Политика ООО «ГАРНЕЦ» в отношении обработки персональных данных

Термины и определения

В настоящей Политике в отношении обработки персональных данных (далее -- Политика) используются следующие основные понятия:

• Персональные данные (ПД) -- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
• Оператор персональных данных (Оператор) -- юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, их состав и действия (операции).
• Субъект персональных данных -- физическое лицо, к которому относятся обрабатываемые персональные данные.
• Обработка персональных данных -- любое действие (операция) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
• Передача персональных данных -- действия, направленные на предоставление персональных данных определенному лицу или ограниченному кругу лиц.
• Обезличивание персональных данных -- действия, в результате которых становится невозможным определить принадлежность данных конкретному субъекту без использования дополнительной информации.
• Блокирование персональных данных -- временное прекращение обработки персональных данных.
• Cookies (файлы куки) -- небольшие фрагменты данных, сохраняемые браузером пользователя и применяемые для идентификации, сохранения пользовательских настроек и улучшения работы сайта.

1. Общие положения

1.1. Сфера действия

Настоящая Политика определяет порядок и принципы обработки персональных данных физических лиц, чьи данные обрабатываются ООО «ГАРНЕЦ», ИНН 3325422025, адрес местонахождения: 600017, Владимирская область, г. Владимир, ул. Батурина, д. 37Б (далее -- Оператор).

Политика распространяется на следующих субъектов персональных данных:

• Зарегистрированных и незарегистрированных пользователей сайта https://veganashop.ru;
• Покупателей товаров и услуг на сайте https://veganashop.ru;
• Участников конкурсов и иных маркетинговых мероприятий.

1.2. Правовая основа

Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлениями Правительства РФ № 687 от 15.09.2008 и № 1119 от 01.11.2012, а также иными нормативными правовыми актами Российской Федерации в области защиты персональных данных и информационной безопасности.

1.3. Принципы обработки

При обработке персональных данных Оператор руководствуется принципами, установленными ст. 5 Федерального закона № 152-ФЗ, в т.ч. законности, справедливости, минимизации, ограничения хранения, точности, целевого характера и обеспечения безопасности персональных данных.

1.4. Доступность

Политика является общедоступным документом и размещается в сети Интернет по адресу: https://garnec.com.

1.5. Территориальный аспект

Обработка и хранение персональных данных осуществляется на территории Российской Федерации. Трансграничная передача персональных данных не осуществляется.

1.6. Контактная информация

По всем вопросам обработки персональных данных можно обратиться по контактным данным Оператора:

2. Цели, субъекты ПД, перечень ПД, сроки, способ обработки персональных данных

Обработка персональных данных осуществляется как автоматизированным, так и неавтоматизированным способом.

Цели обработки персональных данных

2.1. Для исполнения требований законодательства Российской Федерации:

• выполнения обязанностей, установленных законодательством РФ, в том числе в сфере налогообложения и бухгалтерского учета;
• формирования и предоставления отчетности в контролирующие органы;
• соблюдения требований законодательства о персональных данных и информационной безопасности.

2.2. Для реализации договорных и иных обязательств:

• регистрации пользователей на сайте и предоставления доступа к личному кабинету;
• оформления и исполнения заказов на товары и услуги, включая обработку платежей, доставку, возвраты и обслуживание клиентов;
• взаимодействия с клиентами и их представителями;
• оформления и осуществления курьерской доставки товаров, когда может потребоваться подтверждение личности получателя.

2.3. Для информационного и маркетингового взаимодействия:

• отправки уведомлений, рассылок, сообщений о новинках, акциях и специальных предложениях при наличии согласия субъекта персональных данных;
• обратной связи, обработки запросов, обращений и отзывов;
• анализа удовлетворенности клиентов качеством продукции и сервиса;
• проведения конкурсов.

2.4. Для функционирования и развития сайта:

• анализа поведения пользователей и улучшения качества обслуживания с использованием обезличенных данных (cookies, IP-адрес, сведения о браузере и устройстве);
• обеспечения безопасности, предотвращения несанкционированного доступа и поддержки корректной работы сайта.

2.5. Для осуществления прав и законных интересов ООО «ГАРНЕЦ»:

• в рамках деятельности, предусмотренной Уставом и иными локальными актами Оператора, а также в иных законных целях, если при этом не нарушаются права и свободы субъектов персональных данных.

Детализация обработки персональных данных

Зарегистрированные пользователи сайта https://www.garnec.com

• Цели обработки ПД: П. 2.2, 2.4
• Перечень обрабатываемых ПД:
  • Фамилия, имя, отчество;
  • Адрес электронной почты;
  • Номер телефона;
  • Данные, относящиеся к пользователю сайта: IP-адрес, cookie-ID, логин, хэш-пароль, информация об устройстве пользователя и тип браузера, идентификатор клиента.
• Срок хранения/обработки: До достижения цели или отзыва согласия, но не более 3 лет с даты последнего входа

Незарегистрированные пользователи сайта https://www.garnec.com

• Цели обработки ПД: П. 2.4
• Перечень обрабатываемых ПД:
  • Данные, относящиеся к пользователю сайта: IP-адрес, cookie-ID, session-ID, информация об устройстве пользователя и тип браузера.
• Срок хранения/обработки: session-cookies -- до закрытия браузера; аналитические / рекламные cookies -- до 24 мес. либо до отзыва согласия; веб-логи -- 12 мес.

Покупатели товаров и услуг на сайте https://www.garnec.com

• Цели обработки ПД: П. 2.1, 2.2, 2.3
• Перечень обрабатываемых ПД:
  • Фамилия, имя, отчество;
  • Адрес электронной почты;
  • Номер телефона;
  • Адрес доставки;
  • Паспортные данные (серия, номер, кем и когда выдан) - при необходимости, для оформления и передачи заказа в курьерскую службу;
  • Платежная информация (реквизиты карты, номер заказа);
  • Данные, относящиеся к пользователю сайта: IP-адрес, cookie-ID, логин, хэш-пароль, информация об устройстве и типе браузера, идентификатор клиента.
• Срок хранения/обработки: Данные для договора (ФИО, контакты, адрес, реквизиты заказа/оплаты) -- срок действия договора + 5 лет после окончания отчетного года; паспортные данные -- до подтверждения получения товара + 3 года; платежные реквизиты карты -- полные данные не сохраняются, маскированный номер / токен и чек / СПБ-ID хранятся 5 лет; IP-адрес, cookie-ID и журналы операций -- 12 мес.; аналитические/рекламные cookies -- до 24 мес. или до отзыва согласия.

Участники конкурсов, проводимых Оператором

• Цели обработки ПД: П. 2.3, 2.1
• Перечень обрабатываемых ПД:
  • Фамилия, имя, отчество;
  • Дата рождения;
  • Паспортные данные (серия, номер, кем и когда выдан) -- идентификация победителя, отправка приза;
  • Почтовый адрес;
  • ИНН;
  • Номер телефона;
  • Адрес электронной почты.
• Срок хранения/обработки: До вручения приза и подачи налоговой отчетности + 5 лет

Журналы безопасности и системные логи

• Цели обработки ПД: П. 2.4
• Перечень обрабатываемых ПД:
  • IP-адрес;
  • метки времени;
  • события авторизации.
• Срок хранения/обработки: 12 мес.; при расследовании инцидента -- до 3 лет

Сроки могут быть продлены, если больший период хранения прямо установлен законодательством (402-ФЗ, НК РФ, ТК РФ) либо данные необходимы для защиты прав ООО «ГАРНЕЦ» в судебном споре. После истечения установленного срока персональные данные уничтожаются либо обезличиваются в порядке, предусмотренном ст. 5 ФЗ-152.

Сайт и сервисы ООО «ГАРНЕЦ» не предназначены для лица младше 18 лет. Персональные данные несовершеннолетних обрабатываются только при согласии их законных представителей.

3. Правовые основания обработки персональных данных

3.1. Основания обработки

Обработка персональных данных осуществляется на основании:

• Конституции Российской Федерации;
• Налогового кодекса Российской Федерации;
• Федерального закона № 152-ФЗ «О персональных данных»;
• Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• иных нормативных правовых актов Российской Федерации в области защиты персональных данных и информационной безопасности;
• согласия субъекта персональных данных;
• необходимости исполнения договора;
• исполнения обязанностей Оператора, осуществление прав и законных интересов Оператора.

3.2. Обезличенные данные

Обезличенные данные, формируемые с использованием файлов cookie и аналитических инструментов, обрабатываются на основании ст. 10.1 Федерального закона № 152-ФЗ. Установка аналитических и маркетинговых cookie осуществляется только при наличии отдельного согласия субъекта персональных данных (см. раздел 9 настоящей Политики).

3.3. Множественные основания

Если персональные данные обрабатываются одновременно на нескольких законных основаниях, Оператор обеспечивает соблюдение требований, применимых к каждому из них, и при необходимости получает согласие субъекта персональных данных на дополнительные цели.

4. Перечень действий с персональными данными

4.1. Действия с персональными данными

Оператор осуществляет следующие действия с персональными данными, предусмотренные ст. 3 Федерального закона № 152-ФЗ: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

4.2. Передача данных

Передача (предоставление, доступ) персональных данных осуществляется:

• в случаях, предусмотренных законодательством РФ;
• для исполнения обязательств перед субъектами персональных данных;
• с согласия субъекта персональных данных.

4.3. Получатели данных

Персональные данные могут быть переданы:

• платежным системам (Сбербанк, ЮKassa и др.);
• службам доставки (СДЭК, Почта России и др.);
• провайдерам хостинга и технической поддержки сайта;
• организациям, предоставляющим IT-сервисы (CRM, e-mail-рассылки, аналитика).

Передача персональных данных вышеуказанным получателям осуществляется в объеме, необходимом для достижения целей обработки, в строгом соответствии с принципами минимизации и ограниченного доступа, установленными ст. 5 Федерального закона № 152-ФЗ.

4.4. Договорные отношения

При передаче персональных данных третьим лицам Оператор заключает договоры поручения, содержащие обязательные условия о конфиденциальности и обеспечении безопасности персональных данных.

4.5. Ограничения передачи

Раскрытие персональных данных неопределенному кругу лиц и трансграничная передача персональных данных не производится. Все базы данных с персональными данными размещены на сервисных мощностях, расположенных на территории Российской Федерации.

5. Меры по защите персональных данных

5.1. Комплекс мер защиты

В ООО «ГАРНЕЦ» реализуется комплекс правовых, организационных и технических мер, достаточных для выполнения обязанностей, установленных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 № 1119 и иными нормативными актами. К таким мерам относятся:

Организационные меры

• Назначение ответственного за организацию обработки и защиту персональных данных.
• Принятие локальных нормативных актов (политик, положений, инструкций), регламентирующих порядок обработки и защиты ПДн, а также процедур предотвращения и выявления нарушений.
• Заключение соглашений о конфиденциальности со всеми сотрудниками и контрагентами, имеющими доступ к ПДн.
• Установление пропускного и режимного контроля в помещениях, где размещаются средства обработки ПДн.
• Ведение учета, хранения и обращения машинных носителей информации.
• Внутренний контроль и аудит соответствия обработки ПДн требованиям законодательства.
• Обучение и информирование сотрудников, непосредственно обрабатывающих ПДн.
• Планирование и проведение мероприятий по реагированию на инциденты.

Технические меры

• Классификация информационных систем и определение требований безопасности в соответствии с уровнем защищенности по Постановлению № 1119.
• Использование лицензионного антивирусного программного обеспечения и регулярное обновление баз.
• Шифрование каналов связи (SSL/TLS) и, при необходимости, шифрование данных «в покое».
• Системы резервного копирования и восстановления данных.
• Многофакторную аутентификацию и разграничение прав доступа по принципу «необходимого и достаточного».
• Журналы регистрации и контроль действий пользователей и администраторов, включая автоматический аудит событий.
• Регулярное сканирование уязвимостей и применение актуальных обновлений безопасности.

5.2. Своевременность применения мер

Оператор принимает указанные меры до начала обработки персональных данных, а также в течение всего срока их обработки и хранения, обеспечивая защиту ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.

6. Права субъектов персональных данных

6.1. Право на получение информации

Субъект персональных данных вправе бесплатно получить от Оператора исчерпывающую информацию о том, как обрабатываются его данные. По запросу предоставляются:

• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки;
• цели и применяемые способы обработки (в том числе сведения об автоматизированной обработке);
• наименование и адрес Оператора, сведения о лицах, которым данные могут быть переданы на основании закона или договора;
• перечень обрабатываемых персональных данных и источник их получения (если иной порядок не установлен законом);
• сроки обработки, включая сроки хранения;
• сведения о трансграничной передаче (если имеется);
• описание прав субъекта персональных данных и порядок их реализации.

6.2. Иные права субъекта

Субъект персональных данных вправе:

1. требовать уточнения, блокирования либо уничтожения данных, если они являются неполными, устаревшими, неточными, незаконно полученными или избыточными;
2. отозвать согласие на обработку персональных данных, направив заявление в порядке, указанном в п. 6.4;
3. отказаться от маркетинговых (рекламных) рассылок в любое время (через ссылку «Отписаться» в письме либо направив требование на e-mail Оператора);
4. получать копию всех обрабатываемых Оператором персональных данных;
5. обжаловать действия (бездействие) Оператора в Роскомнадзор или в суд;
6. требовать возмещения убытков и (или) компенсации морального вреда в судебном порядке.

6.3. Срок и порядок ответа на запрос

Оператор предоставляет сведения, указанные в п. 6.1, в течение 10 рабочих дней со дня получения запроса. При необходимости этот срок может быть продлен, но не более чем на 5 рабочих дней, с обязательным мотивированным уведомлением субъекта.

6.4. Форма запроса

Запрос должен содержать:

• фамилию, имя, отчество и реквизиты удостоверяющего личность документа (номер, дата выдачи, орган, выдавший документ);
• сведения, подтверждающие отношения или взаимодействие с Оператором (номер заказа, дату регистрации и т. д.);
• подпись заявителя или усиленную квалифицированную электронную подпись, если запрос направляется в электронной форме.

Запросы принимаются по e-mail: info@garnec.com либо на бумажном носителе по почтовому адресу Оператора: 600017, г. Владимир, а/я 150.

6.5. Безвозмездность предоставления информации

Информация предоставляется субъекту персональных данных бесплатно. Плата может взиматься только за изготовление бумажных копий документов и не может превышать фактические затраты Оператора.

6.6. Отказ или ограничение доступа

Оператор вправе отказать в повторном запросе, поданном ранее чем через 30 календарных дней после исполнения предыдущего, либо ограничить доступ, если предоставление сведений:

• нарушает права и законные интересы третьих лиц;
• препятствует осуществлению правосудия;
• приводит к разглашению государственной тайны или иной охраняемой законом тайны.

Отказ или ограничение оформляется мотивированным письменным уведомлением субъекта в указанные в п. 6.3 сроки.

Оператор прекращает обработку персональных данных (кроме случаев, предусмотренных законом) не позднее 30 календарных дней с момента получения отзыва согласия или требований об уничтожении данных и уведомляет об этом субъекта.

7. Использование файлов cookies

7.1. Общие положения

Сайт https://garnec.com применяет файлы cookies. В отдельных случаях cookies содержат уникальный идентификатор пользователя и относятся к персональным данным; их обработка осуществляется по правилам настоящей Политики и Федерального закона № 152-ФЗ.

7.2. Категории cookies

Строго необходимые (technical)

• Цель: Обеспечение работы базовых функций сайта, авторизация в личном кабинете, сохранение выбранного языка (исполнение договора/предоставление сервиса)
• Срок хранения: до конца сессии или до 1 года
• Третьи лица / сервисы: -

Аналитические

• Цель: Сбор обезличенной статистики посещаемости, улучшение интерфейса (на основании согласия пользователя (opt-in))
• Срок хранения: 24 месяца
• Третьи лица / сервисы: Яндекс Metrica, VK Analytics

Маркетинговые

• Цель: Показы персонализированных предложений и рекламы (на основании согласия пользователя (opt-in))
• Срок хранения: 24 месяца
• Третьи лица / сервисы: VK Ads, MyTarget

Актуальный перечень внешних сервисов и их политики размещен в «Центре управления cookies» на сайте https://garnec.com.

7.3. Получение согласия

При первом посещении сайта отображается баннер-уведомление. Строго необходимые cookies устанавливаются автоматически, а аналитические и маркетинговые cookies сохраняются только после явного согласия пользователя (нажатие «Принять» или включение соответствующих переключателей).

7.4. Управление cookies

Пользователь может в любой момент изменить свое решение в «Центре управления cookies» (ссылка внизу каждой страницы) или отозвать согласие, направив запрос по контактам, указанным в п. 6.7. Пользователь также может ограничить или отключить использование cookies в настройках браузера.

7.5. Хранение данных

Информация, собранная посредством cookies российских пользователей, хранится на серверах, расположенных на территории Российской Федерации, либо обезличивается до передачи на зарубежные площадки. Трансграничная передача идентификаторов не производится.

7.6. Обновление информации

При изменении перечня категорий, сроков хранения или сторонних сервисов Оператор обновляет настоящий раздел и повторно запрашивает согласие, если это требуется законом.

8. Согласие на обработку персональных данных

8.1. Форма выражения согласия

Согласие предоставляется исключительно путем активного действия субъекта -- установки соответствующего чекбокса (☑) или нажатия кнопки «Отправить / Оформить заказ / Зарегистрироваться» в веб-формах сайта. Молчаливое согласие (продолжение использования сайта без явного подтверждения) не применяется.

8.2. Содержание согласия

Перед подтверждением пользователь получает возможность ознакомиться с полным текстом согласия (выпадающее окно/ссылка «Подробнее»). Текст содержит обязательные реквизиты, предусмотренные ст. 9 ФЗ-152:

• наименование и контактные данные Оператора;
• перечень обрабатываемых персональных данных (см. раздел 2);
• конкретные цели и действия по обработке (исполнение договора, доставка, обратная связь, маркетинг -- при отдельном согласии; аналитика сайта -- при отдельном согласии);
• срок обработки (до достижения целей либо до отзыва согласия, но не менее сроков, установленных законом);
• перечень лиц, которым данные передаются, и основания такой передачи;
• порядок и способы отзыва согласия (см. п. 8.5 и раздел 6 Политики).

8.3. Раздельные согласия (чекбоксы)

Для необязательных целей используются отдельные чекбоксы, по умолчанию не отмеченные:

1. «Получать маркетинговые e-mail-рассылки и специальные предложения» (ст. 15.2 ФЗ-152).
2. «Согласен на установку аналитических и рекламных cookies» (обезличенные данные; ст. 10.1 ФЗ-152).

Отказ от этих чекбоксов не влияет на возможность заключения или исполнения договора купли-продажи.

8.4. Фиксация и хранение согласия

Электронное согласие сохраняется в информационной системе Оператора в виде лог-записи: идентификатор пользователя, дата, время, IP-адрес, версия текста согласия (hash), отметки выбранных чекбоксов. Записи хранятся не менее пяти лет либо до истечения срока исковой давности, после чего уничтожаются или обезличиваются.

8.5. Отзыв согласия

Субъект вправе в любое время отозвать согласие:

• через интерфейс личного кабинета («Отозвать согласие»);
• направив запрос на e-mail либо почтовым отправлением по адресу Оператора.

Оператор прекращает обработку данных (кроме случаев, предусмотренных ст. 6 ФЗ-152) и уведомляет субъекта не позднее 30 календарных дней с даты получения отзыва (см. порядок в раздел 6 настоящей Политики).

8.6. Обновление согласия

При изменении целей, состава обрабатываемых данных или получателей Оператор повторно запрашивает согласие. При отказе пользователя новое согласие не применяется, а обработка для новых целей не ведется.

8.7. Согласие несовершеннолетних

Если субъекту менее 18 лет, согласие на обработку его персональных данных предоставляется законным представителем в порядке, установленном действующим законодательством.

9. Заключительные положения

9.1. Сфера действия

Настоящая Политика распространяется на всех субъектов персональных данных, чьи данные обрабатываются ООО «ГАРНЕЦ» на сайте https://garnec.com.

9.2. Вступление в силу

Политика вступает в силу с момента утверждения директором ООО «ГАРНЕЦ».

9.3. Обновление

Политика подлежит обновлению в случае изменения законодательства РФ в области персональных данных.

9.4. Хранение

Актуальная версия хранится по адресу: 600017, Владимирская область, г. Владимир, ул. Батурина, д. 37Б, и размещается на сайте https://garnec.com.

---