ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
И ЗАЩИТА ИНФОРМАЦИИ

1. Общие положения

1.1. Настоящее Положение определяет политику ООО «Стильный базар» (далее – Общество) в области обработки и обеспечения безопасности персональных данных с целью защиты прав и свобод человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Положение разработано в соответствии с действующим законодательством Российской Федерации в области защиты персональных данных, в частности, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", и иных нормативных документов уполномоченных органов.

2. Термины и принятые сокращения

Персональные данные (далее – Данные) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Общество – Общество с ограниченной ответственностью «Стильный базар» (ИНН 7806248017, ОГРН 11678473319810), зарегистрированное в соответствии с законодательством Российской Федерации, осуществляющее в процессе деятельности сбор и обработку персональных данных.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законом.

Распространение персональных данных- действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Применение

3.1. Настоящая Политика действует в отношении всей информации, которую Общество может получить о физическом лице в рамках ведения своей деятельности, в том числе в рамках покупки физическим лицом товаров, использования сайтов, сервисов, служб, программ, продуктов или услуг Общества.

3.2. Настоящая Политика применяется ко всем Данным как уже полученным Обществом, так и тем, которые будут получены в будущем.

4. Обработка персональных данных

4.1. Обработка Данных осуществляется в соответствии с требованиями Конституции РФ, закона РФ «О защите персональных данных» № 152-ФЗ от 27.07.2006г., и иных нормативных документов, регулирующих условия, порядок, принципы и др. работы с Данными.

4.2. Принципы обработки Данных:
• обработка Данных осуществляется на законной и справедливой основе;
• обработка Данных ограничивается достижением конкретных, законных целей, определенных до начала их обработки;
• не допускается обработка Данных не совместимая с целями сбора Данных;
• содержание и объем обрабатываемых Данных должны соответствовать заявленным целям обработки. Обрабатываемые Данные не должны быть избыточными по отношению к заявленным целям их обработки;
• не допускается объединение баз данных, содержащих Данные, обработка которых осуществляется в целях, несовместимых между собой;
• обрабатываемые Данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
• обеспечение при обработке Данных их точности и достаточности, а в необходимых случаях и актуальность по отношению к целям обработки;
• обеспечение хранения Данных в форме, позволяющей определить субъекта Данных, не дольше, чем этого требуют цели обработки, если иной срок не установлен законом;
• уничтожение либо обезличивание Данных по достижении целей обработки.

4.3. Субъекты Данных:
Субъектами Данных, обрабатываемых Обществом, являются:
• лица, заключившие с Обществом гражданско-правовые договоры;
• участники программ лояльности, рекламных акций, бонусных программ, держатели бонусных карт (карт покупателя);
• физические лица – покупатели, в том числе, зарегистрировавшиеся на сайте Общества, покупатели интернет-магазина Общества.

4.4. Получение Данных.

4.4.1. Все Данные Общество получает непосредственно от субъекта Данных.

4.4.2. Общество не проверяет достоверность Данных, предоставленных субъектами Данных, и не имеет возможности оценивать его дееспособность. Общество исходят из того, что субъект предоставляет достоверную и достаточную информацию и поддерживает эту информацию в актуальном состоянии.

4.4.3. Общество получает Данные:
• из анкет, заполняемых субъектами Данных, как в бумажном виде, так и в электронном виде на сайте Общества,
• из форм, заполняемых субъектами Данных, при оформлении заказов (покупки товаров),
• из поступающей на адрес Общества почты, в том числе электронной,
• из иных не запрещенных действующим законодательством источников.

4.5. Обработка Данных.

4.5.1. Общество осуществляет обработку Данных в следующих случаях:
• с согласия субъекта Данных на обработку;
• в случаях, когда обработка Данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
• для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
• для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект Данных, а также для заключения договора по инициативе субъекта Данных или договора, по которому субъект Данных будет являться выгодоприобретателем или поручителем
• в иных случаях, предусмотренных действующим законодательством.

4.5.2 Цели обработки Данных:

4.5.2.1. Общество осуществляет обработку Данных участников программ лояльности, рекламных акций, бонусных программ, держатели бонусных карт (карт покупателя) в целях:
• информирования участников о проводимых Обществом акциях, скидках, розыгрышах, изменении ассортимента товаров, поступлении новых коллекций;
• предоставления участникам скидок, в том числе персональных;
• предоставления участникам возможности накапливать и использовать накопленные бонусы, отслеживать количество накопленных бонусов;
• предоставления возможности участия в программе лояльности и идентификации участника в программе лояльности.

4.5.2.5. Общество осуществляет обработку Данных физических лиц – покупателей в целях:
• информирования покупателей о проводимых Обществом акциях, скидках, розыгрышах, изменении ассортимента товаров, поступлении новых коллекций;
• улучшения качества обслуживания покупателей;
• выполнения заказов, оформленных в интернет-магазине Общества, в том числе предоставлении информации о статусе заказа, сроках доставки и др.;
• доставки товаров, заказанных в интернет-магазине Общества;
• исполнения договора купли-продажи, в том числе заключенного дистанционным способом;
• выполнения обязательств по возврату денежных средств, замене товара, а также выполнении иных обязательств перед покупателями в соответствии с Законом «О защите прав потребителей».

4.5.2.6. Общество осуществляет обработку Данных лиц, заключивших с Обществом гражданско-правовые договоры в целях:
• соблюдения требований действующего законодательства;
• исполнения гражданско-правового договора.

4.6. Обработка персональных данных ведется:
- С использованием средств автоматизации;
- Без использования средств автоматизации.
Общество осуществляет передачу данных посредством сети Интернет.

4.7. Трансграничная передача Данных.
Общество не осуществляет трансграничную передачу Данных.

4.8. Передача Данных.
Общество вправе поручить обработку Данных другому лицу (лицам) на основании заключенного с последним договора и с согласия субъекта Данных, если иное не предусмотрено действующим законодательством. Лицо (лица), осуществляющие обработку Данных по поручению Общества, обязано соблюдать принципы и правила обработки Данных, установленные действующим законодательством. В поручении (договоре) должны быть определены перечень действий (операций) с Данными, которые будут совершаться лицом (лицами), осуществляющими обработку Данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность Данных и обеспечивать безопасность Данных при их обработке, а также должны быть указаны требования к защите обрабатываемых данных в соответствии с действующим законодательством.
Общество несет ответственность перед субъектом Данных за действия лица (лица), осуществляющих обработку Данных по поручению Общества.
Общество вправе, а в случаях предусмотренных действующим законодательством обязано предать Данные органам государственной власти и управления и др.

4.9. В целях исполнению обязательств перед физическими лицами в связи с покупкой ими товаров, использования сайтов, сервисов, служб, программ, продуктов или услуг, участия в бонусных программах Общества, Общество может собирать следующие Данные:
• фамилия, имя;
• контактный телефон субъекта Данных;
• адрес электронной почты (e-mail);
• адрес доставки товара;
• место жительство субъекта Данных;
• иная информация о субъекте, которую он посчитает возможным предоставить.

4.10. В отдельных случаях Общество получает и обрабатывает персональные данные автоматически с помощью метрических программ, используемых на веб-сайтах и в онлайн-сервисах Общества. Для работы с такими данными Общество использует cookies.
Cookies — это небольшие текстовые файлы, которые загружаются на пользовательское устройство (ПК, смартфон и т.д.) во время просмотра веб-страницы. Cookies позволяют сайтам распознавать пользовательские устройства, определять пользовательские предпочтения, а также собирать статистику того, как пользователи взаимодействуют с сайтами, для улучшения опыта использования такого сайта или для устранения различных ошибок или багов, которые могут периодически возникать. Перечень целей, для достижения которых необходимы cookies, не является исчерпывающим и зависит от конкретного сайта, который пользователь посещает или иным образом использует.
Общество не использует cookies в целях идентификации пользователей сайта и онлайн-сервисов Общества.
В частности, на сайтах Общества могут использоваться следующие cookies:
• Технические cookies – файлы, необходимые для работы сайта и онлайн-сервисов Общества;
• Аналитические cookies – файлы, которые собирают информацию о частоте посещения сайта пользователями, о том какие разделы чаще всего просматривают, на какие ссылки нажимают;
• Cookies предпочтений - запоминают настройки и выборы, которые пользователи делают на сайтах и в онлайн-сервисах Общества (язык, регион, поисковые запросы и т.д.)
• Маркетинговые cookies - собирают информацию о действиях, совершаемых пользователями как на сайте и в онлайн-сервисах Общества, чтобы показывать наиболее актуальную для пользователей рекламу, оценивать эффективность такой рекламы и ограничивать количество рекламных показов
Пользователи могут самостоятельно ограничить или полностью отключить установку cookies через настройки своего веб-браузера. Без использования технических cookies веб-сайт и онлайн-сервисы Общества могут работать некорректно, а часть их функционала может оказаться недоступна.

5. Права и обязанности субъекта Данных и Общества в части обработки Данных

5.1. Основные права субъекта Данных:

5.1.1. Субъект Данных имеет право требовать от Общества уточнения его Данных, их блокирования случае, если Данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъекты Данных вправе самостоятельно актуализировать Данные путем их изменения в личном кабинете на сайте Общества.

5.1.2. Субъект Данных имеет право на получение информации, касающейся обработки его персональных данных.

5.1.3. Субъект Данных имеет право обращаться к Обществу и направлять ему запросы;

5.1.4. Субъект Данных имеет право обжаловать действий или бездействия Общества;

5.1.5. Субъект Данных имеет право в любое время отозвать свое согласие на обработку Данных;

5.1.6. Субъект Данных имеет право требовать устранения/прекращения неправомерных действий Общества в отношении его Данных;

5.1.7. Субъект Данных имеет право на защиту своих прав и законных интересов, возмещение причиненного вреда;

5.1.8. иные права, предусмотренные действующим законодательством.

5.2. Обязанности Общества.
Общество обязано:
• при сборе Данных предоставить субъекту Данных по его просьбе информацию о полученных Данных, условиях, целях и сроках обработки и др.;
• принимать необходимые правовые, организационные и технические меры для защиты Данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных;
• опубликовать или иным образом обеспечить неограниченный доступ к документу, в том числе с использованием сети Интернет, определяющему политику Общества в отношении обработки Данных;
• предоставить субъектам Данных или их представителям по их запросу возможность безвозмездно ознакомиться с Данными;
• прекратить неправомерную обработку Данных или обеспечить прекращение неправомерной обработки Данных лицом, действующим по поручению Общества, в случае выявления неправомерной обработки Данных,;
• прекратить обработку Данных и уничтожить Данные по достижении цели обработки Данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Данных, в случае достижения цели обработки Данных;
• прекратить обработку Данных и уничтожить Данные в случае отзыва субъектом Данных согласия на обработку Данных, если Общество не вправе осуществлять обработку Данных без согласия субъекта Данных;
• выполнять иные обязанности предусмотренные действующим законодательством.

6. Обеспечение безопасности Данных

6.1. Общество при обработке Данных принимает все необходимые правовые, организационные и технические меры для защиты Данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных.

6.2. Для обеспечение безопасности Данных Общество осуществляет следующие мероприятия:

6.2.1. назначает лицо, ответственное за организацию обработки Данных, и лицо ответственное за обеспечение безопасности Данных;

6.2.2. ограничивает состав лиц, имеющих доступ к Данным;

6.2.3. разрабатывает и утверждает локальные акты, касающиеся обработки и защиты Данных;

6.2.4. разрабатывает и внедряет правовые, организационные и технические меры, обеспечивающие безопасность Данных, в частности:
• определение угроз безопасности Данных при их обработке в информационных системах Данных;
• применение организационных и технических мер по обеспечению безопасности Данных при их обработке в информационных системах Данных, необходимых для выполнения требований к защите Данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценка эффективности принимаемых мер по обеспечению безопасности Данных до ввода в эксплуатацию информационной системы Данных;
• учет машинных носителей Данных;
• обнаружение фактов несанкционированного доступа к Данным и принятие мер;
• восстановление Данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к Данным, обрабатываемым в информационной системе Данных, а также обеспечение регистрации и учета всех действий, совершаемых с Данными в информационной системе Данных;
• контроль за принимаемыми мерами по обеспечению безопасности Данных и уровня защищенности информационных систем Данных.

6.2.5. знакомит работников Общества, непосредственно осуществляющих обработку Данных, с требованиями законодательства Российской Федерации в части защиты Данных, в том числе с документами, определяющими политику Общества в отношении обработки Данных, локальными нормативными актам по вопросам обработки Данных;

6.2.6. Осуществляет внутренний контроль и аудит.

7. Хранение Данных. Сроки обработки Данных. Уничтожение Данных.

7.1. Данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

7.2. Данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах.

7.3. Данные, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).

7.4. Не допускается хранение и размещение документов, содержащих Данные, в открытых электронных каталогах (файлообменниках).
Обработка Данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации.

7.5. Хранение Данных осуществляется в форме, позволяющей определить субъекта Данных, не дольше, чем этого требуют цели обработки Данных, если срок хранения Данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Данных. Обрабатываемые Данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7.6. Сроки обработки/хранения Данных определяются исходя из целей обработки Данных, в соответствии со сроком действия договора с субъектом Данных, требованиями действующего законодательства, сроками исковой давности, требованиями по хранению документов в соответствии с законодательством об архивном деле.

7.7. Общество прекращает обработку персональных данных (и уничтожает их в случаях):
• ликвидации Общества;
• реорганизации Общества, влекущей прекращение его деятельности;
• отпадения правовых оснований обработки Данных и/или достижения целей обработки Данных.
Порядок уничтожения Данных на носителях, содержащих персональные данные, в том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах персональных данных, определяются Обществом в своих внутренних документах и локальных нормативных актах.

8. Конфиденциальность Данных.

8.1. Доступ к Данным ограничивается в соответствии с законодательством РФ.

8.2. Доступ к Данным предоставляется только тем работникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей.

8.3. Общество не раскрывает третьим лицам и не распространяет Данные без согласия на это субъекта данных, если иное не предусмотрено законодательством РФ.

8.4. Третьи лица, получившие доступ к Данным, или осуществляющие обработку Данных по поручению Общества, обязуются соблюдать требования договоров и соглашений с Обществом в части обеспечения конфиденциальности и безопасности Данных.

9. Заключительные положения

9.1. Субъекты Данных могут получить информацию по вопросам обработки своих Данных путем личного обращения в Общество, путем направления письменного запроса по адресу: 197022, г. Санкт-Петербург, ул. Чапыгина, д. 6, лит. П, офис 213.

9.2. Настоящий документ является внутренним локальным актом Общества. В случае, если отельные положения будут противоречить действующему законодательству, такие положения считаются недействительными, применению подлежат нормы действующего законодательства.

9.3. Настоящий документ обязателен для соблюдения всеми работниками Общества. Работники Общества, допустившие несоблюдение настоящей Политики несут ответственность в соответствии с действующим законодательством.

9.4. Контроль за соблюдением требований настоящей Политики осуществляется лицами, ответственными за организацию обработки Данных Обществом, а также за безопасность Данных.