Настоящая Политика конфиденциальности объясняет, как PREMIUM INFINITY S.R.O. («мы», «нас») собирает и обрабатывает персональные данные при использовании Приложения, включая ваши права по GDPR (General Data Protection Regulation, Регламент (ЕС) 2016/679).
Поскольку Контролёр (оператор) находится в Европейском союзе (Чешская Республика), мы применяем стандарты обработки данных на уровне GDPR к описанным в этой Политике процессам.

1) Контролёр данных (кто отвечает за обработку)
PREMIUM INFINITY S.R.O.
Регистрационный номер: 24701114
Юридический адрес: U Bulhara 1611/3, Nove Mesto, 110 00, Praha 1, Czech Republic
Телефон: +420777643565
Email (контакт по вопросам конфиденциальности): temur.rakhimov@gmail.com

2) Сфера применения: где используется Приложение
Приложение предназначено для поддержки клубов 35’ Health Clubs и используется клиентами и персоналом клубов для сервисных целей (например, QR-сценарии, обращения пользователя, помощь со стороны клуба).

3) Какие персональные данные мы собираем
3.1 Данные, которые вы предоставляете напрямую
Мы собираем данные, которые вы вводите в Приложении, включая:

• Номер телефона
• Имя
• Фамилия
• Адрес
• «Что беспокоит» / жалоба
• Проблема(ы) со здоровьем
• Рост
• Вес
• Дата рождения
• Пол
• Цель по здоровью/фитнесу

Специальная категория данных (данные о здоровье): ваша жалоба, проблемы со здоровьем и связанная информация могут квалифицироваться как данные о здоровье и, соответственно, как специальная категория персональных данных по статье 9 GDPR.
3.2 Камера (сканирование QR-кода)
Приложение запрашивает доступ к камере только для сканирования QR-кодов.
Мы не записываем видео, не делаем фото и не используем распознавание лиц в рамках QR-сканирования.
3.3 Карты (Google Maps)
Приложение использует Google Maps для отображения локаций клубов.
Приложение не запрашивает и не использует вашу точную геолокацию; оно только показывает местоположения клубов.
3.4 Технические данные (инфраструктура Firebase / Google)
Мы используем Google Firebase / сервисы разработчика Google для работы Приложения. Это может включать обработку ограниченных технических данных, необходимых для предоставления сервиса, стабильности и безопасности (например, идентификаторы приложения/устройства, сервисные логи).
Вы подтвердили:

• аналитические SDK не используются (например, Firebase Analytics),
• сервисы crash-аналитики не используются (например, Crashlytics).

Если это изменится, мы обновим настоящую Политику.

4) Обязательные и необязательные данные (что будет, если вы не предоставите данные)

• Необходимые для основных функций аккаунта/сервиса: минимум номер телефона (и обычно имя, в зависимости от сценария использования).
• Необязательные (но могут повлиять на качество сервиса): фамилия, адрес и любые поля, связанные со здоровьем (жалоба, проблема со здоровьем, рост/вес/дата рождения/пол, цель). Если вы не предоставляете необязательные данные, вы сможете пользоваться Приложением там, где это возможно, но персоналу клуба может не хватать информации, чтобы помочь вам максимально эффективно.

5) Цели обработки (зачем мы используем ваши данные)
Мы обрабатываем персональные данные, чтобы:

1. Создавать и поддерживать ваш профиль/аккаунт.
2. Обеспечивать функции Приложения, связанные с 35’ Health Clubs (включая QR-сценарии).
3. Дать персоналу клуба возможность видеть предоставленную вами информацию и помогать вам (включая обработку жалобы/запроса).
4. Связываться с вами через SMS и WhatsApp по сервисным вопросам (например, подтверждение, операционные уведомления, ответы).
5. Показывать локации клубов через Google Maps.
6. Обеспечивать безопасность и работоспособность Приложения (предотвращение злоупотреблений, устранение ошибок, стабильность сервиса).

6) Правовые основания (GDPR)
6.1 Обработка обычных персональных данных (статья 6 GDPR)
Когда применяется GDPR, мы используем следующие основания:

• Договор / действия до заключения договора (ст. 6(1)(b)): чтобы предоставить сервис Приложения, который вы запрашиваете.
• Законные интересы (ст. 6(1)(f)): безопасность, предотвращение мошенничества/злоупотреблений и обеспечение стабильности (с учетом баланса ваших прав).
• Согласие (ст. 6(1)(a)): когда мы отдельно и явно просим согласие (например, если в будущем появятся маркетинговые функции).

6.2 Обработка данных о здоровье (специальная категория) (статья 9 GDPR)
Если информация квалифицируется как данные о здоровье, мы обрабатываем ее только на основании:

• вашего явного (explicit) согласия (ст. 9(2)(a)).

Как явное согласие собирается (на практике):
Когда Приложение позволяет вам отправить поля, связанные со здоровьем, вы должны отдельно подтвердить согласие (например, чекбокс/переключатель) с формулировкой вроде:
«Я даю явное согласие на обработку моих данных, связанных со здоровьем, с целью предоставления персоналу 35’ Health Clubs возможности ознакомиться с ними и помочь мне».
Если вы не дадите явное согласие, мы не будем обрабатывать поля, связанные со здоровьем (и, возможно, не сможем предоставить помощь по вопросам здоровья через Приложение).

7) Кому мы передаем данные (получатели)
Мы не продаём ваши персональные данные.
Мы можем передавать данные следующим категориям получателей:
7.1 Персонал 35’ Health Clubs (доступ для сервиса)
Уполномоченные сотрудники/администраторы клуба могут иметь доступ к данным пользователя для оказания услуг и поддержки. Доступ предоставляется по принципу «только тем, кому нужно».
7.2 Google (Firebase) — инфраструктурный провайдер
Мы используем Google Firebase для работы Приложения. Google выступает поставщиком инфраструктуры/сервисов и может обрабатывать персональные данные для предоставления этих сервисов (например, хостинг, база данных, доставка, безопасность).
7.3 Google Maps
Мы используем Google Maps для отображения локаций клубов. В отдельных случаях Google может выступать самостоятельным контролёром для части данных, обрабатываемых в связи с сервисами карт, согласно условиям Google.
7.4 WhatsApp
Если вы общаетесь с нами через WhatsApp, ваши сообщения и связанные метаданные обрабатываются через сервисы WhatsApp (операторы — структуры Meta/WhatsApp) в соответствии с их условиями и политиками.
7.5 SMS-провайдеры / операторы связи
Для доставки SMS ваш номер телефона и данные доставки сообщения могут обрабатываться операторами связи и/или SMS-провайдерами.

8) Международные передачи (трансграничная обработка)
Поскольку:

• использование и доступ персонала происходят в Узбекистане и Казахстане, и
• Google/Firebase/Maps могут использовать глобальную инфраструктуру,

ваши данные могут обрабатываться за пределами вашей страны и потенциально за пределами ЕЭЗ.
Когда применяется GDPR и требуются меры для международных передач, мы используем соответствующие механизмы (например, Standard Contractual Clauses (SCC) и связанные договорные меры защиты).

9) Сроки хранения данных (retention)
Мы храним персональные данные только столько, сколько нужно для целей, описанных выше:

• Данные аккаунта/профиля: хранятся, пока ваш профиль активен; удаляются, когда вы удаляете профиль, с учетом резервных копий (см. ниже).
• Данные о здоровье: хранятся, пока профиль активен и пока они нужны персоналу для помощи, если только вы не отзовете явное согласие (см. раздел 10).
• Сервисные коммуникации (SMS/WhatsApp): можем хранить записи сервисных коммуникаций до 12 месяцев для поддержки, урегулирования споров и обеспечения качества сервиса (если закон не требует больший срок).
• Технические/безопасностные логи: обычно храним до 180 дней для безопасности и надежности сервиса.

Резервные копии (backups): после удаления профиля часть данных может оставаться в резервных копиях до 90 дней (цикл ротации бэкапов), после чего данные перезаписываются или удаляются, если закон не требует хранить отдельные сведения дольше.

10) Ваши права (GDPR) и как их реализовать
Когда применяется GDPR, вы имеете право:

• на доступ к данным (ст. 15)
• на исправление (ст. 16)
• на удаление (ст. 17)
• на ограничение обработки (ст. 18)
• на переносимость (ст. 20) — где применимо
• на возражение при законных интересах (ст. 21)
• на отзыв согласия в любой момент (ст. 7(3); для данных о здоровье — ст. 9(2)(a))

Как подать запрос: напишите на temur.rakhimov@gmail.com.
Мы можем попросить разумное подтверждение личности, чтобы защитить ваши данные от выдачи третьим лицам.
Отзыв явного согласия на обработку данных о здоровье
При отзыве явного согласия мы прекратим обработку данных о здоровье и удалим/обезличим их там, где это возможно, если только минимальное хранение не требуется для защиты правовых требований или соблюдения закона.
Удаление данных
Вы указали, что удаление отдельных полей недоступно, а удаление данных осуществляется через удаление профиля. Если вы хотите удалить все персональные данные — удалите профиль и/или направьте запрос на удаление по email.

11) Жалобы в надзорный орган
Когда применяется GDPR, вы можете подать жалобу в надзорный орган по защите данных, в том числе в ЕС.
Для Чешской Республики надзорный орган:
Úřad pro ochranu osobních údajů (UOOU)
Адрес: Pplk. Sochora 27, 170 00 Praha 7, Czech Republic

12) Безопасность
Мы применяем разумные технические и организационные меры защиты персональных данных, включая контроль доступа, защищенные каналы связи и ограничение доступа сотрудников к данным в рамках их обязанностей. Ни одна система не гарантирует 100% защиту, но мы снижаем риски настолько, насколько это разумно и необходимо.

13) Автоматизированные решения
Мы не используем автоматизированное принятие решений, включая профилирование, которое влечет юридические последствия или аналогично существенно влияет на вас (ст. 22 GDPR).

14) Дети
Приложение не предназначено для детей младше 16 лет без участия/согласия родителя или законного представителя, если это требуется применимым законом. Если мы узнаем, что данные ребенка были собраны неправомерно, мы примем меры по их удалению.

15) Изменения настоящей Политики
Мы можем периодически обновлять эту Политику. Обновленная версия будет опубликована в Приложении с новой датой вступления в силу. Существенные изменения будут сообщены через Приложение или другим подходящим способом.