breadcrumbs_revolution_theme

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Трудовым кодексом Российской Федерации, иными нормативными правовыми актами Российской Федерации в области персональных данных.

1.2. Оператором персональных данных (далее — Оператор) является: индивидуальный предприниматель Костарев Александр Валерьевич, ИНН: 720409104138, адрес регистрации: г.Тюмень, ул.Амурская, д.68, кв.148, контактный телефон: 8-905-820-12-84, адрес электронной почты: kostarev@xenon-tmn.ru.

1.3. Политика действует в отношении всех персональных данных, которые Оператор получает от субъектов персональных данных, в том числе через сайты xenon-tmn.ru и твинс.рус (далее — Сайт), официальные страницы Оператора в социальных сетях (далее — Социальные сети), а также при личном обращении в офлайн-магазин.

1.4. Политика является общедоступным документом и размещается на Сайте Оператора в соответствии с ч. 2 ст. 18.1 Закона.

1.5. Основные понятия, используемые в Политике:

  • персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных);
  • оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки;
  • обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных;
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
  • обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту;
  • трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.

2. Категории субъектов и перечень обрабатываемых персональных данных

2.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

2.1.1. Клиенты (покупатели, заказчики). Перечень обрабатываемых данных: фамилия, имя, отчество; номер телефона; адрес электронной почты; адрес доставки; сведения о заказах (состав, стоимость, дата); история покупок; сведения об участии в программе лояльности Оператора; сведения об оплате (без реквизитов банковских карт — они обрабатываются платёжными сервисами).

2.1.2. Работники Оператора. Перечень обрабатываемых данных: фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес регистрации и фактического проживания; ИНН, СНИЛС; номер телефона, адрес электронной почты; сведения об образовании, квалификации и трудовой деятельности; банковские реквизиты для выплаты заработной платы; сведения о воинском учёте (при наличии); сведения о состоянии здоровья в объёме, необходимом для исполнения трудовых обязанностей; иные данные, необходимые для исполнения трудового договора и требований законодательства.

2.1.3. Кандидаты на трудоустройство. Перечень обрабатываемых данных: фамилия, имя, отчество; номер телефона; адрес электронной почты; сведения, указанные в резюме (об образовании, опыте работы, квалификации).

2.1.4. Пользователи Сайта и Социальных сетей. Данные, собираемые автоматически при посещении Сайта: IP-адрес; тип и версия браузера; данные файлов cookie; сведения об операционной системе; дата и время доступа; адреса просмотренных страниц; источник перехода; сведения о действиях на Сайте (клики, просмотры товаров, добавление в корзину). Данные, получаемые при обращении через Социальные сети: имя и фамилия (никнейм) профиля; идентификатор аккаунта; содержание обращений; контактные данные, добровольно сообщённые пользователем в переписке.

2.2. Оператор не обрабатывает специальные категории персональных данных (о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни), за исключением сведений о состоянии здоровья работников, обрабатываемых в объёме, предусмотренном Трудовым кодексом Российской Федерации.

2.3. Оператор не обрабатывает биометрические персональные данные.

3. Цели обработки персональных данных

3.1. Оператор обрабатывает персональные данные в следующих целях:

  • приём и обработка заказов на товары и услуги, включая подтверждение заказа, согласование условий доставки и связь с покупателем;
  • доставка товаров по указанному адресу;
  • осуществление расчётов с покупателями и возвратов денежных средств;
  • обработка обращений и запросов, поступающих через формы обратной связи на Сайте, а также через Социальные сети Оператора;
  • ведение программы лояльности: учёт истории покупок, предоставление скидок и персональных предложений постоянным клиентам;
  • направление информационных и рекламных сообщений (только при наличии отдельного согласия субъекта);
  • исполнение обязательств Оператора как работодателя: кадровый учёт, расчёт и выплата заработной платы, уплата налогов и страховых взносов, предоставление отчётности в государственные органы;
  • рассмотрение кандидатов при приёме на работу;
  • улучшение работы Сайта, анализ пользовательского поведения и обеспечение корректного функционирования сервисов Сайта;
  • исполнение требований законодательства Российской Федерации.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к ним.

4. Правовые основания обработки персональных данных

4.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:

  • согласие субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 Закона);
  • необходимость исполнения договора, стороной которого является субъект персональных данных, в том числе договора купли-продажи, публичной оферты (п. 5 ч. 1 ст. 6 Закона);
  • необходимость исполнения обязанностей, возложенных на Оператора законодательством Российской Федерации, в том числе трудовым, налоговым, бухгалтерским законодательством (п. 2 ч. 1 ст. 6 Закона);
  • защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно (п. 6 ч. 1 ст. 6 Закона);
  • Трудовой кодекс Российской Федерации — при обработке данных работников;
  • Налоговый кодекс Российской Федерации, Федеральный закон «О бухгалтерском учёте» — при ведении учёта и отчётности.

4.2. Согласие на обработку персональных данных оформляется в виде отдельного документа и не может являться частью договора, публичной оферты или иного соглашения, подписываемого субъектом персональных данных (ч. 1 ст. 9 Закона).

4.3. Согласие на направление рекламных сообщений оформляется как отдельное согласие, независимо от иных согласий субъекта (ст. 15 Закона, п. 1 ст. 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе»).

5. Права и обязанности

5.1. Оператор обязан:

  • предоставлять субъекту по его запросу информацию об обработке его персональных данных;
  • обрабатывать персональные данные только для заявленных целей и в объёме, не превышающем необходимый;
  • обеспечивать безопасность персональных данных;
  • прекращать обработку и уничтожать персональные данные в случаях, установленных Законом;
  • уведомлять Роскомнадзор об обработке персональных данных и об инцидентах.

5.2. Субъект персональных данных имеет право:

  • получать информацию, касающуюся обработки его персональных данных, в объёме, предусмотренном ч. 7 ст. 14 Закона;
  • требовать уточнения своих персональных данных, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отозвать согласие на обработку персональных данных в любое время без объяснения причин (ч. 2 ст. 9 Закона);
  • требовать прекращения обработки персональных данных в целях продвижения товаров, работ, услуг (ч. 2 ст. 15 Закона);
  • возражать против принятия решений на основании исключительно автоматизированной обработки его персональных данных (ст. 16 Закона);
  • обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке (ст. 17 Закона).

6. Порядок и условия обработки персональных данных

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации (в информационных системах) и без использования таких средств (на бумажных носителях).

6.2. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 Закона).

6.3. Оператор не осуществляет трансграничную передачу персональных данных. В случае возникновения такой необходимости передача будет осуществляться с соблюдением требований главы 3 Закона и только после подачи отдельного уведомления в Роскомнадзор.

6.4. Оператор не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных (ст. 16 Закона).

6.5. Оператор вправе поручить обработку персональных данных третьим лицам на основании заключённого с ними договора (поручения на обработку). Третьи лица обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные Законом.

6.6. Оператор может передавать персональные данные следующим категориям получателей:

  • службы доставки — для доставки товаров по заказам клиентов (передаются: ФИО, телефон, адрес доставки);
  • платёжные системы и кредитные организации — для осуществления расчётов;
  • хостинг-провайдер — для обеспечения функционирования Сайта;
  • сервисы веб-аналитики — для анализа посещаемости Сайта (преимущественно в обезличенной форме);
  • операторы связи — для направления SMS-уведомлений (при наличии согласия);
  • операторы социальных сетей — при обработке обращений клиентов через Социальные сети; данные обрабатываются в соответствии с политиками соответствующих платформ;
  • государственные органы — в случаях, предусмотренных законодательством Российской Федерации (ФНС России, Социальный фонд России, правоохранительные органы и др.).

6.7. Оператор не продаёт персональные данные третьим лицам и не передаёт их в коммерческих целях без согласия субъекта.

7. Сроки обработки и хранения персональных данных

7.1. Персональные данные обрабатываются и хранятся в течение сроков, необходимых для достижения целей обработки:

  • данные клиентов — в течение срока действия договора и 3 (трёх) лет после его исполнения, если законодательством не предусмотрен более длительный срок хранения (в том числе 5 лет для первичных учётных документов согласно ст. 29 Федерального закона «О бухгалтерском учёте»);
  • данные работников — в течение срока действия трудового договора и в соответствии со сроками, установленными архивным законодательством (50 либо 75 лет для документов по личному составу согласно ст. 22.1 Федерального закона «Об архивном деле в Российской Федерации»);
  • данные кандидатов на трудоустройство — не более 6 (шести) месяцев, если кандидат не был принят на работу;
  • данные участников программы лояльности — в течение срока участия клиента в программе; при отказе клиента от участия данные уничтожаются в срок, не превышающий 30 (тридцати) дней, за исключением данных, хранение которых обусловлено иными целями обработки;
  • данные пользователей Сайта (файлы cookie, аналитика) — не более 1 (одного) года с момента последнего визита.

7.2. По достижении целей обработки или по истечении сроков хранения персональные данные подлежат уничтожению в срок, не превышающий 30 (тридцати) дней.

8. Актуализация, исправление, удаление, уничтожение и обезличивание персональных данных

8.1. Оператор осуществляет актуализацию и исправление персональных данных по собственной инициативе, по запросу субъекта или по запросу Роскомнадзора в случае выявления неточных или устаревших данных.

8.2. В случае достижения цели обработки, отзыва согласия, истечения срока хранения, выявления неправомерной обработки либо невозможности её устранения персональные данные подлежат уничтожению или обезличиванию.

8.3. Уничтожение персональных данных осуществляется способом, исключающим возможность их дальнейшего восстановления (в том числе путём физического уничтожения материальных носителей или безвозвратного удаления файлов). Факт уничтожения подтверждается в порядке, установленном Роскомнадзором.

8.4. Обезличивание персональных данных может применяться Оператором в целях статистического или аналитического учёта в соответствии с требованиями, установленными Роскомнадзором.

8.5. Оператор обязан:

  • предоставить информацию о наличии персональных данных и возможность ознакомления с ними — в течение 10 (десяти) рабочих дней с даты получения запроса (ч. 1 ст. 20 Закона); срок может быть продлён не более чем на 5 (пять) рабочих дней с направлением мотивированного уведомления;
  • внести изменения в неточные персональные данные — в срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом подтверждающих документов (ч. 3 ст. 20 Закона);
  • прекратить обработку персональных данных по требованию субъекта — в срок, не превышающий 10 (десяти) рабочих дней с даты получения требования (ч. 5.1 ст. 21 Закона);
  • уничтожить персональные данные после отзыва согласия или достижения цели обработки — в срок, не превышающий 30 (тридцати) дней.

8.6. Для реализации своих прав субъект направляет запрос Оператору по электронной почте: kostarev@xenon-tmn.ru или письменно по адресу: 625049, г.Тюмень, ул.Амурская, д.68, кв.148.

9. Меры по обеспечению безопасности персональных данных

9.1. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий, в том числе:

  • назначение лица, ответственного за организацию обработки персональных данных (ст. 22.1 Закона);
  • утверждение перечня лиц, имеющих доступ к персональным данным, и подписание ими обязательств о неразглашении;
  • определение угроз безопасности персональных данных при их обработке и применение мер защиты в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 и приказами ФСТЭК России;
  • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  • осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства;
  • оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения Закона;
  • ознакомление работников Оператора с положениями законодательства и внутренних документов по обработке персональных данных.

10. Порядок действий при инцидентах с персональными данными

10.1. В случае неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор:

  • в течение 24 (двадцати четырёх) часов уведомляет Роскомнадзор о произошедшем инциденте, его предполагаемых причинах, предполагаемом вреде и принятых мерах по устранению последствий;
  • в течение 72 (семидесяти двух) часов предоставляет Роскомнадзору сведения о результатах внутреннего расследования и о лицах, действия которых стали причиной инцидента (при наличии).

10.2. Оператор ведёт учёт инцидентов и принимает меры по устранению выявленных недостатков в системе защиты персональных данных.

11. Использование файлов cookie

11.1. Сайт использует файлы cookie — небольшие текстовые файлы, которые сохраняются на устройстве пользователя при посещении Сайта.

11.2. Виды используемых cookie:

  • необходимые (технические) — обеспечивают базовую работу Сайта (авторизация, корзина, запоминание настроек);
  • аналитические — позволяют анализировать использование Сайта для его улучшения (Яндекс.Метрика и аналогичные сервисы).

11.3. Пользователь может отключить использование файлов cookie в настройках своего браузера. При этом некоторые функции Сайта могут стать недоступными.

12. Заключительные положения

12.1. Политика является общедоступным документом и размещается на Сайте Оператора.

12.2. Оператор вправе вносить изменения в Политику. Актуальная редакция размещается на Сайте. Новая редакция вступает в силу с момента её размещения, если иное не предусмотрено новой редакцией.

12.3. К настоящей Политике и отношениям между субъектом персональных данных и Оператором применяется законодательство Российской Федерации.

12.4. По всем вопросам, связанным с обработкой персональных данных, субъекты могут обращаться к Оператору по контактам, указанным в п. 1.2 Политики.