Политика обработки персональных данных
УТВЕРЖДЕНА
приказом ИП Панферовой
А.Г. от «10» января 2023 г. № 1
I. Общие положения
1. Политика Индивидуального предпринимателя Панферовой Алины Геннадьевны в отношении обработки персональных данных (далее – Политика) разработана с целью реализации требований законодательства Российской Федерации в области персональных данных при их обработке ИП Панферовой А.Г. (далее также – Оператор) и действует в отношении всех персональных данных, которые ИП Панферова А.Г. может получить от субъектов персональных данных.
2. Политика разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), иными нормативными правовыми актами, касающимся обработки персональных данных, а также с учетом Рекомендаций по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом «О персональных данных», опубликованных на официальном сайте Роскомнадзора в информационно-телекоммуникационной сети «Интернет» (https://rkn.gov.ru/personal-data/p908/).
3. В настоящей Политике используются следующие основные термины, определения и сокращения:
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- аккаунт – учётная запись субъекта персональных данных в какой-либо социальной сети, на информационном ресурсе в сети «Интернет». Содержит совокупную информацию о пользователе, а также предоставляет доступ к каким-либо действиям.
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- конфиденциальность персональных данных – обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- оператор – Индивидуальный предприниматель Панферова Алина Геннадьевна, ОГРНИП: 314774602300730, ИНН: 772973942878, почтовый адрес: 170100, г. Тверь, ул. Трехсвятская, д. 33;
- персональные данные – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- сайт – сайты, страницы в социальных сетях в информационно-телекоммуникационной сети «Интернет», мобильные приложения, принадлежащие Оператору, на которых размещается информация о деятельности, осуществляемой Оператором;
- субъект персональных данных – физическое лицо, к которому относятся соответствующие персональные данные;
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- файлы cookie – преимущественно небольшие текстовые файлы, которые хранятся на компьютере, планшете, мобильном телефоне или другом устройстве пользователя в которых хранится информация об их предыдущих действиях на сайте Оператора.
II. Категории субъектов персональных данных и состав обрабатываемых персональных данных
4. Оператором обрабатываются персональные данные следующих категорий субъектов:
а) работников Оператора, бывших работников, кандидатов на замещение вакантных должностей, а также членов семьи работников Оператора;
б) физических лиц, заключивших с Оператором договоры гражданско-правового характера;
в) физических лиц, вступивших в договорные отношения с Оператором в целях приобретения товаров (работ, услуг) в отношении себя лично (потребители/покупатели);
г) пользователей сайта Оператора (далее – пользователь);
д) представителей субъектов, перечисленных в подпунктах а)-в) настоящего пункта.
5. Персональные данные работников Оператора включают в себя:
- фамилию, имя, отчество;
- год, месяц, число и место рождения;
- адрес регистрации;
- гражданство;
- адрес фактического проживания;
- паспортные данные;
- данные об образовании, профессии, специальности, квалификации, опыте работы, стаже, повышении квалификации и (или) профессиональной переподготовке;
- сведения о наличии права на льготы, о государственных и ведомственных наградах;
- сведения о местах работы, продолжительности работы, о переводах и других изменениях трудового договора и причинах прекращения трудовых отношений;
- сведения о лишении права занимать определенные должности или заниматься определенной деятельностью;
- данные о семейном положении;
- данные о членах семьи;
- номер телефона;
- идентификационный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счета;
- данные полиса обязательного медицинского страхования;
- информацию о размере заработной платы;
- сведения о трудовом стаже (общий стаж, страховой стаж, выслуга лет);
- реквизиты банковского счета;
- адрес электронной почты (e-mail);
- данные медицинского характера в случаях, прямо предусмотренных действующим законодательством;
Персональные данные бывших работников Оператора включают в себя:
- фамилию, имя, отчество;
- год, месяц, число и место рождения;
- адрес регистрации;
- гражданство;
- адрес фактического проживания;
- паспортные данные;
- данные об образовании, профессии, специальности, квалификации, опыте работы, стаже, повышении квалификации и (или) профессиональной переподготовке;
- сведения о наличии права на льготы, о государственных и ведомственных наградах;
- сведения о местах работы, продолжительности работы, о переводах и других изменениях трудового договора и причинах прекращения трудовых отношений;
- сведения о лишении права занимать определенные должности или заниматься определенной деятельностью;
- номер телефона;
- идентификационный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счета;
- информацию о размере заработной платы;
- сведения о трудовом стаже (общий стаж, страховой стаж, выслуга лет);
- реквизиты банковского счета;
- адрес электронной почты (e-mail);
Персональные данные кандидатов на замещение вакантных должностей у Оператора включают в себя:
- фамилию, имя, отчество;
- год, месяц, число и место рождения;
- гражданство;
- данные об образовании, профессии, специальности, квалификации, опыте работы, стаже, повышении квалификации и (или) профессиональной переподготовке;
- сведения о местах работы, продолжительности работы, о переводах и других изменениях трудового договора и причинах прекращения трудовых отношений;
- сведения о лишении права занимать определенные должности или заниматься определенной деятельностью;
- данные о семейном положении;
- номер телефона;
Персональные данные членов семьи работников Оператора включают в себя:
- фамилию, имя, отчество;
- год, месяц, число и место рождения;
- вид родственных отношений;
- данные документа, подтверждающего родственные отношения;
6. Персональные данные физических лиц, заключивших с ИП Панферовой А.Г. договоры гражданско-правового характера, включают в себя:
- фамилию, имя, отчество;
- адрес регистрации;
- паспортные данные;
- страховой номер индивидуального лицевого счета;
- идентификационный номер налогоплательщика (ИНН);
- реквизиты банковского счета;
- доходы (выплаты по договорам гражданско-правового характера);
- номер телефона;
- сведения о регистрации в качестве индивидуального предпринимателя;
- сведения о режиме налогообложения;
- адрес электронной почты (e-mail).
7. Персональные данные физических лиц, вступивших в договорные отношения с Оператором в целях приобретения товаров, работ, услуг в отношении себя лично (потребители/покупатели), включают в себя:
- фамилию, имя, отчество;
- год, месяц, число рождения;
- паспортные данные;
- адрес места жительства;
- номер телефона;
- адрес электронной почты (e-mail);
- реквизиты банковского счета;
- номер дисконтной карты.
8. Персональные данные представителей субъектов, перечисленных в подпунктах а)-в) пункта 4 Политики включают в себя:
- фамилию, имя, отчество;
- должность;
- идентификационный номер налогоплательщика (ИНН);
- адрес регистрации;
- данные документа, удостоверяющего личность;
- номер мобильного и рабочего телефона, факса;
- адрес электронной почты (e-mail);
- данные доверенности или иного документа, подтверждающего полномочия.
9. Персональные данные пользователей сайта Оператора включают в себя:
- фамилию, имя, отчество;
- номер телефона;
- адрес электронной почты;
- номер дисконтной карты;
- аккаунт в соцсетях;
- файлы cookie.
10. Персональные данные потенциальных клиентов Оператора, намеренных получить информацию о деятельности Оператора, о товарах (работах, услугах), включают в себя:
- фамилию, имя;
- номер телефона;
- адрес электронной почты (e-mail).
11. Обработка специальных категорий персональных данных осуществляется в случаях, прямо предусмотренных действующим законодательством.
III. Правовые основания обработки персональных данных
12. Правовыми основаниями обработки персональных данных Оператором являются:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации»;
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 (далее – Требования к защите персональных данных);
- Согласие субъекта персональных данных на обработку персональных данных;
- Договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
IV. Цели обработки персональных данных
13. Обработка персональных данных осуществляется Оператором в целях ведения кадрового и бухгалтерского учёта, ведения розничной торговли, в том числе:
а) исполнение требований, предусмотренных Трудовым кодексом Российской Федерации: по оформлению трудовых отношений, выплате работникам Оператора заработной платы, компенсаций, премий, по осуществлению налоговых и пенсионных отчислений, оформлению справок, расчетов с подотчетными лицами, предоставлению работникам отпусков и направлению их в командировки, предоставлению работникам и членам их семей дополнительных гарантий и компенсаций;
б) ведение кадрового делопроизводства и личных дел работников, формирование кадрового резерва;
в) заполнение и передача форм отчетности в случаях, предусмотренных законодательством Российской Федерации;
г) заключение и исполнение договоров, в том числе трудовых;
д) предоставление информации о реализуемых товарах и оказываемых услугах;
е) проведения акций, опросов, маркетинговых, статистических и иных исследовательских мероприятий;
ж) осуществление обратной связи с потребителями, обеспечение реализации прав потребителя;
з) рассылка рекламных и персональных предложений;
и) продвижение товаров, (работ, услуг) на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
к) пользование сервисами Сайта.
V. Принципы обработки персональных данных
14. При обработке персональных данных Оператор руководствуется следующими принципами:
а) обработка персональных данных должна осуществляться на законной и справедливой основе;
б) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
в) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
г) обработке подлежат только те персональные данные, которые отвечают целям их обработки;
д) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
е) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
VI. Права и обязанности субъекта персональных данных и оператора
15. Субъект персональных данных имеет право:
а) на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- применяемые способы обработки персональных данных;
- сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, а также сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- способы исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Сведения, указанные в настоящем подпункте, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос о предоставлении информации об обработке персональных данных составляется в письменном виде и направляется Оператору почтовым отправлением по адресу: ИП Панферова А.Г., 170100, г. Тверь, ул. Трехсвятская, д. 33;
б) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Заявление на уточнение персональных данных, на блокирование персональных данных и на прекращение обработки и уничтожение персональных данных составляется в письменном виде и направляется Оператору почтовым отправлением по адресу: ИП Панферова А.Г., 170100, г. Тверь, ул. Трехсвятская, д. 33;
в) обратиться к Оператору с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения.
Требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешенных субъектом персональных данных для распространения, составляется в письменном виде и направляется Оператору почтовым отправлением по адресу ИП Панферова А.Г., 170100, г. Тверь, ул. Трехсвятская, д. 33;
г) обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
д) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
16. Сведения, указанные в подпункте «а» пункта 15 Политики, предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Оператор предоставляет сведения, указанные в подпункте «а» пункта 15 Политики, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
17. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
а) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
б) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
в) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
г) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
д) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
18. Обязанности субъекта персональных данных:
а) сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами Оператора в объеме, необходимом для цели обработки;
б) сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных в случаях, предусмотренных законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных.
19. Права Оператора:
а) получать документы, содержащие персональные данные;
б) предоставлять персональные данные субъектов третьим лицам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.);
в) отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;
г) использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации.
20. Обязанности Оператора:
а) сообщать в порядке, предусмотренном статьей 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя;
б) предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;
в) вносить необходимые изменения в персональные данные в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными;
г) осуществлять уничтожение персональных данных в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
д) уведомлять субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимать разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
е) сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса;
ж) немедленно прекращать по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
з) разъяснять субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставлять возможность заявить возражение против такого решения, а также разъяснять порядок защиты субъектом персональных данных своих прав и законных интересов;
и) рассматривать возражения субъекта персональных данных против решения, принятого оператором на основании исключительно автоматизированной обработки его персональных данных, в течение тридцати дней со дня его получения и уведомлять субъекта персональных данных о результатах рассмотрения такого возражения;
к) предоставлять при сборе персональных данных субъекту персональных данных по его просьбе информацию, предусмотренную подпунктом «а» пункта 15 Политики;
л) разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законодательством предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными;
м) осуществлять блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивать их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных;
н) осуществлять блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивать их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных;
о) уточнять персональные данные либо обеспечивать их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов в течение семи рабочих дней со дня представления таких сведений и снимать блокирование персональных данных;
п) прекращать неправомерную обработку персональных данных в срок, не превышающий трех рабочих дней с даты выявления неправомерной обработки персональных данных, или обеспечивать прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
р) прекращать обработку персональных данных в случае достижения цели обработки персональных данных или обеспечивать ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и осуществлять уничтожение персональных данных или обеспечивать их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами;
с) прекращать обработку персональных данных в случае отзыва субъектом персональных данных согласия на обработку его персональных данных или обеспечивать прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора), и в случае если сохранение персональных данных более не требуется для целей обработки персональных данных, осуществлять уничтожение персональных данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами;
т) прекращать обработку персональных данных или обеспечивать прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных) в срок, не превышающий десяти рабочих дней с даты обращения субъекта персональных данных с требованием о прекращении обработки персональных данных, за исключением случаев, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
у) прекратить передачу (распространение, предоставление, доступ) персональных данных, ранее разрешенных субъектом персональных данных для распространения, в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу;
ф) уведомлять уполномоченный орган по защите прав субъектов персональных данных об установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных:
в течение двадцати четырех часов с момента выявления такого инцидента - о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставлять сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
в течение семидесяти двух часов с момента выявления такого инцидента - о результатах внутреннего расследования выявленного инцидента, а также предоставлять сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии);
х) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
ц) принимать иные меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
21. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в подпунктах «г», «п», «р» и «с» пункта 20 Политики, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
22. Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», а также Требований к защите персональных данных подлежит компенсации в соответствии с законодательством Российской Федерации. Компенсация морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
VII. Порядок и условия обработки персональных данных
23. Обработка персональных данных Оператором осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обеспечивает субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
Обработка биометрических персональных данных может осуществляться только при наличии согласия на обработку субъекта персональных данных в письменной форме, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона «О персональных данных».
24. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии работника Оператора без использования средств вычислительной техники.
25. К обработке персональных данных допускаются только те работники Оператора, в должностные обязанности которых входит обработка персональных данных.
Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
26. Обработка персональных данных Оператором включает в себя следующие действия:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уничтожение;
- обезличивание;
- передачу;
- уточнение (обновление, изменение);
- использование;
- блокирование;
- удаление.
Хранение персональных данных
27. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
28. Сроки хранения персональных данных определяется в соответствии с законодательством Российской Федерации.
29. Документы на бумажном носителе, содержащие персональные данные, хранятся в специальных помещениях и в отдельных закрывающихся на ключ шкафах.
30. Хранение персональных данных в информационных системах персональных данных обеспечивается работниками Оператора, ответственными за администрирование соответствующих информационных систем персональных данных.
Уничтожение персональных данных
31. Уничтожение персональных данных при достижении целей их обработки либо в случае утраты необходимости в достижении этих целей инициирует Оператор либо руководитель структурного подразделения Оператора, в котором эти персональные данные обрабатываются.
Уничтожение персональных данных при отзыве субъектом персональных данных согласия на обработку своих персональных данных инициируется ответственным за организацию обработки персональных данных работником Оператора.
Уничтожение персональных данных должно исключать возможность их восстановления программными или физическими методами.
Уничтожение персональных данных на бумажном носителе производится путем измельчения или сжигания или преобразования в целлюлозную массу указанного бумажного носителя таким образом, чтобы гарантировать невозможность их восстановления.
Для уничтожения (стирания) персональных данных на машинных носителях информации применяются сертифицированные программные средства и механизмы средств защиты информации информационной системы персональных данных, обеспечивающие невозможность восстановления и повторного использования персональных данных.
Факт уничтожения персональных данных оформляется актом за подписями членов комиссии, созданной в соответствии с приказом Оператора.
Обезличивание персональных данных
32. Обезличивание персональных данных может быть проведено в статистических целях по решению Оператора.
При этом могут быть использованы следующие методы обезличивания:
- метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
- метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
- метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
- метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
- Идентификации Пользователя, зарегистрированного на Сайте и в мобильном приложении.
- Предоставления Пользователю доступа к персонализированным ресурсам Сайта.
- Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработку запросов и заявок от Пользователя.
- Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества.
- Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем.
- Создания учетной записи, если Пользователь дал согласие на создание учетной записи.
- Предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта.
- Осуществления рекламной деятельности с согласия Пользователя.
- IP-адрес, тип браузера и устройства, с которого выполняется вход на сайт;
- операционная система и данные об операторе, оказывающим услуги по предоставлению доступа к информационно-телекоммуникационной сети «Интернет»;
- информация о территории, на которой выполняется вход на сайт;
- дата и время посещения сайта, а также возможное количество совершенных пользователем «кликов» компьютерной мышью.
Передача персональных данных третьим лицам
33. Передача персональных данных третьим лицам допускается с письменного согласия субъектов персональных данных и на основании договора, заключенного Оператором с третьими лицами, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
Таким договором должен быть определен перечень персональных данных, передаваемых Оператором третьему лицу, а также цели такой передачи.
34. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».
В поручении на обработку персональных данных должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона «О персональных данных», обязанность по запросу Оператора в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии со статьей 6 Федерального закона «О персональных данных», обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О персональных данных».
Поручение на обработку персональных данных может быть установлено условиями договора, заключенного Оператором с третьим лицом.
35. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу – Оператором не осуществляется.
Обработка персональных данных на сайте в сети Интернет
36. Сайт Оператора собирает и хранит только ту персональную информацию, которая необходима для предоставления сервисов или исполнения соглашений и договоров с Пользователем, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной информации в течение определенного законом срока.
Персональную информацию Пользователя Сайт обрабатывает в следующих целях:
37. Оператор осуществляет обработку файлов cookie сайта Оператора для достижения следующих целей:
а) для сохранения информации о пользователе на время использования сайта;
б) для идентификации пользователя (распознавание браузера и/или устройства каждый раз, когда осуществляется вход на сайт, сохранение настроек экрана и браузера, сохранение логина и пароля пользователей для входа на сайт);
в) для работы отдельных разделов и (или) страниц сайта (где использование файлов cookie является необходимым);
г) для повышения качества обслуживания и обеспечения максимального удобства и комфорта пользователей при использовании сайта.
38. Оператор не использует файлы cookie Сайта для идентификации пользователей, а исключительно для определения способов использования сайта пользователями.
Через файлы cookie Оператор может собирать следующую информацию о пользователях:
39. Пользователям могут направляться всплывающие уведомления о сборе и обработке данных файлов cookie с кнопкой подтверждения принятия условий обработки либо закрытия всплывающего уведомления.
Каждый пользователь имеет возможность в любой момент отключить работу файлов cookie на устройстве, с которого совершается вход на сайт, и (или) удалить уже загруженные ранее файлы cookie путем изменения настроек своего браузера.
Использование сервисов Сайта означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональных данных; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сайтом.
40. Полный текст настоящей Политики размещается на сайте Оператора для общего доступа и ознакомления.
Настоящая Политика применяется только к Сайту https://parfum-tver.ru/, страницам магазина «Парфюм» в социальных сетях, к мобильному приложению магазина «Парфюм», и не контролирует и не несет ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте https://parfum-tver.ru/. С политикой обработки персональных данных таких сторонних сайтов и ресурсов Пользователи знакомятся самостоятельно.
41. Оператор использует программное средство «Яндекс метрика» для сбора информации о посещении сайта, действиях посетителей сайта, отслеживания источников трафика и оценки эффективности рекламы.
Политика конфиденциальности компании «Яндекс» размещена в сети Интернет по адресу: https://yandex.ru/legal/confidential/.
VIII. Обработка запросов субъектов персональных данных
42. Оператор обязан по запросу субъекта персональных данных (его представителя) сообщить информацию, касающуюся обработки его персональных данных, указанную в части 7 статьи 14 Федерального закона «О персональных данных».
43. Письменный запрос следует направлять по адресу: ИП Панферова А.Г., 170100, г. Тверь, ул. Трехсвятская, д. 33.
44. Запрос составляется в свободной форме и должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.
Оператор предоставляет сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
45. Сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
46. Ответы на запросы третьих лиц (в том числе, юридических лиц) в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке организации и в том объеме, который позволяет не разглашать излишний объем персональных данных субъекта персональных данных.
IX. Обеспечение безопасности персональных данных
47. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
48. Обеспечение безопасности персональных данных достигается оператором путем:
а) принятия локальных нормативных актов по вопросам обработки и защиты персональных данных;
б) утверждения списков должностей и категорий работников, имеющих доступ к персональным данным, и уполномоченных на обработку персональных данных работников Оператора;
в) назначения лица/лиц, ответственных за организацию обработки персональных данных и за обеспечение безопасности персональных данных;
г) определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
д) применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, выполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
е) применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
ж) оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
з) обнаружения фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
и) восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
к) ведения учета машинных носителей персональных данных;
л) установления правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
м) осуществления периодической смены паролей учетных записей работников, имеющих доступ к информационной системе персональных данных;
н) обеспечения наличия межсетевых экранов для защиты информационной системы персональных данных от неправомерных воздействий со стороны информационно-телекоммуникационной сети «Интернет»;
о) осуществления разделения полномочий пользователей в информационной системе персональных данных в зависимости от их должностных обязанностей;
п) организации наличия формализованной процедуры по предоставлению доступа к персональным данным, подразумевающей предварительное получение соответствующей авторизации;
р) обеспечения наличия формализованной процедуры по регулярному пересмотру (ревизии) прав доступа работников Оператора к персональным данным в зависимости от их должностных обязанностей;
с) организации регулярного резервного копирования данных информационной системы персональных данных;
т) организации наличия отказоустойчивых элементов на серверах, на которых ведется обработка персональных данных;
у) контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
СОГЛАСИЕ на обработку персональных данных пользователя сайта
Настоящим я, пользователь Сайта https://parfum-tver.ru/ действуя свободно, своей волей и в своем интересе в соответствии с частью 4 статьи 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ даю согласие на обработку моих персональных данных, а именно: на действия, совершаемые с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение моих персональных данных, оператору персональных данных - индивидуальному предпринимателю Панферовой Алине Геннадьевне, ИНН 772973942878, ОГРНИП 314774602300730 (далее – оператор).
Цель обработки персональных данных: пользование сервисами Сайта, приобретение товаров (работ, услуг) Оператора, получение рекламных и информационных рассылок и сообщений, персональных предложений, продвижение Оператором своих товаров (работ, услуг) на рынке путем осуществления прямых контактов со мной с помощью средств связи.
Перечень моих персональных данных, на обработку которых даю согласие: фамилия, имя, отчество, дата рождения, номер телефона, адрес электронной почты, номер дисконтной карты.
Мне известно, что я вправе в любой момент в одностороннем порядке отозвать свое согласие на обработку персональных данных посредством составления письменного уведомления, которое может быть направлено в адрес оператора персональных данных почтовым отправлением с уведомлением о вручении, либо вручен лично под расписку представителю оператора.
Мне разъяснено, что с момента получения уведомления об отзыве согласия на обработку персональных данных, оператор обязан прекратить обработку персональных данных и (или) уничтожить персональные данные в сроки, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Настоящее согласие действует со дня его выдачи путем проставления знака согласия в чек-боксе до дня отзыва в письменной форме.