Политика в отношении обработки персональных данных Индивидуального предпринимателя Родиной Марии Михайловны (утверждена в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации)
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными нормативными правовыми актами Российской Федерации в области защиты персональных данных и определяет основные принципы, цели, условия и способы обработки персональных данных, перечень субъектов, чьи данные обрабатываются, функции и обязанности Оператора, а также права субъектов персональных данных.
1.2. Политика является общедоступным документом, регламентирующим деятельность Индивидуального предпринимателя Родиной Марии Михайловны (далее — Оператор) в качестве оператора персональных данных. Политика подлежит размещению в свободном доступе в информационно-телекоммуникационной сети Интернет по постоянному адресу: https://m408.ru/policy (далее — Страница Политики). Оператор также обеспечивает возможность ознакомления с Политикой неограниченного круга лиц по первому требованию заинтересованных лиц и уполномоченных органов, в том числе путём размещения печатного экземпляра в доступном для посетителей месте по адресу местонахождения офиса (интернет-магазина).
1.3. Основные понятия, используемые в настоящей Политике:
персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор — Индивидуальный предприниматель Родина Мария Михайловна, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки, состав подлежащих обработке персональных данных и действия (операции), совершаемые с ними;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
субъект персональных данных — физическое лицо (клиент, покупатель, посетитель сайта), к которому относятся обрабатываемые Оператором персональные данные;
файлы cookie — небольшие текстовые файлы, сохраняемые на устройстве пользователя при посещении Сайта, используемые для обеспечения функционирования Сайта, сбора аналитической и статистической информации;
информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4. Сведения об Операторе:
Фамилия, имя, отчество: Родина Мария Михайловна
Статус: Индивидуальный предприниматель
ИНН: 344108064716
ОГРНИП: 325344300063350
Адрес местонахождения: указывается на Сайте и в уголке потребителя
Контактный телефон, e-mail: info@m408.ru
Сайт: https://m408.ru/
1.5. Настоящая Политика утверждается Оператором в форме соответствующего организационно-распорядительного документа и может пересматриваться по мере изменения законодательства Российской Федерации в области персональных данных, а также при изменении внутренних процессов Оператора. Новая редакция Политики вступает в силу с момента её опубликования на Сайте, если иное не предусмотрено самой редакцией.
1.6. Настоящая Политика не применяется к сайтам и сервисам третьих лиц, ссылки на которые могут быть размещены на Сайте Оператора. Оператор не несёт ответственности за действия третьих лиц, получивших доступ к персональным данным пользователя через указанные ресурсы.
2. Правовые основания и принципы обработки персональных данных
2.1. Правовыми основаниями обработки персональных данных Оператором являются:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• согласие субъекта персональных данных на обработку его персональных данных, выраженное путём проставления отметки в соответствующем чекбоксе на Сайте и последующего нажатия кнопки отправки формы (конклюдентное действие), а для файлов cookie и данных веб-аналитики — путём нажатия кнопки «Принять» на информационном баннере;
• договоры, заключаемые между Оператором и субъектом персональных данных (договор купли-продажи товаров дистанционным способом);
• требования законодательства Российской Федерации (в случаях, когда обработка обязательна).
2.2. Обработка персональных данных осуществляется на основе следующих принципов:
• законность целей и способов обработки, добросовестность и справедливость;
• ограничение обработки достижением конкретных, заранее определенных и законных целей; недопустимость обработки, несовместимой с целями сбора;
• недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• соответствие объёма и содержания обрабатываемых персональных данных заявленным целям обработки; недопущение избыточности данных;
• обеспечение точности, достаточности, а при необходимости — актуальности по отношению к целям обработки; принятие мер по удалению или уточнению неполных или неточных данных;
• хранение персональных данных в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом;
• уничтожение либо обезличивание персональных данных по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством.
3. Категории субъектов, чьи данные обрабатываются, и состав обрабатываемых данных
3.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
посетители Сайта — физические лица, заполняющие формы обратной связи или оформления заказа на Сайте, а также просто посещающие Сайт (в части технических данных);
клиенты (покупатели) — физические лица, которые оформляют и/или получают заказы в интернет-магазине женской одежды M408;
подписчики — лица, добровольно подписавшиеся на получение информационных и рекламных рассылок Оператора (при наличии такой возможности).
3.2. Для каждой категории субъектов Оператор обрабатывает исключительно следующий состав персональных данных, которые являются минимально необходимыми и предоставляются добровольно:
• фамилия, имя, отчество (при указании);
• номер телефона;
• адрес электронной почты;
• адрес доставки (для оформления заказа и передачи в службу доставки).
Все поля, обязательные для заполнения, помечены на Сайте. Отказ от предоставления обязательных сведений влечёт невозможность обработки заявки, оформления заказа и осуществления доставки.
3.3. Технические данные, собираемые автоматически при посещении Сайта:
Помимо данных, добровольно предоставленных пользователем, Оператор автоматически получает и обрабатывает следующие технические данные (метаданные), передаваемые браузером или устройством пользователя:
• файлы cookie (строго необходимые, функциональные, аналитические, маркетинговые);
• IP-адрес пользователя;
• тип и версия браузера, операционная система устройства;
• дата и время посещения, продолжительность сеанса;
• адрес ранее посещённой страницы (referrer);
• обезличенные данные, собираемые сервисами веб-аналитики (например, Яндекс.Метрика и/или аналоги), в том числе информация о просмотренных страницах, кликах, источниках переходов.
3.4. Сбор и обработка технических данных осуществляются в целях, указанных в разделе 4.2, и в соответствии с разделом 12 («Использование файлов cookie и веб-аналитики»). Обработка аналитических, функциональных и маркетинговых cookie начинается только после получения согласия пользователя через cookie-баннер.
4. Цели обработки персональных данных
4.1. Обработка персональных данных, добровольно предоставленных пользователем, осуществляется для следующих законных целей:
• оформление и выполнение заказов: приём и обработка заказов на приобретение товаров (изделий легкой промышленности, женской одежды), представленных в каталоге интернет-магазина; связь с покупателем для подтверждения заказа, уточнения деталей; передача данных в службы доставки для исполнения договора купли-продажи; передача данных платежным сервисам для проведения оплаты; ведение клиентской базы для учёта предпочтений и повышения качества обслуживания;
• заключение и исполнение договоров: оформление отношений с покупателем, приём оплаты, выдача кассовых чеков, доставка товаров;
• продвижение товаров и информирование: направление клиентам информации об акциях, специальных предложениях, новых поступлениях, изменении условий работы и других событиях (только при наличии отдельного согласия субъекта, выраженного в соответствующем чекбоксе на форме или при личном общении);
• улучшение качества обслуживания: анализ обезличенных данных о посещаемости Сайта и поведении пользователей для оптимизации структуры Сайта, навигации и маркетинга;
• исполнение требований законодательства: предоставление информации уполномоченным государственным органам в установленном порядке.
4.2. Цели обработки технических данных (cookie и веб-аналитики):
• обеспечение стабильной и безопасной работы Сайта, корректного отображения страниц, запоминание технических настроек (строго необходимые cookie);
• сбор сводной обезличенной статистики посещаемости и использования Сайта, анализ поведения пользователей для улучшения структуры и содержания Сайта (аналитические cookie, сервисы веб-аналитики);
• оценка эффективности рекламных кампаний (маркетинговые cookie, сервисы веб-аналитики).
• Обработка данных в аналитических и маркетинговых целях осуществляется исключительно при наличии явного согласия пользователя, предоставленного через всплывающий баннер при первом посещении Сайта.
4.3. Обработка персональных данных в целях, не предусмотренных настоящей Политикой, не допускается.
5. Порядок и условия получения персональных данных
5.1. Сбор персональных данных, добровольно предоставляемых пользователем, осуществляется:
• через форму оформления заказа/заявки на Сайте: пользователь самостоятельно заполняет поля «ФИО», «Номер телефона», «Адрес электронной почты», «Адрес доставки» (если применимо), проставляет отметку в чекбоксе «Я даю согласие на обработку персональных данных» и нажимает кнопку отправки;
• при личном обращении (по телефону, через мессенджеры) — после предварительного ознакомления с Политикой и предоставления согласия в установленной форме.
5.2. Автоматический сбор технических данных:
При первом посещении Сайта пользователь видит информационный баннер, кратко информирующий об использовании файлов cookie и сервисов веб-аналитики, а также содержащий активную ссылку на настоящую Политику. Пользователь может:
«Принять все» — дать согласие на все категории cookie и передачу данных в сервисы аналитики;
«Настроить» — выборочно разрешить или запретить отдельные типы cookie;
«Отклонить» — отказаться от всех необязательных cookie; в этом случае будут загружены только строго необходимые технические cookie.
До момента получения явного согласия аналитические, функциональные и маркетинговые cookie не загружаются. Изменить настройки или отозвать согласие можно в любой момент через панель управления cookie (ссылка «Настройки cookie» в подвале Сайта) или путём изменения настроек браузера.
5.3. Факт проставления пользователем отметки в чекбоксе «Я даю согласие на обработку персональных данных» и последующей отправки заполненной формы является конклюдентным действием, выражающим волю пользователя и согласие с условиями настоящей Политики в полном объёме. Данное действие приравнивается к собственноручной подписи и порождает юридические последствия, предусмотренные законодательством.
5.4. Перед получением согласия Оператор обеспечивает пользователю возможность беспрепятственного ознакомления с текстом настоящей Политики путём размещения гиперссылки на Страницу Политики в непосредственной близости от формы сбора данных и в cookie-баннере.
6. Действия с персональными данными, способы обработки и обеспечение безопасности
6.1. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных. К автоматизированной относится ввод, хранение и обработка заявок с использованием внутренних информационных систем (CRM-системы, онлайн-запись, серверы электронной почты), размещённых на территории Российской Федерации. К неавтоматизированной — обработка бумажных карточек клиентов, договоров (при наличии).
6.2. Перечень совершаемых действий с персональными данными включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление доступа), обезличивание, блокирование, удаление и уничтожение.
6.3. Хранение данных:
• персональные данные хранятся в форме, позволяющей идентифицировать субъекта, не дольше, чем этого требуют цели обработки;
• персональные данные клиентов и обратившихся хранятся в течение 5 (пяти) лет с момента последнего взаимодействия (общий срок исковой давности), если иной срок не предусмотрен договором;
• данные, обрабатываемые для информационных и рекламных рассылок, хранятся до отзыва согласия субъектом;
• технические данные и файлы cookie хранятся в соответствии с политиками сервисов аналитики, но не более 12 месяцев;
• по истечении установленных сроков или по достижении целей обработки персональные данные уничтожаются или обезличиваются в течение 30 (тридцати) календарных дней, если иное не предусмотрено законом.
6.4. Меры по обеспечению безопасности персональных данных:
• назначение лица, ответственного за организацию обработки ПДн (соответствующий приказ Оператора);
• применение правовых, организационных и технических мер, включая: ограничение круга лиц, допущенных к персональным данным, и подписание ими обязательств о неразглашении;
• использование уникальных учётных записей и сложных паролей для доступа к информационным системам;
• передачу данных через формы Сайта с использованием защищённого протокола HTTPS;
• регулярное обновление программного обеспечения, операционных систем и антивирусных баз;
• резервное копирование данных для предотвращения потерь;
• хранение бумажных носителей в запираемых шкафах, исключающих свободный доступ посторонних;
• проведение внутреннего аудита соответствия обработки ПДн требованиям законодательства.
6.5. Оператор не принимает решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права, на основании исключительно автоматизированной обработки персональных данных.
7. Локализация баз данных
7.1. В соответствии с требованием части 5 статьи 18 Федерального закона № 152-ФЗ Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, физически расположенных на территории Российской Федерации.
7.2. Оператор использует CRM-системы, сервисы онлайн-записи, облачные хранилища и иные программные продукты только при условии, что их серверные мощности размещены на территории Российской Федерации либо соответствующие поставщики услуг гарантируют выполнение требования о локализации. Соответствующие условия фиксируются в договорах с контрагентами-поставщиками информационных услуг.
7.3. Трансграничная передача персональных данных на территорию иностранных государств не осуществляется.
8. Предоставление доступа к персональным данным и передача третьим лицам
8.1. Оператор вправе передавать персональные данные третьим лицам исключительно в следующих случаях:
• пользователь явным образом выразил согласие на такие действия;
• передача предусмотрена законодательством Российской Федерации (по мотивированному запросу уполномоченных государственных органов в установленном порядке);
• передача необходима для исполнения договора, стороной которого является пользователь, а именно:
• курьерским службам и службам доставки (например, ООО «СДЭК») для осуществления доставки заказов; при этом передаются минимально необходимые данные: фамилия, имя, отчество (при указании), адрес доставки, контактный телефон;
• платежным сервисам для обработки платежей; передаются данные, необходимые для проведения транзакции (сумма, описание заказа, а также идентификаторы, предусмотренные правилами платёжных систем).
8.3. Передача данных в маркетинговых и иных коммерческих целях без согласия субъекта запрещена.
9. Права и обязанности субъектов персональных данных
9.1. Субъект персональных данных имеет право:
• на получение сведений, касающихся обработки его персональных данных Оператором, в том числе: подтверждение факта обработки, правовые основания, цели, применяемые способы, сведения о лицах, имеющих доступ;
• на уточнение, блокирование или уничтожение своих персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• на отзыв согласия на обработку персональных данных в любой момент, что не затрагивает законность обработки, произведённой до момента отзыва;
• на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) либо в судебном порядке;
• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.
9.2. Для реализации своих прав субъект направляет Оператору письменный запрос в свободной форме одним из следующих способов:
• на адрес электронной почты, указанный на Сайте (info@m408.ru);
• почтовым отправлением по адресу местонахождения интернет-магазина (уточняется на Сайте).
• Запрос должен содержать ФИО, контактные данные, суть требования и личную подпись (для электронного запроса — скан или фото подписанного заявления). Оператор обязан ответить в срок, не превышающий 10 (десяти) рабочих дней с даты получения запроса (или 30 дней в случаях, предусмотренных Законом).
10. Обязанности Оператора
10.1. Оператор обязуется:
• осуществлять обработку персональных данных строго в соответствии с законодательством РФ и настоящей Политикой;
• не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено законом;
• принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий;
• осуществлять внутренний контроль и аудит соответствия обработки персональных данных установленным требованиям;
• уведомить уполномоченный орган (Роскомнадзор) о начале обработки персональных данных в установленном законом порядке;
• в случае выявления неправомерной обработки ПДн в срок, не превышающий трёх рабочих дней, прекратить такую обработку или обеспечить её прекращение; если правомерность обеспечить невозможно — уничтожить данные в течение десяти рабочих дней;
• в случае достижения цели обработки прекратить обработку и уничтожить данные в течение тридцати дней, если иное не предусмотрено договором или законом;
• в случае отзыва субъектом согласия прекратить обработку и уничтожить данные в установленный срок;
• при возникновении инцидентов, связанных с утечкой персональных данных, незамедлительно принять меры по их устранению и уведомить Роскомнадзор и субъектов ПДн в установленном порядке;
• ознакомить с настоящей Политикой всех лиц, участвующих в процессе обработки.
11. Порядок уничтожения персональных данных
11.1. Уничтожение производится по достижении целей, истечении срока хранения, требованию субъекта или в иных законных случаях.
11.2. Способы уничтожения:
для бумажных носителей — измельчение шредером с составлением акта об уничтожении;
для электронных носителей — гарантированное удаление встроенными средствами операционной системы с составлением акта; при невозможности — физическое уничтожение носителя.
11.3. После процедуры полностью исключается возможность восстановления данных.
12. Использование файлов cookie и веб-аналитики
12.1. Сайт https://m408.ru/ использует файлы cookie и инструменты веб-аналитики (например, Яндекс.Метрика или аналогичные) для сбора обезличенных данных о поведении посетителей.
12.2. Типы используемых cookie:
Строго необходимые (технические) — обеспечивают работу Сайта: навигацию, доступ к защищённым разделам, запоминание заполненных форм. Без них Сайт не может функционировать корректно. Согласие не требуется.
Функциональные — запоминают выбор пользователя (язык, регион) и улучшают персонализацию. Требуется согласие.
Аналитические (статистические) — собирают обезличенную информацию о том, как посетители используют Сайт (просмотренные страницы, длительность сессий, источники переходов). Помогают Оператору анализировать трафик и улучшать Сайт. Требуется согласие.
Маркетинговые — используются для отслеживания эффективности рекламных кампаний и показа персонализированных рекламных объявлений. Требуется согласие.
12.3. Согласие на использование cookie.
При первом посещении Сайта отображается информационный баннер с кратким описанием целей использования cookie, активной ссылкой на настоящую Политику и кнопками «Принять все», «Настроить» и «Отклонить». До момента явного принятия (нажатия «Принять все» или «Настроить») устанавливаются только строго необходимые технические cookie. Пользователь вправе в любое время изменить свой выбор через панель управления настройками cookie (ссылка в нижней части Сайта) либо через настройки браузера.
12.4. Данные, передаваемые сервисам веб-аналитики.
При предоставлении пользователем согласия (через баннер) Оператор может передавать обезличенные данные (IP-адрес, информацию о браузере, просмотренных страницах, источнике перехода) сервисам веб-аналитики (Яндекс.Метрика и т.д.). Эти данные не позволяют идентифицировать конкретного человека и используются исключительно для статистических целей. Обработка данных сервисами аналитики осуществляется в соответствии с их собственными политиками конфиденциальности. Оператор не передаёт сервисам аналитики персональные данные, полученные из форм заявок.
12.5. Сроки хранения cookie:
строго необходимые — в течение сессии или до закрытия браузера;
функциональные — до 12 месяцев;
аналитические и маркетинговые — до 12 месяцев или иной срок, определяемый сервисами аналитики, если пользователь не отозвал согласие раньше.
12.6. Пользователь может в любой момент удалить сохранённые cookie-файлы и запретить их использование в настройках своего браузера. Это может повлиять на работоспособность некоторых функций Сайта.
13. Уведомление Роскомнадзора
13.1. Оператор обязан подать уведомление об обработке персональных данных в территориальный орган Роскомнадзора до начала фактической обработки, за исключением случаев, предусмотренных ч. 2 ст. 22 Федерального закона № 152-ФЗ.
13.2. Уведомление направляется через Единый портал государственных и муниципальных услуг или через официальный сайт Роскомнадзора и должно содержать сведения, перечисленные в ч. 3 ст. 22 Закона.
14. Заключительные положения
14.1. Настоящая Политика вступает в силу с момента её утверждения Оператором и действует бессрочно до замены новой версией. Актуальная редакция размещена на Сайте по адресу https://m408.ru/policy.
14.2. Оператор оставляет за собой право вносить изменения в Политику в одностороннем порядке. Изменения могут быть связаны с изменением законодательства, целей или состава обработки, технической инфраструктуры. Новая редакция вступает в силу с момента опубликования на Сайте.
14.3. Признание отдельных положений Политики недействительными не затрагивает действительность остальных положений.
14.4. Все неурегулированные вопросы разрешаются в соответствии с законодательством Российской Федерации.
Реквизиты Оператора:
ИП Родина Мария Михайловна
ИНН 344108064716
ОГРНИП 325344300063350
Сайт: https://m408.ru/