Политика конфиденциальности

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПЕРЕЧЕНЬ ТЕРМИНОВ И СОКРАЩЕНИЙ

Оператор - Индивидуальный предприниматель Городкова Юлия Александровна (ИНН 711705985210, ОГРНИП 324508100506515, адрес регистрации: 141107, Московская область, г. Щёлково, ул. Неделина, д. 3, кв. 26)

Политика - настоящая Политика обработки персональных данных.

ПДн - персональные данные: любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)

Субъект - Субъект ПДн, человек (физическое лицо), которому принадлежат персональные данные и которого по ним можно определить.

ФЗ - Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Сайт - совокупность информации, текстов, графических элементов, дизайна, изображений, фото- и видеоматериалов, иных результатов интеллектуальной деятельности, а также программных средств для ЭВМ, обеспечивающих публикацию информации и данных с общим целевым назначением для всеобщего обозрения посредством технических средств связи сети Интернет; размещен по адресу https://gerso.ru/.

Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.

Биометрические ПДн - физиологические данные человека, в том числе его изображение (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта

Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн)

ИСПДн - Информационная система ПДн, совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий, и технических средств

Обезличивание ПДн - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность ПДн конкретному Пользователю или иному субъекту ПДн.

Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств. Обработка ПДн включает в себя в том числе:

• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

ПДн, разрешенные субъектом для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом для распространения в порядке, предусмотренном ФЗ.

Пользователь - любое лицо, имеющее доступ к Сайту посредством сети Интернет.

Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Распространение ПДн - любые действия, направленные на раскрытие ПДн неопределенному кругу лиц (передача ПДн данных) или на ознакомление с ПДн неограниченного круга лиц, в том числе обнародование ПДн, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.

Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

Уничтожение ПДн - любые действия, в результате которых ПДн уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания ПДн в ИСПДн и (или) уничтожаются материальные носители ПДн.

Электронный адрес Оператора - адрес электронной почты info-gerso@yandex.ru, предназначенный для:

• отзыва согласий;
• направления претензий;
• запросов технической поддержки;
• направления иных обращений, касающихся обработки ПДн.

IP-адрес - уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

Cookie - небольшие текстовые файлы, которые после просмотра Пользователем фрагментов Сайта сохраняются на его устройстве. Cookie позволяют определить, был ли конкретный компьютер (и, вероятно, его Пользователь) на Сайте ранее.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ (далее – Политика обработки ПДн, Политика) устанавливает цели, принципы и условия обработки ПДн физических лиц - субъектов ПДн.

1.2. Настоящая Политика распространяется на все действия по обработке персональных данных, которые Оператор осуществляет как онлайн (через Сайт, электронную почту, мессенджеры), так и оффлайн.

1.3. Политика разработана в соответствии с:

• Статьями 23 и 24 Конституции Российской Федерации;
• Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
• Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• законодательными и иными нормативно-правовыми актами Российской Федерации в области ПДн.

1.4. Политика не регулирует обработку ПДн сотрудников Оператора (для этих целей Оператором принят отдельный локальный акт). Также Политика не охватывает отношения, на которые не распространяется действие ФЗ (п. 2 ст. 1 ФЗ).

1.5. Использование Сайта признается безусловным согласием Пользователя с условиями настоящей Политики и указанными в ней условиями обработки его ПДн.

2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПДн

2.1. Правовыми основаниями обработки ПДн Оператором являются:

• Гражданский кодекс РФ;
• осуществление прав и обязанностей Оператора в рамках законодательства Российской Федерации;
• договоры, заключаемые между Оператором и Субъектами;
• договоры, заключаемые между Оператором и третьими лицами в целях исполнения обязательств перед Субъектом;
• согласия Субъектов:
  • на обработку ПДн (Приложение № 2 к настоящей Политике);
  • на использование сервиса Яндекс.Метрика (Приложение № 3 к настоящей Политике);
  • на получение рекламных и маркетинговых рассылок (Приложение № 4 к настоящей Политике);

2.2. Оператор получает согласие Субъекта на обработку ПДн в электронной форме через формы на Сайте.

2.3. Согласие предоставляется Пользователем в момент установки отметки (галочки) в неактивированном по умолчанию чек-боксе, расположенном непосредственно перед кнопкой отправки соответствующей формы. Текст рядом с чек-боксом содержит суть предоставляемого согласия и ссылку на настоящую Политику. Пример: «Я согласен на обработку моих персональных данных в соответствии с Политикой обработки персональных данных».

2.4. Активация кнопки отправки формы возможна только после совершения Пользователем активного действия – проставления отметки в чекбоксе. Без этого действия отправка данных невозможна.

2.5. Перед предоставлением согласия Субъекту в доступной форме предоставляется возможность ознакомиться с полным текстом настоящей Политики. Субъект самостоятельно решает, предоставлять ли свои ПДн, и дает согласие свободно и добровольно.

2.6. Отдельное, явно выраженное согласие запрашивается Оператором для рекламной рассылки и использования необязательных cookie-файлов (аналитические, маркетинговые), в том числе для работы сервиса Яндекс.Метрика. Согласие на использование cookie запрашивается через всплывающий информационный баннер при первом посещении Сайта.

2.7. В случае если предоставление ПДн является обязательным в силу закона или необходимо для оказания услуг, Оператор обязуется уведомить об этом Субъекта. Если Субъект отказывается предоставить необходимые и достаточные ПДн, Оператор не сможет выполнить необходимые действия для достижения целей обработки. В таком случае Оператор будет вынужден отказать в предоставлении услуг.

3. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

3.1. Оператор имеет право:

• получать от Субъекта достоверные информацию и/или документы, содержащие ПДн;
• обрабатывать ПДн Субъекта в объеме и для целей, предусмотренных настоящей Политикой и законодательством РФ;
• в случае отзыва Субъектом согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия Субъекта при наличии правовых оснований, указанных в ФЗ (например, для исполнения договора или закона);
• передавать ПДн для обработки третьим лицам, указанным в разделе 9 настоящей Политики, при условии заключения с такими лицами соответствующих договоров поручения обработки персональных данных, обязывающих их соблюдать принципы и правила обработки, а также обеспечивать безопасность ПДн в соответствии с законодательством РФ;
• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено ФЗ или другими федеральными законами.

3.2. Оператор обязан:

• предоставлять Субъекту по его просьбе информацию, касающуюся обработки его ПДн;
• использовать полученную информацию исключительно для целей, указанных в разделе 6 Политики;
• организовывать обработку ПДн в порядке, установленном действующим законодательством РФ;
• отвечать на обращения и запросы Субъектов и их законных представителей в соответствии с требованиями ФЗ;
• сообщать в уполномоченный орган по защите прав Субъектов по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;
• публиковать или иным образом обеспечивать неограниченный доступ к Политике в отношении обработки ПДн;
• принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн, в соответствии с требованиями Постановления Правительства РФ №1119 и Приказа ФСТЭК России №21;
• прекратить обработку и уничтожить ПДн в порядке и случаях, предусмотренных ФЗ;
• своевременно уведомлять уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, в срок, не превышающий 24 часа с момента обнаружения данного инцидента;
• исполнять иные обязанности, предусмотренные ФЗ.

4. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПДн

4.1. Субъект имеет право:

• получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются Субъекту Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлен ФЗ;
• требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• выдвигать условие предварительного согласия при обработке ПДн;
• на отзыв согласия на обработку ПДн;
• обжаловать в уполномоченный орган по защите прав Субъектов или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПДн;
• на осуществление иных прав, предусмотренных законодательством РФ.

4.2. Субъект обязан:

• предоставлять Оператору достоверные данные о себе;
• сообщать Оператору об уточнении (обновлении, изменении) своих ПДн.

4.3. Оператор не проверяет достоверность ПДн, предоставляемых Субъектом. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом Субъекте ПДн без согласия последнего, несут ответственность в соответствии с законодательством РФ.

4.4. Субъект ПДн вправе направить Оператору запрос, касающийся обработки его ПДн, включая запрос на отзыв согласия, по электронной почте. Оператор обязан рассмотреть запрос и дать на него ответ в течение 10 (десяти) рабочих дней с момента его получения. В исключительных случаях, связанных с необходимостью предоставления значительного объёма информации или проведения сложных процедур проверки, данный срок может быть продлен Оператором, но не более чем на 5 (пять) рабочих дней. О продлении срока Оператор уведомляет Субъекта ПДн.

4.5. Права субъекта ПДн, предусмотренные разделом 4.1 настоящей Политики, могут быть ограничены в соответствии с федеральными законами. В частности, такие ограничения могут предусматриваться в случаях, если:

• обработка ПДн осуществляется в целях обеспечения обороны страны и безопасности государства;
• обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн;
• доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц;
• обработка ПДн осуществляется на основании иного правового основания, кроме согласия (например, для исполнения договора или закона), и сохранение данных необходимо для реализации целей такой обработки.

5. ПРИНЦИПЫ ОБРАБОТКИ ПДн

5.1. Обработка ПДн осуществляется на законной и справедливой основе.

5.2. При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

5.3. Хранение ПДн осуществляется в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.4. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), удаление, уничтожение ПДн с использованием баз данных, находящихся на территории Российской Федерации.

6. ЦЕЛИ ОБРАБОТКИ ПДн

6.1. Оператор руководствуется конкретными, заранее определенными целями обработки ПДн, в соответствии с которыми ПДн были предоставлены субъектом ПДн.

6.2. Цели обработки ПДн:

• заключение, исполнение гражданско-правового договора;
• для обработки входящих запросов и обращений, направленных через формы на сайте, электронную почту и мессенджеры;
• сбор статистической информации о действиях пользователей на Сайте с помощью сервиса Яндекс.Метрика;
• осуществление рекламных и маркетинговых рассылок.

6.3. Цели обработки ПДн, категория субъектов ПДн, перечень ПДн, способы обработки ПДн, перечень действий с ПДн, сроки обработки и хранения ПДн приведены в табличной части Политики (Приложение № 1).

6.4. Содержание обрабатываемых ПДн определяется целями их обработки. Запрещена обработка ПДн, если она не соответствует целям сбора и запрещено объединение баз данных, содержащих ПДн, если цели их обработки несовместимы. Обработка избыточных ПДн относительно установленных целей не допускается.

6.5. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, биометрических ПДн Оператором не осуществляется.

6.6. Обработка ПДн, разрешенных для распространения (указанных в ч. 1 ст. 10 ФЗ) Оператором не осуществляется.

7. КАТЕГОРИИ СУБЪЕКТОВ ПДн

7.1. К категориям субъектов ПДн относятся физические лица, чьи ПДн обрабатываются Оператором в целях, указанных в разделе 6 настоящей Политики, а именно:

• клиенты (физические лица, индивидуальные предприниматели), заключающие договоры с Оператором;
• пользователи Сайта (физические лица), направившие запрос через формы на сайте, электронную почту и мессенджеры;
• представители контрагентов-юридических лиц;
• подписчики на рекламные рассылки.

8. СРОК ХРАНЕНИЯ И ОБРАБОТКИ ПДн

8.1. Условием прекращения обработки ПДн может являться:

• достижение целей обработки ПДн;
• отзыв согласия Субъектом;
• выявление неправомерной обработки ПДн;
• прекращение деятельности Оператора;
• истечение установленных законодательством сроков хранения документов, содержащих ПДн (например, для целей налогового учета).

8.2. Конкретные сроки обработки и хранения ПДн применительно к каждой цели обработки указаны в Приложении № 1 к настоящей Политике. По истечении указанных сроков обработка прекращается, и ПДн подлежат уничтожению или обезличиванию, если иное не предусмотрено федеральным законом.

9. СЛУЧАИ ПЕРЕДАЧИ ПДн ТРЕТЬИМ ЛИЦАМ

9.1. Оператор может предоставлять доступ к ПДн третьим лицам, которые осуществляют их обработку по поручению Оператора для достижения целей, указанных в настоящей Политике. При этом с такими лицами заключаются соответствующие соглашения о конфиденциальности и защите ПДн, обязывающие их соблюдать принципы и правила обработки, а также обеспечивать безопасность ПДн в соответствии с законодательством РФ.

9.2. В случаях, предусмотренных законодательством РФ, Оператор вправе осуществлять передачу ПДн третьим лицам, которые осуществляют их обработку в качестве самостоятельных операторов на собственных правовых основаниях, а именно:

• сервис Яндекс.Метрика (ООО «Яндекс», юридический адрес: 119021, г. Москва, ул. Льва Толстого, д.16, ИНН 7736207543, ОГРН 1027700229193) — для анализа посещаемости сайта, сбора статистики;
• курьерская служба ООО «СДЭК» (ООО "СДЭК-СЛУЖБА ДОСТАВКИ ЭКСПРЕСС КУРЬЕР", юридический адрес 111033, г. Москва, вн. тер. г. муниципальный округ Лефортово, ул. Золоторожский Вал, д. 32, стр. 2, ОГРН 1226700005443, ИНН 6732226945, КПП 772201001) — для доставки товаров покупателям;
• ЭДО СБИС (ООО "СБИС ТЕХНОЛОГИИ", ОГРН 1157746400778, ИНН 7733233055, КПП 770301001) — для обеспечения электронного документооборота при передаче документов в государственные органы и контрагентам;
• CRM система «Битрикс24» (ООО «1С-Битрикс», юридический адрес: 109544, г. Москва, бульвар Энтузиастов, д. 2, этаж 13, помещения 8–19, ОГРН 5077746476209, ИНН 7717586110, КПП 770501001) — для обработки заявок покупателей, автоматизации и хранения данных;

9.3. Обработка ПДн, полученных через мессенджеры и электронную почту, осуществляется в рамках предоставленных ими платформ с соблюдением их пользовательских соглашений. Оператор принимает разумные организационные меры для защиты конфиденциальности переписки, однако несет ответственность за безопасность таких данных лишь в пределах, зависящих от его функционала (например, хранение архива переписки на защищенных носителях).

10. ПЕРЕЧЕНЬ ДЕЙСТВИЙ, ПРОИЗВОДИМЫХ ОПЕРАТОРОМ С ПОЛУЧЕННЫМИ ПДн

10.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление и уничтожение ПДн.

10.2. Оператор осуществляет автоматизированную обработку ПДн, включая передачу данных через информационно-телекоммуникационные сети третьим лицам в рамках целей, указанных в Политике.

10.3. Блокирование, уточнение и уничтожение ПДн при выявлении неточностей или нарушений.

10.3.1. Выявление и обращение к Оператору.

• Субъект ПДн вправе направить запрос на уточнение своих ПДн при обнаружении неточностей. Запрос направляется на электронный адрес Оператора с пометкой «Актуализация ПДн».
• В случае выявления неправомерной обработки ПДн, Субъект или уполномоченный орган вправе потребовать прекратить такие действия.

10.3.2. Блокирование ПДн.

• при поступлении обращения Субъекта или требования уполномоченного органа о неправомерности обработки, Оператор блокирует спорные ПДн с момента получения такого обращения/требования на время проведения проверки;
• при обнаружении неточностей в ПДн, Оператор вправе заблокировать эти данные до завершения их проверки и уточнения, если это не нарушает права и законные интересы Субъекта или третьих лиц;
• блокирование ПДн означает временное прекращение любых операций с ними (кроме операции уточнения).

<

10.3.3. Уточнение (актуализация) ПДн.

• Оператор обязан рассмотреть запрос на уточнение и провести проверку в течение 7 (семи) рабочих дней с момента получения от Субъекта подтверждающих документов или информации, необходимой для внесения изменений.
• В случае подтверждения неточностей, Оператор вносит соответствующие изменения в базы данных.
• После завершения уточнения ПДн их блокирование снимается.

10.4. Прекращение обработки ПДн

10.4.1. По отзыву согласия: Обработка, основанная на согласии, прекращается, а ПДн уничтожаются в срок, не превышающий 30 (тридцати) календарных дней с момента получения отзыва, если иное не предусмотрено договором или федеральным законом.

10.4.2. При выявлении незаконной обработки: Оператор незамедлительно прекращает незаконную обработку ПДн. Сопутствующее уничтожение незаконно обрабатываемых ПДн осуществляется в срок, не превышающий 10 (десяти) рабочих дней. Субъект ПДн уведомляется о результатах рассмотрения его обращения и предпринятых мерах в сроки, установленные разделом 4.4 настоящей Политики.

10.4.3. По иным требованиям субъекта: Иные требования субъекта (кроме отзыва согласия), подлежат рассмотрению в сроки, предусмотренные разделом 4.4 настоящей Политики.

10.5. Уничтожение ПДн по истечении срока хранения:
Документы с истекшим сроком хранения уничтожаются по решению экспертной комиссии Оператора. Составляются протокол, акт и опись уничтожаемых дел. Акт утверждается руководителем Оператора. Уничтожение электронных данных производится методами, исключающими восстановление (гарантированное стирание с использованием специального программного обеспечения, низкоуровневое форматирование). Если уничтожение невозможно, данные блокируются на 6 месяцев.

10.6. Обработка данных в публичных интересах
Запреты на обработку ПДн не действуют, если обработка требуется для государственных, общественных или иных публичных интересов, установленных законодательством РФ.

10.7. Специальные процедуры отзыва согласий

10.7.1. Отзыв согласия на обработку ПДн:
Субъект вправе отозвать согласие, направив запрос на электронный адрес Оператора с пометкой «Отзыв согласия на обработку ПДн». Обработка прекращается в течение 30 календарных дней. Данные уничтожаются в случае отсутствия иных правовых оснований для хранения.

10.7.2. Отзыв согласия на использование сервиса Яндекс.Метрика:
Субъект вправе в любой момент отказаться от использования сервиса Яндекс.Метрика через настройки cookie в футере Сайта либо направив запрос Оператору на электронный адрес Оператора. Удаление данных будет произведено в течение 30 календарных дней.

10.7.3. Отзыв согласия на обработку cookie
Субъект праве в любой момент отказаться от использования cookie, нажав кнопку «Отозвать» в футере Сайта или отправить заявку на электронный адрес Оператора с пометкой «Отзыв согласия на cookie». Обработка необязательных cookie прекратится в течение 24 часов. Технически необходимые данные продолжат обрабатываться на законных основаниях (ст. 6 ФЗ).

10.7.4. Отказ от рекламных и маркетинговых рассылок:
Субъект праве в любой момент отказаться от получения рекламных рассылок через ссылку «Отписаться» в каждом email или SMS сообщении (при наличии такой ссылки) или путем уведомления на электронный адрес Оператора с пометкой «Отказ от рассылки». Оператор обязан прекратить рассылку в течение 3 рабочих дней с момента получения отказа. Полное прекращение обработки ПДн будет осуществлено не позднее 30 (тридцати) календарных дней.

11. МЕРЫ, ОБЕСПЕЧИВАЮЩИЕ ВЫПОЛНЕНИЕ ОБЯЗАННОСТЕЙ ОПЕРАТОРА, ПРЕДУСМОТРЕННЫХ СТАТЬЯМИ 18.1 И 19 ФЗ

11.1. Разработана и опубликована на сайте Политика обработки ПДн.

11.2. Меры по обеспечению безопасности персональных данных включают в себя комплекс правовых, организационных и технических мер, направленных на выполнение обязанностей Оператора, предусмотренных статьями 18.1 и 19 ФЗ-152. Указанные меры соответствуют требованиям для 3 уровня защищенности (с учетом актуальных угроз и модели угроз).

11.3. К организационным мерам относятся:

• 11.3.1. Назначение лица, ответственного за организацию обработки ПДн.
• 11.3.2. Разработка и внедрение локальных актов по вопросам обработки и защиты ПДн (включая настоящую Политику). Работники Оператора знакомятся с этими документами в свой первый рабочий день.
• 11.3.3. Ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн и локальными актами.
• 11.3.4. Ограничение и разграничение прав доступа работников к ПДн.
• 11.3.5. Осуществление внутреннего контроля и аудита соответствия обработки ПДн требованиям законодательства.

11.4. К техническим мерам относятся:

• 11.4.1. Определение угроз безопасности ПДн при их обработке в информационных системах.
• 11.4.2. Применение средств защиты информации (антивирусное ПО, межсетевые экраны).
• 11.4.3. Идентификация и аутентификация пользователей ИСПДн.
• 11.4.4. Разработка правил доступа к ПДн, обрабатываемым в ИСПДн,
• 11.4.5. Регистрация и учет действий пользователей в ИСПДн.
• 11.4.6. Обеспечение резервного копирования и восстановления данных.
• 11.4.7. Применение средств, обеспечивающих возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа.
• 11.4.8. Обеспечение учета машинных носителей ПДн.

11.5. Оператор проводит регулярную оценку вреда, который может быть причинен субъектам ПДн в случае нарушения требований ФЗ-152, и принимает адекватные меры для недопущения такого вреда.

12. ПРИМЕНЯЕМЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПДН:

12.1. Использование лицензионного программного обеспечения с актуальными обновлениями безопасности.

12.2. Межсетевой экран (брандмауэр): используется для контроля сетевых подключений и блокирования несанкционированного доступа из сети Интернет.

12.3. Идентификация и аутентификация: обеспечен вход в ОС компьютера под уникальной учетной записью с надежным паролем (не менее 8 символов: буквы верхнего/нижнего регистра, цифры, спецсимволы).

12.4. Автоматическая блокировка: настроена блокировка сеанса при бездействии (не более 15 мин) с требованием повторного ввода пароля.

12.5. Резервное копирование и восстановление:

• Регулярное копирование файлов с ПДн на внешний носитель.
• Внешний носитель хранится физически отдельно в запираемом месте.
• Обеспечена возможность восстановления данных из резервных копий.

12.6. Внутренний контроль и аудит:

• Регулярная оценка угроз и эффективности мер защиты (не реже 1 раза в год).
• Проверка настроек безопасности компьютера (обновления, антивирус, брандмауэр).
• Контроль физической сохранности носителей.
• Контроль соблюдения правил обработки и защиты ПДн.

13. СВЕДЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПДн В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ К ЗАЩИТЕ ПДН, УСТАНОВЛЕННЫМИ ПРАВИТЕЛЬСТВОМ РФ:

13.1. В соответствии с постановлением Правительства от 01.11.2012 № 1119 для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе:

• 13.1.1. Назначено должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе. Указанное должностное лицо проинформировано об особенностях и правилах осуществления такой обработки, локальными актами Оператора установлены места хранения персональных данных и перечень лиц, осуществляющих обработку персональных данных.
• 13.1.2. Доступ к содержанию электронного журнала сообщений установлен исключительно для уполномоченного лица, которому сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
• 13.1.3. Применяются меры по обеспечению сохранности машинных носителей ПДн (основной жесткий диск компьютера, внешние жесткие диски, USB-накопители).

13.2. В соответствии с Постановлением Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации" локальными актами Оператора установлены конкретные места хранения материальных носителей ПДн (например, работа с бумажными экземплярами договоров, распечатками переписок из мессенджеров при необходимости) и перечень лиц, осуществляющих их обработку. Должностное лицо (работник) Оператора, ответственное за обеспечение безопасности ПДн в информационной системе, осуществляющее обработку ПДн без использования средств автоматизации, проинформировано об особенностях и правилах осуществления такой обработки.

14. КЛАССИФИКАЦИЯ И НАЗНАЧЕНИЕ ФАЙЛОВ COOKIE

14.1. Технически необходимые (обязательные) файлы cookie

Данные файлы обеспечивают базовую и критически важную функциональность Сайта, включая:

• авторизацию в Личном кабинете и сохранение сессии;
• обеспечение безопасности работы Сайта и транзакций, связанных с использованием функций Сайта;
• корректное выполнение многошаговых процессов создания и редактирования контента.

Использование этих файлов cookie не требует согласия Пользователя согласно п. 2 ст. 6 ФЗ №152-ФЗ, однако блокировка данных файлов приведёт к невозможности использования Пользователем полного функционала Сайта.

14.2. Функциональные файлы cookie

Предназначены для запоминания пользовательских настроек и персонализации интерфейса без сбора аналитической информации. Они повышают удобство использования посредством хранения:

• параметров последних запросов к Сайту;
• настроек интерфейса (например, тема оформления, язык, размер рабочей области);

Обработка таких данных возможна только при наличии явного согласия Пользователя. Отключение функциональных cookie не препятствует работе Сайта, однако потребует повторного ввода предпочтений при каждом посещении.

14.3. Аналитические файлы cookie

Используются для сбора и обработки обобщенной статистической информации о поведении пользователей с целью повышения качества и эффективности Сайта, включая:

• анализ посещаемости разделов каталога и информационных проектов для выявления наиболее востребованных категорий и адаптации ассортимента под текущие запросы покупателей и тенденции рынка;
• оценку взаимодействия пользователей с Сайтом, включая частоту и продолжительность просмотра проектов, переходы между страницами, использование поисковых и фильтрационных инструментов, что позволяет оптимизировать структуру и функциональность площадки;
• отслеживание эффективности работы функций безопасных сделок и процесса оформления заказов, что способствует выявлению и устранению узких мест, затрудняющих совершение сделок;
• мониторинг путей навигации пользователей и анализа сценариев их поведения для совершенствования пользовательского интерфейса и повышения удобства пользования сайтом;
• оценку результативности маркетинговых кампаний и рекламных активностей, реализаций рекламных инструментов, включая Яндекс.Метрику, с целью повышения релевантности предлагаемых услуг, а также оптимизации затрат на продвижение;
• получение агрегированных данных о географическом распределении аудитории и типичных характеристиках посетителей площадки, что обеспечивает возможность планирования дальнейшего развития проекта и проведения целевых маркетинговых и сервисных инициатив.

Данные агрегируются и обезличиваются. Основная цель — выявление слабых мест интерфейса, оптимизация контента и оценка эффективности маркетинговых активностей. К этой категории относится сервис Яндекс.Метрика. Для активации требуется отдельное согласие.

14.4. Маркетинговые файлы cookie

Служат для таргетированной рекламы и кроссплатформенного отслеживания. Фиксируют историю просмотров услуг, реакцию на рекламные баннеры, взаимодействие с промоматериалами. Позволяют: показывать релевантные предложения на Сайте и партнерских площадках, (формировать ретаргетинговые аудитории, ограничивать повторный показ одних и тех же объявлений. Собирают информацию о предпочтениях Пользователя в поиске и используются для показа рекламы и контента, соответствующих интересам Пользователя. Они могут ограничивать количество показов рекламы и специальных предложений, а также оценивать эффективность рекламных кампаний (включая измерение конверсии).

15. СОСТАВ ФАЙЛОВ COOKIE

• Идентификаторы сессии/устройства;
• IP-адрес;
• Тип браузера и ОС;
• Геолокационные данные (страна, город);
• Данные о поведении на Сайте (клики, время просмотра);
• Информация об ошибках (при наличии);
• Данные о действиях Пользователя на Сайте;

Обработка данных осуществляется в автоматическом режиме без дополнительной верификации. Информация рассматривается «как есть», без изменений со стороны Оператора.

Конкретный состав данных, фиксируемых в cookie, зависит от типа файла cookie, технических характеристик устройства Пользователя, а также от функциональных особенностей используемого программного обеспечения и Сайта

16. МЕТРИЧЕСКИЕ ПРОГРАММЫ И СЕРВИСЫ АНАЛИТИКИ

16.1. Оператор информирует Пользователя о применении сервиса Яндекс.Метрика для сбора статистических данных о посещаемости Сайта, анализа поведения Пользователей и улучшения качества работы Сайта.

16.2. Оператор сервиса Яндекс.Метрика - ООО «Яндекс» (далее — «Яндекс»): Россия, 119021, Москва, ул. Л. Толстого, 16. Информация об использовании Сайта передается Яндексу и хранится на серверах Яндекса в РФ. Правила обработки данных сервисом Яндекс.Метрика можно найти по ссылке https://yandex.ru/legal/metrica_termsofuse/ru/.

16.3. При передаче в Яндекс.Метрику включаются данные, потенциально относящиеся к персональным, в том числе IP-адрес, cookie-идентификаторы и сведения о взаимодействии с Сайтом.

16.4. ООО «Яндекс» применяет технологии обезличивания (включая хэширование IP-адресов и анонимизацию идентификаторов), что исключает возможность прямой идентификации Пользователя, кроме как с использованием дополнительной информации, находящейся под контролем Яндекса. Политика конфиденциальности Яндекса доступна по ссылке https://yandex.ru/legal/confidential/.

16.5. Перечень обрабатываемых сервисом Яндекс.Метрика данных доступен по ссылке https://yandex.ru/support/metrica/ru/code/data-collected и включает:

• технические данные устройства и программного обеспечения (тип браузера, ОС, разрешение экрана и т.д.);
• IP-адрес устройства;
• Сookie-идентификаторы и идентификаторы пользователей/сессий;
• URL источника перехода на Сайт (реферер);
• данные о поведении пользователя на сайте (просмотренные страницы, клики, время нахождения, пользовательские события);
• приблизительные географические данные (определяемые по IP-адресу);
• данные о предполагаемых демографических характеристиках и интересах посетителей Сайта, предоставляемые Яндексом (если такие данные имеются у Яндекса и пользователь дал Яндексу соответствующее согласие).

16.6. Срок хранения файлов cookie: 26 месяцев;

16.7. Обработка данных, позволяющих идентифицировать Пользователя, осуществляется исключительно на основании его явного согласия, предоставленного в информационном баннере при первом посещении Сайта.

16.8. Пользователь имеет право в любой момент отозвать согласие через специальный интерфейс (виджет) управления cookie-файлами в футере Сайта (кнопки «Изменить»/«Отозвать»), а также путем отправки запроса на электронный адрес Оператора. Отзыв согласия через настройки браузера не считается надлежащим отзывом согласия и может привести к некорректной работе Сайта.

17. ОБРАБОТКА ФАЙЛОВ COOKIE

17.1. Оператор вправе обрабатывать файлы cookie с использованием средств автоматизации посредством осуществления следующих действий (операций) — сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

17.2. Обработка cookie-файлов осуществляется с момента принятия Пользователем условий настоящей Политики/начала использования Сайта. Обработка продолжается в течение всего периода достижения заявленных целей либо до момента отзыва Пользователем согласия на обработку, с учетом установленных сроков хранения cookie-файлов.

17.3. Сроки обработки файлов cookie:

• основные, обязательные и технические файлы cookie - срок действия сессии.
• аналитические файлы cookie - период, необходимый для сбора статистики (не более 12 месяцев).
• маркетинговые файлы cookie - установленный рекламной платформой (например, 30 дней для ретаргетинга).

18. МЕХАНИЗМ ПОЛУЧЕНИЯ И УПРАВЛЕНИЯ СОГЛАСИЕМ

18.1. Условия активации информационного баннера:

Баннер запрашивает согласие Пользователя в следующих случаях:

• при первом посещении Сайта,
• смене устройства/браузера,
• истечении 6 месяцев с предыдущего подтверждения,
• изменении редакции Политики
• изменение целей обработки (например, подключение новых рекламных инструментов).

После явного отзыва согласия через кнопку «Отозвать» баннер будет показан при следующем визите.

18.2. Сценарий работы баннера:

• При нажатии кнопки «ПРИНЯТЬ» активируются все категории необязательных cookie (функциональные, аналитические, маркетинговые), включая загрузку скрипта Яндекс.Метрики. Баннер закрывается, в футере появляется информация о предоставленном согласии.

• Кнопка «ОТКЛОНИТЬ» блокирует необязательные cookie – скрипты метрик не загружаются, ретаргетинг отключается.
• Кнопка «НАСТРОИТЬ» открывает панель с детализацией по сервисам.

18.3. Панель настроек и приоритет команд:

• В панели доступен переключатель для получения согласия на использование Яндекс.Метрики.
• Кнопка «СОХРАНИТЬ ВЫБОР» применяет только статус переключателя (например, разрешение сервиса Яндекс.Метрика при отключенных маркетинговых cookie).
• Кнопка «РАЗРЕШИТЬ ВСЕ» активирует все необязательные сервисы, кнопка «ЗАПРЕТИТЬ ВСЕ» — блокирует.
• Действия в панели имеют приоритет над предыдущими настройками.

18.4. Фиксация и отзыв согласия

После сохранения в футере Сайта отображается текст: «Ваше согласие на использование сервиса Яндекс.Метрика подтверждено «ДАТА».

Кнопка «Изменить» повторно открывает панель настроек, кнопка «Отозвать» – аннулирует все разрешения для необязательных cookie и останавливает сбор данных.

19. УПРАВЛЕНИЕ ФАЙЛАМИ COOKIE.

19.1. Через интерфейс Сайта

Виджет в футере (иконка шестеренки или ссылка «Управление cookie») предоставляет постоянный доступ к: статусу согласия по категориям, журналу изменений настроек, кнопкам моментального отзыва. Изменения применяются без перезагрузки страницы. Технические необходимые cookie недоступны для отключения.

19.2. Через настройки браузера

Пользователь может вручную удалить существующие cookie (раздел «Конфиденциальность» в Chrome, «Защита» в Firefox), настроить правила для отдельных сайтов или активировать режим «инкогнито», где файлы не сохраняются после закрытия вкладки. Предупреждение: блокировка обязательных cookie через браузер нарушит работу форм оплаты, корзины и личного кабинета.

20. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДн

20.1. Трансграничная передача ПДн Оператором не осуществляется.

21. ОТВЕТСТВЕННОСТЬ СТОРОН

21.1. Оператор несёт ответственность за умышленное разглашение ПДн Субъекта в соответствии с действующим законодательством РФ, за исключением случаев, предусмотренных настоящей Политикой.

21.2. В случае утраты или разглашения конфиденциальной информации Оператор не несёт ответственности, если данная конфиденциальная информация:

• стала публичным достоянием до её утраты или разглашения.
• была получена от третьей стороны до момента её получения Оператором.
• была разглашена с согласия Субъекта.

22. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

22.1. Субъект может получить любые разъяснения по интересующим вопросам, касающимся обработки его ПДн, обратившись к Оператору с помощью электронной почты, указанной в разделе 23 «Реквизиты Оператора».

22.2. Текст Политики доступен для ознакомления на Сайте.

22.3. Политика действует бессрочно до замены её новой версией. Оператор вправе вносить изменения в настоящую Политику без согласия Субъекта. Актуальная редакция размещается в открытом доступе, предыдущие версии утрачивают силу после публикации обновлений.

23. РЕКВИЗИТЫ ОПЕРАТОРА

Индивидуальный предприниматель Городкова Юлия Александровна
Адрес: 141107, Московская область, Щёлково, ул. Неделина 3, кв. 26.
ИНН 711705958210
ОГРНИП 324508100506515
Телефон: +7 958 420-47-31
E-mail: Info-GERSO@yandex.ru

Приложение № 1 к Политике обработки ПДн

ПЕРЕЧЕНЬ ЦЕЛЕЙ, СРОКОВ, СПОСОБОВ ОБРАБОТКИ ПДн, КАТЕГОРИЙ СУБЪЕКТОВ И ОБРАБАТЫВАЕМЫХ ПДн