Политика в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ “О персональных данных” (далее – Закон № 152-ФЗ) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Оператором: ИП Рыпаленко Максим Витальевич (далее – Оператор или Компания).
1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящая Политика применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта misterwood.ru (далее – Сайт), в частности при оформлении Заказа на товары/услуги Компании.
1.4. Использование Сайта, в частности оформление Заказа, означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональных данных. В случае несогласия с этими условиями Пользователь должен воздержаться от использования Сайта и оформления Заказа.
2. Основные понятия, используемые в Политике
2.1. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператор – ИП Рыпаленко Максим Витальевич.
2.4. Субъект персональных данных (Пользователь) – физическое лицо (клиент), оформляющее Заказ на Сайте и предоставляющее свои персональные данные Оператору.
2.5. Заказ – оформленная Пользователем на Сайте заявка на приобретение товаров и/или услуг, предлагаемых Компанией.
2.6. Договор – договор поставки товаров и/или оказания услуг, заключаемый между Компанией и Пользователем на основании оформленного Заказа.
3. Категории обрабатываемых персональных данных
3.1. Оператор обрабатывает следующие персональные данные Пользователей, предоставляемые ими добровольно при оформлении Заказа на Сайте:
* Фамилия, Имя, Отчество;
* Адрес электронной почты (e-mail);
* Номер контактного телефона;
* Адрес доставки товара (если применимо).
3.2. Оператор не обрабатывает специальные категории персональных данных (раса, национальность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь) и биометрические данные.
4. Цели обработки персональных данных
4.1. Оператор обрабатывает персональные данные Пользователей исключительно в следующих целях:
* Оформление, обработка и исполнение Заказа Пользователя;
* Заключение, исполнение и контроль за исполнением Договора между Компанией и Пользователем;
* Осуществление доставки товара Пользователю (если применимо);
* Связь с Пользователем для уточнения деталей Заказа, доставки, информирования о статусе Заказа;
* Выставление счетов, обработка платежей (если применимо);
* Урегулирование спорных вопросов, предъявление претензий, обратная связь;
* Выполнение требований применимого законодательства РФ.
5. Правовые основания обработки персональных данных
5.1. Правовыми основаниями обработки персональных данных Оператором являются:
* Заключение и исполнение договора (ст. 6 ч. 1 п. 1 б) Закона № 152-ФЗ) – для целей, связанных с оформлением, исполнением Заказа и Договора;
* Согласие субъекта персональных данных (ст. 6 ч. 1 п. 1 а) Закона № 152-ФЗ) – оформляется Пользователем явным образом (проставлением соответствующей отметки) при оформлении Заказа на Сайте;
* Выполнение обязанностей, возложенных законодательством (ст. 6 ч. 1 п. 1 в) Закона № 152-ФЗ) – для целей бухгалтерского учета, налоговой отчетности и иных требований закона.
6. Порядок и условия обработки персональных данных
6.1. Обработка персональных данных Пользователя осуществляется Оператором без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
6.2. Хранение персональных данных:
* Персональные данные Пользователя, необходимые для оформления Заказа и Договора, включаются в текст Договора на поставку товаров и/или услуг.
* Подписанные электронные или отсканированные экземпляры Договоров хранятся Оператором на защищенном облачном сервисе хранения данных **Яндекс.Диск** (`https://disk.yandex.ru`).
* Оператор выбрал Яндекс.Диск, так как сервис обеспечивает необходимый уровень безопасности данных, соответствующий требованиям Закона № 152-ФЗ (включая сертификат соответствия ФСТЭК России). Доступ к хранящимся Договорам имеет только ограниченный круг уполномоченных сотрудников Оператора, которым это необходимо для выполнения трудовых обязанностей (исполнения Договора, бухгалтерского учета и т.д.). Доступ защищен двухфакторной аутентификацией и строгими политиками паролей.
* Срок хранения Договоров (и содержащихся в них ПДн) определяется в соответствии с требованиями законодательства РФ (прежде всего, налогового и гражданского) и внутренними регламентами Оператора, но не менее сроков, установленных законом (обычно 5 лет после окончания отчетного года, в котором договор был исполнен или расторгнут, а в некоторых случаях дольше). После истечения установленных сроков хранения Договоры (и содержащиеся в них ПДн) подлежат уничтожению.
6.3. Оператор принимает необходимые организационные и технические меры для защиты персональных данных Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц, в соответствии с требованиями Закона № 152-ФЗ и нормативными актами уполномоченных органов.
6.4. Передача персональных данных:
* Оператор не передает персональные данные Пользователей третьим лицам, за исключением случаев, прямо предусмотренных настоящей Политикой и законодательством РФ.
* В целях исполнения Договора (в частности, доставки товара) Оператор может передавать необходимый минимум ПДн (ФИО, адрес доставки, контактный телефон) выбранной Пользователем или Оператором службе доставки (транспортной компании). Передача осуществляется только на основании договора поручения обработки ПДн, заключенного между Оператором и службой доставки, обязывающего последнюю соблюдать конфиденциальность и безопасность ПДн.
* Оператор может предоставлять персональные данные Пользователя по обоснованным запросам уполномоченных государственных органов Российской Федерации (например, по запросу суда или налоговой инспекции) только по основаниям и в порядке, установленным законодательством РФ.
* Хранение Договоров на Яндекс.Диске: Размещая Договор, содержащий ПДн, на Яндекс.Диске, Оператор использует инфраструктуру и сервисы ООО “ЯНДЕКС” (Россия, 119021, г. Москва, ул. Льва Толстого, 16) в качестве Обработчика персональных данных. Передача ПДн Обработчику осуществляется в соответствии с требованиями ст. 6 Закона № 152-ФЗ. С ООО “ЯНДЕКС” заключен договор поручения обработки ПДн, который обязывает Обработчика соблюдать конфиденциальность и обеспечивать безопасность обрабатываемых ПДн при их обработке. ООО “ЯНДЕКС” обрабатывает ПДн исключительно в целях и порядке, указанных в указанном договоре и в соответствии с его собственной Политикой конфиденциальности (`https://yandex.ru/legal/confidential/`), которая соответствует требованиям Закона № 152-ФЗ.
7. Права субъекта персональных данных
7.1. Пользователь (субъект персональных данных) имеет право:
* Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
* подтверждение факта обработки ПДн Оператором;
* правовые основания и цели обработки ПДн;
* применяемые Оператором способы обработки ПДн;
* наименование и место нахождения Оператора;
* сведения о лицах, которым могут быть раскрыты ПДн;
* перечень обрабатываемых ПДн и источник их получения;
* сроки обработки ПДн, в том числе сроки их хранения;
* сведения о юридических последствиях для субъекта ПДн, которые может повлечь такая обработка;
* иную информацию, предусмотренную Законом № 152-ФЗ.
* Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
* Отозвать свое согласие на обработку персональных данных. Отзыв согласия осуществляется путем направления Оператору письменного заявления по адресу, указанному в разделе 10 настоящей Политики. **Важно:** Отзыв согласия влечет прекращение возможности исполнения Заказа/Договора и может являться основанием для прекращения действия Договора. Оператор вправе продолжить обработку ПДн после отзыва согласия при наличии иных законных оснований, предусмотренных Законом № 152-ФЗ (например, для исполнения требований законодательства).
* Требовать устранения неправомерных действий Оператора в отношении его персональных данных.
* Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
8. Конфиденциальность и безопасность персональных данных
8.1. Оператор обеспечивает конфиденциальность обрабатываемых персональных данных. Раскрытие персональных данных третьим лицам не допускается, за исключением случаев, предусмотренных настоящей Политикой и законодательством РФ.
8.2. Доступ к персональным данным Пользователей, хранящимся в Договорах на Яндекс.Диске, имеют только уполномоченные сотрудники Оператора, непосредственно занятые исполнением Договоров (менеджеры, бухгалтеры, логисты), и только в объеме, необходимом для выполнения их служебных обязанностей. С такими сотрудниками заключены соглашения о конфиденциальности (NDA).
8.3. Оператор применяет комплекс технических и организационных мер для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий, включая:
* Назначение ответственного за организацию обработки ПДн.
* Издание внутренних локальных актов по вопросам обработки ПДн.
* Ознакомление сотрудников с положениями законодательства о ПДн и локальными актами Оператора.
* Ограничение и разграничение прав доступа к ПДн.
* Использование надежных паролей и двухфакторной аутентификации для доступа к системам, содержащим ПДн (включая Яндекс.Диск).
* Регулярное обучение сотрудников.
* Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения безопасности.
* Контроль за принимаемыми мерами по обеспечению безопасности ПДн.
9. Заключительные положения
9.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью контактной информации, указанной в разделе 10.
9.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
9.3. Актуальная версия Политики в свободном доступе расположена на Сайте по адресу: misterwood.ru/privacypolicy