Политика конфиденциальности

Политика в отношении персональных данных посетителей сайта в информационно-телекоммуникационной сети «Интернет»

ООО «Дары Сибири»

1. Общие положения

1.1. Настоящая политика разработана в соответствии с положениями Конституции Российской Федерации, Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и иными нормативными правовыми актами в области защиты и обработки персональных данных, действующими на территории Российской Федерации.

1.2. В настоящей политике используются следующие понятия:

— сайт — https://gift-siberia.com, расположенный на доменном имени gift-siberia.com, предлагающий сотрудничество по реализации натуральных чаев и экстрактов;

— администрация сайта — уполномоченные на управление сайтом работники, определяющие состав персональных данных пользователей сайта, цели сбора персональных данных, их обработку и хранение;

— пользователь сайта — физическое лицо, пользователь услуг сайта, субъект персональных данных, добровольно зарегистрировавшийся на сайте и предоставивший необходимые персональные данные при регистрации;

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.3. Настоящая политика устанавливает порядок получения, защиты, хранения, обработки и передачи персональных данных пользователей сайта, действует в отношении всей информации, которую администрация сайта может получить о пользователях во время использования ими сайта.

Настоящая политика не распространяется на другие сайты и не применяется в отношении сайтов третьих лиц. Администрация сайта не несет ответственность за сайты третьих лиц, на которые пользователи могут перейти по ссылкам, доступным на сайте.

1.4. К персональным данным пользователей сайта относятся: сведения, указанные в п.2.3 настоящей политики.

Персональные данные пользователей сайта являются конфиденциальной информацией и не могут быть использованы администрацией сайта или любым иным лицом в личных целях.

1.5. Цели обработки персональных данных пользователей сайта

Обработка персональных данных осуществляется исключительно для конкретных и законных целей:

1.5.1. Для общих персональных данных:

Фамилия, имя, отчество: идентификация Пользователя при регистрации, оформлении заказов, предоставлении доступа к персонализированным сервисам Сайта.

Страна: определение территориальной принадлежности для соблюдения законодательных требований и таможенного регулирования

Номера телефона: обеспечение связи с Пользователем для предоставления клиентской поддержки

Адрес электронной почты: направление информации о заказах, учетных записях, а также рекламных и информационных сообщений (при наличии согласия)

Интересы и предпочтения: персонализация контента и рекламных предложений, улучшение качества обслуживания.

Правовые основания для общих персональных данных: согласие субъекта, законные интересы оператора.

1.5.2. Для данных, передаваемых в автоматическом режиме:

IP-адрес: обеспечение безопасности Сайта, предотвращение мошеннических действий, сбор статистики посещаемости

Данные файлов cookie: аутентификация Пользователя, хранение персональных предпочтений и настроек, анализ поведения на Сайте

Информация о браузере и технических характеристиках оборудования: обеспечение корректного отображения контента, оптимизация работы Сайта под различные устройства

Дата и время доступа: анализ пиковых нагрузок, оптимизация производительности Сайта

Адреса запрашиваемых страниц: изучение интересов Пользователей, улучшение навигации и структуры Сайта

Сведения о действиях Пользователя: проведение статистических исследований, улучшение пользовательского опыта

Общие цели для всех категорий данных:

Исполнение обязательств перед Пользователем,

Соблюдение требований законодательства Российской Федерации,

Осуществление прав и законных интересов Оператора,

Обработка запросов и обращений Пользователей,

Проведение маркетинговых и статистических исследований.

Правовые основания для данных, передаваемых в автоматическом режиме: согласие субъекта, законные интересы оператора.

Обработка персональных данных прекращается по достижении указанных целей или в случае отзыва согласия Пользователем, за исключением случаев, когда обработка необходима для выполнения обязанностей, предусмотренных законодательством.

            1.6. Выполнение обязанностей, возложенных законодательством на Оператора осуществляется с учетом принципов:

• законности целей и способов обработки персональных данных;

• добросовестности Компании, что достигается путем выполнения требования законодательства Российской Федерации в отношении обработки персональных данных;

• соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;

• точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;

• уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления (если иное не предусмотрено законодательством Российской Федерации);

• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

1.7. Работники Компании, допущенные к обработке персональных данных, обязаны:

Знать и неукоснительно выполнять положения:

• законодательства Российской Федерации в области персональных данных;

• настоящей Политики;

• локальных актов Компании по вопросам обработки и обеспечения безопасности персональных данных;

Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

Не разглашать персональные данные, обрабатываемые в Компании;

Сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики, ответственному за организацию обработки персональных данных в Компании;

Сообщать об известных фактах нарушения требований настоящей Политики ответственному за организацию обработки персональных данных в Компании;

Безопасность персональных данных в Компании обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) актуальных угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз

1.8. Администрация сайта обеспечивает пользователям свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.

Администрация сайта разрабатывает меры защиты персональных данных пользователей сайта.

2. Обработка, хранение и передача персональных данных пользователей сайта

2.1. Обработка персональных данных пользователей сайта осуществляется исключительно в целях, указанных в п. 1.5. настоящей политики.

2.2. Обработка персональных данных на сайте осуществляется как с использованием средств автоматизации, так и без использования таких средств.

Обработка персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и методических документов ФСТЭК России и ФСБ России по защите информации.

Согласие на обработку ПДн может быть дано Субъектом ПДн или его представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом №152-ФЗ.

Согласие на обработку персональных данных может быть предоставлено Субъектом ПДн посредством совершения следующих конклюдентных действий: оформление чекбокса (галочки) с соответствующим текстом и ссылкой на политику конфиденциальности. В случае осуществления передачи персональных данных посредством телефонного вызова согласие на обработку персональных данных предоставляется Субъектом персональных данных в устной форме после прослушивания Субъектом персональных данных текста согласия, воспроизводимого сотрудниками Оператора, если иное не предусмотрено Федеральным законом №152-ФЗ.

Персональные данные Субъекта могут быть получены от лица, не являющегося Субъектом персональных данных, при условии предоставления подтверждения налички согласия Субъекта персональных данных на обработку его персональных данных или наличия оснований, указанных в п.п. 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ.

Если персональные данные получены не от Субъекта персональных данных, а от третьих лиц, Оператор персональных данных, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закон №152-ФЗ, до начала обработки таких персональных данных предоставляет Субъекту персональных данных следующую информацию:

• наименование либо фамилия, имя, отчество и адрес Оператора ПДн или его представителя;
• цель обработки персональных данных и ее правовое основание;
• перечень персональных данных;
• перечень предполагаемых пользователей персональных данных;
• об установленных Федеральным законом №152-ФЗ правах Субъекта ПДн;
• об источнике получения персональных данных

2.3. Перечень обрабатываемых персональных данных:

Категория персональных данных	Перечень персональных данных	Способ обработки	Срок обработки и хранения
Общие персональные данные	— фамилия, имя, отчество; — страна; — номера телефона; — адрес электронной почты; — интересы и предпочтения (на основании истории общения)	автоматизированная	В течение сроков, необходимых для достижения целей обработки, указанных в разделе 1.5 настоящей Политики. После достижения целей обработки данные обезличиваются или уничтожаются, за исключением случаев, когда федеральным законодательством установлена обязанность по хранению отдельных категорий данных в течение определенного срока (например, хранение финансовой документации в течение 5 лет согласно Федеральному закону от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»).
Данные, передаваемые в автоматическом режиме	— IP-адрес; — данные файлов cookie; — информация о браузере Пользователя (или иной программе); — технические характеристики оборудования и программного обеспечения; — дата и время доступа к сервисам; — адреса запрашиваемых страниц; — сведения о действиях Пользователя на Сайте	автоматизированная	В течение сроков, необходимых для функционирования технологий Сайта и достижения целей обработки, указанных в разделе 1.5 настоящей Политики. Для cookie-файлов срок хранения определяется настройками браузера Пользователя и не превышает сроков, установленных производителем программного обеспечения.

2.4. Персональные данные пользователей сайта хранятся в электронном виде в информационной системе персональных данных сайта, а также в архивных копиях баз данных сайта.

Персональные данные пользователей сайта на бумажных носителях не хранятся.

При хранении персональных данных пользователей сайта соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.

К обработке персональных данных пользователей сайта могут иметь доступ только работники администрации сайта, допущенные к работе с персональными данными пользователей сайта и подписавшие соглашение о неразглашении персональных данных пользователей сайта.

Перечень работников сайта, имеющих доступ к персональным данным пользователей сайта, утверждается приказом генерального директора.

2.5. Администрация сайта может передавать персональные данные пользователей сайта третьим лицам в следующих случаях:

• для направления информационных и рекламных сообщений (сервисам email-рассылок, CRM-системам);
• для проведения маркетинговых исследований и анализа данных;
• в случаях, предусмотренных законодательством Российской Федерации.

2.6. Передача данных третьим лицам осуществляется только при заключении договоров, предусмотренных ст. 6 152-ФЗ.

2.7. При передаче персональных данных пользователей сайта администрация сайта предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц письменное подтверждение соблюдения этого условия.

2.8. Согласие на обработку персональных данных, разрешенных пользователем сайта для распространения, оформляется отдельно от иных согласий пользователя сайта на обработку его персональных данных. Администрация сайта обеспечивает пользователю сайта возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных им для распространения.

2.9. Передача (распространение, предоставление, доступ) персональных данных, разрешенных пользователем сайта для распространения, должна быть прекращена в любое время по его требованию. Указанные в данном требовании персональные данные могут обрабатываться только администрацией сайта.

2.10. Иные права, обязанности, действия работников администрации сайта, в трудовые обязанности которых входит обработка персональных данных пользователей сайта, определяются должностными инструкциями.

2.11. Все сведения о передаче персональных данных пользователей сайта учитываются для контроля правомерности использования данной информации лицами, ее получившими.

2.12. В целях повышения качества сервиса и обеспечения возможности правовой защиты администрация сайта вправе хранить лог-файлы о действиях, совершенных пользователями в рамках использования сайта.

2.13. Порядок отзыва согласия на обработку персональных данных

• Субъект персональных данных вправе в любой момент отозвать свое согласие на обработку персональных данных. Для этого необходимо:
• Направить письменное заявление об отзыве согласия на обработку персональных данных по адресу места нахождения Оператора: 640002, Курганская обл., г. Курган, ул. Володарского, стр. 65, оф. 415.
• Отправить сканированную копию заявления на адрес электронной почты Оператора: info@gift-siberia.com.
• через ссылку в рассылке

Заявление должно содержать следующие сведения:

• ФИО субъекта персональных данных;
• Контактные данные (номер телефона, адрес электронной почты);
• Описание требования об отзыве согласия.
• Оператор обязан прекратить обработку персональных данных и уничтожить их в срок не более 30 (тридцати) дней с момента получения заявления, если сохранение данных не требуется в целях, предусмотренных законодательством РФ.

2.14. Меры обеспечения безопасности персональных данных

• Для защиты персональных данных пользователей Оператор применяет следующие организационные и технические меры:
• Шифрование передаваемых данных с использованием протокола TLS/SSL.
• Регулярное резервное копирование баз данных для предотвращения утраты информации.
• Использование антивирусного программного обеспечения и систем обнаружения вторжений.
• Ограничение доступа к персональным данным только для уполномоченных сотрудников, прошедших инструктаж по работе с персональными данными.

• Система аутентификации пользователей с использованием надежных паролей и двухфакторной аутентификации (при необходимости).
• Регулярный мониторинг и аудит действий с персональными данными для выявления нарушений.
• Обезличивание персональных данных при использовании в статистических и аналитических целях.
•  

3. Требования к помещениям, в которых производится обработка персональных данных

3.1. Размещение оборудования информационных систем персональных данных, специального оборудования и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

3.2. Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации.

3.3. Определение уровня специального оборудования помещения осуществляется специально создаваемой комиссией. По результатам определения класса и обследования помещения на предмет его соответствия такому классу составляются акты.

3.4. Кроме указанных мер по специальному оборудованию и охране помещений, в которых устанавливаются криптографические средства защиты информации или осуществляется их хранение, реализуются дополнительные требования, определяемые методическими документами Федеральной службы безопасности России.

4. Права и обязанности администрации сайта

4.1. Администрация сайта вправе устанавливать требования к составу персональных данных пользователей, которые должны обязательно предоставляться для использования сайта, при этом администрация сайта руководствуется настоящей политикой, Конституцией Российской Федерации, иными федеральными законами.

4.2. Администрация сайта не осуществляет проверку достоверности предоставляемых пользователями сайта персональных данных, полагая, что они действуют добросовестно и поддерживают информацию о своих персональных данных в актуальном состоянии.

4.3. Администрация сайта не несет ответственности за добровольную передачу пользователями сайта своих контактных данных, пароля или логина третьим лицам.

4.4. Администрация сайта не вправе получать и обрабатывать персональные данные пользователей сайта о их политических, религиозных и иных убеждениях и частной жизни.

4.5. Администрация сайта за свой счет обеспечивает защиту персональных данных пользователей сайта от неправомерного использования или утраты в порядке, установленном законодательством Российской Федерации.

4.6. Администрация сайта принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Администрация сайта самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:

— назначение ответственного за организацию обработки персональных данных;

— издание документов, определяющих политику сайта в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права пользователей сайта, а также возлагающие на администрацию сайта не предусмотренные законодательством Российской Федерации полномочия и обязанности;

— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

— осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике сайта в отношении обработки персональных данных, локальным актам сайта;

— оценка вреда, который может быть причинен пользователям сайта в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых администрацией сайта мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;

— ознакомление работников сайта, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику сайта в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

5. Права пользователей сайта на защиту своих персональных данных

5.1. Пользователи сайта в целях обеспечения защиты своих персональных данных, хранящихся на сайте, имеют право:

— получать полную информацию о своих персональных данных, их обработке, хранении и передаче;

— определять своих представителей для защиты своих персональных данных;

— требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящей политики и законодательства Российской Федерации;

— требовать от администрации сайта извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные пользователей сайта, обо всех произведенных в них исключениях, исправлениях или дополнениях.

При отказе администрации сайта исключить или исправить персональные данные пользователей сайта пользователи вправе заявить администрации сайта в письменном виде о своем несогласии с соответствующим обоснованием.

5.2. Пользователи сайта вправе самостоятельно ограничить сбор информации третьими лицами, используя стандартные настройки конфиденциальности применяемого ими для работы с сайтом интернет-браузера, а также в любое время изменить, удалить или дополнить представленные ими персональные данные.

5.3. Если пользователи сайта считают, что обработка их персональных данных осуществляется с нарушением требований Закона о персональных данных или иным образом нарушает их права и свободы, они вправе обжаловать действия или бездействие администрации сайта в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6. Порядок уничтожения, блокирования персональных данных

6.1. В случае выявления неправомерной обработки персональных данных при обращении пользователя сайта администрация сайта осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому пользователю, с момента такого обращения на период проверки.

6.2. В случае выявления неточных персональных данных при обращении пользователя сайта администрация сайта осуществляет блокирование персональных данных, относящихся к этому пользователю, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы пользователя сайта или третьих лиц.

6.3. В случае подтверждения факта неточности персональных данных администрация сайта на основании сведений, представленных пользователем сайта, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.4. В случае выявления неправомерной обработки персональных данных, осуществляемой администрацией сайта, администрация сайта в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.

6.5. В случае если обеспечить правомерность обработки персональных данных невозможно, администрация сайта в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.

6.6. Об устранении допущенных нарушений или об уничтожении персональных данных администрация сайта уведомляет пользователя сайта.

6.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав пользователя сайта, администрация сайта с момента выявления такого инцидента администрацией сайта, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:

— в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав пользователя сайта, и предполагаемом вреде, нанесенном правам пользователя сайта, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном администрацией сайта на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

— в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

6.8. В случае достижения цели обработки персональных данных администрация сайта прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.

6.9. В случае отзыва пользователем сайта согласия на обработку его персональных данных администрация сайта прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.

6.10. В случае обращения пользователя сайта к администрации сайта с требованием о прекращении обработки персональных данных администрация сайта в срок, не превышающий десяти рабочих дней с даты получения ей соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных Законом о персональных данных.

Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления администрацией сайта в адрес пользователя сайта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.11. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4-6.10 настоящей политики, администрация сайта осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6.12. После истечения срока нормативного хранения документов, содержащих персональные данные пользователя сайта, или при наступлении иных законных оснований документы подлежат уничтожению.

6.13. Администрация сайта для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.

6.14. По результатам экспертизы документы, содержащие персональные данные пользователя сайта и подлежащие уничтожению — стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных пользователей сайта

7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пользователей сайта, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.

8. Изменение политики

8.1. Настоящая политика может быть изменена или прекращена администрацией сайта в одностороннем порядке без предварительного уведомления пользователя сайта. Новая редакция политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией политики конфиденциальности.

8.2. Действующая редакция политики находится на сайте в информационно-телекоммуникационной сети «Интернет» по адресу: https://gift-siberia.com.