи в более осмысленном выборе ухода, снижении хаоса выбора, построении потребительского маршрута. 5.2. Красные флаги. Если в процессе Диагностики, дневника, загруженных материалов или результатов исследований Сервис выявляет признаки, при которых обычный подбор ухода может быть недостаточен или небезопасен, Оператор: — ограничивает выдачу стандартного Результата; — отображает предупреждение и рекомендацию обратиться к врачу или профильному специалисту; — не продолжает маршрут подбора ухода в обычном режиме. 5.3. Пользователь обязуется не использовать Результаты Сервиса для самодиагностики или самолечения, а при наличии сомнений, острых состояний, высыпаний, боли, кровотечений, новообразований или иных симптомов — незамедлительно обратиться к врачу.

6.1. Оператор хранит персональные данные на серверах, расположенных на территории Российской Федерации, в соответствии с требованиями Федерального закона № 152-ФЗ. 6.2. Передача данных третьим лицам возможна только в следующих случаях: — Пользователь дал прямое согласие на такую передачу; — Передача необходима для исполнения договора; — Передача требуется по запросу уполномоченных государственных органов, в порядке, установленном законодательством РФ; — Передача происходит в рамках обработки данных с использованием сторонних сервисов-обработчиков (хостинг, облачная инфраструктура, аналитические системы), которые обязуются соблюдать конфиденциальность и требования 152-ФЗ. 6.3. Основные партнёры (обработчики), которым могут передаваться данные: — Платёжные системы (например, ЮKassa, Robokassa) — для обработки платежей (передаются: сумма заказа, номер заказа, идентификатор пользователя; данные карт не передаются и не хранятся Оператором); — Службы доставки (CDEK, Почта России, Boxberry и др.) — для доставки товаров (передаются: ФИО получателя, адрес, телефон); — Сервисы аналитики (Яндекс.Метрика, Google Analytics — при условии соблюдения требований о локализации данных); — Хостинг-провайдеры и облачные сервисы (хранение кода, баз данных, файлов); — Сервисы email-рассылок (при наличии согласия на маркетинг). 6.4. AI-обработка — данные дневника, обращений, диагностики могут обрабатываться автоматизированно (с использованием алгоритмов и AI) в рамках тарифа Premium для формирования weekly insights, re-check, обновления рекомендаций. AI-обработка осуществляется без участия человека-врача и носит информационно-аналитический характер. 6.5. Фотографии и загруженные файлы: — обрабатываются автоматически; — могут просматриваться службой поддержки только с согласия пользователя или при технической необходимости; — не передаются третьим лицам в коммерческих или маркетинговых целях без отдельного согласия. — Не хранятся Сервисом.

7.1. Данные хранятся не дольше, чем это требуется для целей их обработки, если иное не предусмотрено законодательством РФ. Сроки хранения по типу данных: — Регистрационные данные Аккаунта, данные Профилей, диагностики, рекомендаций, дневника, фото, загруженных результатов, данные о неудачных попытках оплаты, технические логи, маркетинговые согласия (рассылки), cookies и технические данные — до момента удаления Аккаунта Пользователем + 30 дней (техническое восстановление). До момента удаления соответствующего Профиля или Аккаунта. При удалении Аккаунта все связанные Профили удаляются безвозвратно, кроме данных, обязательных к хранению по закону (см. п. 7.2). — Данные о заказах (товары и цифровые услуги) — 5 лет с момента совершения заказа. — Данные о подарочных сертификатах (неактивированных) — до истечения срока действия сертификата (1 год) и 1 год по истечении действия сертификата. — Маркетинговые согласия — до отзыва согласия, но не более 3 лет с момента последнего взаимодействия. — Cookies — в соответствии с настройками браузера, но не более 12 месяцев (в том случае, если они не были удалены пользователем). 7.2. Данные, которые не могут быть удалены по требованию пользователя (в силу закона): — записи о фактах оплат, суммах, выданных сертификатах, бонусах — для соблюдения налогового законодательства (срок хранения 5 лет); — данные, необходимые для рассмотрения претензий и исков, — до истечения срока исковой давности (3 года); — данные, собранные в рамках исполнения договора, если договор не расторгнут. 7.3. Удаление Аккаунта и Профилей. Пользователь может в любой момент удалить свой Аккаунт через интерфейс Сервиса или письменным запросом на ________. Удаление Аккаунта приводит к автоматическому удалению всех Профилей, всех загруженных фотографий, дневников, диагностических ответов, истории рекомендаций. Предупреждение: после удаления Аккаунта восстановить данные невозможно. Если в Аккаунте есть неисполненные заказы (не оплачены или не доставлены), удаление может быть приостановлено до завершения расчётов.

Пользователь имеет право: 8.1. На доступ к своим персональным данным — получить информацию об их наличии, целях обработки, сроках хранения, а также копию данных в читаемом формате (в течение 30 дней с момента запроса). 8.2. На уточнение, блокирование или уничтожение персональных данных, если они являются неполными, устаревшими, неточными, получены незаконно или не необходимы для заявленной цели обработки. 8.3. На отзыв согласия на обработку персональных данных — путём направления письменного уведомления на ___________. Отзыв согласия не имеет обратной силы и не прекращает обработку, основанную на иных законных основаниях (например, исполнение договора до его расторжения). 8.4. На удаление Аккаунта и Профилей — за исключением данных, обязательных к хранению по закону (п. 7.2). 8.5. На отказ от получения маркетинговых рассылок — путём нажатия ссылки «Отписаться» в письме или через настройки Аккаунта. 8.6. На обжалование действий Оператора в Роскомнадзор или суд. Для реализации прав необходимо направить запрос на электронную почту [privacy@lyru.ru] с указанием «Запрос персональных данных» или аналогичным заголовком. Запрос должен содержать: — ФИО пользователя; — адрес электронной почты, привязанный к Аккаунту; — суть запроса (доступ, уточнение, отзыв согласия, удаление); — при необходимости — скан паспорта или иного документа, подтверждающего личность (для предотвращения мошеннических запросов).

9.1. Сервис использует cookies — небольшие текстовые файлы, сохраняемые на устройстве пользователя. Cookies необходимы для: — аутентификации и поддержания сессии (чтобы пользователь не вводил логин и пароль при каждом переходе); — сохранения результатов Диагностики на промежуточных этапах; — сбора статистики (Яндекс.Метрика, Google Analytics) для улучшения работы Сервиса; — персонализации рекламных материалов (при наличии согласия). 9.2. Пользователь может отключить cookies в настройках браузера, однако это может привести к некорректной работе Сервиса (невозможность пройти Диагностику, сохранить результат, сделать заказ). 9.3. Сторонние метки (пиксели, скрипты) могут использоваться для аналитики и ретаргетинга, в рамках политик соответствующих сервисов.

10.1. Оператор принимает технические и организационные меры: SSL/TLS, ограничение доступа, резервное копирование, аудит. 10.2. При обнаружении утечки ПД: — в течение 24 часов направляет первичное уведомление в Роскомнадзор; — в течение 72 часов направляет полное уведомление (причины, объём, последствия, меры); — незамедлительно уведомляет пострадавших пользователей через email и личный кабинет. 10.3. Оператор ведёт внутренний журнал согласий на обработку ПД, включая специальные категории и трансграничную передачу, с фиксацией даты, времени, IP-адреса, версии текста согласия. 10.4. Журнал доступа сотрудников к персональным данным ведётся с указанием ФИО сотрудника, даты, времени, цели доступа. 10.5. Регулярный аудит информационной безопасности проводится не реже одного раза в год с привлечением внешних специалистов.

11.1. Оператор не несёт ответственности за ущерб, причинённый действиями третьих лиц, получивших доступ к персональным данным в результате нарушения пользователем правил безопасности (передача пароля, использование простых паролей, переход по фишинговым ссылкам). 11.2. Оператор не отвечает за содержание сайтов третьих лиц, на которые пользователь перешёл по ссылкам с Сервиса Lyru.ru. 11.3. Пользователь самостоятельно несёт ответственность за достоверность предоставленных данных (включая результаты анализов, фотографии, диагностические ответы).

12.1. Оператор вправе изменять Политику с уведомлением за 14 дней через email и баннер на сайте. 12.2. Новая редакция вступает в силу с момента размещения, если иной срок не указан. 12.3. Продолжение использования Сервиса после 14 дней означает согласие с изменениями.

По всем вопросам, связанным с обработкой персональных данных, отзывом согласия, удалением Аккаунта, пользователи могут обращаться: Электронная почта: ____________ Почтовый адрес: _______________