Политика обработки персональных данных

Перечень терминов и сокращений

Общие положения

Настоящая Политика разработана в соответствии с Конституцией РФ, ФЗ-152, а также иными нормативными правовыми актами в области защиты ПДн.

Действие Политики распространяется на все операции по обработке ПДн, которые Оператор осуществляет в рамках своей предпринимательской деятельности, включая, но не ограничиваясь:

• функционирование Сайта, оформление и исполнение Заказов (как через стандартную корзину, так и через форму «Быстрый заказ»);
• обработку обращений через форму «Я дизайнер», форму обратной связи и виджет «Заказать звонок»;
• проведение платежей через платежный сервис ЮKassa;
• доставку Товара (курьером, транспортными компаниями, самовывоз);
• ведение бухгалтерского и налогового учета;
• направление сервисных и рекламных рассылок (при наличии отдельного согласия);
• сбор статистики с использованием сервиса Яндекс.Метрика;
• защиту Сайта от автоматических запросов с помощью Yandex SmartCaptcha.

Использование Сайта, включая его просмотр, заполнение любых форм (оформление Заказа через корзину, «Быстрый заказ», «Я дизайнер», форма обратной связи), означает, что Пользователь ознакомлен с условиями настоящей Политики. Акцептом условий Политики в отношении обработки ПДн на основании согласия является проставление отметки (чекбокса) в соответствующем поле формы сбора ПДн. Само по себе использование Сайта не означает согласия на обработку ПДн, за исключением случаев, когда обработка необходима для исполнения договора (п. 5 ч. 1 ст. 6 ФЗ-152) или функционирования Сайта (технически необходимые cookie).

Если Пользователь не согласен с условиями Политики, он обязан немедленно прекратить использование Сайта.

Оператор не проверяет достоверность ПДн, предоставляемых Пользователем. При этом Оператор исходит из того, что Пользователь предоставляет достоверную и достаточную информацию. Риск предоставления недостоверных сведений несет предоставившее их лицо.

Политика не регулирует обработку ПДн сотрудников Оператора — для этого принят отдельный локальный акт. Также Политика не охватывает отношения, на которые не распространяется действие ФЗ-152 (п. 2 ст. 1 ФЗ-152).

Сайт и услуги Оператора не предназначены для лиц младше 18 лет. Оператор не осуществляет намеренный сбор и обработку ПДн несовершеннолетних. В случае выявления факта предоставления ПДн лицом, не достигшим 18 лет, такие данные подлежат незамедлительному удалению.

Правовые основания обработки ПДн

Правовыми основаниями обработки ПДн Оператором являются:

1. Заключение, исполнение, изменение и прекращение договора розничной купли-продажи (публичной оферты), стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 ФЗ-152).

   Применяется для обработки ПДн, необходимых для: регистрации и авторизации (через Личный кабинет), оформления Заказа (включая форму «Быстрый заказ» и заказ через корзину), доставки Товара, связи с Покупателем, проведения платежей, ведения бухгалтерского и налогового учета, урегулирования споров.

2. Согласие субъекта ПДн на обработку его ПДн (п. 1 ч. 1 ст. 6 ФЗ-152). Данное согласие запрашивается для следующих целей, не вытекающих напрямую из договора, но необходимых для улучшения сервиса или предусмотренных законом:

   • обработка запросов и обращений, поступивших через форму «Я дизайнер», форму обратной связи и виджет «Заказать звонок»;
   • направление рекламных и информационных рассылок (в том числе рассылка товарных остатков и информация о забытых корзинах через CRM 1С);
   • сбор статистики и анализ поведения пользователей с помощью сервиса Яндекс.Метрика (через cookie-баннер);
   • использование сервиса Yandex SmartCaptcha для защиты от автоматических запросов (капча) — обработка обезличенных технических данных.

Обработка технически необходимых файлов cookie осуществляется без отдельного согласия Пользователя на основании п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора, функционирование Сайта).

Механизмы получения согласия субъекта ПДн

Для сбора согласия Оператор использует следующие механизмы, обеспечивающие явное, информированное и осознанное согласие:

Для целей заключения и исполнения договора купли-продажи (оформление Заказа через корзину, а также через форму «Быстрый заказ»)

Согласие на обработку необходимых ПДн выражается путем проставления отметки (чекбокса) в специальном поле под формой оформления Заказа. Чекбокс не активирован по умолчанию и сопровождается текстом: «Я даю согласие на обработку моих персональных данных в соответствии с Политикой обработки персональных данных» (с активной гиперссылкой на полный текст Политики). Активация кнопки отправки формы технически невозможна без проставления данной отметки. Для формы «Быстрый заказ» (только имя, телефон и e-mail) согласие получается аналогичным чекбоксом, при этом Пользователь уведомляется, что после отправки формы с ним свяжется менеджер для уточнения состава Заказа и адреса доставки.

Для обработки запросов и обращений (формы «Я дизайнер», форма обратной связи, виджет «Заказать звонок»)

В этих формах используется аналогичный механизм с неактивированным по умолчанию чекбоксом, за исключением виджета «Заказать звонок», где согласие считается полученным с момента отправки номера телефона, так как отправка невозможна без явного указания номера и виджет информирует о том, что данные будут использованы для обратного звонка.

Для направления рекламных и информационных рассылок

Используется отдельный, неактивированный по умолчанию чекбокс с текстом, явно описывающим суть согласия, например: «Я согласен на получение рекламных и информационных сообщений». Согласие на рассылку НЕ ЯВЛЯЕТСЯ обязательным условием для регистрации, оформления Заказа и использования основных функций Сайта.

Для сбора аналитических данных (сервис Яндекс.Метрика)

При первом посещении Сайта Пользователю отображается cookie-баннер, запрашивающий отдельное, явное согласие на использование необязательных аналитических файлов cookie и загрузку соответствующих скриптов. Баннер содержит кнопки: «Принять все», «Отклонить все», «Настроить». До явного выбора необязательные cookie не устанавливаются и не обрабатываются. Отказ от аналитики не влияет на возможность использования основных функций Сайта.

Для использования сервиса Yandex SmartCaptcha (капча)

Согласие на обработку технических данных (IP-адрес, данные об устройстве, поведенческие характеристики) в рамках работы капчи считается полученным в момент взаимодействия с капчей. Эти данные обрабатываются исключительно в целях защиты Сайта от автоматических запросов и не используются для идентификации Пользователя.

Если предоставление ПДн является обязательным в силу закона или необходимо для исполнения договора, Оператор уведомляет об этом Субъекта. При отказе Субъекта предоставить необходимые ПДн Оператор не сможет выполнить обязательства и будет вынужден отказать в предоставлении услуг (например, не сможет оформить и доставить Заказ).

Основные права и обязанности Оператора

Оператор имеет право:

• получать достоверные ПДн;
• обрабатывать ПДн в объеме и для целей, предусмотренных Политикой;
• в случае отзыва согласия продолжать обработку на ином законном основании (например, для исполнения требований законодательства или договора);
• передавать ПДн для обработки третьим лицам, указанным в разделе «Передача ПДн третьим лицам»;
• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами.

Оператор обязан:

• публиковать настоящую Политику на Сайте;
• организовывать обработку ПДн в порядке, установленном действующим законодательством РФ;
• предоставлять Субъекту по его просьбе информацию, касающуюся обработки его ПДн;
• использовать полученную информацию исключительно для заявленных целей;
• отвечать на обращения и запросы Субъектов и их законных представителей в соответствии с требованиями ФЗ-152;
• принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
• прекратить обработку и уничтожить ПДн в порядке и случаях, предусмотренных ФЗ-152;
• сообщать в уполномоченный орган по защите прав Субъектов по запросу этого органа необходимую информацию в течение 30 (тридцати) календарных дней с даты получения такого запроса;
• своевременно уведомлять Роскомнадзор в случае установления факта неправомерной или случайной передачи ПДн, повлекшей нарушение прав субъектов ПДн, в срок, не превышающий 24 часа с момента обнаружения инцидента;
• исполнять иные обязанности, предусмотренные ФЗ-152.

Основные права и обязанности субъектов персональных данных

Субъект имеет право:

• на отзыв согласия на обработку ПДн;
• получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами;
• требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• обжаловать действия Оператора в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) или в судебном порядке;
• на осуществление иных прав, предусмотренных законодательством РФ.

Субъект обязан:

• предоставлять Оператору достоверные данные о себе;
• своевременно сообщать Оператору об уточнении (обновлении, изменении) своих ПДн.

Оператор не проверяет достоверность ПДн, предоставляемых Субъектом. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом Субъекте ПДн без согласия последнего, несут ответственность в соответствии с законодательством РФ.

Субъект ПДн вправе направить Оператору запрос, касающийся обработки его ПДн, включая запрос на отзыв согласия, по электронной почте zakaz@bronzedeluxe.ru. Оператор обязан рассмотреть запрос и дать ответ в течение 10 (десяти) рабочих дней. В исключительных случаях срок может быть продлен, но не более чем на 5 (пять) рабочих дней, с уведомлением Субъекта.

Запрос должен содержать: номер основного документа, удостоверяющего личность Субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (например, номер Заказа, дата оформления, адрес электронной почты, указанный при заказе), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором; подпись Субъекта ПДн или его представителя.

Принципы обработки персональных данных

Обработка ПДн осуществляется на основе следующих принципов:

• законности и справедливости;
• ограничения обработки конкретными, заранее определенными и законными целями;
• недопущения объединения баз данных, содержащих ПДн, обрабатываемых в несовместимых целях;
• обработки только тех ПДн, которые отвечают целям (принцип минимизации);
• соответствия содержания и объема ПДн заявленным целям (недопущение избыточности);
• обеспечения точности, актуальности и принятия мер по удалению или уточнению неполных / неточных данных;
• хранения ПДн в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки.

При сборе ПДн с использованием сети Интернет Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн с использованием баз данных, находящихся на территории Российской Федерации.

Цели обработки персональных данных

Оператор обрабатывает ПДн Пользователей строго для следующих заранее определенных и законных целей (детализированный перечень с указанием категорий субъектов, состава ПДн, сроков хранения и порядка уничтожения приведен в Приложении № 1 к настоящей Политике):

1. Заключение, исполнение, изменение и прекращение договора розничной купли-продажи (дистанционным способом), включая оформление Заказа через корзину и форму «Быстрый заказ».
2. Заключение и исполнение договоров с контрагентами — физическими лицами, ИП, самозанятыми и представителями юридических лиц. Данная цель включает: обработку персональных данных для заключения договоров (в том числе в простой письменной форме или путем обмена документами по электронной почте), выставления и оплаты счетов, обмена первичными учетными документами (включая ЭДО), ведения бухгалтерского и налогового учета, урегулирования взаимных обязательств.
3. Регистрация и ведение Личного кабинета Пользователя на Сайте (если Пользователь прошел регистрацию).
4. Обработка запросов и обращений Пользователей (через форму «Я дизайнер», форму обратной связи, виджет «Заказать звонок»).
5. Направление рекламных и информационных рассылок — осуществляется только при наличии отдельного согласия.
6. Анализ поведения пользователей на Сайте и улучшение его работы с помощью сервиса Яндекс.Метрика — осуществляется только при наличии отдельного согласия через cookie-баннер.
7. Обеспечение функционирования Сайта, его безопасности и улучшения работы (технически необходимые cookie, а также защита от автоматических запросов с помощью Yandex SmartCaptcha).

Состав обрабатываемых персональных данных

В зависимости от цели, Оператор может обрабатывать следующие ПДн:

• Идентификационные и контактные данные: фамилия, имя, отчество (при наличии); адрес электронной почты; номер контактного телефона; адрес доставки.
• Данные Заказа: состав Заказа, комментарии, сумма Заказа, идентификатор Заказа.
• Данные учётной записи (Личного кабинета): логин (email), пароль (хранится в зашифрованном виде).
• Данные, предоставляемые при обращении (форма «Я дизайнер», форма обратной связи): текст обращения, история переписки, а также дополнительная информация, которую Пользователь решил указать (например, проектные пожелания).
• Технические данные (при наличии согласия или в целях функционирования): IP-адрес; данные cookie; информация о браузере и устройстве; данные о сессиях; просмотренные страницы; действия на Сайте; данные, передаваемые в сервис Yandex SmartCaptcha для проверки, что запрос не является автоматическим.
• Данные об оплате: идентификатор заказа, сумма платежа; реквизиты банковских карт не обрабатываются и не хранятся Оператором — их сбор и обработка осуществляются исключительно на стороне платежного сервиса ЮKassa.
• Для представителей юридических лиц и индивидуальных предпринимателей: фамилия, имя, отчество, должность, наименование организации, ИНН, КПП, юридический адрес, реквизиты для выставления счета.

Категории субъектов персональных данных

Оператор обрабатывает ПДн следующих категорий субъектов:

• Клиенты (покупатели) — физические лица, оформляющие Заказы на Сайте (через корзину или форму «Быстрый заказ»), а также физические лица — представители юридических лиц и ИП, оформляющие Заказ.
• Пользователи Сайта — физические лица, посещающие Сайт, заполняющие формы «Я дизайнер», форму обратной связи или виджет «Заказать звонок» без оформления Заказа.
• Подписчики — физические лица, выразившие отдельное согласие на получение рекламных и информационных рассылок (в том числе представители юридических лиц и ИП, давшие согласие).
• Посетители Сайта (аналитика) — физические лица, в отношении которых осуществляется сбор обезличенных статистических данных с помощью сервиса Яндекс.Метрика (при наличии согласия).
• Контрагенты (партнеры) — физические лица, в том числе зарегистрированные в качестве индивидуальных предпринимателей (ИП) или самозанятых (плательщиков налога на профессиональный доход), а также представители юридических лиц, с которыми Оператор взаимодействует в рамках заключения и исполнения договоров поставки, аренды, оказания услуг, иных гражданско-правовых договоров, а также для обмена документами (в том числе через ЭДО) и проведения взаимных расчетов.

Срок хранения и обработки персональных данных

Обработка ПДн осуществляется в течение сроков, необходимых для достижения целей обработки, если иное не установлено законодательством РФ.

Конкретные сроки обработки и хранения ПДн применительно к каждой цели обработки указаны в Приложении № 1 к настоящей Политике. Основные сроки:

• ПДн, обрабатываемые для заключения и исполнения договора купли-продажи (включая данные бухгалтерского учета), хранятся в течение 5 (пяти) лет с момента окончания срока действия договора или последнего взаимодействия с клиентом (срок исковой давности и требования налогового законодательства).
• ПДн контрагентов (физических лиц, ИП, самозанятых, представителей юридических лиц), обрабатываемые в рамках заключения и исполнения договоров (включая данные бухгалтерского и налогового учета, первичные учетные документы, счета, акты), хранятся в течение 5 (пяти) лет с момента прекращения договорных отношений, если иные сроки не установлены налоговым или гражданским законодательством.
• Данные Личного кабинета обрабатываются до удаления учётной записи Пользователем, но не более 6 (шести) месяцев неактивности (при отсутствии действующих Заказов).
• ПДн, обработанные на основании согласия для обработки запросов (без заключения договора), хранятся в течение 6 (шести) месяцев с момента последнего взаимодействия или до отзыва согласия.
• ПДн, обрабатываемые для целей рекламных и информационных рассылок, хранятся до момента отзыва Субъектом соответствующего согласия.
• Обезличенные ПДн, собираемые сервисом Яндекс.Метрика, хранятся и обрабатываются ООО «Яндекс» в течение 26 (двадцати шести) месяцев с момента сбора. Оператор самостоятельно сырые логи не хранит.
• Cookie-файлы (аналитические) хранятся до отзыва согласия, но не более 365 дней.
• Технически необходимые cookie (обеспечивающие работу Сайта) хранятся до закрытия сессии или до 30 суток.

По истечении установленных сроков хранения или при наступлении иных условий прекращения обработки Оператор производит уничтожение ПДн в следующем порядке:

• электронные данные уничтожаются методами гарантированного стирания (перезапись, низкоуровневое форматирование) с использованием специализированного лицензионного программного обеспечения, исключающего возможность последующего восстановления информации;
• материальные (бумажные) носители (при их появлении) уничтожаются путем механического измельчения (шредирования) до состояния, исключающего прочтение текста. По факту уничтожения составляется акт с указанием состава уничтоженных документов и способа уничтожения.

Передача персональных данных третьим лицам

Оператор может предоставлять доступ к ПДн третьим лицам, которые осуществляют их обработку по поручению Оператора для достижения целей, указанных в настоящей Политике. С каждым таким лицом заключается соответствующий договор (поручение на обработку ПДн или соглашение о конфиденциальности), обязывающий соблюдать законодательство о ПДн и обеспечивать безопасность ПДн.

Оператор передает ПДн следующим категориям третьих лиц:

• Платёжный сервис ЮKassa (ООО НКО «ЮМани», ИНН 7750005725, ОГРН 1127711000031, адрес: 115035, г. Москва, Садовническая ул., д. 82, стр. 2) — для обработки онлайн-платежей. Передаются: идентификатор заказа, сумма платежа. Реквизиты банковских карт Оператором не обрабатываются и не хранятся — их сбор и обработка осуществляются исключительно на стороне ЮKassa.
• Курьерские и транспортные компании (курьерская служба по Москве/Подмосковью, а также транспортные компании ПЭК, Деловые линии, Байкал-Сервис) — для доставки Товара. Передаются: фамилия, имя, номер телефона, адрес доставки.
• CRM-система 1С (используется Оператором для автоматизации, учета заказов и направления рассылок (товарные остатки, забытые корзины)). Передаются: фамилия, имя, адрес электронной почты, номер телефона, состав заказа. Рассылки осуществляются только при наличии отдельного согласия Пользователя (чекбокс на согласие).
• Сервис Яндекс.Метрика (ООО «Яндекс») — для анализа посещаемости Сайта с использованием сервиса Яндекс.Метрика (при наличии отдельного согласия Пользователя). Передаются: обезличенный IP-адрес, cookie-идентификаторы, данные о действиях на Сайте.
• Сервис Yandex SmartCaptcha (ООО «Яндекс», ИНН 7736207543, ОГРН 1027700229193) — для защиты Сайта от автоматических запросов. Передаются: IP-адрес, данные об устройстве и браузере, поведенческие характеристики (в обезличенном виде).
• Виджет «Заказать звонок», сервис LeadBack.ru (ООО «Конверсия», ИНН: 3257023904 / КПП: 325701001, Юридический адрес: 241037, г. Брянск, ул. Костычева, д. 68, 94) — для обработки заявок на обратный звонок. Передаются: номер телефона, имя (если указано). Обработка осуществляется на основании согласия Пользователя, получаемого через виджет.
• Хостинг-провайдер (обеспечивает размещение Сайта). Передаются технические данные (IP-адрес, логи) в минимально необходимом объеме.
• Государственные органы — в случаях, предусмотренных законодательством РФ (по мотивированному запросу суда, правоохранительных или налоговых органов). Передача осуществляется в объеме и порядке, установленном законом.

Передача данных осуществляется только для целей, указанных в Политике, и только в объеме, необходимом для оказания соответствующей услуги. С каждым третьим лицом, выступающим в роли обработчика по поручению, заключено соглашение о конфиденциальности и/или поручение на обработку ПДн.

Перечень действий, производимых Оператором с полученными персональными данными

Оператор осуществляет полный цикл обработки ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Обработка проводится с использованием средств автоматизации, а также без использования таких средств (например, при работе с бумажными документами), строго в предусмотренных Политикой целях.

Блокирование, уточнение и уничтожение персональных данных при выявлении неточностей или нарушений

Выявление и обращение к Оператору

Субъект ПДн вправе направить запрос на уточнение своих ПДн при обнаружении неточностей. Запрос направляется на электронный адрес Оператора с пометкой «Актуализация ПДн».

В случае выявления неправомерной обработки ПДн Субъект или уполномоченный орган вправе потребовать прекратить такие действия.

Блокирование ПДн

При поступлении обращения Субъекта или требования уполномоченного органа о неправомерности обработки Оператор блокирует спорные ПДн с момента получения такого обращения/требования на время проведения проверки.

При обнаружении неточностей в ПДн Оператор вправе заблокировать эти данные до завершения их проверки и уточнения, если это не нарушает права и законные интересы Субъекта или третьих лиц.

Блокирование ПДн означает временное прекращение любых операций с ними (кроме операции уточнения).

Уточнение (актуализация) ПДн

Оператор обязан рассмотреть запрос на уточнение и провести проверку в течение 7 (семи) рабочих дней с момента получения от Субъекта подтверждающих документов или информации, необходимой для внесения изменений.

В случае подтверждения неточностей Оператор вносит соответствующие изменения в базы данных.

После завершения уточнения ПДн их блокирование снимается.

Прекращение обработки ПДн

По отзыву согласия: обработка, основанная на согласии, прекращается, а ПДн уничтожаются в срок, не превышающий 30 (тридцати) календарных дней, если иное не предусмотрено законом (например, обязанность хранить бухгалтерские документы).

При выявлении незаконной обработки: Оператор незамедлительно прекращает незаконную обработку ПДн. Уничтожение незаконно обрабатываемых ПДн осуществляется в срок, не превышающий 10 (десяти) рабочих дней. Субъект ПДн уведомляется о результатах рассмотрения его обращения и предпринятых мерах.

Уничтожение ПДн по истечении срока хранения

Документы с истекшим сроком хранения уничтожаются по решению Оператора (или экспертной комиссии, если создана). Составляется акт уничтожения.

Уничтожение электронных данных производится методами, исключающими восстановление (гарантированное стирание с использованием специального ПО, низкоуровневое форматирование). Если уничтожение невозможно, данные блокируются на 6 месяцев.

Специальные процедуры отзыва согласий

• Отзыв согласия на обработку ПДн (общее): Субъект направляет запрос на электронный адрес Оператора с пометкой «Отзыв согласия на обработку ПДн». Обработка, основанная на согласии, прекращается в течение 30 календарных дней. Данные уничтожаются в случае отсутствия иных правовых оснований для хранения.
• Отзыв согласия на использование сервиса Яндекс.Метрика и аналитических cookie: Пользователь может в любой момент изменить свой выбор через виджет управления cookie в футере Сайта либо направить запрос Оператору. Оператор прекратит использование сервиса не позднее 30 календарных дней. Обработка необязательных cookie прекращается в течение 24 часов.
• Отзыв согласия на рекламные рассылки (в том числе через CRM 1С): Субъект вправе отозвать согласие, направив запрос с пометкой «Отзыв согласия на рекламные рассылки» или воспользовавшись ссылкой «Отписаться» в полученном письме. Обработка ПДн для данной цели прекращается в срок не позднее 3 (трёх) рабочих дней, данные уничтожаются в течение 30 календарных дней.
• Отзыв согласия на обработку данных через виджет LeadBack.ru: Субъект вправе отозвать согласие, направив запрос Оператору. Обработка номера телефона для целей обратного звонка прекращается в течение 30 календарных дней, после чего номер удаляется из базы виджета.

Меры по обеспечению безопасности ПДн

Оператор принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в соответствии со ст. 18.1 и 19 ФЗ-152, Постановлением Правительства РФ от 01.11.2012 № 1119 (4-й уровень защищенности), Приказом ФСТЭК России № 21 и иными актами.

Организационные меры

• разработана и действует настоящая Политика, а также иные локальные акты по вопросам обработки и защиты ПДн;
• назначено лицо, ответственное за организацию обработки ПДн (один из сотрудников Оператора);
• работники, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства о ПДн и локальными актами;
• ограничен состав лиц, имеющих доступ к ПДн, и разграничены их права доступа;
• определен перечень угроз безопасности ПДн при их обработке в информационных системах с учетом актуальных угроз для 4-го уровня защищенности;
• организован учет и хранение материальных носителей ПДн (бумажных и электронных), исключающий их хищение, подмену, несанкционированное копирование и уничтожение;
• обеспечено раздельное хранение ПДн, обрабатываемых в разных целях;
• проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ-152, и принимаются адекватные меры для недопущения такого вреда.

Технические меры

• использование лицензионного антивирусного программного обеспечения на всех устройствах, используемых для обработки ПДн;
• применение межсетевых экранов и средств защиты информации (шифрование каналов связи, резервное копирование баз данных);
• использование стойких паролей и, где возможно, двухфакторной аутентификации;
• автоматическая блокировка сеанса при бездействии;
• регулярное обновление операционной системы и прикладного программного обеспечения;
• ведение журналов событий и регистрация всех операций с ПДн в информационных системах (логирование);
• обеспечение физической сохранности носителей информации: бумажные документы с ПДн хранятся в запираемом металлическом шкафу (сейфе) в помещении, доступ в которое имеют только уполномоченные лица.

Применяемые средства обеспечения безопасности ПДн

• Защита устройств: использование лицензионного антивирусного ПО (Kaspersky, Dr.Web или аналог), своевременная установка обновлений безопасности операционной системы и прикладного программного обеспечения, активация межсетевого экрана.
• Управление доступом: использование уникальных и надежных паролей (не менее 12 символов, включая буквы разного регистра, цифры и спецсимволы), ограничение физического доступа к устройствам, автоматическая блокировка сеанса при бездействии более 5 минут.
• Резервное копирование: регулярное создание резервных копий баз данных, содержащих ПДн, на внешние защищенные носители, хранящиеся в условиях, исключающих несанкционированный доступ.

Сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите, установленными Правительством РФ

В соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 для информационной системы ПДн Оператора установлен 4-й уровень защищённости (обрабатываются иные категории ПДн, не специальные и не биометрические, количество субъектов составляет менее 100 000, актуальные угрозы относятся к 3-му типу).

Для обеспечения 4-го уровня защищенности Оператором реализованы следующие меры:

• назначено лицо, ответственное за обеспечение безопасности ПДн (функции выполняет уполномоченный сотрудник);
• определены и применяются меры по обеспечению сохранности машинных носителей ПДн;
• доступ к данным предоставлен только уполномоченным лицам; доступ третьих лиц невозможен без заключения договора поручения;
• осуществляется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
• проводится оценка эффективности принимаемых мер до ввода ИСПДн в эксплуатацию и при изменении условий обработки (не реже одного раза в год).

В соответствии с Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» при обработке ПДн на бумажных носителях (при их появлении):

• определены места хранения материальных носителей ПДн (запираемый металлический шкаф/сейф по адресу регистрации Оператора);
• определен перечень лиц, осуществляющих такую обработку (только уполномоченные сотрудники);
• обеспечены условия хранения, исключающие несанкционированный доступ (запираемые помещения, контроль ключей).

В случае выявления инцидентов (неправомерной или случайной передачи ПДн, повлекшей нарушение прав субъектов) Оператор уведомляет Роскомнадзор в сроки, установленные ч. 3.1 ст. 21 ФЗ-152: в течение 24 часов — о факте инцидента, в течение 72 часов — о результатах внутреннего расследования.

Трансграничная передача ПДн

Трансграничная передача ПДн Оператором не осуществляется. Все базы данных, содержащие ПДн граждан РФ, находятся на серверах, расположенных на территории Российской Федерации.

Передача данных сторонним сервисам, указанным в разделе «Передача ПДн третьим лицам», не является трансграничной передачей в смысле ст. 12 ФЗ-152, так как все указанные лица (за исключением, возможно, некоторых иностранных сервисов, не используемых) обеспечивают хранение и обработку данных на территории РФ, что подтверждено договорами или общедоступными сведениями. Оператор не использует серверы и облачные сервисы, хранящие ПДн за пределами РФ.

В случае возникновения необходимости трансграничной передачи Оператор обязуется соблюдать условия, предусмотренные ст. 12 ФЗ-152: убедиться в надлежащей защите прав субъектов ПДн на территории иностранного государства либо получить письменное согласие Субъекта.

Файлы cookie и использование сервисов аналитики

Сайт использует следующие категории файлов cookie:

• Технически необходимые (обязательные) файлы cookie — обеспечивают базовую функциональность Сайта (корректную работу корзины, форм заказа, авторизацию, безопасность). Их использование не требует отдельного согласия Пользователя. Срок хранения: сессионные — до закрытия браузера, иные — до 30 суток.
• Аналитические файлы cookie (сервис Яндекс.Метрика) — используются для сбора обобщенной статистической информации о поведении пользователей с целью повышения качества и эффективности Сайта. Для их активации требуется отдельное, явное согласие Пользователя, которое запрашивается при первом посещении Сайта через cookie-баннер. Срок хранения: 26 месяцев. Отказ от аналитики не влияет на возможность использования основных функций Сайта.
  • Состав данных, фиксируемых в cookie: идентификаторы сессии/устройства, IP-адрес, тип браузера и ОС, геолокационные данные (страна, город), данные о поведении на Сайте (клики, время просмотра), информация об ошибках (при наличии).
  • При первом посещении Сайта Пользователю отображается информационный баннер (cookie-баннер) со следующим текстом: «Мы используем cookie-файлы и сервис Яндекс.Метрика для сбора статистики, чтобы сайт работал корректно и улучшался. Обязательные cookie необходимы для работы сайта. Для использования аналитических cookie (Яндекс.Метрика) и функциональных cookie требуется ваше согласие. Подробнее – в Политике обработки персональных данных».
  • Баннер содержит кнопки выбора:
    • «Принять все» (активируются все необязательные cookie, загружается скрипт Яндекс.Метрики);
    • «Принять необходимые» (активируются только технически необходимые cookie);
    • «Настроить» (открывает панель с детальным выбором типов cookie).
  • До нажатия любой из кнопок выбора необязательные cookie не устанавливаются и не обрабатываются.
  • Пользователь может в любой момент отозвать или изменить свое согласие через виджет управления cookie в футере (подвале) Сайта, а также направив запрос на email Оператора.
  • Отключение или удаление файлов cookie через настройки браузера не считается надлежащим способом отзыва согласия у Оператора и может привести к некорректной работе Сайта.

Информация о сервисе Яндекс.Метрика

• Оператор информирует Пользователя о применении сервиса Яндекс.Метрика для сбора статистических данных о посещаемости Сайта, анализа поведения Пользователей и улучшения качества работы Сайта.
• Информация об использовании Сайта передается Яндексу и хранится на серверах Яндекса в РФ. Правила обработки данных сервисом Яндекс.Метрика можно найти по ссылке.
• При передаче в Яндекс.Метрику включаются данные, потенциально относящиеся к персональным, в том числе IP-адрес, cookie-идентификаторы и сведения о взаимодействии с Сайтом.
• Яндекс применяет технологии обезличивания (включая хэширование IP-адресов и анонимизацию идентификаторов), что исключает возможность прямой идентификации Пользователя, кроме как с использованием дополнительной информации, находящейся под контролем Яндекса. Политика конфиденциальности Яндекса доступна по ссылке.
• Перечень обрабатываемых сервисом Яндекс.Метрика данных доступен по ссылке и включает:
  • технические данные устройства и программного обеспечения (тип браузера, ОС, разрешение экрана и т.д.);
  • IP-адрес устройства;
  • Cookie-идентификаторы и идентификаторы пользователей/сессий;
  • URL источника перехода на Сайт (реферер);
  • данные о поведении пользователя на сайте (просмотренные страницы, клики, время нахождения, пользовательские события);
  • приблизительные географические данные (определяемые по IP-адресу);
  • данные о предполагаемых демографических характеристиках и интересах посетителей Сайта, предоставляемые Яндексом (если такие данные имеются у Яндекса, и пользователь дал Яндексу соответствующее согласие).
• Срок хранения файлов cookie: 26 месяцев.
• Обработка данных, позволяющих идентифицировать Пользователя, осуществляется исключительно на основании его явного согласия, предоставленного в информационном баннере при первом посещении Сайта.
• Пользователь имеет право в любой момент отозвать согласие через специальный интерфейс (виджет) управления cookie-файлами в футере Сайта, а также путем отправки запроса на электронный адрес Оператора. Отзыв согласия через настройки браузера не считается надлежащим отзывом согласия и может привести к некорректной работе Сайта.
• Пользователь информирован, что в связи с архитектурой сервиса Яндекс.Метрика (агрегация и обезличивание данных) техническое выделение и удаление конкретных данных, собранных до отзыва согласия, может быть затруднено. Гарантированно все данные, обрабатываемые сервисом, обезличиваются или удаляются Яндексом по истечении 26 месяцев с момента сбора, что соответствует установленному Яндексом стандартному сроку хранения.
• Для полного и немедленного прекращения любой обработки данных сервисом, Пользователю рекомендуется самостоятельно очистить файлы cookie и данные сайта в настройках своего браузера.

Ответственность сторон

Оператор несет ответственность за нарушение требований законодательства РФ в области ПДн в соответствии с действующим законодательством (ст. 13.11 КоАП РФ, ст. 24 ФЗ-152).

Оператор не несет ответственность за утрату или разглашение конфиденциальной информации, если данная информация:

• стала публичным достоянием до ее утраты или разглашения;
• была получена от третьей стороны до момента ее получения Оператором;
• была разглашена с согласия Субъекта.

Заключительные положения

Субъект может получить любые разъяснения по интересующим вопросам, касающимся обработки его ПДн, обратившись к Оператору по электронному адресу: zakaz@bronzedeluxe.ru.

Настоящая Политика является общедоступным документом и подлежит размещению на Сайте по адресу: bronzedeluxe.ru. Актуальная редакция Политики всегда доступна по указанному адресу.

Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке. Все изменения вступают в силу с момента их опубликования на Сайте, если иной срок не указан в новой редакции Политики. Пользователь обязуется самостоятельно следить за актуальной редакцией Политики.

Политика действует бессрочно до замены ее новой версией.

Реквизиты Оператора

Индивидуальный предприниматель Давидьянц Сергей Владимирович

ИНН: 504710039282
ОГРНИП: 320508100357338

Адрес регистрации: 141400, Московская область, г. Химки, ул. Кудрявцева, д. 15, кв. 82

Фактический адрес (для самовывоза): Московская область, г. Химки, ул. Репина, д. 6 стр. 7, офис 315

Телефоны: +7(495)741-80-85, +7(925)755-99-21

Электронная почта: zakaz@bronzedeluxe.ru

Приложение № 1 к Политике обработки персональных данных

Перечень целей, сроков, способов обработки ПДн, категорий субъектов и обрабатываемых ПДн