Политика конфиденциальности


1. Общие положения

1.1. Настоящее Положение – Политика в отношении персональных данных (далее Положение, Политика) определяет политику Индивидуального предпринимателя Мамаевой Надежды Алексеевны (далее – Предприниматель, он же Оператор, он же Продавец) в отношении персональных данных субъектов персональных данных – розничных покупателей. Настоящее Положение принято для обеспечения сохранности и конфиденциальности персональных данных розничных покупателей в соответствии с требованиями действующего законодательства Российской Федерации, а также в целях регламентации порядка работы с персональными данными розничных покупателей.

1.2. Настоящее Положение разработано в соответствии Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", законодательными актами Российской Федерации.

1.3. Настоящее Положение обязательно для соблюдения сторонами - Продавцом и Покупателем.

1.4. Настоящее Положение вступает в действие с момента утверждения его приказом Предпринимателя и действует до утверждения нового положения.

1.5. Все изменения и дополнения к настоящему Положению должны быть утверждены приказом Предпринимателя.

1.6. Основные понятия, используемые в настоящем Положении:

1.6.1. Персональные данные - любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.6.2. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.6.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без их использования.

Обработка персональных данных включает в себя в том числе:

· сбор;

· запись;

· систематизацию;

· накопление;

· хранение;

· уточнение (обновление, изменение);

· извлечение;

· использование;

· передачу (распространение, предоставление, доступ);

· обезличивание;

· блокирование;

· удаление;

· уничтожение;

1.6.4. Субъекты персональных данных – розничный покупатель (далее Покупатель) – физическое лицо, осуществляющее Заказ Товара на Сайте, приобретающее Товар исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности. Также физические лица, предоставляющие свои персональные данные с целью получения новостной рассылки, участия в акциях, розыгрышах и т.д.

1.6.5. Сайт – интернет-сайт, на котором размещается интернет-магазин https://www.alisalavoro.ru/.

1.6.6. Товар – товары, предлагаемые Продавцом для приобретения Покупателем через Сайт.

1.6.7. Заказ – должным образом оформленная заявка Покупателя на приобретение Товара, размещенная в соответствующем разделе Сайта.

1.6.8. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

2. Критерии отнесения информации к персональным данным

2.1. К персональным данным относятся любая информация о субъекте, в том числе фамилия, имя, отчество, дата рождения, адрес регистрации или проживания, электронная пота, контактные телефоны и т.д.

2.2. Достоверность персональных данных определяется со слов субъекта и/или исходя из их изначального размещения в таких документах, как:

· паспорт или иной источник, удостоверяющий личность;

· другие.

3. Операции с персональными данными

3.1. Под получением (сбором) персональных данных понимается последовательность действий, связанных с установлением достоверности соответствующих данных, а также размещением их в информационных системах. Сбор персональных данных осуществляется для достижения определенных целей и в пределах установленного объема, и не может превышать указанный объем. Целями обработки персональных данных являются:

· обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

· осуществление Предпринимателем своей деятельности;

· заключения и исполнения договора розничной купли-продажи с Покупателем (передача товара, прием платежей, исполнение гарантийных и иных обязательств по договору) – субъектом персональных данных;

· рассылки новостей и информации о товарах, услугах, акциях, новинках и т.д.

Факт предоставления персональных данных сам по себе свидетельствует о согласии субъекта на их обработку в соответствии с условиями Соглашения и настоящей Политики.

Для целей заключения и исполнения договора розничной купли-продажи обрабатываются следующие категории данных: Ф.И.О.; контактный; телефон; адрес; эл.почта; пол; дата рождения.

Для целей рассылки новостей и информации о товарах, услугах, акциях, новинках и т.д. обрабатываются следующие категории данных: Ф.И.О.; контактный; телефон; адрес; эл.почта; пол; дата рождения.

Для целей участия в акциях, розыгрышах и т.д. могут обрабатываться в зависимости от условий соответствующего мероприятия следующие категории данных: Ф.И.О.; контактный; телефон; адрес; эл.почта; пол; дата рождения.

3.2. Под автоматизированной обработкой персональных данных понимается обработка персональных данных с помощью средств вычислительной техники;

3.3. Под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

3.4. Под предоставлением персональных данных понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, в том числе:

· по адресному размещению соответствующих данных на носителях и серверах, доступ к которым имеют работники Предпринимателя либо третьи лица;

· по размещению персональных данных в источниках внутрикорпоративного документооборота.

3.5. Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных посредством их размещения в информационных системах Организации. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

3.6. Под блокированием персональных данных понимается временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

3.7. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

3.8. Под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3.9. Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

3.10. Предприниматель осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

3.11. Обработка персональных данных, несовместимая с целями их сбора, не осуществляется. Если иное не предусмотрено федеральным законом, по окончании обработки, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, персональные данные уничтожаются или обезличиваются.

3.12. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Предприниматель принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.

3.13. Обработка персональных данных осуществляется в соответствии с принципами, установленными действующим законодательством РФ.

3.14. Предприниматель вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Давая согласие на обработку персональных данных при оформлении заказа на Сайте Покупатель дает, в том числе, и согласие на передачу своих персональных данных третьим лицам для их обработки с целями, указанными в настоящей Политике.

Лицо, осуществляющее обработку персональных данных по поручению Предпринимателя, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом, а также настоящей Политикой.

Лицо, осуществляющее обработку персональных данных по поручению Предпринимателя, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае, если Предприниматель поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Предприниматель.

3.15. Сроки обработки персональных данных — в течение всего срока ведения деятельности Предпринимателя и в течение срока исковой давности после ее завершения.

Момент прекращения срока обработки персональных данных определяется также наступлением одного из следующих событий:

· истек срок действия согласия субъекта или он отозвал согласие на обработку персональных данных;

· обнаружена неправомерная обработка персональных данных.

4. Порядок осуществления операций с персональными данными

4.1. Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно от Покупателя. В случае если предоставление соответствующих данных возможно только от третьих лиц, то Покупатель должен дать письменное согласие на это.

4.2. Предпринимателем не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

4.3. Обработка персональных данных Покупателя может осуществляться только с его согласия, выраженного в форме в соответствии с настоящей Политикой, за исключением тех случаев, что предусмотрены пп. 2 - 11 п. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

4.4. Передача персональных данных осуществляется с учетом специфики конкретной информационной системы:

· в цифровой информационной системе (предназначенной для автоматизированной обработки персональных данных) передача данных осуществляется по защищенным каналам связи;

· в информационной системе на основе бумажных носителей передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии работников Предпринимателя, имеющих доступ к соответствующей информационной системе.

4.5. Блокирование персональных данных осуществляется с учетом специфики конкретной информационной системы:

· в цифровой информационной системе блокирование данных осуществляется посредством закрытия доступа к файлам;

· в информационной системе на основе бумажных носителей блокирование данных осуществляется посредством закрытия доступа к соответствующей информационной системе для определенных групп работников.

4.6. Хранение персональных данных осуществляется с учетом специфики конкретной информационной системы:

· в цифровой информационной системе хранение данных осуществляется на ПК, а также на облачных серверах;

· в информационной системе на основе бумажных носителей хранение данных осуществляется в архиве.

4.7. Ликвидация персональных данных осуществляется с учетом специфики конкретной информационной системы:

· в цифровой информационной системе ликвидация данных осуществляется посредством их удаления с ПК, а также серверов;

· в информационной системе на основе бумажных носителей ликвидация данных осуществляется посредством уничтожения соответствующих носителей с помощью специальных технических средств.

4.8. Предприниматель обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

4.9. Предприниматель принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

· определяет угрозы безопасности персональных данных при их обработке;

· принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

· назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Предпринимателя;

· создает необходимые условия для работы с персональными данными;

· организует учет документов, содержащих персональные данные;

· организует работу с информационными системами, в которых обрабатываются персональные данные;

· хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

· организует обучение работников, осуществляющих обработку персональных данных.

4.10. Для обеспечения безопасности персональных данных Предприниматель руководствуется следующими принципами:

· законность: защита данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;

· системность: обработка персональных данных осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;

· комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Предпринимателя (далее - ИС) и других имеющихся у Предпринимателя систем и средств защиты;

· непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки, в том числе при проведении ремонтных и регламентных работ;

· своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;

· персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;

· минимизация прав доступа: доступ к персональным данным предоставляется работникам только в объеме, необходимом для выполнения их должностных обязанностей;

· эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Предпринимателя предусматривает тщательный подбор персонала и мотивацию работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных; минимизация вероятности возникновения угрозы безопасности персональных данных, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Предпринимателя до заключения договоров.

5. Доступ к персональным данным

5.1. К обработке персональных данных допускаются работники, в должностные обязанности которых входит обработка персональных данных в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Предпринимателя. Допущенные к обработке персональных данных работники Предпринимателя знакомятся с документам, устанавливающими порядок обработки персональных данных, включая настоящую Политику и документы, устанавливающие права и обязанности конкретных работников.

Доступ к персональным данным, не требующий подтверждения и не подлежащий ограничению, имеют:

· предприниматель, работники его секретариата, руководители проектов и подразделений;

· работники, принимающие Заказы через Сайт;

· кассиры, администраторы, работники бухгалтерии Предпринимателя;

· работники отдела сервиса;

· работники отдела снабжения;

· работники склада и отдела складской логистики;

· сборщики, экспедиторы и другие работники, в чьи непосредственные обязанности входят действия по исполнению заключенных договоров розничной купли-продажи.

5.2. Доступ к персональным данным иным лицам может быть разрешен только отдельным распоряжением руководителя.

6. Обязанности работников, имеющих доступ к персональным данным

6.1. Работники Предпринимателя и другие лица, имеющие доступ к персональным данным, обязаны:

· осуществлять операции с персональными данными при соблюдении норм, установленных настоящим Положением, а также действующим законодательством Российской Федерации;

· информировать своего непосредственного руководителя и Предпринимателя о нештатных ситуациях, связанных с операциями с персональными данными;

· обеспечивать конфиденциальность операций с персональными данными;

· обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения;

· иные обязанности в соответствии с действующим законодательством РФ.

7. Права Покупателей в части осуществления операций с персональными данными

7.1. Покупатель Предпринимателя, передавший Предпринимателю свои персональные данные, имеет право:

· на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними;

· на бесплатное получение копий файлов или бумажных носителей, содержащих персональные данные;

· требовать от Предпринимателя дополнительной обработки, блокирования или ликвидации персональных данных, если операции с ними противоречат интересам Покупателя, осуществляются незаконно, а также в случае, если персональные данные недостоверны;

· получать от Предпринимателя информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны;

· получать от Предпринимателя информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе Предпринимателя;

· иные права в соответствии с действующим законодательством РФ.

8. Ответственность работников за нарушения правил осуществления операций с персональными данными

8.1. Работники Предпринимателя при осуществлении операций с персональными данными несут административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящей Политикой, иными локальными актами, а также нормами федерального, регионального и муниципального законодательства Российской Федерации.

8.2. Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из положений законодательства Российской Федерации.

9. Правовые основания обработки персональных данных

9.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Предприниматель – Оператор осуществляет обработку персональных данных, в том числе:

· Конституция Российской Федерации;

· Гражданский кодекс Российской Федерации;

· Трудовой кодекс Российской Федерации;

· Налоговый кодекс Российской Федерации;

· Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";

· Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";

· Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" и др.

9.2. Правовым основанием обработки персональных данных также являются:

· договоры, заключаемые между Предпринимателем и субъектами персональных данных;

· согласие субъектов персональных данных на обработку их персональных данных.

9.3. Во всем остальном, что не предусмотрено настоящей Политикой, Предприниматель, его работники и иные субъекты персональных данных руководствуются требованиями законодательства РФ. В случае противоречия настоящей Политики требованиям законодательства РФ, в том числе вышеуказанным нормативным правовым актам, Предприниматель, его работники и иные субъекты персональных данных руководствуются требованиями закона.



Приложения

ПРИМЕРНАЯ __ФОРМА __ЗАПРОСА __О __ПРЕДОСТАВЛЕНИИ __ИНФОРМАЦИИ

ПРИМЕРНАЯ __ФОРМА__ ЗАЯВЛЕНИЯ__ ОБ __УНИЧТОЖЕНИИ ПД

ПРИМЕРНАЯ__ ФОРМА __ЗАЯВЛЕНИЯ__ ОБ __ОТЗЫВЕ__ СОГЛАСИЯ__