1. Общие положения
1.1. Назначение документа
1.1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», иными нормативными правовыми актами Российской Федерации, регулирующими отношения в сфере обработки персональных данных, а также требованиями ГОСТ Р 7.0.97-2016 «Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов».
1.1.2. Политика устанавливает порядок обработки персональных данных (далее – ПДн) Индивидуальным предпринимателем Гибадуллиным Ришатом Мударисовичем (далее – Оператор), включая цели обработки, состав и категории ПДн, принципы и условия обработки, меры по обеспечению безопасности ПДн, права и обязанности Оператора и субъектов ПДн, порядок взаимодействия с субъектами ПДн, сроки хранения ПДн, а также иные аспекты, необходимые для обеспечения соблюдения требований законодательства Российской Федерации в области персональных данных.
1.1.3. Политика направлена на защиту прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в соответствии с ч. 1 ст. 2 Федерального закона № 152-ФЗ.
1.1.4. Политика применяется ко всем процессам обработки ПДн, осуществляемым Оператором, независимо от способа обработки (автоматизированная, неавтоматизированная или смешанная) и каналов получения ПДн, и является обязательной для исполнения всеми лицами, имеющими доступ к ПДн в рамках деятельности Оператора.
1.1.5. Политика учитывает специфику деятельности Оператора как индивидуального предпринимателя, занимающегося продажей товаров (флаконы, атомайзеры, парфюмерные масла, упаковка и аксессуары для парфюмерии) через онлайн- и офлайн-каналы, и охватывает все сферы деятельности, указанные в реестре операторов Роскомнадзора (регистрационный номер 20-25-002440), включая ведение кадрового и бухгалтерского учета, обеспечение соблюдения трудового, налогового и пенсионного законодательства РФ, подготовку, заключение и исполнение гражданско-правовых договоров, продвижение товаров, работ, услуг на рынке, обработку информации (cookie-файлы) о посещении сайта Оператора.
1.2. Статус документа
1.2.1. Политика является официальным локальным актом Оператора, обязательным для исполнения Оператором, его работниками и третьими лицами, осуществляющими обработку ПДн по поручению Оператора, в соответствии со ст. 18.1 Федерального закона № 152-ФЗ.
1.2.2. Политика является общедоступным документом и размещается на сайтах Оператора для обеспечения неограниченного доступа в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ.
1.2.3. Политика действует в отношении всех видов деятельности Оператора, включая онлайн-торговлю через сайты, обработку заказов на хостинг-платформе, взаимодействие в группах и чатах в социальных сетях и мессенджерах, телефонные заявки, офлайн-продажи, прием отзывов и материалов, обработку обращений субъектов ПДн, кадровую деятельность, бухгалтерский учет, взаимодействие с внешними службами (доставка, платежные агрегаторы, хостинг, CRM, email-рассылки).
1.2.4. Политика не применяется к обработке ПДн в случаях, когда такая обработка осуществляется в соответствии с федеральными законами, предусматривающими иные требования, но дополняет их в части, не противоречащей законодательству.
1.2.5. В случае противоречия положений Политики нормам Федерального закона № 152-ФЗ или иных нормативных правовых актов приоритет имеют нормы законодательства Российской Федерации.
1.3. Статус Оператора
1.3.1. Оператором ПДн является Индивидуальный предприниматель Гибадуллин Ришат Мударисович, зарегистрированный по адресу: 366135, Чеченская Республика, Наурский район, село Фрунзенское, ул. Школьная, д.7, кв.3; ИНН 161201708050; ОГРН 313167509900020; контактный email: info@flaconrf.ru; телефон: +7 995 360-12-82.
1.3.2. Оператор зарегистрирован в реестре операторов, осуществляющих обработку ПДн, Роскомнадзора под номером 20-25-002440, сведения доступны по адресу: https://pd.rkn.gov.ru/operators-registry/operators-list/?id=20-25-002440; дата и основание внесения оператора в реестр – Приказ № 38 от 26.05.2025; дата регистрации уведомления – 23.05.2025; дата начала обработки персональных данных – 15.11.2023; срок или условие прекращения обработки персональных данных – прекращение деятельности индивидуального предпринимателя.
1.3.3. Деятельность Оператора включает обработку ПДн в целях, указанных в уведомлении в Роскомнадзор, включая ведение кадрового и бухгалтерского учета, обеспечение соблюдения трудового законодательства РФ, обеспечение соблюдения налогового законодательства РФ, обеспечение соблюдения пенсионного законодательства РФ, подготовку, заключение и исполнение гражданско-правового договора, продвижение товаров, работ, услуг на рынке, обработку информации (cookie-файлы) о посещении сайта оператора, а также дополнительных целях, связанных с деятельностью ИП, таких как обработка данных клиентов для оформления и доставки заказов, маркетинга, аналитики, публикации отзывов, кадровой и бухгалтерской обработки.
1.3.4. Оператор осуществляет обработку ПДн как с использованием средств автоматизации (сайты, CRM, аналитика), так и без их использования (бумажные документы, телефонные записи), в соответствии со ст. 5 Федерального закона № 152-ФЗ.
1.3.5. Оператор не осуществляет трансграничную передачу ПДн в соответствии с ч. 1 ст. 12 Федерального закона № 152-ФЗ; сведения о местонахождении БД – Россия.
1.3.6. Субъекты РФ, на территории которых происходит обработка персональных данных – Российская Федерация.
1.3.7. Наличие шифровальных средств – используется.
1.3.8. Оператор применяет меры в соответствии со ст. 18.1 и 19 Федерального закона № 152-ФЗ, включая назначение ответственного лица, разработку локальных актов, внутренний контроль, ознакомление работников и оценку эффективности мер защиты.
1.4. Термины и определения
1.4.1. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в соответствии со ст. 3 Федерального закона № 152-ФЗ.
1.4.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн, в соответствии со ст. 3 Федерального закона № 152-ФЗ.
1.4.3. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн, в соответствии со ст. 3 Федерального закона № 152-ФЗ.
1.4.4. Субъект персональных данных – физическое лицо, к которому относятся ПДн.
1.4.5. Автоматизированная обработка персональных данных – обработка ПДн с помощью средств вычислительной техники.
1.4.6. Неавтоматизированная обработка персональных данных – обработка ПДн без использования средств вычислительной техники.
1.4.7. Информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
1.4.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
1.4.9. Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
1.4.10. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
1.4.11. Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
1.4.12. Персональные данные, разрешенные субъектом персональных данных для распространения – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, в соответствии со ст. 10.1 Федерального закона № 152-ФЗ.
1.4.13. Cookies – небольшие фрагменты данных, отправляемые веб-сервером и хранимые на устройстве пользователя для анализа посещаемости и улучшения работы сайтов.
1.4.14. IP-адрес – уникальный сетевой адрес узла в компьютерной сети.
1.4.15. Сайт – совокупность графических и информационных материалов, программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по адресам https://www.flaconrf.ru/ и https://flx-shop.ru/.
1.4.16. Третьи лица – лица, которым Оператор поручает обработку ПДн на основании договора, в соответствии со ст. 6 Федерального закона № 152-ФЗ.
1.5. Принципы обработки ПДн
1.5.1. Обработка ПДн осуществляется на законной и справедливой основе, в соответствии с п. 1 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
1.5.2. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн, в соответствии с п. 2 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
1.5.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой, в соответствии с п. 3 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
1.5.4. Обработке подлежат только ПДн, которые отвечают целям их обработки, в соответствии с п. 4 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
1.5.5. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки, в соответствии с п. 5 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
1.5.6. При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных, в соответствии с п. 6 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
1.5.7. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, в соответствии с п. 7 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
1.6. Сфера действия Политики
1.6.1. Политика применяется ко всем информационным системам и процессам Оператора, в которых осуществляется обработка ПДн, включая сайты, CRM-системы, бухгалтерское ПО, социальные сети и мессенджеры, телефонные системы.
1.6.2. Политика охватывает все каналы сбора ПДн: сайты (хостинг-платформа), социальные сети и мессенджеры, формы заказа, телефонные заявки, офлайн-продажи, email-общение.
1.6.3. Политика распространяется на обработку ПДн всех категорий субъектов: покупатели и потенциальные покупатели товаров Оператора (физические лица, осуществляющие заказы через сайты, социальные сети и мессенджеры, телефон, офлайн), посетители сайтов и групп в социальных сетях, сотрудники и кандидаты на работу (для кадровой обработки), контрагенты и представители контрагентов (для бухгалтерской обработки).
1.6.4. Политика не распространяется на отношения, не регулируемые Федеральным законом № 152-ФЗ, такие как обработка общедоступных ПДн без дополнительных действий.
1.7. Ответственность Оператора
1.7.1. Оператор несет ответственность за нарушение требований Федерального закона № 152-ФЗ в соответствии с законодательством Российской Федерации, включая административную и гражданско-правовую ответственность.
1.7.2. Оператор обязан обеспечивать конфиденциальность ПДн и принимать меры по их защите в соответствии со ст. 19 Федерального закона № 152-ФЗ.
1.7.3. В случае нарушения прав субъектов ПДн Оператор несет ответственность за возмещение ущерба в соответствии со ст. 24 Федерального закона № 152-ФЗ.
1.8. Права субъекта ПДн
1.8.1. Субъект ПДн имеет права, предусмотренные ст. 14–17 Федерального закона № 152-ФЗ, включая право на доступ к своим ПДн, их уточнение, блокирование, уничтожение, отзыв согласия, обжалование действий Оператора (подробно изложены в разделе 8).
1.9. Порядок утверждения и изменения Политики
1.9.1. Политика утверждается Оператором и вступает в силу с момента утверждения.
1.9.2. Изменения в Политику вносятся Оператором в случае изменения законодательства, внутренних процессов или по иным причинам, и вступают в силу с момента размещения новой редакции на сайтах Оператора.
1.9.3. Субъекты ПДн уведомляются об изменениях путем размещения информации на сайтах, если изменения затрагивают их права.
2. Правовые основания обработки персональных данных
2.1. Общие правовые основания
2.1.1. Обработка персональных данных осуществляется в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 07.02.1992 № 2300-1 «О защите прав потребителей», Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Трудовым кодексом Российской Федерации (при обработке данных кандидатов и работников), Налоговым кодексом Российской Федерации, Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными нормативными правовыми актами Российской Федерации.
2.1.2. Обработка ПДн осуществляется на основаниях, предусмотренных ч. 1 ст. 6 Федерального закона № 152-ФЗ, включая согласие субъекта ПДн, исполнение договора, исполнение обязанностей, возложенных на Оператора законодательством, защиту жизненно важных интересов субъекта ПДн или иных лиц, осуществление прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта ПДн, обработку общедоступных ПДн, обработку ПДн, подлежащих опубликованию или обязательному раскрытию.
2.1.3. Оператор не осуществляет обработку ПДн без наличия хотя бы одного из оснований, указанных в ст. 6 Федерального закона № 152-ФЗ.
2.1.4. В случае, если обработка ПДн осуществляется на нескольких основаниях, Оператор обеспечивает раздельный учет таких ПДн в соответствии с принципами, изложенными в ст. 5 Федерального закона № 152-ФЗ.
2.1.5. Обработка ПДн на основании федерального закона, предусматривающего предоставление ПДн конкретным лицам или кругам лиц, осуществляется в соответствии с таким законом.
2.1.6. Обработка ПДн в целях, не предусмотренных законодательством, допускается только с согласия субъекта ПДн.
2.1.7. Правовые основания обработки ПДн соответствуют сведениям, указанным в реестре операторов Роскомнадзора (регистрационный номер 20-25-002440), и включают обработку с согласия субъекта ПДн, для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.
2.1.8. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн, в соответствии с п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
2.1.9. Обработка ПДн осуществляется в субъектах РФ на территории Российской Федерации, без трансграничной передачи.
2.1.10. Обработка ПДн осуществляется смешанным способом, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
2.2. Обработка ПДн на основании согласия субъекта персональных данных
2.2.1. Обработка ПДн осуществляется с согласия субъекта ПДн в случаях, когда такое согласие требуется в соответствии с ч. 1 ст. 6 Федерального закона № 152-ФЗ.
2.2.2. Согласие субъекта ПДн на обработку его ПДн должно быть конкретным, информированным и сознательным, в соответствии со ст. 9 Федерального закона № 152-ФЗ.
2.2.3. Согласие может быть дано в любой позволяющей подтвердить факт его получения форме, включая письменную форму, электронную форму или в форме конклюдентных действий, если это предусмотрено федеральным законом.
2.2.4. Согласие на обработку ПДн, разрешенных для распространения, оформляется отдельно от иных согласий и должно содержать указание на конкретные ПДн, условия их обработки и распространения, в соответствии со ст. 10.1 Федерального закона № 152-ФЗ.
2.2.5. Согласие может быть отозвано субъектом ПДн в любой момент, в соответствии с ч. 2 ст. 9 Федерального закона № 152-ФЗ, после чего обработка ПДн прекращается, если нет иных оснований для обработки.
2.2.6. Оператор фиксирует факт получения согласия, включая дату, время и способ получения, для подтверждения в случае необходимости.
2.2.7. При получении согласия через сайт или формы, согласие подтверждается проставлением отметки (чекбокса) или иным способом, позволяющим подтвердить волеизъявление субъекта.
2.2.8. Согласие требуется для обработки ПДн в целях маркетинга, аналитики, публикации отзывов, передачи третьим лицам, не предусмотренной законом.
2.2.9. В случае обработки ПДн детей до 18 лет согласие дает их законный представитель, в соответствии со ст. 9 Федерального закона № 152-ФЗ.
2.2.10. Оператор не требует согласия для обработки ПДн, если имеются иные основания, предусмотренные ст. 6 Федерального закона № 152-ФЗ.
2.3. Обработка ПДн на основании заключения и исполнения договора
2.3.1. Обработка ПДн допускается без согласия субъекта, если она необходима для заключения договора, по которому субъект ПДн является стороной, выгодоприобретателем или поручителем, а также для исполнения такого договора, в соответствии с п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
2.3.2. К таким договорам относятся договоры купли-продажи товаров, оферты на сайтах Оператора, договоры на доставку, гражданско-правовые договоры с контрагентами.
2.3.3. Обработка включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн для оформления заказа, оплаты, доставки, обработки претензий, возвратов, гарантийного обслуживания.
2.3.4. ПДн, обрабатываемые на этом основании: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, иные персональные данные (скан страниц документа, удостоверяющего личность).
2.3.5. Передача ПДн третьим лицам (службы доставки, платежные агрегаторы) осуществляется только в объеме, необходимом для исполнения договора.
2.3.6. Обработка прекращается по исполнении договора, если нет иных оснований или обязательств по хранению (бухгалтерский учет).
2.3.7. Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.
2.4. Обработка ПДн в целях исполнения обязанностей, возложенных законодательством РФ
2.4.1. Обработка ПДн допускается без согласия субъекта для исполнения обязанностей, возложенных на Оператора федеральным законом, в соответствии с п. 2 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
2.4.2. К таким обязанностям относится ведение бухгалтерского учета в соответствии с Федеральным законом № 402-ФЗ, налогового учета в соответствии с Налоговым кодексом РФ, исполнение требований Федерального закона № 2300-1 «О защите прав потребителей», предоставление сведений по запросам уполномоченных органов (суд, правоохранительные органы, Роскомнадзор).
2.4.3. ПДн, обрабатываемые на этом основании: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, доходы, пол, адрес места жительства, адрес регистрации, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность.
2.4.4. Сроки хранения определяются соответствующими федеральными законами (например, 5 лет для бухгалтерских документов по ст. 29 Федерального закона № 402-ФЗ).
2.4.5. Передача ПДн осуществляется только по официальным запросам органов, в объеме, предусмотренном законом.
2.4.6. Обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
2.4.7. Обеспечение соблюдения трудового законодательства РФ, обеспечение соблюдения налогового законодательства РФ, обеспечение соблюдения пенсионного законодательства РФ.
2.5. Обработка ПДн для функционирования сайта и сервисов
2.5.1. Обработка технических данных (IP-адрес, cookies, данные браузера) осуществляется для обеспечения работы сайтов, в соответствии с п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ (обработка общедоступных ПДн) или на основании согласия.
2.5.2. Для аналитики с использованием Yandex Metrica требуется согласие субъекта, если данные не обезличены.
2.5.3. Обработка осуществляется в соответствии с Постановлением Правительства РФ № 1119, обеспечивая безопасность и конфиденциальность.
2.5.4. Аналитические данные используются для улучшения сайта, без идентификации конкретных субъектов, если не получено согласие.
2.5.5. Информация (cookie файлы) о посещении сайта оператора.
2.6. Обработка ПДн при взаимодействии через социальные сети и мессенджеры
2.6.1. Обработка ПДн в группах и чатах социальных сетей и мессенджеров осуществляется на основании согласия или для исполнения договора (обработка заявок), в соответствии со ст. 6 Федерального закона № 152-ФЗ.
2.6.2. ПДн включают данные, предоставленные субъектом (фамилия, имя, отчество, телефон, email, сообщения), и публичные данные профиля.
2.6.3. Передача данных провайдеру происходит в рамках использования сервиса, с соблюдением конфиденциальности.
2.6.4. Обработка прекращается по достижении цели (ответ на запрос) или отзыву согласия.
2.7. Обработка ПДн в целях маркетинга и коммуникаций
2.7.1. Обработка для рассылок (email, SMS) осуществляется только с согласия субъекта, в соответствии со ст. 15 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе» и ст. 9 Федерального закона № 152-ФЗ.
2.7.2. Согласие на маркетинг оформляется отдельно, с возможностью отказа в любой момент.
2.7.3. ПДн: фамилия, имя, отчество, адрес электронной почты, адрес регистрации, номер телефона, ИНН.
2.7.4. Оператор не передает ПДн для маркетинга третьим лицам без согласия.
2.7.5. Рассылки прекращаются в течение 3 дней после отзыва согласия.
2.7.6. Продвижение товаров, работ, услуг на рынке.
2.8. Обработка ПДн при работе с отзывами, фото и пользовательским контентом
2.8.1. Обработка отзывов, фото, видео осуществляется с отдельного согласия субъекта на обработку и распространение, в соответствии со ст. 10.1 Федерального закона № 152-ФЗ и ст. 152.1 ГК РФ.
2.8.2. Согласие включает указание на ПДн, цели, условия распространения.
2.8.3. Публикация возможна только после получения согласия.
2.8.4. Отзыв согласия влечет удаление контента в течение 10 дней.
2.9. Обработка ПДн в рамках кадровой деятельности
2.9.1. Обработка ПДн кандидатов и работников осуществляется в соответствии с Трудовым кодексом РФ (ст. 85–90), без согласия для обязательных действий, с согласием для дополнительных целей.
2.9.2. ПДн: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, имущественное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, удостоверяющего личность за пределами Российской Федерации, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании.
2.9.3. Хранение в соответствии с Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации».
2.9.4. Передача в органы (ПФР, ФНС) по закону, без согласия.
2.9.5. Ведение кадрового и бухгалтерского учета.
2.9.6. Обеспечение соблюдения трудового законодательства РФ.
2.10. Обработка ПДн для обеспечения безопасности и предотвращения нарушений
2.10.1. Обработка логов, IP для предотвращения мошенничества осуществляется в законных интересах Оператора, в соответствии с п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
2.10.2. Данные хранятся до достижения цели, не идентифицируя субъектов без необходимости.
2.10.3. В случае инцидентов данные используются для расследования в соответствии со ст. 19 Федерального закона № 152-ФЗ.
2.11. Обработка ПДн третьими лицами по поручению Оператора
2.11.1. Поручение обработки третьим лицам осуществляется на основании договора в соответствии со ст. 6 Федерального закона № 152-ФЗ с контролем соблюдения требований.
2.12. Отсутствие трансграничной передачи
2.12.1. Оператор не осуществляет трансграничную передачу ПДн, в соответствии с ч. 1 ст. 12 Федерального закона № 152-ФЗ.
2.12.2. В случае необходимости такой передачи Оператор обновит реестр в Роскомнадзоре и получит согласие субъекта, обеспечив адекватный уровень защиты.
3. Состав и категории персональных данных, обрабатываемых Оператором
3.1. Общие положения о составе ПДн
3.1.1. Состав персональных данных, обрабатываемых Оператором, определяется в соответствии со ст. 3 Федерального закона № 152-ФЗ как любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
3.1.2. Оператор обрабатывает только те ПДн, которые необходимы для достижения целей обработки, указанных в разделе 5 Политики, с соблюдением принципа минимизации данных в соответствии с п. 5 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
3.1.3. Объем и содержание ПДн соответствуют заявленным целям и не являются избыточными, в соответствии с п. 4 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
3.1.4. Оператор не обрабатывает специальные категории ПДн (расовую, национальную принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимную жизнь) в соответствии со ст. 10 Федерального закона № 152-ФЗ, за исключением случаев, прямо предусмотренных законом.
3.1.5. Оператор не обрабатывает биометрические ПДн в соответствии со ст. 11 Федерального закона № 152-ФЗ, за исключением случаев, когда фото или видео, предоставленные субъектом для отзывов, не используются для биометрической идентификации.
3.1.6. В случае случайного получения специальных или биометрических ПДн такие данные подлежат немедленному уничтожению в соответствии с п. 7 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
3.1.7. ПДн собираются непосредственно от субъекта или из общедоступных источников, если это не противоречит закону.
3.1.8. Оператор обеспечивает точность, достаточность и актуальность ПДн в соответствии с п. 6 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
3.1.9. Состав ПДн определяется видами деятельности Оператора, указанными в реестре Роскомнадзора (номер 20-25-002440), и дополнительными каналами, такими как сайты, социальные сети и мессенджеры, телефон, офлайн.
3.1.10. Оператор ведет учет категорий ПДн в внутренних документах для обеспечения соответствия с Федеральным законом № 152-ФЗ.
3.2. Категории ПДн по группам субъектов
3.2.1. Работники, соискатели, родственники работников, уволенные работники: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, имущественное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, удостоверяющего личность за пределами Российской Федерации, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании.
3.2.2. Контрагенты, представители контрагентов, клиенты, выгодоприобретатели по договорам, посетители сайта: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, иные персональные данные (скан страниц документа, удостоверяющего личность, в которых содержится ФИО, серия и номер, орган выдачи, дата выдачи и адрес регистрации, адрес электронной почты), сведения, собираемые посредством метрических программ.
3.2.3. Покупатели и потенциальные покупатели товаров Оператора (физические лица, осуществляющие заказы через сайты, социальные сети и мессенджеры, телефон, офлайн): фамилия, имя, отчество, номер телефона, адрес электронной почты, адрес доставки, данные о заказах (товары, суммы, история покупок), платежные данные (без хранения реквизитов карт), IP-адрес, cookies, UID, фото/видео для отзывов (при предоставлении), содержание переписки.
3.2.4. Посетители сайтов и групп в социальных сетях: IP-адрес, данные cookies, информация о браузере, операционной системе, времени посещения, просмотренных страницах, источнике перехода (обезличенные данные для аналитики после согласия), сведения, собираемые посредством метрических программ.
3.2.5. Лица, направляющие обращения (запросы, жалобы): фамилия, имя, отчество, телефон, email, содержание обращения, данные, необходимые для ответа (в соответствии со ст. 14 Федерального закона № 152-ФЗ).
3.2.6. Участники телефонных коммуникаций: номер телефона, фамилия, имя, отчество (если сообщено), содержание заявки, время звонка, данные о заказе.
3.2.7. Кандидаты на трудоустройство: фамилия, имя, отчество, дата рождения, контакты, сведения из резюме (образование, опыт работы, навыки), информация в сопроводительных письмах.
3.2.8. Работники: ПДн, предусмотренные Трудовым кодексом РФ (ст. 85–90), включая фамилия, имя, отчество, паспортные данные, ИНН, СНИЛС, данные о трудовом договоре, зарплате, отпусках, для кадрового учета.
3.2.9. Контрагенты и представители (для бухгалтерской обработки): фамилия, имя, отчество, контактные данные, реквизиты договоров, платежные данные.
3.2.10. Категории субъектов определяются и дополняются исходя из деятельности Оператора.
3.3. Категории ПДн по уровню обобщенности
3.3.1. Общие персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, имущественное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, удостоверяющего личность за пределами Российской Федерации, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, иные персональные данные (скан страниц документа, удостоверяющего личность, в которых содержится ФИО, серия и номер, орган выдачи, дата выдачи и адрес регистрации, адрес электронной почты), сведения, собираемые посредством метрических программ.
3.3.2. Специальные категории ПДн (ст. 10 Федерального закона № 152-ФЗ): Оператор не обрабатывает данные о расовой/национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни, судимости.
3.3.3. Биометрические ПДн (ст. 11 Федерального закона № 152-ФЗ): Оператор не обрабатывает данные, используемые для биометрической идентификации; фото/видео отзывов считаются обычными ПДн.
3.3.4. Общедоступные ПДн: данные, доступ к которым предоставлен субъектом или по его просьбе, обрабатываются в соответствии с п. 10 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
3.3.5. ПДн, разрешенные для распространения: данные с отдельного согласия субъекта в соответствии со ст. 10.1 Федерального закона № 152-ФЗ (например, опубликованные отзывы).
3.4. Категории ПДн по источнику получения
3.4.1. Полученные непосредственно от субъекта: через формы на сайте, сообщения в социальных сетях и мессенджерах, телефонные звонки, email, офлайн-заявки, предоставленные фото/видео.
3.4.2. Полученные автоматически: IP-адрес, cookies, данные браузера, логи сервера, данные аналитики.
3.4.3. Полученные от третьих лиц: только при наличии законного основания (договор, закон), например, от служб доставки для подтверждения.
3.4.4. Общедоступные источники: данные, доступные неограниченному кругу лиц, с соблюдением ст. 8 Федерального закона № 152-ФЗ.
3.5. Состав ПДн по онлайн-каналам
3.5.1. На сайтах (хостинг-платформа): фамилия, имя, отчество, телефон, email, адрес доставки, данные заказов, платежные данные (передаются агрегаторам), cookies, IP, отзывы (текст, фото).
3.5.2. В группах/чатах социальных сетей и мессенджеров: публичные данные профиля, сообщения, предоставленные контакты, файлы.
3.5.3. Через email: фамилия, имя, отчество, email, содержание письма, вложения (если содержат ПДн).
3.5.4. Через телефон: номер, голосовые данные (не хранятся), предоставленная информация.
3.6. Обработка технических данных
3.6.1. Технические данные: User-Agent, логи сервера, данные о сбоях, доступа, безопасности.
3.6.2. Обработка для обеспечения работы систем, в соответствии с п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
3.6.3. Данные обезличиваются, где возможно, в соответствии со ст. 3 Федерального закона № 152-ФЗ.
3.6.4. Хранение ограничено целями (аналитика, безопасность).
3.7. Данные детей
3.7.1. Оператор не обрабатывает ПДн лиц младше 18 лет без согласия законных представителей, в соответствии со ст. 9 Федерального закона № 152-ФЗ.
3.7.2. В случае выявления таких данных обработка прекращается, данные уничтожаются.
3.7.3. Сайты и услуги не предназначены для детей, без специальных мер.
4. Источники и способы получения персональных данных
4.1. Источники получения ПДн
4.1.1. Основным источником получения ПДн является сам субъект персональных данных, предоставляющий информацию добровольно в процессе взаимодействия с Оператором, в соответствии со ст. 9 Федерального закона № 152-ФЗ, включая заполнение форм на сайтах, отправку сообщений в социальных сетях и мессенджерах, телефонные заявки, email-переписку, офлайн-предоставление данных.
4.1.2. ПДн получаются через сайты Оператора (https://www.flaconrf.ru/, https://flx-shop.ru/), включая формы заказа, корзину, формы обратной связи, формы заказа звонка.
4.1.3. ПДн получаются через группы и чаты в социальных сетях и мессенджерах, включая сообщения, комментарии, предоставленные файлы.
4.1.4. ПДн получаются по телефону: через заявки, звонки, устное предоставление данных.
4.1.5. ПДн получаются при офлайн-продажах: через документы, подписи, устное общение.
4.1.6. ПДн получаются через email: через переписку на info@flaconrf.ru.
4.1.7. ПДн получаются автоматически при посещении сайтов: технические данные (IP, cookies), сведения, собираемые посредством метрических программ, в соответствии с п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ и уведомлением в реестр Роскомнадзора.
4.1.8. ПДн могут получаться от третьих лиц только при наличии законного основания (договор, закон), например, от служб доставки для подтверждения получения.
4.1.9. ПДн не получаются из источников, не соответствующих целям обработки или без основания.
4.1.10. Оператор фиксирует источник получения ПДн для обеспечения возможность отслеживания в соответствии со ст. 14 Федерального закона № 152-ФЗ.
4.2. Способы получения ПДн
4.2.1. Сбор ПДн лично от субъекта: заполнение форм на сайте, отправка сообщений в социальных сетях и мессенджерах, устное сообщение по телефону, предоставление документов офлайн, отправка email.
4.2.2. Автоматизированный сбор: через cookies, IP-адрес, логи сервера, аналитические инструменты (Yandex Metrica) после согласия.
4.2.3. Получение в письменной форме: подпись согласий, договоров, анкет.
4.2.4. Получение в электронной форме: через формы хостинг-платформы, чаты социальных сетей и мессенджеров, email.
4.2.5. Конклюдентные действия: действия субъекта, подтверждающие согласие (клик по кнопке, отправка формы).
4.2.6. Способы получения соответствуют принципам законности и справедливости в соответствии со ст. 5 Федерального закона № 152-ФЗ.
4.2.7. Оператор не использует способы, нарушающие права субъектов, такие как скрытый сбор без уведомления.
4.2.8. При получении ПДн Оператор информирует субъекта о целях, основаниях, последствиях непредоставления, в соответствии со ст. 18 Федерального закона № 152-ФЗ.
4.2.9. Способы получения ПДн включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
4.2.10. Обработка осуществляется смешанным способом, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
4.3. Используемые инструменты для получения ПДн
4.3.1. Хостинг-платформа: формы заказа, корзина, личный кабинет, формы обратной связи.
4.3.2. Социальные сети и мессенджеры: чаты, группы, личные сообщения, комментарии.
4.3.3. Yandex Metrica: для сбора аналитических данных (после согласия).
4.3.4. Почтовые сервисы: для получения email-заявок.
4.3.5. Телефония: для записи заявок по телефону (без аудиозаписи, только текстовые заметки).
4.3.6. Платежные агрегаторы: для получения подтверждений платежей (без хранения чувствительных данных).
4.3.7. Службы доставки: для получения подтверждений доставки.
4.3.8. CRM-системы: для систематизации данных из различных каналов.
4.3.9. Инструменты используются с соблюдением требований Постановления Правительства РФ № 1119 по безопасности.
4.3.10. Оператор контролирует инструменты на соответствие локализации данных в РФ в соответствии с ч. 5 ст. 18 Федерального закона № 152-ФЗ.
5. Цели обработки персональных данных
5.1. Общие цели обработки
5.1.1. Обработка персональных данных осуществляется исключительно для достижения конкретных, заранее определенных и законных целей в соответствии с п. 2 ч. 1 ст. 5 Федерального закона № 152-ФЗ, где указано, что обработка ПДн ограничивается достижением таких целей, и не допускается обработка, несовместимая с целями сбора ПДн.
5.1.2. Цели обработки определяются видами деятельности Оператора, указанными в реестре операторов Роскомнадзора (регистрационный номер 20-25-002440), и включают цели, необходимые для осуществления предпринимательской деятельности, в том числе продажи товаров, исполнения договоров, соблюдения требований законодательства.
5.1.3. Оператор обеспечивает, чтобы каждая цель обработки была обоснована и соответствовала принципам законности, справедливости и ограничения целями в соответствии со ст. 5 Федерального закона № 152-ФЗ.
5.1.4. В случае, если цель обработки утрачивает актуальность, обработка ПДн прекращается, а данные уничтожаются или обезличиваются в соответствии с п. 7 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
5.1.5. Цели обработки документируются в внутренних актах Оператора и уведомлении в Роскомнадзор в соответствии со ст. 22 Федерального закона № 152-ФЗ.
5.1.6. Обработка ПДн для нескольких целей осуществляется раздельно, без объединения баз данных с несовместимыми целями, в соответствии с п. 3 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
5.2. Цели, связанные с онлайн-активностью
5.2.1. Функционирование сайтов: поддержка работоспособности, предотвращение сбоев, обеспечение безопасности в соответствии с п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ (защита законных интересов Оператора).
5.2.2. Аналитика и статистика: анализ посещаемости, поведения пользователей для улучшения сайтов с использованием Яндекс Метрика, на основании согласия субъекта по ст. 9 Федерального закона № 152-ФЗ или как обезличенные данные.
5.2.3. Персонализация контента: запоминание предпочтений, отображение релевантных товаров через cookies после согласия в соответствии со ст. 9 Федерального закона № 152-ФЗ.
5.2.4. Создание и управление личным кабинетом: хранение данных для удобства пользователя в соответствии с п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ (исполнение договора).
5.2.5. Обработка форм на хостинг-платформе: сбор данных для заказов, обратной связи в соответствии с целями исполнения договора.
5.2.6. Мониторинг технических параметров: сбор логов для диагностики ошибок в соответствии с Постановлением Правительства РФ № 1119.
5.2.7. Оптимизация интерфейса: анализ данных о устройствах, браузерах для улучшения usability, на основании согласия или как обезличенные данные.
5.2.8. Предотвращение DDoS-атак и хакерских инцидентов: обработка IP для безопасности в соответствии со ст. 19 Федерального закона № 152-ФЗ.
5.2.9. Информация (cookie файлы) о посещении сайта оператора.
5.3. Маркетинговые цели
5.3.1. Рассылка информации об акциях, новинках, специальных предложениях по email, SMS, push-уведомлениям только с отдельного согласия субъекта в соответствии со ст. 9 Федерального закона № 152-ФЗ и ст. 15 Федерального закона № 38-ФЗ «О рекламе».
5.3.2. Анализ предпочтений для целевого маркетинга на основании согласия.
5.3.3. Сегментация аудитории: группировка по истории покупок для персонализированных предложений с согласия.
5.3.4. Проведение опросов и анкет для маркетинговых исследований с согласия.
5.3.5. Информирование о статусе заказов как часть маркетинга, если указано в согласии.
5.3.6. Отказ от рассылок возможен в любой момент без последствий, в соответствии с ч. 2 ст. 9 Федерального закона № 152-ФЗ.
5.3.7. Маркетинговые данные не передаются третьим лицам без согласия.
5.3.8. Цели маркетинга не применяются к специальным категориям ПДн.
5.3.9. Продвижение товаров, работ, услуг на рынке.
5.4. Социальные сети и мессенджеры
5.4.1. Обработка сообщений в социальных сетях и мессенджерах для консультаций, оформления заказов в соответствии с п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
5.4.2. Сбор отзывов через социальные сети и мессенджеры с согласия.
5.4.3. Модерация комментариев для обеспечения безопасности сообщества.
5.4.4. Анализ взаимодействия в группах для улучшения контента на основании согласия.
5.4.5. Обработка публичных данных профилей как общедоступных в соответствии с п. 10 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
5.4.6. Цели не включают автоматизированное принятие решений, затрагивающих права субъектов.
5.5. Работа с отзывами
5.5.1. Сбор, хранение, публикация отзывов, фото, видео для демонстрации качества товаров с отдельного согласия по ст. 10.1 Федерального закона № 152-ФЗ.
5.5.2. Анализ отзывов для улучшения продукции без идентификации субъектов.
5.5.3. Модерация отзывов для соответствия правилам, с уведомлением субъекта.
5.5.4. Хранение опубликованных отзывов до отзыва согласия.
5.5.5. Цели не включают распространение без согласия.
5.6. Кадровые цели
5.6.1. Рассмотрение резюме кандидатов на основании их инициативы, с согласием по ст. 9 Федерального закона № 152-ФЗ.
5.6.2. Оформление трудовых отношений, ведение кадрового учета в соответствии со ст. 85–90 Трудового кодекса РФ, без согласия для обязательных действий.
5.6.3. Расчет зарплаты, отпусков, больничных по закону.
5.6.4. Передача данных в ПФР, ФНС по обязанности.
5.6.5. Хранение кадровых документов по Федеральному закону № 125-ФЗ.
5.6.6. Обучение сотрудников с их данными.
5.6.7. Цели применяются только при наличии работников.
5.6.8. Ведение кадрового и бухгалтерского учета.
5.6.9. Обеспечение соблюдения трудового законодательства РФ.
5.7. Цели информационной безопасности
5.7.1. Предотвращение мошенничества, несанкционированного доступа через анализ логов, IP в соответствии со ст. 19 Федерального закона № 152-ФЗ.
5.7.2. Обеспечение конфиденциальности ПДн по ст. 7 Федерального закона № 152-ФЗ.
5.7.3. Реагирование на инциденты, уведомление Роскомнадзора при необходимости по ст. 19 Федерального закона № 152-ФЗ.
5.7.4. Ведение журналов доступа для контроля.
5.7.5. Защита от технических угроз (DDoS) по Постановлению № 1119.
5.7.6. Цели не предполагают сбор дополнительных ПДн сверх необходимых.
5.8. Дополнительные цели
5.8.1. Урегулирование споров, защита прав Оператора в суде по п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
5.8.2. Профилактика нарушений, внутренний аудит обработки ПДн.
5.8.3. Обработка для статистической отчетности как обезличенные данные.
5.8.4. Взаимодействие с контролирующими органами по запросам.
5.8.5. Обновление Политики и уведомлений по ст. 18.1 Федерального закона № 152-ФЗ.
5.8.6. Цели, предусмотренные реестром Роскомнадзора, включая обработку данных работников, клиентов, контрагентов.
5.8.7. Все цели соответствуют уведомлению в реестр и не выходят за рамки закона.
5.8.8. Обеспечение соблюдения налогового законодательства РФ.
5.8.9. Обеспечение соблюдения пенсионного законодательства РФ.
5.8.10. Подготовка, заключение и исполнение гражданско-правового договора.
6. Правила и условия обработки персональных данных
6.1. Общие принципы обработки ПДн
6.1.1. Обработка персональных данных осуществляется на основе принципов, установленных ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», которые имеют обязательный характер для Оператора и всех лиц, участвующих в обработке ПДн.
6.1.2. Законность и справедливость: обработка ПДн осуществляется на законной и справедливой основе, в соответствии с п. 1 ч. 1 ст. 5 Федерального закона № 152-ФЗ, что подразумевает соответствие всем требованиям законодательства Российской Федерации, отсутствие обмана или принуждения субъекта ПДн, а также обеспечение равных прав всех субъектов.
6.1.3. Ограничение целями: обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка, несовместимая с целями сбора ПДн, в соответствии с п. 2 ч. 1 ст. 5 Федерального закона № 152-ФЗ, что требует от Оператора четкого документирования целей и проверки совместимости при любых изменениях.
6.1.4. Недопустимость объединения баз: не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой, в соответствии с п. 3 ч. 1 ст. 5 Федерального закона № 152-ФЗ, что обеспечивается раздельным хранением и обработкой данных для разных целей.
6.1.5. Соответствие целям: обработке подлежат только ПДн, которые отвечают целям их обработки, в соответствии с п. 4 ч. 1 ст. 5 Федерального закона № 152-ФЗ, что исключает сбор избыточных данных и требует регулярной проверки на релевантность.
6.1.6. Минимизация данных: содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки, в соответствии с п. 5 ч. 1 ст. 5 Федерального закона № 152-ФЗ, что реализуется через принцип минимизации объема данных.
6.1.7. Точность и актуальность: при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн; Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных, в соответствии с п. 6 ч. 1 ст. 5 Федерального закона № 152-ФЗ, включая процедуры верификации данных.
6.1.8. Ограничение хранения: хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн; обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, в соответствии с п. 7 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
6.1.9. Конфиденциальность: Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом, в соответствии со ст. 7 Федерального закона № 152-ФЗ.
6.1.10. Безопасность: Оператор принимает необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн, в соответствии со ст. 19 Федерального закона № 152-ФЗ.
6.1.11. Прозрачность: Оператор обеспечивает субъекту ПДн возможность ознакомления с информацией об обработке его ПДн в соответствии со ст. 14 Федерального закона № 152-ФЗ.
6.1.12. Подотчетность: Оператор ведет документацию по обработке ПДн, включая журналы, акты, для демонстрации соблюдения принципов.
6.1.13. Все принципы применяются ко всем видам обработки (автоматизированной, неавтоматизированной, смешанной) и каналам (онлайн, офлайн).
6.2. Условия начала обработки ПДн
6.2.1. Обработка ПДн начинается только при наличии хотя бы одного из оснований, предусмотренных ст. 6 Федерального закона № 152-ФЗ.
6.2.2. Перед началом обработки Оператор уведомляет субъекта о целях, основаниях, объеме ПДн, если требуется согласие, в соответствии со ст. 18 Федерального закона № 152-ФЗ.
6.2.3. При сборе ПДн через сайт или формы обеспечивается получение согласия, если оно необходимо.
6.2.4. Обработка начинается с момента получения ПДн и фиксации в системах Оператора.
6.2.5. Для автоматизированной обработки обеспечивается соответствие требованиям Постановления Правительства РФ № 1119.
6.2.6. Для неавтоматизированной – Постановления № 687.
6.2.7. Оператор проверяет наличие оснований перед началом, документируя это.
6.2.8. В случае отсутствия основания обработка не начинается, данные уничтожаются.
6.3. Условия прекращения обработки ПДн
6.3.1. Обработка ПДн прекращается по достижении целей обработки в соответствии с п. 7 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
6.3.2. При отзыве согласия субъектом, если нет иных оснований, в соответствии с ч. 2 ст. 9 Федерального закона № 152-ФЗ.
6.3.3. По истечении срока хранения, установленного законом или договором.
6.3.4. При выявлении неправомерной обработки по требованию субъекта или Роскомнадзора.
6.3.5. Прекращение включает блокирование, удаление или уничтожение ПДн.
6.3.6. Оператор уведомляет субъекта о прекращении, если запрос был от него.
6.3.7. Документируется актом прекращения обработки.
6.3.8. Срок или условие прекращения обработки персональных данных – прекращение деятельности индивидуального предпринимателя.
6.4. Обработка ПДн в автоматизированном режиме
6.4.1. Автоматизированная обработка осуществляется с помощью средств вычислительной техники в соответствии со ст. 3 Федерального закона № 152-ФЗ.
6.4.2. Включает использование сайтов, CRM, аналитики, с защитой по Постановлению № 1119.
6.4.3. Оператор обеспечивает отсутствие автоматизированных решений, затрагивающих права субъектов без их участия, если не предусмотрено законом.
6.4.4. Данные шифруются при передаче (HTTPS).
6.4.5. Журналирование действий для контроля.
6.4.6. Регулярные резервные копии и восстановление.
6.4.7. Соответствие уровню защиты по Постановлению № 1119.
6.5. Обработка ПДн без использования средств автоматизации
6.5.1. Неавтоматизированная обработка осуществляется в соответствии с Постановлением № 687.
6.5.2. Включает бумажные документы, ручные записи.
6.5.3. Хранение в закрытых шкафах, доступ ограничен.
6.5.4. Раздельное хранение для разных целей.
6.5.5. Уничтожение шредированием или иными методами.
6.5.6. Фиксация в журналах вручную.
6.6. Смешанная обработка ПДн
6.6.1. Смешанная обработка сочетает автоматизированную и неавтоматизированную, с соблюдением обоих постановлений (№ 1119 и № 687).
6.6.2. Переход данных между режимами контролируется.
6.6.3. Обеспечивается единый уровень защиты.
6.6.4. Обработка персональных данных осуществляется смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
6.7. Обработка специальных категорий ПДн и биометрических ПДн
6.7.1. Не осуществляется, за исключением предусмотренных законом случаев по ст. 10 и 11 Федерального закона № 152-ФЗ.
6.7.2. При случайном получении – немедленное уничтожение.
6.7.3. Фото отзывов – как обычные ПДн.
6.8. Обработка ПДн несовершеннолетних
6.8.1. Только с согласия представителей по ст. 9 Федерального закона № 152-ФЗ.
6.8.2. При выявлении – прекращение обработки.
6.9. Обработка ПДн, разрешенных для распространения
6.9.1. Только с отдельного согласия по ст. 10.1 Федерального закона № 152-ФЗ.
6.9.2. Согласие включает запреты и условия.
6.9.3. Прекращение распространения по требованию.
6.10. Обработка обезличенных данных
6.10.1. Обезличивание для аналитики по ст. 3 Федерального закона № 152-ФЗ.
6.10.2. Обезличенные данные не подпадают под закон, но Оператор обеспечивает невозможность деобезличивания.
6.10.3. Используется для статистики, без идентификации.
7. Права и обязанности Оператора
7.1. Права Оператора
7.1.1. Оператор имеет право получать от субъекта ПДн достоверные информацию и/или документы, содержащие ПДн, необходимые для достижения целей обработки, в соответствии со ст. 14 Федерального закона № 152-ФЗ.
7.1.2. В случае отзыва субъектом ПДн согласия на обработку ПДн продолжать обработку без согласия при наличии оснований, указанных в ст. 6 Федерального закона № 152-ФЗ, таких как исполнение договора или требований закона.
7.1.3. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей по защите ПДн, если иное не предусмотрено федеральным законом, в соответствии со ст. 19 Федерального закона № 152-ФЗ.
7.1.4. Поручать обработку ПДн другому лицу с согласия субъекта ПДн или без него, если это предусмотрено федеральным законом, на основании договора поручения, в соответствии со ст. 6 Федерального закона № 152-ФЗ.
7.1.5. Требовать от лица, осуществляющего обработку ПДн по поручению, подтверждения принятия мер по защите ПДн и соблюдения конфиденциальности.
7.1.6. Обрабатывать ПДн в объеме и способом, необходимыми для достижения целей, без избыточности.
7.1.7. Блокировать, уточнять или уничтожать ПДн по собственной инициативе при выявлении неточностей или неправомерности обработки.
7.1.8. Отказывать в удовлетворении запросов субъекта ПДн при наличии оснований, предусмотренных законом, с мотивированным ответом в соответствии со ст. 14 Федерального закона № 152-ФЗ.
7.1.9. Проводить внутренний контроль и аудит обработки ПДн для обеспечения соответствия требованиям закона.
7.1.10. Информировать Роскомнадзор об изменениях в обработке ПДн в соответствии со ст. 22 Федерального закона № 152-ФЗ.
7.1.11. Осуществлять трансграничную передачу ПДн только при соблюдении ст. 12 Федерального закона № 152-ФЗ (не применяется, так как не производится).
7.1.12. Создавать общедоступные источники ПДн с письменного согласия субъекта в соответствии со ст. 8 Федерального закона № 152-ФЗ.
7.1.13. Обрабатывать обезличенные ПДн для статистических или иных целей без ограничений закона.
7.1.14. Защищать свои права в суде или органах в случае споров по обработке ПДн.
7.1.15. Все права реализуются с учетом прав и свобод субъектов ПДн.
7.2. Обязанности Оператора
7.2.1. Организовывать обработку ПДн в порядке, установленном Федеральным законом № 152-ФЗ, включая назначение ответственного лица по ст. 22.1.
7.2.2. Предоставлять субъекту ПДн по его запросу информацию об обработке его ПДн в доступной форме, без ПДн других субъектов, в соответствии со ст. 14 Федерального закона № 152-ФЗ.
7.2.3. Отвечать на обращения и запросы субъектов ПДн и их представителей в сроки, установленные ст. 14 Федерального закона № 152-ФЗ (10 рабочих дней, продление до 20).
7.2.4. Уведомлять Роскомнадзор о намерении осуществлять обработку ПДн до начала обработки, за исключением случаев по ст. 22 ч. 2 Федерального закона № 152-ФЗ.
7.2.5. Публиковать или иным образом обеспечивать неограниченный доступ к Политике в отношении обработки ПДн в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ.
7.2.6. Принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в соответствии со ст. 19 Федерального закона № 152-ФЗ.
7.2.7. Прекращать обработку и уничтожать ПДн в случаях, предусмотренных Федеральным законом № 152-ФЗ, таких как отзыв согласия, достижение целей.
7.2.8. Обеспечивать конфиденциальность ПДн в соответствии со ст. 7 Федерального закона № 152-ФЗ.
7.2.9. Вести учет запросов субъектов, инцидентов, уничтожений ПДн в журналах.
7.2.10. Информировать субъекта при сборе ПДн о целях, основаниях, последствиях непредоставления по ст. 18 Федерального закона № 152-ФЗ.
7.2.11. Уведомлять Роскомнадзор об инцидентах, приводящих к утечке ПДн, в сроки по ст. 19 Федерального закона № 152-ФЗ.
7.2.12. Обеспечивать раздельное хранение ПДн для разных целей.
7.2.13. Назначать лицо, ответственное за организацию обработки ПДн, и обеспечивать его функции по ст. 22.1 Федерального закона № 152-ФЗ.
7.2.14. Проводить обучение лиц, имеющих доступ к ПДн, требованиям закона.
7.2.15. Обеспечивать локализацию баз данных ПДн на территории РФ по ч. 5 ст. 18 Федерального закона № 152-ФЗ.
7.2.16. Все обязанности выполняются Оператором самостоятельно или через уполномоченных лиц.
8. Права и обязанности субъектов персональных данных
8.1. Права субъекта ПДн
8.1.1. Субъект персональных данных имеет право получать информацию, касающуюся обработки его ПДн, в соответствии со ст. 14 Федерального закона № 152-ФЗ, включая подтверждение факта обработки ПДн Оператором, правовые основания и цели обработки ПДн, обрабатываемые ПДн и источник их получения, сроки обработки ПДн, включая сроки их хранения, порядок осуществления прав, предусмотренных Федеральным законом № 152-ФЗ, наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу, сведения о наличии или об отсутствии трансграничной передачи ПДн, иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
8.1.2. Информация предоставляется субъекту ПДн в доступной форме, и в ней не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн, в соответствии с ч. 3 ст. 14 Федерального закона № 152-ФЗ; запрос на такую информацию может быть направлен в письменной форме, в форме электронного документа или иным способом, позволяющим установить факт направления запроса.
8.1.3. Субъект ПДн имеет право требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, в соответствии со ст. 14 ч. 1 п. 7 Федерального закона № 152-ФЗ; такое требование должно содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта ПДн или его представителя.
8.1.4. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке, в соответствии со ст. 17 Федерального закона № 152-ФЗ; это право реализуется путем обращения в суд или уполномоченный орган по защите прав субъектов ПДн с жалобой на действия или бездействие Оператора.
8.1.5. Субъект ПДн имеет право отозвать согласие на обработку ПДн, направив Оператору соответствующее уведомление в простой письменной форме или в форме электронного документа, в соответствии с ч. 2 ст. 9 Федерального закона № 152-ФЗ; отзыв согласия не влияет на законность обработки, осуществленной до отзыва, и не прекращает обработку, если имеются иные основания по ст. 6 Федерального закона № 152-ФЗ.
8.1.6. Субъект ПДн имеет право требовать прекращения передачи (распространения, предоставления, доступа) своих ПДн, разрешенных для распространения, а также установления запретов или условий на их обработку неограниченным кругом лиц, в соответствии со ст. 10.1 ч. 5 Федерального закона № 152-ФЗ; такое требование должно быть исполнено Оператором в течение 10 рабочих дней.
8.1.7. Субъект ПДн имеет право на обжалование в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерных действий или бездействия Оператора при обработке его ПДн, в соответствии со ст. 17 Федерального закона № 152-ФЗ; жалоба в Роскомнадзор подается в письменной форме или через электронный сервис, с приложением доказательств.
8.1.8. Субъект ПДн имеет право требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях, в соответствии с ч. 7 ст. 14 Федерального закона № 152-ФЗ.
8.1.9. Субъект ПДн имеет право на бесплатное получение одной копии любой записи, содержащей его ПДн, за исключением случаев, предусмотренных федеральным законом, в соответствии с ч. 8 ст. 14 Федерального закона № 152-ФЗ; дополнительные копии предоставляются за плату, не превышающую затраты на их изготовление.
8.1.10. Субъект ПДн имеет право выдвигать условие предварительного согласия при обработке ПДн в целях продвижения товаров, работ и услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации, в соответствии со ст. 15 Федерального закона № 152-ФЗ.
8.1.11. Субъект ПДн имеет право на доступ к своим ПДн без ограничения по времени, месту и способу, за исключением случаев, когда это нарушает права других лиц или предусмотрено законом.
8.1.12. Субъект ПДн имеет право требовать ограничения обработки ПДн в случаях, предусмотренных законом, таких как оспаривание точности ПДн, неправомерная обработка, когда уничтожение не требуется.
8.1.13. Субъект ПДн имеет право на переносимость данных, то есть получение своих ПДн в структурированном, общепринятом формате и передачу их другому Оператору, если обработка автоматизирована и основана на согласии или договоре, в соответствии с международными стандартами, адаптированными к российскому законодательству.
8.1.14. Субъект ПДн имеет право на защиту от автоматизированных решений, существенно затрагивающих его права, требуя вмешательства человека или выражения своей точки зрения.
8.1.15. Все права субъекта ПДн реализуются путем направления запроса Оператору в порядке, установленном разделом 11 Политики, с подтверждением личности.
8.2. Обязанности субъекта ПДн
8.2.1. Субъект ПДн обязан предоставлять Оператору достоверные данные о себе, необходимые для достижения целей обработки, поскольку обработка недостоверных данных может привести к нарушению прав и ответственности в соответствии с законодательством Российской Федерации.
8.2.2. Субъект ПДн обязан сообщать Оператору об уточнении (обновлении, изменении) своих ПДн в случае их изменения, чтобы обеспечить точность и актуальность данных в соответствии с п. 6 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
8.2.3. Лица, передавшие Оператору недостоверные персональные данные, несут ответственность в соответствии с законодательством Российской Федерации.
9. Сроки хранения персональных данных
9.1. Общие положения о хранении ПДн
9.1.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, в соответствии с п. 7 ч. 1 ст. 5 Федерального закона № 152-ФЗ; это положение обеспечивает, что ПДн не хранятся бессрочно и подлежат уничтожению или обезличиванию по достижении целей или утрате необходимости в них.
9.1.2. Сроки хранения ПДн определяются с учетом требований Федерального закона № 152-ФЗ, Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Налогового кодекса Российской Федерации, Трудового кодекса Российской Федерации (для кадровых данных), а также иных нормативных правовых актов, регулирующих хранение документов, содержащих ПДн.
9.1.3. Хранение ПДн осуществляется в условиях, обеспечивающих их защиту от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в соответствии со ст. 19 Федерального закона № 152-ФЗ; это включает использование организационных и технических мер, таких как ограничение доступа, шифрование и резервное копирование.
9.1.4. Оператор обеспечивает раздельное хранение ПДн, обрабатываемых в разных целях, чтобы избежать их объединения в базах данных с несовместимыми целями, в соответствии с п. 3 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
9.1.5. В случае автоматизированной обработки хранение ПДн осуществляется в информационных системах персональных данных (ИСПДн), соответствующих требованиям Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», включая определение уровня защищенности и применение соответствующих мер.
9.1.6. Для неавтоматизированной обработки хранение осуществляется на материальных носителях в условиях, предусмотренных Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», включая обособленное хранение носителей и ограничение доступа.
9.1.7. Сроки хранения ПДн начинаются с момента их получения или создания и заканчиваются уничтожением или обезличиванием данных; Оператор ведет учет сроков хранения в внутренних документах, таких как реестр ПДн и матрица обработки.
9.1.8. Если федеральный закон устанавливает обязательный срок хранения (например, для бухгалтерских документов – 5 лет по ст. 29 Федерального закона № 402-ФЗ), Оператор соблюдает такой срок независимо от достижения целей обработки.
9.1.9. В случае отзыва согласия субъектом ПДн хранение продолжается только при наличии иных оснований по ст. 6 Федерального закона № 152-ФЗ, таких как исполнение договора или требований закона; в противном случае данные уничтожаются в течение 30 дней.
9.1.10. Оператор регулярно проводит аудит сроков хранения для выявления данных, подлежащих уничтожению, с фиксацией в актах.
9.1.11. Хранение ПДн локализовано на территории Российской Федерации в соответствии с ч. 5 ст. 18 Федерального закона № 152-ФЗ, без трансграничной передачи.
9.1.12. Все положения о хранении применяются ко всем категориям ПДн и субъектам, с учетом специфики (например, кадровые данные – по Трудовому кодексу РФ).
9.2. Основания для определения сроков хранения
9.2.1. Сроки хранения определяются целями обработки ПДн, указанными в разделе 5 Политики, и не превышают период, необходимый для их достижения, в соответствии с п. 7 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
9.2.2. Федеральные законы, устанавливающие обязательные сроки: Федеральный закон № 402-ФЗ «О бухгалтерском учете» (ст. 29 – 5 лет для первичных учетных документов), Налоговый кодекс РФ (ч. 1 ст. 23 – 4 года для налоговых документов), Трудовой кодекс РФ (ст. 87 – сроки для кадровых документов), Федеральный закон № 125-ФЗ «Об архивном деле» (перечень сроков для архивных документов).
9.2.3. Договоры с субъектами: сроки хранения определяются условиями договора купли-продажи, оферты, до исполнения обязательств плюс срок исковой давности по ст. 196 ГК РФ (3 года).
9.2.4. Согласия субъектов: хранение до отзыва согласия плюс 3 года для доказательства законности обработки.
9.2.5. Требования к хранению для урегулирования споров: в течение срока исковой давности по ст. 196–200 ГК РФ.
9.2.6. Для технических данных (cookies, логи): до достижения целей (аналитика – 1 год, безопасность – 6–12 месяцев), если не указано иное.
9.2.7. Для кадровых данных: в соответствии с Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов...», включая 50–75 лет для личных дел.
9.2.8. Основания документируются в Политике и внутренних актах Оператора для обеспечения возможность отслеживания.
9.2.9. В случае конфликта оснований приоритет имеют федеральные законы.
9.2.10. Оператор пересматривает сроки при изменениях в законодательстве или целях обработки.
9.2.11. Срок или условие прекращения обработки персональных данных – прекращение деятельности индивидуального предпринимателя.
9.3. Таблица сроков хранения персональных данных
9.3.1. Ниже приведена таблица с категориями ПДн, составом данных, правовыми основаниями и сроками хранения, составленная в соответствии с требованиями Федерального закона № 152-ФЗ и иных актов; таблица является ориентировочной и применяется с учетом конкретных обстоятельств.
|
Категория ПДн |
Состав данных |
Правовое основание |
Срок хранения |
|
Данные о заказах клиентов |
Фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, иные персональные данные (скан страниц документа, удостоверяющего личность) |
п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ (исполнение договора), Федеральный закон № 2300-1 «О защите прав потребителей» |
До исполнения договора + 3 года (срок исковой давности по ст. 196 ГК РФ) |
|
Бухгалтерские документы |
Чеки, накладные, акты, квитанции, содержащие ПДн |
ст. 29 Федерального закона № 402-ФЗ «О бухгалтерском учете» |
5 лет |
|
Налоговые данные |
Суммы платежей, реквизиты, содержащие ПДн |
ч. 1 ст. 23 Налогового кодекса РФ |
5 лет |
|
Переписка с клиентами |
Сообщения в социальных сетях и мессенджерах, email, формы, содержащие ПДн |
ст. 10 Федерального закона № 2300-1 «О защите прав потребителей» |
3 года |
|
Данные для гарантии |
Информация о товаре, сроках гарантии, ПДн клиента |
Федеральный закон № 2300-1 «О защите прав потребителей» |
До истечения гарантии + 1 год |
|
Cookies и технические данные |
IP-адрес, идентификаторы, логи, сведения, собираемые посредством метрических программ |
п. 7 ч. 1 ст. 6 Федерального закона № 152-ФЗ (законные интересы) |
До достижения цели, обычно 1 год |
|
Маркетинговые данные |
Фамилия, имя, отчество, адрес электронной почты, адрес регистрации, номер телефона, ИНН |
ст. 9 Федерального закона № 152-ФЗ (согласие) |
До отзыва согласия или 2 года после последнего взаимодействия |
|
Данные акций |
Фамилия, имя, отчество, телефон для участия в акциях |
ст. 9 Федерального закона № 152-ФЗ (согласие) |
До окончания акции + 6 месяцев |
|
Отзывы и изображения |
Текст отзывов, фото, видео |
ст. 10.1 Федерального закона № 152-ФЗ, ст. 152.1 ГК РФ |
До отзыва согласия или удаления публикации |
|
Данные кандидатов |
Резюме, контакты |
Трудовой кодекс РФ, ст. 9 Федерального закона № 152-ФЗ |
3 года |
|
Кадровые данные сотрудников |
Личные дела, карточки, приказы |
Трудовой кодекс РФ, Приказ Росархива № 236 |
50–75 лет в зависимости от вида документа |
|
Обращения субъектов |
Запросы по ст. 14 Федерального закона № 152-ФЗ |
ст. 14 Федерального закона № 152-ФЗ |
3 года |
9.3.2. Таблица применяется ко всем процессам обработки; в случае специфики (например, для конкретного договора) срок корректируется, но не превышает законные пределы.
9.3.3. Оператор фиксирует применение сроков в актах и журналах.
9.4. Сроки хранения согласий субъектов ПДн
9.4.1. Согласия на обработку ПДн хранятся в течение всего периода обработки плюс 3 года после прекращения для доказательства законности, в соответствии со ст. 9 Федерального закона № 152-ФЗ.
9.4.2. Хранение согласий осуществляется в электронной или бумажной форме, с фиксацией даты, времени, версии текста.
9.4.3. Согласия на распространение хранятся отдельно, с условиями и запретами по ст. 10.1.
9.4.4. Уничтожение согласий после срока – по акту.
9.4.5. Журнал регистрации согласий ведется для учета.
9.5. Сроки хранения cookie, логов и технических данных
9.5.1. Cookies хранятся до достижения целей (сессионные – до закрытия браузера, постоянные – до 1 года), в соответствии с рекомендациями Роскомнадзора.
9.5.2. Логи сервера – до 1 года для аналитики, дольше при инцидентах для расследования по ст. 19 Федерального закона № 152-ФЗ.
9.5.3. Технические данные обезличиваются при хранении.
9.5.4. Удаление по истечении – автоматическое или ручное.
9.6. Сроки хранения данных, переданных в социальные сети и мессенджеры
9.6.1. Сообщения хранятся до решения запроса + 3 года, если относятся к договору.
9.6.2. Удаление по требованию субъекта, кроме обязательных данных.
9.6.3. Хранение в соответствии с политикой провайдера, но под контролем Оператора.
9.7. Сроки хранения данных, необходимых для защиты прав Оператора
9.7.1. Переписка, документы по спорам – 3 года (исковая давность по ст. 196 ГК РФ).
9.7.2. Данные для доказательства в суде – до разрешения спора + 3 года.
9.8. Сроки хранения кадровых данных
9.8.1. Личные дела – 50/75 лет по Приказу Росархива № 236.
9.8.2. Табели, графики – 5/1 год соответственно.
9.8.3. Заявления – 3 года.
9.8.4. Применяется при наличии сотрудников.
9.9. Порядок блокирования ПДн
9.9.1. Блокирование – временное прекращение обработки по ст. 3 Федерального закона № 152-ФЗ, при обращении субъекта, неточности данных, незаконной обработке.
9.9.2. Срок – до 30 дней или устранения нарушения.
9.9.3. Во время блокирования обработка запрещена, кроме хранения.
9.9.4. Фиксация в журнале блокирования.
9.10. Порядок уничтожения ПДн
9.10.1. Уничтожение – по достижении целей, истечении срока, отзыве согласия, по акту.
9.10.2. Методы: для бумаги – шредирование, сжигание; для электронных – перезапись, удаление носителей.
9.10.3. Акт уничтожения включает дату, основание, состав данных, способ, ответственного.
9.10.4. Уничтожение исключает восстановление.
9.11. Хранение и уничтожение обезличенных данных
9.11.1. Обезличенные данные хранятся бессрочно, если невозможно деобезличивание.
9.11.2. Уничтожение, если обезличивание недостаточно.
9.12. Особенности хранения данных, полученных автоматически
9.12.1. IP, cookies – до 1 года для аналитики, 3 года для предотвращения мошенничества при нарушениях.
9.12.2. Автоматическое удаление по истечении.
9.13. Особенности хранения данных, связанных с отзывами и изображениями
9.13.1. Хранение до отзыва согласия или удаления публикации.
9.13.2. Удаление в 10 дней после отзыва.
9.13.3. Хранение опубликованных – до судебных процедур, если спор.
9.14. Особенности хранения учётных записей пользователей
9.14.1. Данные личного кабинета – весь период использования + 3 года после удаления.
9.14.2. Удаление по запросу, кроме обязательных данных.
9.15. Документирование сроков хранения
9.15.1. Сроки фиксируются в реестре ПДн, матрице, регламенте хранения, актах уничтожения, журнале блокирования.
9.15.2. Документы хранятся 3 года после уничтожения ПДн.
9.15.3. Оператор ведет электронный или бумажный учет для проверок.
10. Меры по обеспечению безопасности персональных данных
10.1. Общие требования к безопасности обработки ПДн
10.1.1. Оператор обеспечивает безопасность персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», которая устанавливает обязанность оператора принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
10.1.2. Меры по обеспечению безопасности ПДн определяются с учетом характера обрабатываемых ПДн, объема обработки, способов обработки (автоматизированная, неавтоматизированная или смешанная), а также актуальных угроз безопасности ПДн, в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которое устанавливает уровни защищенности ИСПДн и соответствующие требования к мерам защиты.
10.1.3. Безопасность ПДн обеспечивается на всех этапах обработки, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение, в соответствии со ст. 3 Федерального закона № 152-ФЗ, с целью предотвращения утечек, несанкционированного доступа и иных инцидентов.
10.1.4. Оператор определяет уровень защищенности ИСПДн в зависимости от категорий ПДн (общие, без специальных и биометрических), количества субъектов (менее 100 000), наличия угроз и потенциального вреда, в соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», применяя базовый набор мер для низкого уровня угроз.
10.1.5. Требования к безопасности распространяются на все компоненты обработки ПДн, включая сайты https://www.flaconrf.ru/ и https://flx-shop.ru/, хостинг-платформу, социальные сети и мессенджеры, CRM-системы, бухгалтерское ПО, бумажные носители, устройства Оператора и третьих лиц, осуществляющих обработку по поручению.
10.1.6. Меры безопасности включают правовые (разработка документов), организационные (назначение ответственных, обучение), технические (программные и аппаратные средства защиты) и физические (ограничение доступа) меры, в соответствии с комплексным подходом, предусмотренным ст. 19 Федерального закона № 152-ФЗ и Постановлением № 1119.
10.1.7. Оператор оценивает эффективность принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн и периодически в процессе эксплуатации, в соответствии с ч. 2 ст. 19 Федерального закона № 152-ФЗ.
10.1.8. В случае изменений в обработке ПДн (новые цели, каналы, третьи лица) меры безопасности пересматриваются и обновляются для соответствия новым условиям.
10.1.9. Все меры направлены на минимизацию рисков, связанных с обработкой ПДн в рамках деятельности Оператора, включая онлайн-торговлю, без трансграничной передачи данных.
10.1.10. Оператор документирует меры безопасности в локальных актах, таких как Положение о защите ПДн, для демонстрации соблюдения требований при проверках Роскомнадзора.
10.2. Классификация информационной системы персональных данных (ИСПДн)
10.2.1. Информационная система персональных данных Оператора классифицируется как ИСПДн, обрабатывающая общие ПДн граждан Российской Федерации в автоматизированном, неавтоматизированном и смешанном режимах, без обработки специальных категорий ПДн или биометрических ПДн, в соответствии со ст. 3 Федерального закона № 152-ФЗ и Постановлением № 1119.
10.2.2. Уровень защищенности ИСПДн определяется как базовый (4-й уровень) на основе критериев: отсутствие специальных и биометрических ПДн, количество субъектов менее 100 000, отсутствие угроз высокой степени, потенциальный вред – низкий, в соответствии с Приложением к Постановлению № 1119.
10.2.3. Классификация учитывает специфику ИСПДн: использование облачных сервисов (хостинг-платформа) с локализацией в РФ, интеграцию с Yandex Metrica, CRM, без высокорисковых данных.
10.2.4. Оператор проводит анализ угроз и классификацию при вводе ИСПДн в эксплуатацию и при изменениях, документируя в акте.
10.2.5. Для базового уровня применяются минимальные меры по Приказу ФСТЭК № 21, включая идентификацию, контроль доступа, антивирусную защиту.
10.2.6. Классификация не требует сертификации ИСПДн, но обеспечивает соответствие требованиям.
10.3. Организационные меры обеспечения безопасности
10.3.1. Назначение лица, ответственного за организацию обработки персональных данных, и ст. 22.1 Федерального закона № 152-ФЗ.
10.3.2. Разработка локальных актов и документов, определяющих политику оператора в отношении обработки персональных данных для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, в частности, Положение об обработке и защите персональных данных.
10.3.3. Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных.
10.3.4. Ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
10.3.5. Обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
10.3.6. Разработка правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
10.3.7. Учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме).
10.3.8. Проведение оценки эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных.
10.3.9. Проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства по обработке персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей по обработке персональных данных и их защите.
10.3.10. Обеспечение ознакомления работников оператора с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников.
10.3.11. Осуществление иных необходимых действий в соответствии со ст. 18.1 и 19 Федерального закона № 152-ФЗ.
10.3.12. Разграничение прав доступа: присвоение уникальных учетных записей, ролей (минимальный доступ), запрет передачи паролей.
10.3.13. Запрет использования иностранных сервисов без локализации: запрещены сервисы без серверов в РФ; разрешены российские.
10.3.14. Регламент хранения документов: бумажные – в запираемых шкафах, электронные – в защищенных системах.
10.3.15. Внутренний контроль: ежегодные аудиты соответствия, проверки журналов.
10.3.16. Соглашения о неразглашении с лицами, имеющими доступ.
10.3.17. Мониторинг изменений в законодательстве для обновления мер.
10.3.18. Документирование всех организационных мер в отчетах.
10.4. Технические меры обеспечения безопасности
10.4.1. Защита каналов передачи: использование HTTPS (TLS 1.2+), SSL-сертификатов на сайтах.
10.4.2. Защита инфраструктуры хостинг-платформы: мониторинг интеграций, брандмауэр, анти-DDoS от провайдера.
10.4.3. Парольная политика: длина не менее 10 символов, смена каждые 90 дней, сложность (буквы, цифры, символы).
10.4.4. Антивирусная защита: установка и обновление антивирусов на устройствах, сканирование.
10.4.5. Резервное копирование: автоматическое на хостинг-платформе, ручное для критических данных, хранение в РФ.
10.4.6. Журналирование: логи входов, действий, передач, ошибок для анализа.
10.4.7. Защита от НСД: блокировка после неудачных попыток, двухфакторная аутентификация, авто-выход.
10.4.8. Ограничение интеграций: только проверенные сервисы в РФ, без скриптов из неизвестных источников.
10.4.9. Шифрование данных: при хранении и передаче чувствительных ПДн.
10.4.10. Мониторинг систем: регулярные сканирования на уязвимости.
10.4.11. Внедрение систем по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных.
10.4.12. Обеспечение учета машинных носителей персональных данных.
10.4.13. Разработка правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
10.4.14. Соответствие Приказу ФСТЭК № 21 для технических мер.
10.5. Физическая защита ПДн
10.5.1. Защита устройств: пароли, блокировка экрана, шифрование дисков.
10.5.2. Запрет передачи устройств третьим лицам без очистки.
10.5.3. Хранение бумажных документов: в запираемых шкафах с ограниченным доступом.
10.5.4. Контроль физического доступа: только уполномоченным лицам.
10.5.5. Меры по предотвращению краж или утраты носителей.
10.5.6. Физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации.
10.5.7. Учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме).
10.6. Модель угроз безопасности ПДн
10.6.1. Внешние угрозы: хакинг, DDoS, фишинг, вредоносное ПО.
10.6.2. Внутренние угрозы: ошибки, несанкционированный доступ внутри.
10.6.3. Технологические: сбои хостинг-платформы, оборудования.
10.6.4. Административные: отсутствие инструктажей, нарушения правил.
10.6.5. Модель разрабатывается по Методическим рекомендациям ФСТЭК, с оценкой рисков.
10.6.6. Угрозы классифицируются по степени (высокая, средняя, низкая), с приоритетными мерами.
10.7. Меры реагирования на инциденты
10.7.1. При инциденте: блокировка доступа, локализация, восстановление, анализ причины.
10.7.2. Уведомление субъектов и Роскомнадзора при рисках, в сроки по ст. 19 Федерального закона № 152-ФЗ (24 часа для уведомления РКН о намерении, 72 часа для деталей).
10.7.3. Журнал инцидентов: дата, описание, данные, меры, ответственные.
10.7.4. Пост-инцидент: усиление мер, обучение.
10.7.5. Тестирование плана реагирования ежегодно.
10.8. Контроль эффективности мер безопасности
10.8.1. Внутренние проверки: ежегодно, при изменениях, после инцидентов.
10.8.2. Аудит: внешний или внутренний, с актами и отчетами.
10.8.3. Корректировка мер по результатам.
10.8.4. Мониторинг соответствия Постановлению № 1119 и Приказу ФСТЭК № 21.
10.8.5. Документирование контроля для проверок РКН.
11. Порядок взаимодействия с субъектами персональных данных
11.1. Общие положения взаимодействия
11.1.1. Настоящий раздел определяет порядок взаимоотношений между Оператором и субъектами персональных данных (далее – Субъект ПДн) по всем вопросам, связанным с обработкой ПДн, в соответствии со статьями 14, 18, 21, 22 Федерального закона № 152-ФЗ, включая предоставление информации об обработке ПДн, уточнение, блокирование, уничтожение ПДн, отзыв согласия.
11.1.2. Взаимодействие с Субъектом ПДн осуществляется официально, документируемо, с подтверждением личности, в сроки, установленные законом, при обязательном учете прав и законных интересов Субъекта ПДн.
11.1.3. Все уведомления, ответы и решения Оператора оформляются с соблюдением требований ГОСТ Р 7.0.97-2016.
11.1.4. Оператор обязан соблюдать прозрачность обработки данных и предоставлять Субъекту ПДн исчерпывающую, достоверную и полную информацию.
11.2. Каналы обращения Субъектов
11.2.1. Субъект ПДн вправе направлять обращения по следующим каналам: по почтовому адресу 366135, Чеченская Республика, Наурский район, село Фрунзенское, ул. Школьная, д.7, кв.3; на электронный адрес Оператора info@flaconrf.ru; через форму обратной связи на сайтах; через личный кабинет (если имеется); в письменной форме при офлайн взаимодействии; в социальных сетях и мессенджерах – при условии последующей идентификации личности субъекта.
11.3. Виды обращений, подаваемых субъектом
11.3.1. Субъект может подать: запрос о подтверждении факта обработки ПДн; запрос на предоставление информации об обработке; запрос об уточнении (изменении) ПДн; требование об уничтожении ПДн; требование о блокировании; отзыв согласия на обработку ПДн; требования о прекращении маркетинговой обработки; возражение против использования cookie-файлов; требование прекращения распространения ПДн (ст. 10.1 Федерального закона № 152-ФЗ); жалобу на действия или бездействие Оператора; требование предоставить сведения о третьих лицах – получателях ПДн; требование предоставить сведения о мерах защиты ПДн.
11.4. Подтверждение личности субъекта
11.4.1. Для предотвращения неправомерного доступа к ПДн третьих лиц Оператор обязан идентифицировать заявителя в соответствии со ст. 14 Федерального закона № 152-ФЗ.
11.4.2. Допустимые способы идентификации: предоставление фотографии документа (частично закрытого, без серии и части цифр); подтверждение e-mail, на который была произведена регистрация или оформлен заказ; подтверждение SMS-кода на телефон, который использовался ранее; голосовое подтверждение при обращении по телефону; подтверждение личности при личном визите; подтверждение через личный кабинет (если есть).
11.4.3. Оператор имеет право запросить дополнительную информацию, если имеются сомнения в личности заявителя или существуют риски неправомерного раскрытия данных.
11.4.4. Если Субъект отказывается подтвердить личность – Оператор вправе отказать в удовлетворении требования (ст. 14 Федерального закона № 152-ФЗ).
11.5. Требования к содержанию обращения
11.5.1. Запрос должен содержать: фамилию, имя, отчество (при наличии); контактные данные: номер телефона, e-mail; описание требования: что необходимо сделать и по какой причине; перечень данных, относящихся к запросу; документы или сведения, подтверждающие корректные данные (если речь об исправлении); подпись заявителя – при бумажном запросе; электронную подпись либо подтверждение личности – при электронном запросе.
11.6. Регистрация и учёт обращений
11.6.1. Все обращения Субъектов регистрируются в Журнале учёта обращений субъектов ПДн.
11.6.2. В журнал вносятся: дата и время поступления обращения; способ поступления; ФИО заявителя; сущность требования; ответственный за исполнение; срок исполнения; содержание ответа; отметка о выполнении; копия направленного ответа.
11.6.3. Журнал ведётся в электронном или бумажном виде и хранится не менее 5 лет.
11.7. Сроки рассмотрения обращений
11.7.1. Сроки утверждены Федеральным законом № 152-ФЗ: 10 дней на предоставление сведений о наличии ПДн и факте их обработки (ст. 14 Федерального закона № 152-ФЗ); 7 дней на внесение изменений или исправлений данных; до 30 дней на уничтожение данных или прекращение их обработки (если нет иных обязанностей по закону); 3 рабочих дня на прекращение маркетинговой обработки и обратных рассылок.
11.7.2. Продление сроков: если выполнение запроса требует времени, Оператор вправе продлить срок рассмотрения не более чем на 30 дней, с обязательным уведомлением Субъекта, с указанием причин продления.
11.8. Порядок предоставления ответа Субъекту
11.8.1. Ответ направляется: по e-mail; почтовым письмом; через личный кабинет (если доступен); в форме электронного документа; при личном визите – под подпись.
11.8.2. Ответ должен содержать: полную информацию по требованию Субъекта; основания обработки; перечень ПДн; источники данных; данные о третьих лицах, получающих ПДн; меры защиты; сроки обработки; решение Оператора.
11.8.3. Ответ составляется согласно ГОСТ Р 7.0.97-2016 и подписывается: электронной подписью (при отправке e-mail) или собственноручной подписью Оператора (при бумажном ответе).
11.9. Порядок исполнения требований Субъекта
11.9.1. Уточнение данных: проверка документов; корректировка регистров; уведомление Субъекта.
11.9.2. Уничтожение: удаление данных из всех систем; уничтожение бумажных документов; акт уничтожения; уведомление Субъекта.
11.9.3. Блокирование: маркировка данных; прекращение передачи; временное ограничение; запись в журнале.
11.9.4. Отзыв согласия: прекращение всех операций по согласительным основаниям; удаление из маркетинговых сервисов; исключение из рассылок; подтверждение Субъекту.
11.10. Мотивированный отказ в удовлетворении требований субъекта
11.10.1. Оператор вправе отказать в удовлетворении требования, если: обращение подано лицом, не являющимся субъектом ПДн; невозможно идентифицировать личность заявителя; предоставленные данные не подтверждаются документально; требование противоречит закону Российской Федерации; данные подлежат хранению в силу иных нормативных актов (например, бухгалтерские 5 лет); запрос нарушает права третьих лиц; Оператор не обладает данными, на которые ссылается заявитель.
11.10.2. Отказ оформляется письменно с указанием: норм закона; оснований отказа; разъяснением порядка обжалования.
11.11. Порядок обжалования действий Оператора
11.11.1. Субъект вправе: подать жалобу уполномоченному ответственному лицу; направить обращение в Роскомнадзор; подать иск в суд; потребовать возмещения ущерба; требовать компенсации морального вреда (ст. 151 ГК РФ).
11.11.2. Оператор обязан содействовать проверке и взаимодействовать с контролирующим органом.
11.12. Порядок взаимодействия при публикации отзывов
11.12.1. Субъект вправе: запросить удаление своего отзыва; потребовать корректировки; отозвать согласие на публикацию изображения; требовать прекращения использования контента.
11.12.2. Оператор обязан выполнить требования в установленные законом сроки.
12. Передача персональных данных третьим лицам
12.1. Общие правила передачи ПДн
12.1.1. Передача персональных данных третьим лицам осуществляется исключительно в случаях, предусмотренных Федеральным законом № 152-ФЗ, в частности, на основании согласия субъекта ПДн, для исполнения договора, по требованию уполномоченных органов или в иных случаях, установленных ст. 6 Федерального закона № 152-ФЗ.
12.1.2. Передача ПДн третьим лицам без согласия субъекта допускается только при наличии иных оснований по ч. 1 ст. 6 Федерального закона № 152-ФЗ, с обязательным обеспечением конфиденциальности и безопасности передаваемых данных в соответствии со ст. 7 и ст. 19 Федерального закона № 152-ФЗ.
12.1.3. Оператор не осуществляет передачу ПДн третьим лицам в объеме, превышающем необходимый для достижения конкретной цели, соблюдая принцип минимизации данных по п. 5 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
12.1.4. Перед передачей ПДн Оператор проверяет наличие законного основания и документирует факт передачи в журнале передачи ПДн, включая дату, получателя, объем данных, основание и цель.
12.1.5. Передача ПДн уполномоченным государственным органам осуществляется исключительно по их официальным запросам в порядке, установленном федеральными законами, без необходимости получения согласия субъекта ПДн по п. 2 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
12.1.6. В случае передачи ПДн для исполнения договора Оператор обеспечивает, чтобы третье лицо использовало ПДн только для указанной цели и не хранило их дольше необходимого, в соответствии с договором поручения по ст. 6 ч. 3 Федерального закона № 152-ФЗ.
12.1.7. Оператор запрещает дальнейшую передачу ПДн третьими лицами без его согласия и согласия субъекта ПДн, если это не предусмотрено законом.
12.1.8. Передача ПДн документируется в договорах, актах или протоколах, с указанием мер по защите.
12.1.9. Оператор информирует субъекта ПДн о факте передачи его ПДн третьим лицам по запросу в соответствии со ст. 14 Федерального закона № 152-ФЗ.
12.1.10. Все правила передачи применяются ко всем каналам и видам обработки ПДн.
12.1.11. В случае нарушения при передаче Оператор несет ответственность по ст. 13.11 КоАП РФ или ст. 24 Федерального закона № 152-ФЗ.
12.1.12. Оператор проводит аудит передачи ПДн ежегодно.
12.2. Список привлеченных третьих лиц (обработчиков)
12.2.1. Третьи лица, которым Оператор поручает обработку ПДн, определяются в соответствии со ст. 6 ч. 3 Федерального закона № 152-ФЗ, и включают организации, предоставляющие услуги, необходимые для деятельности Оператора, такие как платежные, доставочные, хостинговые, CRM и рассылочные сервисы, с обязательным заключением договора поручения.
12.2.2. Платежные агрегаторы: обработка платежных данных для оплаты заказов; передаются фамилия, имя, отчество, сумма, реквизиты (без CVV); для исполнения договора по п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ; Оператор не хранит платежные данные.
12.2.3. Службы доставки: обработка для доставки товаров; передаются фамилия, имя, отчество, адрес, телефон; основание – исполнение договора.
12.2.4. Хостинг-платформа: хранение данных сайтов, форм; передаются технические данные, ПДн из форм; локализация в РФ по ч. 5 ст. 18 Федерального закона № 152-ФЗ.
12.2.5. CRM-системы: управление заказами, клиентами; передаются фамилия, имя, отчество, контакты, история заказов; для исполнения договора.
12.2.6. Сервисы email-рассылок: маркетинговые рассылки; передаются email, фамилия, имя, отчество; только с согласия по ст. 9 Федерального закона № 152-ФЗ.
12.2.7. Провайдеры социальных сетей и мессенджеров: обработка сообщений в чатах; передаются данные, предоставленные субъектом; основание – согласие или договор.
12.2.8. Аналитические сервисы (Yandex Metrica): сбор обезличенных данных; передаются IP, cookies после согласия; для аналитики по ст. 9 Федерального закона № 152-ФЗ.
12.2.9. Бухгалтерские сервисы или контрагенты: обработка для учета; передаются данные из документов; по закону по п. 2 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
12.2.10. Технические подрядчики (для поддержки сайтов): доступ к данным для ремонта; передача минимальна.
12.2.11. Список не исчерпывающий и обновляется при изменениях; все третьи лица – в РФ, без трансграничной передачи.
12.2.12. Оператор публикует обновленный список в Политике или предоставляет по запросу субъекта по ст. 14 Федерального закона № 152-ФЗ.
12.3. Требования к договорам поручения обработки ПДн
12.3.1. Договор поручения обработки ПДн заключается в письменной форме и содержит перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, обязанности такого лица по соблюдению конфиденциальности ПДн и обеспечению безопасности ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона № 152-ФЗ, как предусмотрено ч. 3 ст. 6 Федерального закона № 152-ФЗ.
12.3.2. Договор включает обязанность третьего лица возвратить или уничтожить ПДн по окончании поручения, запрет на дальнейшую передачу без согласия Оператора, ответственность за нарушения.
12.3.3. Требования к защите: соответствие Постановлению № 1119, Приказу ФСТЭК № 21, включая уровень защищенности, меры по идентификацию, контролю доступа, антивирусной защите.
12.3.4. В договоре указывается локализация обработки в РФ по ч. 5 ст. 18 Федерального закона № 152-ФЗ.
12.3.5. Договор включает положения о уведомлении Оператора об инцидентах в течение 24 часов.
12.3.6. Все договоры хранятся не менее 3 лет после окончания.
12.3.7. Оператор не заключает договоры с третьими лицами, не обеспечивающими требуемый уровень защиты.
12.3.8. Договор может быть расторгнут при нарушениях третьим лицом.
12.3.9. Требования применяются ко всем поручениям, с индивидуальными условиями для каждого третьего лица.
12.4. Отсутствие трансграничной передачи ПДн
12.4.1. Оператор не осуществляет трансграничную передачу ПДн на территорию иностранных государств, в соответствии с ч. 1 ст. 12 Федерального закона № 152-ФЗ и уведомлением в реестр Роскомнадзора.
12.4.2. Все обработка и хранение ПДн локализованы на территории Российской Федерации в соответствии с ч. 5 ст. 18 Федерального закона № 152-ФЗ.
12.4.3. В случае необходимости трансграничной передачи в будущем Оператор обновит уведомление в реестр Роскомнадзора по ст. 22 Федерального закона № 152-ФЗ, получит отдельное согласие субъекта по ст. 9, обеспечит адекватный уровень защиты по ст. 12, и обновит Политику.
12.4.4. Отсутствие трансграничной передачи фиксируется в внутренних документах и предоставляется по запросу субъекта по ст. 14 Федерального закона № 152-ФЗ.
12.4.5. Оператор контролирует третьих лиц на отсутствие трансграничной передачи в договорах поручения.
12.4.6. Нарушение запрета на трансграничную передачу влечет ответственность по ст. 13.11 КоАП РФ.
13. Ответственное лицо за организацию обработки персональных данных
13.1. Назначение ответственного лица
13.1.1. В соответствии со статьей 22.1 Федерального закона № 152-ФЗ, Оператор назначает лицо, ответственное за организацию обработки ПДн, для обеспечения соблюдения требований законодательства Российской Федерации в области персональных данных, координации процессов обработки ПДн и взаимодействия с субъектами ПДн и уполномоченными органами.
13.1.2. Назначение ответственного лица осуществляется внутренним приказом Оператора, который содержит ФИО, дату назначения, перечень обязанностей и полномочий.
13.1.3. Ответственное лицо должно обладать необходимыми знаниями в области защиты ПДн, включая ознакомление с Федеральным законом № 152-ФЗ, Постановлением Правительства РФ № 1119, Постановлением № 687, Приказом ФСТЭК России № 21 и иными нормативными актами.
13.1.4. Назначение обеспечивает централизованный контроль за обработкой ПДн, минимизацию рисков нарушений и оперативное реагирование на инциденты.
13.2. Обязанности ответственного лица
13.2.1. Организация обработки ПДн в соответствии с требованиями Федерального закона № 152-ФЗ, включая разработку и внедрение локальных актов.
13.2.2. Контроль за соблюдением Оператором требований к защите ПДн, включая регулярные проверки процессов и мер безопасности по ст. 19 Федерального закона № 152-ФЗ.
13.2.3. Информирование лиц, имеющих доступ к ПДн, о положениях законодательства о ПДн, требованиях к защите ПДн и ответственности за нарушения.
13.2.4. Организация приема и обработки обращений и запросов субъектов ПДн или их представителей, а также запросов Роскомнадзора, в сроки по ст. 14–17 Федерального закона № 152-ФЗ.
13.2.5. Осуществление внутреннего контроля за соблюдением законодательства и локальных актов в области ПДн, включая требования к защите ПДн.
13.2.6. Разъяснение субъектам ПДн вопросов, касающихся обработки их ПДн, включая предоставление информации по запросам.
13.2.7. Принятие мер по локализации и устранению последствий нарушений законодательства о ПДн, включая уведомление Роскомнадзора об инцидентах по ст. 19 Федерального закона № 152-ФЗ.
13.2.8. Ведение документации по обработке ПДн, включая журналы обращений, инцидентов, уничтожения, передачи ПДн.
13.2.9. Координация с третьими лицами, осуществляющими обработку ПДн по поручению, включая контроль за соблюдением договоров поручения по ст. 6 ч. 3 Федерального закона № 152-ФЗ.
13.2.10. Мониторинг изменений в законодательстве Российской Федерации в области ПДн и инициирование обновлений Политики и иных актов Оператора.
13.2.11. Организация уничтожения или обезличивания ПДн по истечении сроков хранения или достижении целей, с составлением актов по п. 7 ч. 1 ст. 5 Федерального закона № 152-ФЗ.
13.2.12. Обеспечение локализации баз данных ПДн на территории РФ и отсутствие трансграничной передачи по ч. 5 ст. 18 Федерального закона № 152-ФЗ.
13.2.13. Подготовка отчетов о состоянии обработки ПДн, рисках и мерах.
13.2.14. Взаимодействие с Роскомнадзором по вопросам регистрации, уведомлений об изменениях, проверок по ст. 22 Федерального закона № 152-ФЗ.
13.2.15. Обязанности фиксируются в приказе о назначении.
13.3. Контакты для обращений
13.3.1. Субъекты ПДн могут обращаться к ответственному лицу по вопросам обработки ПДн по электронной почте info@flaconrf.ru.
13.3.2. По почтовому адресу: 366135, Чеченская Республика, Наурский район, село Фрунзенское, ул. Школьная, д.7, кв.3.
13.3.3. По телефону +7 995 360-12-82 для предварительных консультаций.
13.3.4. Через формы на сайтах https://www.flaconrf.ru/ и https://flx-shop.ru/.
13.3.5. Контакты публикуются в Политике для обеспечения доступности по ч. 2 ст. 18.1 Федерального закона № 152-ФЗ.
13.3.6. Ответственное лицо отвечает на обращения в сроки по ст. 14 Федерального закона № 152-ФЗ.
13.3.7. В случае изменения контактов Политика обновляется.
14. Заключительные положения
14.1. Ответственность за нарушение Политики
14.1.1. За нарушение требований Федерального закона № 152-ФЗ и иных нормативных правовых актов в области персональных данных Оператор, а также лица, осуществляющие обработку ПДн по его поручению, несут административную ответственность в соответствии со ст. 13.11 КоАП РФ, гражданско-правовую ответственность за возмещение ущерба по ст. 24 Федерального закона № 152-ФЗ, а в случаях умышленного разглашения — уголовную ответственность по ст. 183 УК РФ. 14.1.4. За умышленное разглашение ПДн может наступить уголовная ответственность по статье 183 Уголовного кодекса Российской Федерации.
14.1.2. Оператор несет ответственность за действия третьих лиц, осуществляющих обработку ПДн по его поручению, в соответствии со ст. 6 ч. 3 Федерального закона № 152-ФЗ.
14.1.3. Нарушение Политики влечет корректировку процессов для предотвращения повторных нарушений.
14.2. Порядок внесения изменений в Политику
14.2.1. Политика может быть изменена Оператором в одностороннем порядке в случаях изменения законодательства, внутренних процессов или по иным причинам.
14.2.2. Изменения вносятся приказом Оператора с указанием даты утверждения новой редакции, перечня изменений и даты вступления в силу.
14.2.3. Новая редакция вступает в силу с момента ее размещения на сайтах Оператора, если иное не предусмотрено.
14.2.4. В случае существенных изменений Оператор уведомляет субъектов ПДн путем размещения информации на официальных сайтах.
14.2.5. Изменения не имеют обратной силы.
14.2.6. Оператор анализирует необходимость изменений ежегодно или при новых нормативных актах.
14.2.7. Субъекты ПДн, не согласные с изменениями, имеют право отозвать согласие.
14.3. Разрешение споров
14.3.1. Споры, возникающие в связи с обработкой ПДн, разрешаются в досудебном порядке путем переговоров, с направлением претензии по контактам в разделе 13.
14.3.2. Претензия рассматривается в течение 10 рабочих дней с предоставлением мотивированного ответа.
14.3.3. При недостижении согласия спор разрешается в судебном порядке по месту нахождения Оператора или жительства субъекта ПДн.
14.3.4. Оператор содействует разрешению споров, предоставляя документы в установленные сроки.
14.3.5. Сроки исковой давности – 3 года по ст. 196 ГК РФ.
14.3.6. Разрешение споров не приостанавливает обработку ПДн, если не предусмотрено решением суда.
14.3.7. Оператор стремится к мирному разрешению.
14.4. Доступ к Политике
14.4.1. Политика является общедоступным документом и размещается на сайтах Оператора https://www.flaconrf.ru/privacy и https://flx-shop.ru/privacy.
14.4.2. Доступ предоставляется бесплатно, без ограничений.
14.4.3. Субъекты ПДн информируются о Политике при сборе ПДн через ссылки в формах, офертах по ст. 18 Федерального закона № 152-ФЗ.
14.4.4. Актуальная версия обозначается датой утверждения, предыдущие предоставляются по запросу.
14.4.5. В случае сбоев Политика предоставляется по email или почте по запросу.
14.4.6. Оператор обеспечивает резервные копии Политики.