Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — «Политика») разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о персональных данных», «ФЗ-152») и определяет порядок обработки и меры по обеспечению безопасности персональных данных, предпринимаемые Индивидуальным предпринимателем Бутаевой Кристиной Автандиловной (далее — «Оператор»).

1.2. Оператор ставит важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Настоящая Политика применяется ко всей информации, которую Оператор может получить о:

а) посетителях и пользователях веб-сайта https://ludylubyat.space (далее — «Сайт»);
б) покупателях Товаров и Продукции (через Сайт и в кофейне);
в) Продавцах (Партнёрах), реализующих Товары через маркетплейс;
г) работниках и кандидатах на трудоустройство;
д) контрагентах и их представителях.

1.4. Использование Сайта, оформление Заказа, регистрация учётной записи или подача заявки (на вакансию, на статус Продавца) означает безоговорочное согласие Субъекта с настоящей Политикой и указанными в ней условиями обработки его персональных данных.

2. Основные понятия

2.1. Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (Субъекту персональных данных) (ст. 3 ФЗ-152).

2.2. Оператор — ИП Бутаева Кристина Автандиловна (ИНН 771673933567, ОГРНИП 324150000044478), самостоятельно организующая и осуществляющая обработку ПДн.

2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

2.4. Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПДн.

2.5. Автоматизированная обработка — обработка ПДн с помощью средств вычислительной техники.

2.6. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

2.7. Трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Правовые основания обработки

3.1. Правовыми основаниями обработки ПДн являются:

а) Конституция Российской Федерации (ст. 24);
б) Гражданский кодекс Российской Федерации;
в) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
г) Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;
д) Трудовой кодекс Российской Федерации (гл. 14);
е) Федеральный закон от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники»;
ж) Налоговый кодекс Российской Федерации (в части хранения документов);
з) договоры, заключаемые между Оператором и Субъектом ПДн;
и) согласия Субъектов на обработку ПДн.

4. Цели обработки, категории данных и сроки хранения

Оператор обрабатывает ПДн в следующих целях:

4.1. Исполнение договора купли-продажи и доставки (Покупатели)
Состав данных: ФИО, телефон, e-mail, адрес доставки.
Основание: ст. 6 ч. 1 п. 5 ФЗ-152 (исполнение договора).
Срок хранения: в течение срока действия договора + 3 года (срок исковой давности по ГК РФ).

4.2. Регистрация и ведение учётной записи на Сайте
Состав данных: имя, e-mail, телефон, пароль (хэшированный).
Основание: ст. 6 ч. 1 п. 5 ФЗ-152 (исполнение договора — Пользовательского соглашения).
Срок хранения: до удаления учётной записи Субъектом или Оператором.

4.3. Взаимодействие с Продавцами (Партнёрами)
Состав данных: ФИО, ИНН (для ИП/самозанятых), телефон, e-mail, банковские реквизиты, наименование бренда.
Основание: ст. 6 ч. 1 п. 5 ФЗ-152 (исполнение договора комиссии — Оферты для продавцов).
Срок хранения: в течение действия договора + 5 лет (хранение бухгалтерских документов по НК РФ).

4.4. Оформление и ведение трудовых отношений
Состав данных: ФИО, дата рождения, паспортные данные, адрес регистрации, ИНН, СНИЛС, образование, трудовая книжка, банковские реквизиты, медицинская книжка.
Основание: ст. 6 ч. 1 п. 5 ФЗ-152, гл. 14 ТК РФ.
Срок хранения: в течение срока трудовых отношений + 50 лет (приказы, трудовые договоры — ст. 22.1 ФЗ от 22.10.2004 № 125-ФЗ).

4.5. Маркетинг и информирование об акциях
Состав данных: имя, e-mail, телефон, дата рождения (для поздравлений).
Основание: ст. 6 ч. 1 п. 1 ФЗ-152 (согласие Субъекта, получаемое отдельно).
Срок хранения: до отзыва согласия или отписки от рассылки.

4.6. Аналитика и улучшение качества Сайта
Состав данных: cookie, IP-адрес, тип устройства и браузера, страницы просмотра, данные Яндекс.Метрики.
Основание: ст. 6 ч. 1 п. 6 ФЗ-152 (законный интерес Оператора при условии обезличивания).
Срок хранения: до 25 месяцев (срок хранения cookie Яндекс.Метрики).

4.7. Обработка обращений и претензий
Состав данных: ФИО, e-mail, телефон, содержание обращения.
Основание: ст. 6 ч. 1 п. 5 ФЗ-152.
Срок хранения: 3 года с момента разрешения обращения.

5. Порядок и условия обработки

5.1. Обработка ПДн осуществляется Оператором смешанным способом: с использованием средств автоматизации (ИСПДн, Сайт, CRM-система) и без таковых (на бумажных носителях — трудовые договоры, приказы).

5.2. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение, извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 ФЗ-152).

5.3. Оператор не осуществляет трансграничную передачу ПДн. Все серверы, базы данных и резервные копии располагаются на территории Российской Федерации.

5.4. Обработка специальных категорий ПДн (расовая, национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь) Оператором не осуществляется, за исключением данных медицинских книжек работников общественного питания, обработка которых производится на основании ТК РФ.

5.5. Биометрические ПДн Оператором не обрабатываются.

6. Передача персональных данных третьим лицам

6.1. Оператор передаёт ПДн третьим лицам исключительно в целях исполнения обязательств перед Субъектом или в случаях, установленных законодательством:

а) Службам доставки (СДЭК, курьерские службы) — ФИО, адрес, телефон — для доставки Заказов;
б) Агрегаторам доставки (Яндекс.Еда и аналогичные) — данные Заказа — для обработки и доставки;
в) Платёжным системам и эквайрерам — Оператор не получает и не хранит полные реквизиты банковских карт; обработка платежей производится банками-эквайерами в соответствии с PCI DSS;
г) Сервисам аналитики (Яндекс.Метрика) — обезличенные данные о посещениях Сайта;
д) Государственным органам (ФНС, Роскомнадзор, правоохранительные органы) — по запросу в установленном законом порядке;
е) Хостинг-провайдеру — в рамках предоставления услуг хостинга (поручение обработки ПДн по ч. 3 ст. 6 ФЗ-152).

6.2. При передаче ПДн Оператор заключает с получателями соглашения, обеспечивающие конфиденциальность и безопасность данных.

7. Файлы cookie

7.1. Сайт использует файлы cookie — небольшие фрагменты данных, сохраняемые в браузере Пользователя.

7.2. Типы используемых cookie:

а) Строго необходимые — для авторизации, работы сессии, корзины и обеспечения безопасности. Без них Сайт не может функционировать корректно. Срок: до окончания сессии или 30 дней.
б) Аналитические (Яндекс.Метрика: _ym_uid, _ym_d, _ym_isad) — для сбора обезличенных данных о посещаемости, источниках трафика, поведении. Срок: до 1 года.
в) Функциональные — для сохранения предпочтений (избранное, тема, регион). Срок: до 1 года.

7.3. Пользователь может отключить cookie в настройках браузера. Это может ограничить функциональность Сайта (авторизация, корзина).

7.4. Продолжая использование Сайта, Пользователь соглашается на использование cookie в соответствии с настоящей Политикой.

8. Меры по обеспечению безопасности

8.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в соответствии со ст. 19 ФЗ-152.

8.2. К мерам защиты относятся:

а) назначение лица, ответственного за организацию обработки ПДн;
б) издание локальных нормативных актов по вопросам обработки и защиты ПДн;
в) ограничение круга лиц, имеющих доступ к ПДн (доступ — только сотрудникам, которым он необходим);
г) использование средств криптографической защиты (SSL/TLS-шифрование на Сайте);
д) хранение паролей пользователей в хэшированном виде (bcrypt);
е) регулярное резервное копирование баз данных;
ж) разграничение прав доступа к ИСПДн;
з) обучение сотрудников правилам обработки и защиты ПДн.

9. Права субъекта персональных данных

9.1. Субъект ПДн имеет право (ст. 14–17 ФЗ-152):

а) получать информацию, касающуюся обработки его ПДн (состав данных, цели, сроки, лица с доступом);
б) требовать уточнения, блокирования или уничтожения ПДн, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели;
в) отозвать согласие на обработку ПДн в любой момент;
г) требовать прекращения обработки ПДн в целях маркетинга (отписка от рассылки);
д) обжаловать действия или бездействие Оператора в Роскомнадзор (77, г. Москва, ул. Садовая-Сухаревская, д. 16, rsoc.ru) или в суд.

9.2. Для реализации своих прав Субъект направляет запрос Оператору одним из способов, указанных в разделе 11. Оператор обязан ответить на запрос в срок не позднее 10 (десяти) рабочих дней (ч. 4 ст. 14 ФЗ-152). В случае предоставления неполных сведений Оператор вправе запросить дополнительную информацию для идентификации Субъекта.

9.3. При отзыве согласия на обработку ПДн Оператор прекращает обработку и уничтожает данные в срок не более 30 (тридцати) дней, за исключением случаев, когда обработка может быть продолжена на ином законном основании (исполнение договора, требования законодательства о бухучёте и налогах, архивное законодательство).

10. Уничтожение персональных данных

10.1. ПДн подлежат уничтожению при:

а) достижении целей обработки;
б) истечении сроков хранения, указанных в разделе 4;
в) отзыве согласия Субъектом (если иное основание отсутствует);
г) выявлении неправомерной обработки;
д) невозможности обеспечить правомерность обработки.

10.2. Уничтожение ПДн производится в срок не более 30 (тридцати) дней с момента наступления основания. Уничтожение подтверждается актом об уничтожении ПДн.

11. Заключительные положения

11.1. Субъект может получить разъяснения по обработке его ПДн, а также отозвать согласие, обратившись к Оператору:

E-mail: shop@ludylubyat.space
Телефон: +7 (918) 705-00-93
Почтовый адрес: 362008, РСО-Алания, г. Владикавказ, ул. Генерала Плиева, д. 10
Форма обратной связи на Сайте.

11.2. Настоящая Политика действует бессрочно до замены новой редакцией. Актуальная версия размещена по адресу: https://ludylubyat.space/privacy.

11.3. Оператор вправе вносить изменения в Политику. Изменения вступают в силу с момента публикации на Сайте.

11.4. Во всём, что не предусмотрено настоящей Политикой, Оператор руководствуется ФЗ-152, иными нормативными правовыми актами в области ПДн, Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».