Краснодар
+7 (929) 841-20-00
Стальфеев

Политика обработки персональных данных

Действует с: {{EFFECTIVE_DATE}} Редакция: 1.0

Шаблон. Перед публикацией заполнить плейсхолдеры {{...}} реальными реквизитами Оператора и согласовать с юристом. Документ ориентирован на требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконных актов Роскомнадзора.

1. Общие положения

1.1. Настоящая Политика определяет порядок обработки и защиты персональных данных физических лиц (далее — «Субъекты», «Вы»), осуществляемой {{OPERATOR_LEGAL_NAME}}, ИНН {{OPERATOR_INN}}, ОГРН(ИП) {{OPERATOR_OGRN}}, юридический адрес: {{OPERATOR_LEGAL_ADDRESS}} (далее — «Оператор», «мы»).

1.2. Политика разработана в соответствии с:

  • Конституцией Российской Федерации;
  • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральным законом от 21.07.2014 № 242-ФЗ (требование о локализации баз данных граждан Российской Федерации на территории РФ);
  • иными нормативными правовыми актами Российской Федерации в сфере персональных данных.

1.3. Политика распространяется на любую информацию, которую Оператор получает о Субъекте при использовании сайта {{SITE_DOMAIN}} (далее — «Сайт»), при оформлении заказа, регистрации аккаунта, обращении в службу поддержки и в иных случаях взаимодействия.

1.4. Действующая редакция Политики постоянно доступна по адресу: {{POLICY_URL}}.

2. Основные понятия

В настоящей Политике используются следующие термины (определения соответствуют ст. 3 Закона № 152-ФЗ):

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
  • Обработка — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
  • Оператор — лицо, организующее и (или) осуществляющее обработку персональных данных.
  • Cookie-файлы — небольшие фрагменты данных, сохраняемые браузером Субъекта при посещении Сайта.

3. Категории субъектов и состав обрабатываемых данных

3.1. Оператор обрабатывает персональные данные следующих категорий Субъектов:

  • покупатели — посетители Сайта, оформляющие заказ как гость или с регистрацией аккаунта;
  • зарегистрированные пользователи личного кабинета;
  • лица, обращающиеся в службу поддержки.

3.2. Состав обрабатываемых персональных данных:

| Категория | Состав | |---|---| | Идентификационные | фамилия, имя, отчество (при указании), адрес электронной почты, номер мобильного телефона | | Учётная запись | пароль (в виде криптографического хэша; в открытом виде не сохраняется) | | Заказы и доставка | состав заказа, адрес доставки (город, улица, дом, индекс), способ доставки, желаемая дата и время, комментарии к заказу | | Платёжные | факт и сумма выставленного счёта; реквизиты банковских карт не обрабатываются и не сохраняются — оплата производится на стороне банка-эквайера | | Технические | IP-адрес, тип и версия браузера, идентификаторы cookie-файлов, страницы Сайта, посещённые Субъектом |

3.3. Оператор не обрабатывает специальные категории персональных данных (раса, национальность, политические взгляды, религиозные убеждения, состояние здоровья и т. п.) и биометрические персональные данные.

4. Цели обработки

4.1. Оператор обрабатывает персональные данные исключительно в следующих целях:

| № | Цель | Состав данных | |---|---|---| | 4.1.1 | Регистрация и идентификация Субъекта в личном кабинете | email, пароль (хэш), имя, телефон | | 4.1.2 | Заключение и исполнение договора розничной купли-продажи: оформление, обработка и доставка заказа | ФИО, контактные данные, адрес доставки, состав заказа | | 4.1.3 | Связь с Субъектом по вопросам заказа (подтверждение, уточнение, уведомления о статусе) | ФИО, email, телефон | | 4.1.4 | Выставление счёта и приём платежа через банк-эквайер | данные заказа; платёжные реквизиты Субъекта Оператору не передаются | | 4.1.5 | Бухгалтерский и налоговый учёт операций | ФИО, состав заказа, сумма | | 4.1.6 | Поддержка пользователей и обработка обращений | контактные данные, текст обращения | | 4.1.7 | Безопасность Сайта, предотвращение мошенничества и сбоев | технические данные, IP-адрес, журналы доступа | | 4.1.8 | Анализ посещаемости Сайта в обезличенном виде (веб-аналитика) | технические данные, идентификаторы cookie |

4.2. Оператор не использует персональные данные для целей, не предусмотренных пунктом 4.1, без получения отдельного согласия Субъекта.

5. Правовые основания обработки

5.1. Правовыми основаниями обработки персональных данных Оператором являются:

  • согласие Субъекта на обработку персональных данных (ст. 6 ч. 1 п. 1 Закона № 152-ФЗ) — даётся при регистрации аккаунта или оформлении заказа путём проставления соответствующей отметки в форме;
  • исполнение договора, стороной которого является Субъект (ст. 6 ч. 1 п. 5 Закона № 152-ФЗ), — для целей оформления и доставки заказа;
  • исполнение возложенных законом обязанностей (ст. 6 ч. 1 п. 2 Закона № 152-ФЗ), в том числе требований налогового и бухгалтерского законодательства;
  • законные интересы Оператора (ст. 6 ч. 1 п. 7 Закона № 152-ФЗ) при условии, что не нарушаются права и законные интересы Субъекта, — для обеспечения безопасности и предотвращения мошенничества.

6. Порядок и способы обработки

6.1. Обработка персональных данных осуществляется смешанным способом — с использованием средств автоматизации (информационные системы Оператора) и без них (на бумажных носителях — только в рамках бухгалтерского учёта).

6.2. Базы данных, содержащие персональные данные граждан Российской Федерации, размещаются на серверах, расположенных на территории Российской Федерации (ст. 18 ч. 5 Закона № 152-ФЗ).

6.3. Сроки обработки и хранения:

| Категория данных | Срок хранения | |---|---| | Учётная запись (профиль личного кабинета) | до момента удаления аккаунта Субъектом или отзыва согласия | | Данные о заказах | 5 лет с даты оформления заказа (соответствие требованиям бухгалтерского и налогового учёта, п. 1 ст. 29 Федерального закона «О бухгалтерском учёте») | | Журналы доступа и технические данные | 12 месяцев | | Cookie-файлы | срок жизни файла, установленный при создании (как правило, до 12 месяцев); удаляются Субъектом самостоятельно через настройки браузера |

6.4. По истечении срока хранения персональные данные подлежат уничтожению или обезличиванию.

7. Передача персональных данных третьим лицам

7.1. Оператор передаёт персональные данные третьим лицам только в объёме, необходимом для достижения целей обработки, и на основании договоров поручения с условием соблюдения конфиденциальности.

7.2. Получателями персональных данных могут быть:

  • транспортные компании и службы доставки (ФИО, телефон, адрес доставки) — для исполнения договора в части доставки заказа;
  • банк-эквайер — для приёма платежа Субъекта (Оператору при этом передаётся только статус платежа);
  • поставщики облачной инфраструктуры на территории Российской Федерации — для размещения информационных систем Оператора;
  • государственные органы — в случаях и в объёме, предусмотренных законодательством Российской Федерации.

7.3. Оператор не продаёт персональные данные и не передаёт их в рекламных или маркетинговых целях третьим лицам без отдельного согласия Субъекта.

8. Трансграничная передача персональных данных

8.1. Оператор не осуществляет трансграничную передачу персональных данных. В случае возникновения такой необходимости Оператор предварительно уведомит уполномоченный орган в порядке, установленном ст. 12 Закона № 152-ФЗ, и получит согласие Субъекта.

9. Меры защиты персональных данных

9.1. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, в том числе:

  • назначение лица, ответственного за организацию обработки персональных данных;
  • утверждение внутренних документов, регламентирующих обработку;
  • ограничение доступа к персональным данным сотрудников Оператора, для которых такой доступ необходим в силу должностных обязанностей;
  • хранение паролей пользователей в виде криптографических хэшей (bcrypt или иной актуальный алгоритм);
  • шифрование канала связи между Сайтом и браузером Субъекта (TLS);
  • журналирование действий с персональными данными;
  • регулярное резервное копирование баз данных;
  • защита периметра серверов средствами межсетевого экранирования.

10. Права Субъекта персональных данных

10.1. Субъект имеет право:

  • получать сведения о факте обработки своих персональных данных Оператором, целях, способах и сроках обработки;
  • требовать уточнения, блокирования или уничтожения своих персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели;
  • отозвать согласие на обработку персональных данных в любой момент;
  • обжаловать действия или бездействие Оператора в Роскомнадзоре или в суде.

10.2. Для реализации своих прав Субъект может направить запрос на адрес электронной почты {{OPERATOR_CONTACT_EMAIL}} либо по почтовому адресу Оператора, указанному в п. 1.1.

10.3. Срок ответа Оператора — не более 30 (тридцати) календарных дней с даты получения запроса (ст. 14, 20 Закона № 152-ФЗ).

10.4. Удалить аккаунт и связанные с ним персональные данные Субъект также может самостоятельно через личный кабинет на Сайте. Сведения о заказах сохраняются в течение установленного п. 6.3 срока в обезличенном виде, необходимом для бухгалтерского учёта.

11. Использование cookie-файлов и веб-аналитики

11.1. На Сайте используются cookie-файлы, необходимые для работы корзины и личного кабинета. Без таких файлов корректная работа Сайта невозможна.

11.2. Дополнительные cookie-файлы аналитических сервисов (при их использовании) устанавливаются только после получения согласия Субъекта через информационный баннер.

11.3. Субъект может в любой момент отключить cookie-файлы в настройках своего браузера. В этом случае часть функций Сайта может стать недоступной.

12. Изменения Политики

12.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения на Сайте по адресу {{POLICY_URL}}, если иное не предусмотрено новой редакцией.

12.2. Существенные изменения, затрагивающие права Субъектов, доводятся до сведения зарегистрированных пользователей по электронной почте не позднее чем за 10 (десять) календарных дней до даты вступления изменений в силу.

13. Реквизиты Оператора

| Поле | Значение | |---|---| | Полное наименование | {{OPERATOR_LEGAL_NAME}} | | ИНН | {{OPERATOR_INN}} | | ОГРН(ИП) | {{OPERATOR_OGRN}} | | Юридический адрес | {{OPERATOR_LEGAL_ADDRESS}} | | Почтовый адрес | {{OPERATOR_POSTAL_ADDRESS}} | | Телефон | {{OPERATOR_PHONE}} | | Адрес электронной почты | {{OPERATOR_CONTACT_EMAIL}} | | Ответственный за обработку ПДн | {{OPERATOR_DPO_NAME}}, {{OPERATOR_DPO_EMAIL}} | | Сайт | {{SITE_DOMAIN}} |

13.1. Уведомление Оператора в Реестре операторов, осуществляющих обработку персональных данных Роскомнадзора: {{ROSKOMNADZOR_REGISTRY_LINK_OR_NUMBER}}.