Политика в отношении обработки персональных данных

Настоящая политика определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности Индивидуальным предпринимателем Рогожкиной Лилией Владимировной (ИНН 540118159281, ОГРНИП 324547600039965, РФ, 630091, г. Новосибирск, ТЦ «Москва», ул. Крылова, 26, этаж 4) (далее – Оператор).

Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований российского законодательства Российской Федерации в области персональных данных (далее – законодательство).

Настоящая политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.

1. Цели обработки персональных данных:

• оформление и исполнение заказа (включая доставку и оплату);
• связь со субъектом персональных данных по вопросам, связанным с заказом;
• выполнение обязанностей по заключённому договору;
• возврат денежных средств, уплаченных за возвращенный товар;
• предоставление субъекту персональных данных справочной информации;
• направление субъекту персональных данных рекламно-информационных материалов;
• информирование субъекта персональных данных об условиях сервисов, о стадии исполнения заказов, этапах оказания услуг;
• получение обратной связи в отношении товаров и услуг;
• улучшение качества обслуживания покупателей;
• изучение и анализ рынка;
• изучение потребностей покупателей, в том числе персональный профайлинг;
• проведение маркетинговых и иных исследований;
• авторизации и предоставления доступа к персональному аккаунту на сайте Оператора https://filaticlub.ru/ (далее – Сайт), используемом для заказа товаров;
• регистрация в системе учета и управления торговлей Оператора;
• регистрация и предоставление субъекту персональных данных привилегий в рамках программы лояльности Оператора.

2. Перечень обрабатываемых персональных данных:

• фамилия, имя, отчество;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства;
• адрес доставки;
• контактные данные (номер телефона и/или адрес электронной почты);
• банковские реквизиты (реквизиты банковского счета и (или) банковская карта);
• пользовательские данные (IP-адрес, файлы cookie, информация об аппаратном и программном обеспечении, геолокация);
• иные данные, необходимые для исполнения заказа.

3. Условия обработки.

• Персональные данные обрабатываются исключительно в рамках указанных целей.
• Оператор не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (за исключением сведений, необходимых исполнения обязанностей Оператора и оказания мер поддержки субъекту персональных данных в случаях и в целях, определенных законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством, законодательством об обязательных видах страхования, иным страховым законодательством), интимной жизни, о членстве субъекта персональных данных в общественных объединениях или их профсоюзной деятельности, за исключением случаев, прямо предусмотренных законодательством.
• Действия с персональными данными включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, доступ уполномоченного персонала Оператора, передачу (предоставление) иным лицам в случаях, предусмотренных законодательством Российской Федерации и/или необходимых для достижения вышеуказанных целей, блокирование, удаление, уничтожение персональных данных.
• Предусматривается смешанная обработка персональных данных – как без использования средств автоматизации, так и автоматизированная обработка с передачей полученной информации с использованием информационно-телекоммуникационной сети Интернет.
• После исполнения обязательств (передача товара и получение оплаты), Оператор прекращает обработку и производит удаление персональных данных, если иное не требуется в силу закона (например, для бухгалтерского и налогового учёта) и (или) соглашением с Оператором.
• Данные не передаются третьим лицам, за исключением случаев, когда это необходимо для выполнения обязательств по заключенному с субъектом персональных данных договору или в иных случаях, предусмотренных действующим законодательством Российской Федерации.

4. Права субъекта персональных данных:

• право на получение сведений о своих персональных данных;
• право требовать уточнения, блокировки или уничтожения персональных данных;
• право отозвать настоящее Согласие на обработку персональных данных, подав Оператору заявление в произвольной форме или отправив его почтой по адресу: РФ, 630091, г. Новосибирск, ТЦ «Москва», ул. Крылова, 26, этаж 4;
• право на обжалование неправомерных действий Оператора в Роскомнадзор или в судебном порядке;
• другие права, предоставленные действующим законодательством.

5. Согласие субъекта персональных данных на обработку своих персональных данных

• Субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, осознанно, информированно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством.
• Оператор и его работники обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
• Работниками Оператора, получившими доступ к персональным данным, должна быть обеспечена конфиденциальность таких данных.
• Согласие Покупателей дается путем проставки отметки в чек-боксе веб-формы при регистрации на сайте, при присоединении к программам лояльности Оператора, при оформлении заказа товаров на Сайте, а также в форме конклюдентных действий при обращении к Оператору любым способом и предоставлении персональных данных, необходимых для рассмотрения обращения.
• Согласие Пользователей сайта на обработку их персональных данных дается путем простановки соответствующей отметки в чекбоксе веб-формы на Сайте, предусматривающей ввод персональных данных, или при акцепте оферты, предусматривающей обработку персональных данных, а также при указании персональных данных в запросах, направляемых Оператору через Сайт т.п.
• Согласие Посетителей сайта на обработку их персональных данных о программном обеспечении и аппаратном оборудовании Пользователя, IP-адресе, просмотре страниц сайта, содержащихся в файлах cookie, получаемых Оператором, дается путем простановки соответствующей отметки в чекбоксе на Сайте или закрытия всплывающего баннера с информацией об использовании файлов cookie. С более полной информацией об использовании файлов cookie можно ознакомиться в Политике в отношении использования файлов cookie.

6. Сведения о реализуемых требованиях к защите персональных данных

Защита персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.

Правовые меры включают в себя:

• разработку локальных актов Оператора, реализующих требования законодательства, в том числе Политики в отношении обработки персональных данных;
• отказ от любых способов обработки персональных данных, не соответствующих целям, заранее предопределенным Оператором.

Организационные меры включают себя:

• назначение лица, ответственного за организацию обработки персональных данных;
• назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных;
• ограничение состава работников Оператора, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним;
• ознакомление работников Оператора с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с Политикой, другими локальными актами Оператора по вопросам обработки персональных данных;
• обучение всех категорий работников, непосредственно осуществляющих обработку персональных данных, правилам работы с ними и обеспечению безопасности обрабатываемых данных;
• регламентацию процессов обработки персональных данных;
• организацию учёта машинных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
• определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных, с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности персональных данных и требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
• определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе модели (моделей) угроз;
• размещение технических средств обработки персональных данных в пределах охраняемой территории;
• ограничение допуска посторонних лиц в помещения Оператора, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Оператора.

Технические меры включают в себя:

• разработку на основе модели угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах;
• оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
• реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных системах, и программно-аппаратным и программным средствам защиты информации, предусматривающей разграничение прав доступа пользователей;
• регистрацию и учёт действий c персональными данными пользователей информационных систем, где обрабатываются персональные данные;
• защиту персональных данных, пересылаемых по электронной почте, путем использования защищенных паролем, соответствующим требованиям политики парольной защиты, архивов, содержащих персональные данные (файлов форматов zip, rar и т.п.);
• ограничение программной среды;
• выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Оператора, обеспечивающих соответствующую техническую возможность;
• безопасное межсетевое взаимодействие (применение межсетевого экранирования);
• идентификацию и проверку подлинности пользователя (аутентификацию) при входе в информационную систему по паролю;
• контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации;
• обнаружение вторжений в информационную систему Оператора, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
• принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (система резервного копирования и восстановления персональных данных);
• периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных.

7. Заключительные положения

• Иные обязанности и права Оператора как оператора персональных данных и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.
• Должностные лица и работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
• Условия и сроки уничтожения персональных данных Оператором:
  • достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
  • достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
  • предоставление Клиентом (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
  • отзыв Клиентом согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
• При достижении цели обработки персональных данных, а также в случае отзыва Клиентом согласия на их обработку, персональные данные подлежат уничтожению, если:
  • иное не требуется для выполнения обязанностей Оператора по закону (включая хранение бухгалтерской или налоговой документации);
  • иное не предусмотрено договором (Правилами продажи товаров физическим лицам), стороной которого, выгодоприобретателем или поручителем по которому является Клиент;
  • Оператор не вправе осуществлять обработку без согласия Клиента на законных основаниях;
  • иное не предусмотрено соглашением между Оператором и Клиентом.
• Уничтожение персональных данных осуществляет комиссия, созданная Оператором либо единолично Оператором.

Более полная информация про обработку персональных данных приведена здесь.