Datenschutz

Datenschutzerklärung

На главную

Datenschutzerklärung

Stand: 01.05.2026

DATENSCHUTZERKLÄRUNG (DE) Stand: 01.05.2026 Bei Abweichungen zwischen den Sprachfassungen ist die deutsche Fassung maßgeblich. 1. Verantwortliche Stelle Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist: Irina Beliaeva (IRA Beliaeva) Berliner Str. 69 c/o Red Tape Translation 13189 Berlin Deutschland Telefon: 015221433657 E-Mail: bel.style.berlin@gmail.com 2. Gegenstand und Grundsätze Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung unserer Website sowie beim Kauf und bei der Nutzung unseres digitalen Kurses und weiterer digitaler Funktionen, insbesondere über Telegram bereitgestellte Inhalte, Bot-Funktionen und KI-gestützte Analyse- bzw. Bildgenerierungsfunktionen. Wir verarbeiten personenbezogene Daten nach den Grundsätzen der Datenminimierung und Zweckbindung und nur soweit eine Rechtsgrundlage dies erlaubt. Wir setzen keine Newsletter- oder Marketing-Tracking-Tools ein. 3. Rechtsgrundlagen Wir verarbeiten personenbezogene Daten insbesondere auf folgenden Rechtsgrundlagen: - Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), z. B. Zahlungsabwicklung, Versand von Kauf-/Zugangsinformationen, Freischaltung und Verwaltung des Kurszugangs. - Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), z. B. handels- und steuerrechtliche Aufbewahrungspflichten. - Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), z. B. technische Bereitstellung, IT-Sicherheit, Missbrauchs- und Betrugsprävention, Fehleranalyse. - Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung), soweit Nutzer freiwillig Fotos hochladen und dabei besondere Kategorien personenbezogener Daten oder entsprechende Rückschlüsse nicht ausgeschlossen werden können, z. B. bei Gesichts-, Körper-, Haut- oder Erscheinungsmerkmalen. Wir verwenden hochgeladene Fotos nicht zur eindeutigen biometrischen Identifizierung oder Authentifizierung von Personen. 4. Aufruf der Website und Hosting (Vercel) Beim Aufruf unserer Website werden technisch notwendige Daten verarbeitet (Server-/Logdaten), insbesondere: - IP-Adresse (oder technisch vergleichbare Zugriffsdaten), - Datum und Uhrzeit des Zugriffs, - aufgerufene Seite/URL, - Referrer-URL, - Browser-/Geräteinformationen, Spracheinstellungen, - technische Fehler-, Sicherheits- und Performance-Daten. Zweck: Auslieferung der Website, Stabilität/Sicherheit, Fehleranalyse und Missbrauchsabwehr. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. 5. Webanalyse (Vercel Web Analytics, keine Custom Events) Wir verwenden Vercel Web Analytics zur statistischen Auswertung der Nutzung unserer Website und zur technischen Optimierung. Wir verwenden keine Custom Events. Dabei werden nach Anbieterangaben keine Third-Party Cookies eingesetzt. Es werden aggregierte Nutzungs- und Geräteinformationen (z. B. Seitenaufrufe, Referrer, Browser-/OS-Informationen, grobe Standortinformationen) verarbeitet; die Besucherzuordnung erfolgt über einen Hash aus der eingehenden Anfrage, der nicht dauerhaft gespeichert und nach 24 Stunden verworfen wird. Zweck: Reichweitenmessung sowie Optimierung von Angebot, Stabilität und Nutzererlebnis. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. 6. Domain & DNS (Cloudflare als Registrar/DNS, ohne Proxy) Wir nutzen Cloudflare für Domainverwaltung und DNS. Die Proxy-/Reverse-Proxy-Funktion (CDN/WAF-Proxying) ist nicht aktiviert. Dabei werden Daten verarbeitet, die für Domainverwaltung und DNS-Auflösung technisch erforderlich sind (z. B. Verbindungs- und Protokolldaten). Zweck: Betrieb und Verwaltung der Domain, zuverlässige DNS-Auflösung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. 7. Cookies / Endgerätezugriff (§ 25 TDDDG) Auf unserer Website setzen wir keine Marketing-Cookies ein. Soweit auf unserer Website technisch notwendige Speicherungen/Zugriffe auf Informationen in Ihrem Endgerät stattfinden, erfolgt dies auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich). Hinweis: Im Rahmen des externen Zahlungsprozesses bei Stripe (Stripe Checkout) kann Stripe Cookies/ähnliche Technologien nach eigenen Vorgaben einsetzen; hierfür ist Stripe verantwortlich (siehe Abschnitt 8). 8. Zahlungsabwicklung über Stripe (Stripe Checkout, Redirect) Für Zahlungen nutzen wir Stripe. Wenn Sie auf „Kaufen" klicken, werden Sie zur Zahlungsseite von Stripe (Stripe Checkout) weitergeleitet. Stripe verarbeitet die für die Zahlung erforderlichen Daten. Typische Datenkategorien: - Kontaktdaten (z. B. E-Mail-Adresse; ggf. Name, sofern im Checkout angegeben), - Transaktions- und Vertragsdaten (z. B. Produkt/Tarif, Betrag, Währung, Zahlungsstatus, Zeitpunkte, Referenzen), - Zahlungsdaten (z. B. Karten-/Kontodaten) werden primär von Stripe verarbeitet; wir erhalten diese nicht vollständig. Zweck: Zahlungsabwicklung, Zahlungsnachweis, Rückabwicklung (z. B. Erstattungen) und Betrugsprävention. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für Aufbewahrungspflichten Art. 6 Abs. 1 lit. c DSGVO. 9. Transaktionale E-Mails nach Kauf (E-Mail-Versanddienstleister, EU/EWR, ohne Tracking) Nach erfolgreichem Kauf versenden wir E-Mails, die für die Vertragsdurchführung erforderlich sind (z. B. Bestätigung und Zugangsinformationen). Dafür nutzen wir einen oder mehrere E-Mail-Versanddienstleister mit Verarbeitung innerhalb der EU/EWR (entsprechend der von uns gewählten Einstellungen). Wir versenden nur an E-Mail-Adressen, die im Stripe Checkout angegeben wurden. Wir nutzen kein Öffnungs-/Klick-Tracking und keine Tracking-Pixel. Verarbeitete Daten (typisch): - E-Mail-Adresse, - ggf. Name (falls im Checkout angegeben), - Kauf-/Transaktionsdaten (Tarif/Produkt, Zeitpunkt/Status), - Inhalte der E-Mail (Kauf- und Zugangsinformationen). Zweck: Versand von Informationen zur Vertragsdurchführung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die E-Mail-Versanddienstleister werden als Auftragsverarbeiter eingesetzt (Art. 28 DSGVO). 10. Kurszugang über Telegram, Bot-Betrieb (AWS) und Zugangsdaten (Supabase) Die Kursinhalte werden über Telegram bereitgestellt (Kanal; optional Gruppenchat je nach Tarif). Für die Freischaltung verwenden wir einen Telegram-Bot. Zur Verwaltung der Zugangsberechtigungen und Laufzeiten speichern wir die hierfür erforderlichen Daten in Supabase (einzige Datenbank), insbesondere: - E-Mail-Adresse, - gekaufter Tarif/Laufzeit sowie Status/Zeiten, - Aktivierungs-/Zugangsdaten (z. B. Aktivierungscode oder Code-Hash), - Telegram-ID und/oder Telegram-Username (soweit für die Freischaltung erforderlich), - eine interne Transaktions-/Bestellreferenz zur Zuordnung. Zweck: Vertragsabwicklung, Missbrauchsprävention, Freischaltung und Verwaltung der vereinbarten Laufzeiten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Supabase wird als Auftragsverarbeiter eingesetzt (Art. 28 DSGVO). Der Telegram-Bot wird bei AWS betrieben. Dabei können im Rahmen des Betriebs technische Protokolldaten (z. B. Fehler-/Sicherheitslogs, Zeitstempel) verarbeitet werden, soweit dies für sicheren und stabilen Betrieb erforderlich ist. Zweck: Betrieb, IT-Sicherheit, Missbrauchsabwehr, Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. AWS wird als Auftragsverarbeiter eingesetzt (Art. 28 DSGVO). Telegram verarbeitet personenbezogene Daten in eigener Verantwortlichkeit. Eine Verarbeitung außerhalb der EU/EWR kann nicht ausgeschlossen werden. 11. KI-gestützte Analyse und Bildgenerierung mit OpenAI Wir können für bestimmte Funktionen unseres Angebots Dienste von OpenAI einsetzen, insbesondere zur Erstellung von KI-gestützten Stil-, Farb-, Gesichts-, Körper- oder Outfit-Analysen sowie zur Generierung oder Bearbeitung von Bildern und textlichen Empfehlungen. Wenn Sie eine entsprechende KI-Funktion nutzen, können folgende Daten verarbeitet und an OpenAI übermittelt werden: - von Ihnen eingegebene Texte, Fragen, Prompts und Anweisungen, - von Ihnen hochgeladene Bilder, insbesondere Fotos von Gesicht, Körper, Kleidung oder Outfits, - technische Kontextinformationen, die für die Anfrage erforderlich sind, - von OpenAI erzeugte Zwischen- und Endergebnisse, insbesondere Text- oder Bildausgaben, soweit dies zur Bereitstellung der Funktion technisch erforderlich ist. Zweck der Verarbeitung ist die Bereitstellung der von Ihnen angeforderten KI-Funktion, insbesondere die Analyse Ihrer Eingaben und Bilder, die Erstellung von Empfehlungen sowie die Generierung oder Bearbeitung von Bild- und Textinhalten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der angeforderten Funktion bzw. zur Durchführung des Vertrags erforderlich ist. Für technische Sicherheit, Missbrauchsverhinderung und Fehleranalyse ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Soweit durch hochgeladene Fotos besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO betroffen sein können oder entsprechende Rückschlüsse nicht ausgeschlossen werden können, erfolgt die Verarbeitung auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Wir verwenden die hochgeladenen Fotos nicht zur eindeutigen biometrischen Identifizierung oder Authentifizierung von Personen. Die Ausgaben der KI dienen nur als automatisiert erstellte Empfehlungen bzw. kreative Inhalte. Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO statt. Wir speichern die an OpenAI übermittelten Nutzeranfragen, hochgeladenen Eingabebilder, von OpenAI erzeugten Textausgaben und von OpenAI erzeugten Ausgabebilder nicht dauerhaft in unserer eigenen Datenbank. Die Verarbeitung in unseren Systemen erfolgt grundsätzlich nur temporär zur technischen Übermittlung, Generierung und Auslieferung der angeforderten Ergebnisse. Technische Protokolldaten können in dem für Sicherheit, Fehleranalyse und Missbrauchsabwehr erforderlichen Umfang verarbeitet werden. OpenAI kann Daten nach eigenen vertraglichen und technischen Vorgaben verarbeiten, insbesondere zur Bereitstellung des Dienstes, zur Sicherheit, zur Missbrauchsverhinderung und zur Einhaltung rechtlicher Pflichten. Nach den Angaben von OpenAI werden über die OpenAI API übermittelte Daten standardmäßig nicht zum Training oder zur Verbesserung der OpenAI-Modelle verwendet, sofern keine ausdrückliche Freigabe hierfür erfolgt. OpenAI kann API-Daten standardmäßig für einen begrenzten Zeitraum in Abuse-Monitoring-Logs verarbeiten, soweit dies nicht durch besondere Retention-Einstellungen ausgeschlossen oder eingeschränkt ist. OpenAI wird – soweit anwendbar – als Auftragsverarbeiter im Sinne von Art. 28 DSGVO eingesetzt. Für Kunden mit Sitz im Europäischen Wirtschaftsraum oder in der Schweiz erfolgt der Vertrag nach den OpenAI-Bedingungen mit OpenAI Ireland Ltd. OpenAI kann Unterauftragsverarbeiter einsetzen. Eine Verarbeitung außerhalb der EU/des EWR kann nicht ausgeschlossen werden. Soweit erforderlich, erfolgen Drittlandübermittlungen auf Grundlage geeigneter Garantien, insbesondere EU-Standardvertragsklauseln oder anderer anwendbarer Transfermechanismen. Bitte laden Sie keine Fotos oder Inhalte hoch, für die Sie keine Rechte oder keine Zustimmung der abgebildeten Personen haben. Bitte laden Sie insbesondere keine Fotos minderjähriger Personen, keine Ausweisdokumente und keine Bilder mit besonders sensiblen Informationen hoch, sofern dies nicht ausdrücklich für die jeweilige Funktion erforderlich ist. 12. Kontaktaufnahme (E-Mail/Telefon) und E-Mail-Dienstleister (Postfach/Kommunikation) Wenn Sie uns per E-Mail oder Telefon kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten (z. B. Name, E-Mail-Adresse, Inhalt der Nachricht), um Ihre Anfrage zu bearbeiten. Zweck: Kommunikation und Bearbeitung von Anfragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (bei Vertragsbezug) bzw. Art. 6 Abs. 1 lit. f DSGVO (allgemeine Anfragen). Für die E-Mail-Kommunikation nutzen wir einen E-Mail-Dienstleister (Postfach-/E-Mail-Provider). Dabei werden Inhalte und Metadaten der Kommunikation über dessen Systeme verarbeitet. 13. Empfänger / Kategorien von Empfängern Je nach Zweck übermitteln wir personenbezogene Daten an folgende Empfänger bzw. Kategorien von Empfängern: - Hosting/Website-Bereitstellung: Vercel - Webanalyse: Vercel Web Analytics - Domain/DNS: Cloudflare (Registrar/DNS) - Zahlungsabwicklung: Stripe - Versand transaktionaler E-Mails: E-Mail-Versanddienstleister (EU/EWR) - Zugangskontrolle/Backend: Supabase - Bot-Hosting/IT: AWS - Kursbereitstellung/Kommunikation: Telegram (eigene Verantwortlichkeit) - E-Mail-Dienstleister (Postfach/Kommunikation) - KI-Analyse und Bildgenerierung: OpenAI Ireland Ltd. / OpenAI-Unternehmen und Unterauftragsverarbeiter Eine darüber hinausgehende Weitergabe erfolgt nur, wenn dies gesetzlich erlaubt ist oder Sie eingewilligt haben. 14. Drittlandübermittlungen Bei einzelnen Anbietern kann eine Verarbeitung außerhalb der EU/EWR nicht ausgeschlossen werden. Dies betrifft insbesondere Anbieter mit internationaler Infrastruktur wie Stripe, Telegram, AWS, Cloudflare, Supabase, Vercel und OpenAI bzw. deren Unterauftragsverarbeiter. Soweit erforderlich, erfolgen Übermittlungen auf Grundlage geeigneter Garantien, insbesondere EU-Standardvertragsklauseln (SCC). Soweit Anbieter nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert sind, kann eine Übermittlung auch hierauf gestützt werden. 15. Speicherdauer und Löschung Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist: a) Zugangsdaten (Supabase: E-Mail, Tarif/Laufzeit, Aktivierungs-/Zugangsdaten, Telegram-Identifikationsdaten, Zuordnungsreferenz): bis zum Ende des Kurszugangs (regelmäßig 3 Monate) bzw. des Chat-Zugangs (regelmäßig 1 Monat) zuzüglich einer kurzen technischen Nachlaufzeit (in der Regel bis zu 30 Tage) für Support/Fehlerklärung; danach Löschung oder Anonymisierung, sofern keine Aufbewahrungspflichten oder Rechtsverteidigung entgegenstehen. b) Abrechnungs- und Nachweisdaten: im Rahmen gesetzlicher Aufbewahrungspflichten, je nach Dokumentenart insbesondere - Buchungsbelege: grundsätzlich 8 Jahre, - bestimmte Unterlagen (z. B. Jahresabschlüsse): grundsätzlich 10 Jahre, - Handels- und Geschäftsbriefe/geschäftliche Korrespondenz: grundsätzlich 6 Jahre, jeweils soweit und solange gesetzliche Pflichten bestehen. c) Technische Logs (Hosting/Botbetrieb): nur so lange, wie es für Sicherheit und Fehleranalyse erforderlich ist, regelmäßig kurze Zeiträume. d) KI-Funktionen / OpenAI: Von Ihnen eingegebene KI-Anfragen, hochgeladene Eingabebilder, von OpenAI erzeugte Textausgaben und von OpenAI erzeugte Ausgabebilder speichern wir nicht dauerhaft in unserer eigenen Datenbank. Die Verarbeitung erfolgt grundsätzlich nur temporär zur technischen Übermittlung, Generierung und Auslieferung des Ergebnisses. Technische Logs können für kurze Zeiträume verarbeitet werden, soweit dies für Sicherheit, Fehleranalyse und Missbrauchsabwehr erforderlich ist. Bitte beachten Sie, dass OpenAI API-Daten nach den Angaben von OpenAI für Sicherheits- und Missbrauchsüberwachung für einen begrenzten Zeitraum verarbeiten kann, sofern keine besonderen Retention-Einstellungen vereinbart oder aktiviert sind. 16. Pflicht zur Bereitstellung von Daten (Art. 13 Abs. 2 lit. e DSGVO) Für den Kauf und die Bereitstellung des Kurses sind bestimmte Daten erforderlich: - Ohne E-Mail-Adresse können wir Kauf- und Zugangsinformationen nicht zustellen. - Ohne Telegram-ID/Username (soweit für die Freischaltung erforderlich) können wir den Zugang in Telegram nicht bereitstellen. - Ohne Zahlung kann kein Vertrag über Stripe Checkout abgeschlossen werden (Zahlungsdaten verarbeitet primär Stripe). Für KI-gestützte Funktionen gilt: - Ohne Texteingabe bzw. Anfrage kann keine KI-Antwort erzeugt werden. - Ohne Bild-Upload kann keine bildbasierte Analyse oder Bildgenerierung durchgeführt werden. - Die Nutzung bildbasierter KI-Funktionen ist freiwillig; wenn Sie keine Bilder hochladen möchten, können diese Funktionen nicht oder nur eingeschränkt bereitgestellt werden. 17. Ihre Rechte Sie haben nach der DSGVO insbesondere folgende Rechte: - Auskunft (Art. 15 DSGVO) - Berichtigung (Art. 16 DSGVO) - Löschung (Art. 17 DSGVO) - Einschränkung der Verarbeitung (Art. 18 DSGVO) - Datenübertragbarkeit (Art. 20 DSGVO) - Widerspruch gegen Verarbeitung (Art. 21 DSGVO) - Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft (soweit einschlägig) Zur Ausübung Ihrer Rechte genügt eine E-Mail an: bel.style.berlin@gmail.com 18. Beschwerderecht bei der Aufsichtsbehörde Sie haben das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde. Zuständig in Berlin ist: Berliner Beauftragte für Datenschutz und Informationsfreiheit Alt-Moabit 59–61, 10555 Berlin E-Mail: mailbox@datenschutz-berlin.de Website: https://www.datenschutz-berlin.de 19. Datensicherheit Wir setzen geeignete technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen. Die Übertragung zwischen Ihrem Gerät und unserer Website erfolgt verschlüsselt (TLS). 20. Aktualität und Änderungen Wir können diese Datenschutzerklärung anpassen, wenn sich Rechtslage, Dienste oder Datenverarbeitungen ändern. Es gilt die jeweils auf der Website veröffentlichte Fassung. ---- ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ (RU) Дата актуализации: 01.05.2026 В случае расхождений между языковыми версиями преимущественную силу имеет версия на немецком языке (DE). 1. Оператор (ответственное лицо) Ответственным лицом в смысле Общего регламента ЕС о защите данных (GDPR / DSGVO) является: Irina Beliaeva (IRA Beliaeva) Berliner Str. 69 c/o Red Tape Translation 13189 Berlin Германия Телефон: 015221433657 E-mail: bel.style.berlin@gmail.com 2. Предмет и принципы Настоящая политика описывает обработку персональных данных при использовании сайта, а также при покупке и использовании цифрового курса и дополнительных цифровых функций, включая материалы и функции, предоставляемые через Telegram, работу бота, а также функции анализа и генерации изображений с использованием ИИ. Мы обрабатываем персональные данные в соответствии с принципами минимизации и целевого использования и только при наличии правового основания. Мы не используем рассылки (newsletter) и маркетинговые инструменты трекинга. 3. Правовые основания обработки Мы обрабатываем персональные данные, в частности, на следующих основаниях: - Art. 6(1)(b) GDPR / Art. 6 Abs. 1 lit. b DSGVO (исполнение договора): оплата, отправка писем с подтверждением покупки/доступом, активация и управление доступом к курсу. - Art. 6(1)(c) GDPR / Art. 6 Abs. 1 lit. c DSGVO (юридическая обязанность): бухгалтерское и налоговое хранение данных. - Art. 6(1)(f) GDPR / Art. 6 Abs. 1 lit. f DSGVO (законный интерес): техническое обеспечение, безопасность, предотвращение злоупотреблений и мошенничества, анализ ошибок. - Art. 9(2)(a) GDPR / Art. 9 Abs. 2 lit. a DSGVO (явное согласие), если пользователь добровольно загружает фотографии и при этом нельзя исключить обработку особых категорий персональных данных или соответствующих выводов, например в связи с чертами лица, тела, кожи или внешности. Мы не используем загруженные фотографии для однозначной биометрической идентификации или аутентификации личности. 4. Посещение сайта и хостинг (Vercel) Сайт размещён с использованием Vercel. При посещении сайта обрабатываются технически необходимые данные (серверные/журнальные данные), включая: - IP-адрес (или сопоставимые технические данные доступа), - дата и время доступа, - запрошенная страница/URL, - referrer-URL, - сведения о браузере/устройстве, языковые настройки, - технические данные об ошибках, безопасности и производительности. Цель: доставка сайта, стабильность и безопасность, анализ ошибок, предотвращение злоупотреблений. Правовое основание: Art. 6(1)(f) GDPR. 5. Веб-аналитика (Vercel Web Analytics, без Custom Events) Мы используем Vercel Web Analytics для статистического анализа использования сайта и его технической оптимизации. Custom Events мы не используем. По заявлению провайдера third-party cookies не используются. Обрабатываются агрегированные показатели использования и устройства (например, просмотры страниц, реферер, информация о браузере/ОС, приблизительная локация). Идентификация посетителя для подсчёта выполняется через хэш входящего запроса; он не хранится постоянно и отбрасывается через 24 часа. Цель: измерение посещаемости и оптимизация сайта (контента, стабильности и удобства). Правовое основание: Art. 6(1)(f) GDPR. 6. Домен и DNS (Cloudflare как регистратор/DNS, без Proxy) Мы используем Cloudflare для управления доменом и DNS. Функция проксирования/реверс-прокси (CDN/WAF-Proxying) не включена. При этом обрабатываются данные, технически необходимые для управления доменом и разрешения DNS (например, данные соединения и журналы). Цель: эксплуатация и управление доменом, надёжная работа DNS. Правовое основание: Art. 6(1)(f) GDPR. 7. Cookies / доступ к устройству (§ 25 TDDDG) На нашем сайте мы не используем маркетинговые cookies. Если на сайте выполняются технически необходимые операции хранения/доступа к информации на вашем устройстве, это происходит на основании § 25 Abs. 2 Nr. 2 TDDDG (строго необходимо). Примечание: в рамках внешнего процесса оплаты на стороне Stripe (Stripe Checkout) Stripe может использовать cookies/аналогичные технологии по своим правилам; за это отвечает Stripe (см. раздел 8). 8. Приём платежей через Stripe (Stripe Checkout, Redirect) Для оплаты используется Stripe. При нажатии «Купить» вы перенаправляетесь на страницу оплаты Stripe (Stripe Checkout). Stripe обрабатывает данные, необходимые для проведения платежа. Типичные категории данных: - контактные данные (например, e-mail; при наличии — имя), - транзакционные и договорные данные (например, продукт/тариф, сумма, валюта, статус платежа, временные метки, референсы), - платёжные данные (например, данные карты/счёта) обрабатываются в основном Stripe; мы не получаем их в полном объёме. Цель: проведение платежа, подтверждение оплаты, возвраты, предотвращение мошенничества. Правовое основание: Art. 6(1)(b) GDPR; для обязанностей хранения — Art. 6(1)(c) GDPR. 9. Транзакционные письма после покупки (служба отправки e-mail, EU/ЕЭЗ, без трекинга) После успешной покупки мы отправляем письма, необходимые для исполнения договора (например, подтверждение и данные для доступа). Для этого мы используем одного или нескольких провайдеров отправки e-mail, которые обрабатывают данные в пределах EU/ЕЭЗ (в соответствии с выбранными нами настройками). Мы отправляем письма только на e-mail, указанный в Stripe Checkout. Мы не используем трекинг открытий/кликов и не добавляем tracking pixels. Обрабатываемые данные (обычно): - e-mail, - при наличии — имя, - данные о покупке/транзакции (тариф/продукт, время/статус), - содержание письма (подтверждение и информация о доступе). Цель: отправка информации для исполнения договора. Правовое основание: Art. 6(1)(b) GDPR. Провайдер(ы) отправки e-mail выступают как обработчики по поручению (processor) по Art. 28 GDPR. 10. Доступ к курсу через Telegram, работа бота (AWS) и данные доступа (Supabase) Материалы курса предоставляются через Telegram (канал; опциональный групповой чат — в зависимости от тарифа). Для активации доступа используется Telegram-бот. Для управления правами доступа и сроками мы храним необходимые данные в Supabase (единственная база данных), в частности: - e-mail, - купленный тариф/срок и статусы/временные метки, - данные активации/доступа (например, код активации или хэш кода), - Telegram ID и/или Telegram username (если это требуется для активации), - внутренняя референсная отметка заказа/транзакции для привязки. Цель: исполнение договора, предотвращение злоупотреблений, активация и управление сроками доступа. Правовое основание: Art. 6(1)(b) GDPR. Supabase — обработчик по поручению (Art. 28 GDPR). Telegram-бот размещён у AWS. В рамках стабильной и безопасной работы могут обрабатываться технические журнальные данные (например, логи ошибок/безопасности, временные метки) в объёме, необходимом для эксплуатации. Цель: эксплуатация, безопасность, предотвращение злоупотреблений, анализ ошибок. Правовое основание: Art. 6(1)(f) GDPR. AWS — обработчик по поручению (Art. 28 GDPR). Telegram обрабатывает персональные данные как самостоятельный оператор. Обработка вне ЕС/ЕЭЗ не исключается. 11. Анализ и генерация изображений с использованием OpenAI Для отдельных функций нашего сервиса мы можем использовать сервисы OpenAI, в частности для создания ИИ-анализа стиля, цветотипа, лица, тела или образа, а также для генерации или редактирования изображений и текстовых рекомендаций. При использовании соответствующей ИИ-функции могут обрабатываться и передаваться в OpenAI следующие данные: - введённые вами тексты, вопросы, промпты и инструкции; - загруженные вами изображения, в частности фотографии лица, тела, одежды или образов; - технический контекст, необходимый для выполнения запроса; - промежуточные и итоговые результаты, созданные OpenAI, включая текстовые и графические выводы, если это технически необходимо для предоставления функции. Цель обработки — предоставление запрошенной вами ИИ-функции: анализ ваших текстов и изображений, создание рекомендаций, генерация или редактирование текстового и визуального контента. Правовое основание — Art. 6(1)(b) GDPR / Art. 6 Abs. 1 lit. b DSGVO, если обработка необходима для предоставления запрошенной функции или исполнения договора. Для технической безопасности, предотвращения злоупотреблений и анализа ошибок правовым основанием является Art. 6(1)(f) GDPR. Если в связи с загруженными фотографиями могут затрагиваться особые категории персональных данных по Art. 9 GDPR или соответствующие выводы нельзя исключить, обработка осуществляется на основании вашего явного согласия по Art. 9(2)(a) GDPR. Мы не используем загруженные фотографии для однозначной биометрической идентификации или аутентификации личности. Результаты ИИ являются автоматически созданными рекомендациями или креативными материалами. Автоматизированные решения с юридическими последствиями или сопоставимым существенным влиянием по Art. 22 GDPR не принимаются. Мы не храним постоянно в собственной базе данных пользовательские запросы, загруженные входные изображения, текстовые результаты OpenAI и изображения, созданные OpenAI. Обработка в наших системах осуществляется, как правило, только временно: для технической передачи, генерации и доставки результата. Технические журналы могут обрабатываться в объёме, необходимом для безопасности, анализа ошибок и предотвращения злоупотреблений. OpenAI может обрабатывать данные по собственным договорным и техническим правилам, в частности для предоставления сервиса, обеспечения безопасности, предотвращения злоупотреблений и выполнения юридических обязанностей. Согласно информации OpenAI, данные, переданные через OpenAI API, по умолчанию не используются для обучения или улучшения моделей OpenAI, если клиент явно не согласился на такое использование. OpenAI может обрабатывать API-данные в журналах мониторинга злоупотреблений в течение ограниченного срока, если специальные настройки хранения не исключают или не ограничивают такую обработку. OpenAI используется — насколько применимо — как обработчик по поручению по Art. 28 GDPR. Для клиентов из Европейской экономической зоны или Швейцарии договор по условиям OpenAI заключается с OpenAI Ireland Ltd. OpenAI может использовать субобработчиков. Обработка вне ЕС/ЕЭЗ не исключается. При необходимости передача в третьи страны осуществляется на основании надлежащих гарантий, включая стандартные договорные положения ЕС или другие применимые механизмы передачи. Пожалуйста, не загружайте фотографии или материалы, на которые у вас нет прав или согласия изображённых лиц. Пожалуйста, не загружайте фотографии несовершеннолетних, документы, удостоверяющие личность, и изображения с особо чувствительной информацией, если это прямо не требуется для соответствующей функции. 12. Обращения (e-mail/телефон) и e-mail-провайдер (почтовый ящик/коммуникации) Если вы связываетесь с нами по e-mail или телефону, мы обрабатываем переданные вами данные (например, имя, e-mail, содержание сообщения) для обработки запроса. Цель: коммуникация и обработка обращений. Правовое основание: Art. 6(1)(b) GDPR (если обращение связано с договором) либо Art. 6(1)(f) GDPR (общие запросы). Для e-mail-коммуникации мы используем e-mail-провайдера (провайдер почтового ящика / e-mail-провайдер). Содержание и метаданные переписки обрабатываются через его системы. 13. Получатели / категории получателей В зависимости от цели мы передаём персональные данные следующим получателям/категориям: - хостинг/доставка сайта: Vercel - веб-аналитика: Vercel Web Analytics - домен/DNS: Cloudflare (регистратор/DNS) - оплата: Stripe - отправка транзакционных писем: служба отправки e-mail (EU/ЕЭЗ) - управление доступом/бэкенд: Supabase - облачный хостинг/IT для бота: AWS - предоставление контента/коммуникация: Telegram (самостоятельный оператор) - e-mail-провайдер (почтовый ящик / коммуникации) - ИИ-анализ и генерация изображений: OpenAI Ireland Ltd. / компании OpenAI и субобработчики Иная передача данных возможна только при наличии правового основания или вашего согласия. 14. Передача в третьи страны У отдельных провайдеров обработка вне ЕС/ЕЭЗ не исключается. Это касается в особенности провайдеров с международной инфраструктурой, таких как Stripe, Telegram, AWS, Cloudflare, Supabase, Vercel и OpenAI, а также их субобработчиков. При необходимости передача осуществляется на основании надлежащих гарантий, в частности стандартных договорных положений ЕС (SCC). Если провайдер сертифицирован по EU-U.S. Data Privacy Framework (DPF), передача также может основываться на этой базе. 15. Сроки хранения и удаление Мы храним персональные данные только столько, сколько это требуется для целей обработки: a) Данные доступа (Supabase: e-mail, тариф/срок, данные активации/доступа, идентификаторы Telegram, референс привязки): до окончания доступа к курсу (как правило 3 месяца) и/или к чату (как правило 1 месяц) плюс короткий технический период (обычно до 30 дней) для поддержки и разбора ошибок; затем удаление или обезличивание, если не действуют обязанности хранения или защита правовых интересов. b) Бухгалтерские и платёжные подтверждения: в рамках законных сроков хранения, в зависимости от вида документов, в частности: - бухгалтерские подтверждающие документы (Buchungsbelege): как правило 8 лет, - отдельные документы (например, годовая отчётность): как правило 10 лет, - коммерческая/деловая переписка: как правило 6 лет, в каждом случае — в пределах и на срок, установленный законом. c) Технические логи (хостинг/бот): только пока это необходимо для безопасности и анализа ошибок, обычно короткими периодами. d) ИИ-функции / OpenAI: Пользовательские запросы, загруженные входные изображения, текстовые результаты OpenAI и изображения, созданные OpenAI, мы не храним постоянно в собственной базе данных. Обработка осуществляется, как правило, только временно: для технической передачи, генерации и доставки результата. Технические журналы могут обрабатываться в течение коротких периодов, необходимых для безопасности, анализа ошибок и предотвращения злоупотреблений. Обратите внимание: согласно информации OpenAI, API-данные могут обрабатываться OpenAI в журналах мониторинга злоупотреблений в течение ограниченного срока, если специальные настройки хранения не согласованы или не активированы. 16. Обязательность предоставления данных (Art. 13(2)(e) GDPR) Для покупки и предоставления доступа к курсу требуются определённые данные: - без e-mail невозможно отправить подтверждение покупки и информацию для доступа; - без Telegram ID/username (если это требуется для активации) невозможно предоставить доступ в Telegram; - без оплаты невозможно заключить договор через Stripe Checkout (платёжные данные обрабатываются в основном Stripe). Для ИИ-функций: - без текстового запроса ИИ-ответ не может быть создан; - без загрузки изображения анализ на основе изображения или генерация изображения невозможны; - использование ИИ-функций на основе изображений является добровольным; если вы не хотите загружать изображения, эти функции будут недоступны или доступны в ограниченном объёме. 17. Права субъекта данных В соответствии с GDPR вы имеете, в частности, следующие права: - право на доступ (Art. 15 GDPR) - право на исправление (Art. 16 GDPR) - право на удаление (Art. 17 GDPR) - право на ограничение обработки (Art. 18 GDPR) - право на переносимость данных (Art. 20 GDPR) - право на возражение (Art. 21 GDPR) - право отозвать согласие (Art. 7(3) GDPR) на будущее (если применимо) Для реализации прав достаточно написать на: bel.style.berlin@gmail.com 18. Право на жалобу в надзорный орган Вы имеете право подать жалобу в надзорный орган по защите данных. Для Берлина компетентен: Berliner Beauftragte für Datenschutz und Informationsfreiheit Alt-Moabit 59–61, 10555 Berlin E-Mail: mailbox@datenschutz-berlin.de Website: https://www.datenschutz-berlin.de 19. Безопасность данных Мы применяем надлежащие технические и организационные меры для защиты данных. Передача данных между вашим устройством и сайтом шифруется (TLS). 20. Актуальность и изменения Мы можем обновлять настоящую политику при изменении законодательства, сервисов или процессов обработки. Действует версия, опубликованная на сайте.