1. Общие положения

1.1. Политика в отношении обработки персональных данных, далее именуемая – «Политика», направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает ИП Хомченко Оксана Владимировна, далее именуемое «Оператор».

1.2. Политика разработана в соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», далее именуемом ФЗ «О персональных данных».

1.3. Политика содержит сведения, подлежащие раскрытию в соответствии с частью 1 статьи 14 ФЗ «О персональных данных», и является общедоступным документом.

1.4. В Политике используются следующие основные понятия:

  • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  • Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  • Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.
  • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
  • Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
  • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
  • Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
  • Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2. Сведения об Операторе

2.1. Оператор ведет свою деятельность по адресу: город Красноярск, ул. Алексеева, зд. 54а.

3. Сведения об обработке персональных данных

3.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.

3.2. Оператор получает персональные данные непосредственно у субъектов персональных данных.

3.3. Оператор обрабатывает персональные данные автоматизированным способом, с использованием средств вычислительной техники.

3.4. Действия по обработке персональных данных включают сбор, запись, систематизацию, хранение, уточнение (обновление, изменение), обезличивание и уничтожение.

4. Обработка персональных данных клиентов

4.1. Оператор обрабатывает персональные данные клиентов в рамках правоотношений с Оператором, урегулированных частью второй Гражданского кодекса РФ от 26.01.1996 г. № 14-ФЗ (далее по тексту - Клиентов).

4.2. Оператор обрабатывает персональные данные Клиентов в целях соблюдения норм законодательства, а также с целью:

  • 4.2.1. Приема обращений, жалоб и заявок от субъекта персональных данных;
  • 4.2.2. Информирования о новых товарах, специальных акциях и предложениях;

4.3. Оператор обрабатывает персональные данные Клиентов с их согласия, предоставляемого Клиентами и/или их законными представителями путем совершения конклюдентных действий на сайте, в том числе, но не ограничиваясь, оформлением заказа, регистрацией в личном кабинете, подпиской на рассылку, в соответствии с настоящей Политикой.

4.4. Оператор обрабатывает персональные данные Клиентов не дольше, чем того требуют цели обработки персональных данных, если иное не предусмотрено требованиями действующего законодательства РФ.

4.5. Оператор может обрабатывать персональные данные Клиентов, а также лиц, законными представителями которых являются Клиенты, а именно следующие персональные данные:

  • 4.5.1. Фамилия и/или имя и/или отчество;
  • 4.5.2. Дата рождения;
  • 4.5.3. Номер контактного телефона;
  • 4.5.4. Адрес электронной почты.

5. . Сведения об обеспечении безопасности персональных данных

5.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.2. Меры по обеспечению безопасности персональных данных при их обработке, применяемые Оператором, планируются и реализуются в целях обеспечения соответствия требованиям, указанным в статье 19 ФЗ-152 «О персональных данных».

5.3. В соответствии со статьей 18.1 ФЗ-152 Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства. Оператор, в частности, принял следующие меры:

  • 5.3.1. Разработаны и внедрены локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке персональных данных и устранение последствий таких нарушений;
  • 5.3.2. Применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 ФЗ «О персональных данных»;
  • 5.3.3.Осуществляется внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике Оператора в отношении обработки персональных данных, локальным актам Оператора.
  • 5.3.4.Работники Оператора, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
  • 5.3.5.В дополнение к требованиям ФЗ «О персональных данных», у Оператора осуществляется комплекс мероприятий, направленных на защиту информации о Клиентах, работниках и контрагентах.
  • 5.3.6. Персональные данные Клиентов не передаются третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
  • 5.3.7. Оператор при обработке данных обеспечивает конфиденциальность персональных данных.
  • 5.3.8. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
  • 5.3.9.Персональные данные субъектов персональных данных хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по истечении срока хранения, достижении целей обработки или в случае утраты необходимости в их достижении, а также в иных случаях, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
  • 5.3.10. Когда цели обработки персональных данных достигнуты, субъект персональных данных отозвал свое согласие, выявлены неправомерность обработки персональных данных, истек срок их хранения и в других случаях, установленных нормами действующего законодательства персональные данные, подлежат уничтожению, путем стирания из базы данных, форматирования носителя.

6. Права субъектов персональных данных

6.1. Субъект персональных данных имеет право:

  • 6.1.1. На получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;
  • 6.1.2. На уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для целей обработки;
  • 6.1.3. На отзыв данного им согласия на обработку персональных данных;
  • 6.1.4. На защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;
  • 6.1.5.На обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору по адресам, указанным в пункте 2.1. настоящей Политики, лично или с помощью представителя. Запрос должен содержать сведения, перечисленные в части 3 статьи 14 ФЗ «О персональных данных».

7. Порядок уничтожения персональных данных

7.1. Уничтожение персональных данных производится в случаях:

  • выявление неправомерной обработки персональных данных, в том числе по обращению субъекта персональных данных или его представителя либо запросу уполномоченного органа по защите прав субъектов персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
  • требования субъекта персональных данных, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
  • достижения цели обработки персональных данных или утраты необходимости в достижении этих целей;
  • истечения сроков хранения персональных данных, установленных нормативно-правовыми актами Российской Федерации;
  • признания недостоверности персональных данных или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов персональных данных;
  • в иных установленных законодательством случаях.

7.2. В организации назначается ответственное лицо (либо создается специальное подразделение), которое отслеживает работу с персональными данными, выявляет случаи, когда необходимо уничтожить данные, обрабатывает запросы от сотрудников организации, государственных органов и субъектов персональных данных по поводу уничтожения персональных данных.

7.3. В случае необходимости уничтожения персональных данных ответственное лицо (либо специальное подразделение), указанное в п. 8.4 настоящего Положения, в течение 10 рабочих дней проверяет обоснованность необходимости уничтожения персональных данных и выносит соответствующее решение.

7.4. Решение комиссии об отказе в уничтожении персональных данных может быть обжаловано в судебном порядке в соответствии с действующим законодательством Российской Федерации.

7.5. Решение об уничтожении персональных данных должно быть исполнено в течение 20 рабочих дней с момента его принятия.

7.6. Уничтожение персональных данных может быть осуществлено двумя способами в зависимости от типа носителя информации (бумажный или электронный):

  • физическое уничтожение носителя (уничтожение через шредерование, сжигание);
  • уничтожение информации с носителя (многократная перезапись в секторах магнитного диска).

7.7. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

7.8. Документом, подтверждающим уничтожение персональных данных, является Акт об уничтожении персональных данных (далее - Акт). Акт должен соответствовать п. 3 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 N 179.

7.9. После подписания Акта в журнал учета уничтожения носителей персональных данных (далее - журнал) вносится запись об их уничтожении.

7.10. Лицо, указанное в п. 8.4 настоящего Положения, уведомляет лицо, обратившееся с запросом об уничтожении персональных данных, об уничтожении персональных данных путем направления соответствующего письма на адрес эл. почты такого лица в срок 30 календарных дней с момента составления Акта об уничтожении персональных данных.

7.11. В случае если обработка персональных данных осуществлялась с использованием средств автоматизации, а также одновременно с использованием средств автоматизации и без использования средств автоматизации, то в дополнение к акту, указанному в п. 8.10.8, производится выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала). Выгрузка должна соответствовать п. 5 Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 N 179. В случае если выгрузка из журнала не позволяет указать отдельные сведения, недостающие сведения вносятся в Акт.

7.12 Акт и выгрузка из журнала подлежат хранению в течение трех лет с момента уничтожения персональных данных.