ПОЛИТИКА
ИП БОНЯ В.А.
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПОЛЬЗОВАТЕЛЕЙ САЙТА
https://bonyabeauty.com/
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика обработки персональных данных ИП Боня В.А. (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Федеральный закон № 152-ФЗ»). Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 Федерального закона № 152-ФЗ, и является общедоступным документом.
1.2. Настоящая Политика раскрывает основные категории персональных данных, обрабатываемых ИП Боня В.А. (ИНН 753006016300 ОГРНИП 313774631000535) (далее — «Оператор»), цели, способы и принципы обработки, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.
1.3. Политика предназначена для работников Оператора, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, обязательна для исполнения всеми работниками, имеющими доступ к персональных данным, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности Оператора при обработке персональных данных.
1.4. Действие настоящей Политики распространяется на все процессы Оператора, в рамках которых осуществляется обработка персональных данных, в том числе во время использования сайта Оператора https://bonyabeauty.com/ (далее — «сайт Оператора»).
1.5. Предоставление Оператору персональных данных подразумевает согласие субъекта персональных данных на обработку его персональных данных и принятие положений настоящей Политики. В случае несогласия с условиями Политики субъект персональных данных должен прекратить использование сайта Оператора.
1.6. Настоящая Политика вступает в силу с момента ее утверждения Оператором и действует бессрочно до замены ее новой Политикой. Настоящая Политика является общедоступной и подлежит размещению по адресу https://bonyabeauty.com/privacy.
2. ПРАВОВОЕ ОСНОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
2.2. Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
2.3 Постановление Правительства от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
2.4. Договоры, заключаемые между Оператором и субъектами персональных данных;
2.5. Согласие на обработку персональных данных.
3. ИСПОЛЬЗУЕМЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
3.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
3.2. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
3.4. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
3.5. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
3.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
3.7. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
3.8. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;
3.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3.10. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор осуществляет обработку персональных данных в следующих целях:
4.1.1. обработка входящих запросов физических лиц с целью оказания услуг;
4.1.2. оформление гражданско — правовых отношений;
4.1.3. информирование о новых товарах, специальных акциях и предложениях, продвижение услуг Оператора на рынке путем осуществления прямых контактов с субъектами персональных данных при помощи средств связи;
4.1.4. аналитика действий физического лица на сайте и функционирования сайта Оператора;
4.1.5. цели, предусмотренные международным договором Российской Федерации или законом, осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. К категориям субъектов персональных данных, чьи персональные данные обрабатываются Оператором, относятся:
5.1.1. работники Оператора, бывшие работники;
5.1.2. клиенты Оператора.
5.2. Персональные данные обрабатываются Оператором с согласия субъектов персональных данных, предоставляемого либо в письменной форме, либо при совершении конклюдентных действий.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.
6.2. Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств, в том числе с передачей и без передачи по сети Интернет.
6.3. Действия по обработке персональных данных включают: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
6.4. К обработке персональных данных могут иметь доступ только работники Оператора, допущенные к работе с персональными данными и подписавшие Соглашение о неразглашении персональных данных, а также лица с которыми у Оператора имеются договорные отношения на выполнение услуг.
6.5. Оператор обрабатывает и хранит персональные данные до достижения целей обработки персональных данных или до утраты необходимости в достижении этих целей, если иной срок не установлен законодательством РФ, согласием на обработку персональных данных или договором.
6.6. Базы данных информации, содержащей персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.
7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
7.1. Оператор обрабатывает персональные данные клиентов в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ.
7.2. Оператор обрабатывает персональные данные клиентов в целях соблюдения норм законодательства РФ, а также с целью заключения и выполнения обязательств по договорам с клиентами, информирования о новых товарах, специальных акциях и предложениях, продвижение услуг Оператора на рынке путем осуществления прямых контактов с субъектами персональных данных при помощи средств связи, обработки входящих запросов физических лиц с целью оказания услуг и аналитики действий физического лица на сайте и функционирования сайта Оператора.
7.3. В случаях, предусмотренных Федеральным законом № 152-ФЗ, согласие предоставляется в письменном виде. Оператор обрабатывает персональные данные клиентов с их согласия, предоставляемого бессрочно. В иных случаях согласие считается полученным при заключении договора или при совершении конклюдентных действий.
7.4. Получение персональных данных осуществляется Оператором лично у каждого субъекта персональных данных, либо у его представителя, имеющего соответствующие полномочия. Персональные данные могут быть получены от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований обработки, предусмотренных Федеральным законом № 152-ФЗ.
7.5. Оператор обрабатывает следующие персональные данные клиентов:
— фамилия, имя, отчество;
— дата, месяц, год рождения;
— адрес места жительства;
— номер контактного телефона;
— адрес электронной почты;
— пользовательские данные: сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь, с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес.
7.6. Оператором могут обрабатываться иные персональные данные, непосредственно необходимые для выполнения договорных обязательств.
8. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Обработка персональных данных Оператором осуществляется на основе следующих принципов:
8.1.1. законность и справедливость основы обработки;
8.1.2. ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
8.1.3. недопущение обработки персональных данных, несовместимой с целями сбора персональных данных;
8.1.4. недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
8.1.5. обработка только тех персональных данных, которые отвечают целям их обработки;
8.1.6. соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;
8.1.7. недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
8.1.8. обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
8.1.9. уничтожение либо обезличивание персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если срок хранения персональных данных не установлен федеральным законом, договором.
9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом.
9.2. Для обеспечения соблюдения установленных законодательством прав субъектов персональных данных Оператором разработан и введен порядок работы с обращениями и запросами субъектов персональных данных, предоставления субъектам персональных данных установленной законом информации.
9.3. Порядок работы с обращениями и запросами субъектов персональных данных, предоставления субъектам персональных данных установленной законом информации обеспечивает соблюдение следующих прав субъектов персональных данных:
9.3.1. право на получение информации, касающейся обработки его персональных данных, в том числе:
9.3.1.1. подтверждение факта обработки персональных данных;
9.3.1.2. правовое основание и цели обработки персональных данных;
9.3.1.3. цели и применяемые Оператором способы обработки персональных данных;
9.3.1.4. наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона;
9.3.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
9.3.1.6. сроки обработки и хранения персональных данных;
9.3.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
9.3.1.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9.3.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора;
9.3.1.10. иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими Федеральными законами.
9.3.2. право на уточнение, блокирование или уничтожение своих персональных данных, которые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки.
9.3.3. право на отзыв данного им согласия на обработку персональных данных.
9.4. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных». Соответствующие формы запросов/обращений представлены в Приложениях № 1 — 5 к настоящей Политике.
10. ОБЯЗАННОСТИ ОПЕРАТОРА
10.1. В соответствии с требованиями Федерального закона № 152-ФЗ Оператор обязан:
1,.1.1. осуществлять обработку персональных данных с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ;
1,.1.2. не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ;
10.1.3. предоставлять доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется;
10.1.4. в случаях, предусмотренных Федеральным законом № 152-ФЗ, осуществлять обработку персональных данных только с согласия в письменной форме субъекта персональных данных;
10.1.5. предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставлять отказ в предоставлении указанной информации и давать в письменной форме мотивированный ответ, содержащий ссылку на положение Федерального закона № 152-ФЗ, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. При обращении или при получении запроса субъекта персональных данных или его представителя предоставить субъекту персональных данных или его представителю информацию, касающуюся обработки его персональных данных, а также предоставить возможность ознакомления с этими персональными данными;
10.1.6. если предоставление персональных данных является обязательным в соответствии с Федеральным законом № 152-ФЗ, разъяснить субъекту персональных данных юридические
последствия отказа предоставить его персональные данные;
10.1.7. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
10.1.8. по требованию субъекта персональных данных внести изменения в обрабатываемые персональные данные или уничтожить их, если персональные данные являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленных целей обработки в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих указанные факты, а также уведомить субъект персональных данных или его представителя о внесенных изменениях. Вести журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;
10.1.9. уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные получены не от субъекта персональных данных. Исключение составляют следующие случаи:
10.1.9.1. субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором;
10.1.9.2. персональные данные получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого или выгодоприобретателем или поручителем по которому является субъект персональных данных;
10.1.9.3. персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
10.1.9.4. Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
10.1.10. в случае выявления неправомерной обработки персональных данных или неточных персональных данных, устранить выявленные нарушения в соответствии и сроки, установленные ч. 1-3, 6 Федерального закона № 152-ФЗ;
10.1.11. в случае достижения целей обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ;
10.1.12. в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты получения указанного отзыва, если иное
не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
11. МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных субъектов от неправомерного или случайного доступа к ним, уничтожения, блокирования, изменения, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.
11.2. К основным методам и способам обеспечения безопасности персональных данных относятся:
11.2.1. назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
11.2.2. ограничение состава лиц, имеющих доступ к персональным данным;
11.2.3. разработка внутренних документов, регламентирующих порядок обработки и защиты персональных данных;
11.2.4. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных:
11.2.4.1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
11.2.4.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
11.2.4.3. применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
11.2.4.4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
11.2.4.5. учет машинных носителей персональных данных;
11.2.4.6. обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
11.2.4.7. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
11.2.4.8. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
11.2.4.9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
11.2.5. ознакомление сотрудников Оператора с требованиями федерального законодательства и внутренних нормативных документов Оператора по обработке и защите персональных данных;
11.2.6. организация учета, хранения и обращения носителей информации;
11.2.7. контроль за принятыми мерами по обеспечению безопасности персональных данных.
11.3. Оператором обеспечен неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных путем размещения Политики на официальном сайте Оператора и по адресу нахождения Оператора.
12. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. В отношении персональных данных субъекта обеспечивается их конфиденциальность, целостность и доступность.
12.2. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
12.3. Не считается нарушением предоставление Оператором информации агентам и третьим лицам, действующим на основании договора с Оператором, для исполнения обязательств перед субъектом персональных данных.
12.4. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных и несет ответственность перед Оператором. Оператор несет ответственность перед субъектом персональных данных за действия уполномоченного лица, которому Оператор поручает обработку персональных данных.
14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
14.1. Иные права и обязанности Оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.
14.2. Настоящая Политика в отношении обработки персональных данных может быть изменена Оператором в одностороннем порядке путем размещения новой редакции в сети Интернет по адресу https://bonyabeauty.com/политика-персональных-данных/ .
14.3. В случае расхождения условий Политики с положениями договора, преимущественную силу имеют положения договора.
14.4. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных Оператора.
