Политика в отношении обработки персональных данных

Индивидуального предпринимателя Карамышева Сергея Юрьевича


1. Общие положения
1.1. Настоящая Политика индивидуального предпринимателя Карамышева Сергея Юрьевича (далее – Оператор) в отношении обработки персональных данных (далее – Политика) разработана в целях обеспечения защиты прав и свобод субъектов персональных данных при их обработке, а также исполнения требований Федерального закона № 152-ФЗ.
1.2. Настоящая Политика определяет основные принципы, цели, правовые основания, условия и способы обработки персональных данных, категории субъектов персональных данных и перечень обрабатываемых персональных данных, а также меры по обеспечению безопасности персональных данных.
1.3. Действие настоящей Политики распространяется на все персональные данные, которые Оператор получает от субъектов персональных данных и обрабатывает как с использованием средств автоматизации, так и без использования таких средств.
1.4. Оператор осуществляет обработку персональных данных на основе следующих принципов:
  • законности и справедливой основы обработки персональных данных;
  • ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями их сбора;
  • обработки только тех персональных данных, которые отвечают целям их обработки;
  • соответствия объёма и содержания персональных данных заявленным целям обработки;
  • обеспечения точности, достаточности и актуальности персональных данных;
  • хранения персональных данных не дольше, чем этого требуют цели обработки персональных данных, если иной срок не установлен законодательством Российской Федерации или договором.
1.5. Настоящая Политика подлежит предоставлению неограниченному кругу лиц для ознакомления и размещается Оператором в свободном доступе на официальном сайте Оператора: https://промотор.рф/ 

2. Термины и определения
Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Сведения об Операторе
3.1. Оператором персональных данных является:
Индивидуальный предприниматель Карамышев Сергей Юрьевич
ОГРНИП: 326745600000422
ИНН: 450210220245
3.2. Контактные данные для обращений субъектов персональных данных:
Телефон: +7 (909) 080-83-77
Адрес электронной почты: Karamyshevsu@yandex.ru 
Официальный сайт: https://промотор.рф/
3.3. Оператор самостоятельно организует и осуществляет обработку персональных данных, определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, а также действия, совершаемые с персональными данными.

4. Цели обработки персональных данных
4.1. Оператор осуществляет обработку персональных данных в следующих целях:
4.1.1. Подготовка, заключение и исполнение гражданско-правового договора.
В рамках указанной цели Оператор осуществляет обработку персональных данных для приема и обработки обращений, заявок и заказов субъектов персональных данных, в том числе поступающих через сайт Оператора, консультирования по вопросам приобретения товаров, преддоговорного взаимодействия с субъектами персональных данных, подготовки, заключения, исполнения, изменения и прекращения гражданско-правовых договоров, оформления заказов, организации доставки товаров, обработки претензий, запросов и иных сообщений, связанных с заключением и исполнением договоров с субъектами персональных данных.
4.1.2. Продвижение товаров, работ, услуг на рынке.
В рамках указанной цели Оператор осуществляет обработку персональных данных для направления субъектам персональных данных рекламных сообщений о товарах Оператора, специальных предложениях, акциях, условиях приобретения товаров, а также иных предложениях Оператора при наличии согласия субъекта персональных данных.
4.1.3. Обеспечение корректной работы сайта, анализ посещаемости и пользовательской активности посетителей сайта.
В рамках указанной цели Оператор осуществляет обработку персональных данных для обеспечения функционирования сайта Оператора, анализа посещаемости сайта, анализа пользовательской активности посетителей сайта, оценки эффективности работы сайта, улучшения качества взаимодействия с пользователями и обеспечения удобства использования сайта.

5. Правовые основания обработки персональных данных
5.1. Оператор осуществляет обработку персональных данных на законных основаниях в соответствии с требованиями законодательства Российской Федерации.
5.2. Правовыми основаниями обработки персональных данных являются:
5.2.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
5.2.2. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
5.2.3. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

6. Перечень действий с персональными данными
6.1. Оператор при обработке персональных данных осуществляет следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

7. Категории субъектов персональных данных и перечень обрабатываемых персональных данных
7.1. Оператор осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
7.1.1. клиенты Оператора – физические лица, обращающиеся к Оператору для приобретения товаров;
7.1.2. потенциальные клиенты Оператора – физические лица, направившие заявку, обращение, запрос или иным образом выразившие интерес к товарам Оператора, но не заключившие договор с Оператором.
7.1.3. посетители сайта Оператора – физические лица, посещающие сайт Оператора;
7.1.4. представители контрагентов – юридических лиц – физические лица, действующие от имени юридических лиц при заключении, исполнении, изменении или прекращении договоров с Оператором;
7.1.5. контрагенты Оператора – подрядчики, исполнители, фрилансеры и иные физические лица, взаимодействующие с Оператором в рамках гражданско-правовых отношений.
7.2. Перечень персональных данных по категориям субъектов.
7.2.1. В отношении клиентов Оператора могут обрабатываться следующие персональные данные:
  • фамилия, имя, отчество;
  • номер телефона;
  • адрес электронной почты;
  • адрес места жительства;
  • данные документа, удостоверяющего личность;
  • дата рождения.
7.2.2. В отношении потенциальных клиентов Оператора могут обрабатываться следующие персональные данные:
  • фамилия, имя, отчество;
  • номер телефона;
  • адрес электронной почты.
7.2.3. В отношении посетителей сайта Оператора могут обрабатываться следующие персональные данные:
  • сведения, собираемые посредством метрических программ, в том числе сведения о пользовательских действиях на сайте, времени посещения сайта, просмотренных страницах, переходах по разделам сайта, источнике перехода на сайт, технических параметрах используемого устройства и браузера, IP-адресе, cookie-файлах.
7.2.4. В отношении представителей контрагентов – юридических лиц могут обрабатываться следующие персональные данные:
  • фамилия, имя, отчество;
  • номер телефона;
  • адрес электронной почты;
  • должность.
7.2.5. В отношении контрагентов Оператора могут обрабатываться следующие персональные данные:
  • фамилия, имя, отчество;
  • номер телефона;
  • адрес электронной почты;
  • адрес регистрации;
  • ИНН;
  • данные документа, удостоверяющего личность;
  • номер расчетного счета.

8. Способы и условия обработки персональных данных
8.1. Обработка персональных данных осуществляется Оператором как с использованием средств автоматизации, так и без использования таких средств.
8.2. Автоматизированная обработка персональных данных осуществляется с использованием сайта Оператора, учетных программ, электронных таблиц, сервисов электронной почты, облачных сервисов хранения, обработки и обмена электронными документами, сервисов веб-аналитики, а также устройств, программных и технических средств, применяемых для приема и обработки обращений, заявок и заказов, ведения клиентской базы, оформления договоров, организации доставки и ведения деятельности Оператора.
8.3. Неавтоматизированная обработка персональных данных осуществляется на бумажных носителях и включает оформление, подписание, хранение и использование договоров, согласий, первичных учетных документов, документов по заказам, доставке, претензиям и иных документов, содержащих персональные данные.
8.4. Персональные данные получаются Оператором непосредственно от субъектов персональных данных либо из документов и сведений, предоставленных субъектами персональных данных при обращении к Оператору, заполнении форм на сайте Оператора, направлении заявок, оформлении заказов, заключении и исполнении договоров, обращении по телефону, электронной почте, через социальные сети, мессенджеры и иные электронные каналы связи.
8.5. Обработка персональных данных осуществляется в объёме, необходимом для достижения заявленных целей обработки, без избыточности по отношению к таким целям.
8.6. Оператор не осуществляет обработку персональных данных, несовместимую с целями их сбора.
8.7. Передача персональных данных третьим лицам допускается только при наличии законных оснований и в объёме, необходимом для достижения целей обработки персональных данных.
8.8. При обработке персональных данных Оператор принимает необходимые меры по обеспечению их безопасности и защите от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

9. Сроки хранения и порядок уничтожения персональных данных
9.1. Оператор хранит персональные данные субъектов персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
9.2. Сроки хранения персональных данных по категориям субъектов персональных данных определяются следующим образом:
9.2.1. Персональные данные клиентов Оператора хранятся в течение срока, необходимого для подготовки, заключения и исполнения договора, а также после исполнения договора в течение срока, необходимого для исполнения требований законодательства Российской Федерации, хранения документов, подтверждения исполнения обязательств, рассмотрения претензий и защиты прав и законных интересов Оператора.
9.2.2. Персональные данные потенциальных клиентов Оператора хранятся до достижения цели обработки, отзыва согласия субъектом персональных данных либо утраты необходимости в дальнейшем взаимодействии, если иной срок не установлен законодательством Российской Федерации.
9.2.3. Персональные данные, обрабатываемые в целях продвижения товаров, работ, услуг на рынке, хранятся до достижения цели обработки либо отзыва согласия субъектом персональных данных – в зависимости от того, какое обстоятельство наступит ранее, если иной срок не установлен законодательством Российской Федерации.
9.2.4. Персональные данные посетителей сайта хранятся в течение срока, необходимого для обеспечения корректной работы сайта, анализа посещаемости и пользовательской активности посетителей сайта, если иной срок не установлен настройками используемых сервисов или законодательством Российской Федерации.
9.2.5. Персональные данные представителей контрагентов – юридических лиц хранятся в течение срока действия договора с соответствующим контрагентом, а также в течение 5 (пяти) лет после прекращения действия договора, если иной срок не установлен законодательством Российской Федерации.
9.2.6. Персональные данные контрагентов хранятся в течение срока действия соответствующего договора, а также в течение 5 (пяти) лет после прекращения действия договора, если иной срок не установлен законодательством Российской Федерации.
9.3. Основаниями для прекращения обработки и уничтожения персональных данных являются:
  • достижение целей обработки персональных данных;
  • истечение сроков хранения персональных данных;
  • отзыв субъектом персональных данных согласия на обработку персональных данных, если отсутствуют иные законные основания для продолжения обработки;
  • выявление неправомерной обработки персональных данных;
  • прекращение деятельности Оператора в случаях и порядке, предусмотренных законодательством Российской Федерации.
9.4. Уничтожение персональных данных осуществляется способами, исключающими возможность восстановления их содержания, в том числе:
  • в электронной форме – путем удаления персональных данных из информационных систем персональных данных и с электронных носителей;
  • на бумажных носителях – путем физического уничтожения документов либо иным способом, исключающим возможность восстановления персональных данных.
9.5. Уничтожение персональных данных осуществляется Оператором самостоятельно и подтверждается документально в соответствии с требованиями законодательства Российской Федерации.
9.6. Уничтожение персональных данных производится в сроки, установленные законодательством Российской Федерации.

10. Обработка специальных категорий персональных данных
10.1. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также сведений о судимости.

11. Обработка биометрических персональных данных
11.1. Оператор не осуществляет обработку биометрических персональных данных.

12. Права субъектов персональных данных
12.1. Субъект персональных данных имеет право:
  • получать информацию, касающуюся обработки его персональных данных;
  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;
  • требовать прекращения обработки персональных данных в случаях, предусмотренных законодательством Российской Федерации;
  • отозвать согласие на обработку персональных данных – в случаях, когда обработка осуществляется на основании согласия субъекта персональных данных;
  • обжаловать действия или бездействие Оператора, нарушающие требования законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных либо в судебном порядке;
  • осуществлять иные права, предусмотренные законодательством Российской Федерации в области персональных данных.

13. Порядок рассмотрения запросов субъектов персональных данных
13.1. Субъект персональных данных либо его представитель имеет право направить Оператору запрос, касающийся обработки его персональных данных, включая запрос о предоставлении информации, уточнении, блокировании, удалении или уничтожении персональных данных, а также об отзыве согласия на обработку персональных данных.
13.2. Запрос может быть направлен Оператору в письменной форме либо в форме электронного документа в порядке, предусмотренном законодательством Российской Федерации.
13.3. Запрос субъекта персональных данных должен содержать сведения, позволяющие идентифицировать субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором либо иным образом подтверждающие факт обработки персональных данных Оператором, описание существа обращения, а также подпись субъекта персональных данных или его представителя. В случае обращения представителя субъекта персональных данных к запросу прилагаются документы, подтверждающие его полномочия.
13.4. Оператор рассматривает запрос субъекта персональных данных и направляет ответ в срок, не превышающий 10 (десяти) рабочих дней со дня получения запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней, с направлением субъекту персональных данных мотивированного уведомления с указанием причин продления.
13.5. Ответ на запрос направляется способом, соответствующим способу получения запроса, если иной способ не указан субъектом персональных данных.
13.6. В случае представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор в срок, не превышающий 7 (семи) рабочих дней со дня представления таких сведений, вносит необходимые изменения в персональные данные либо уничтожает соответствующие персональные данные и уведомляет об этом субъекта персональных данных или его представителя.
13.7. В случае выявления неправомерной обработки персональных данных Оператор прекращает такую обработку в срок, не превышающий 3 (трех) рабочих дней с даты выявления. Если обеспечить правомерность обработки персональных данных невозможно, Оператор уничтожает такие персональные данные в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки, и уведомляет об этом субъекта персональных данных.
13.8. Оператор вправе отказать в удовлетворении запроса в случаях, предусмотренных законодательством Российской Федерации, с направлением субъекту персональных данных мотивированного ответа.

14. Меры по обеспечению безопасности персональных данных
14.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
14.2. Организационные меры
14.2.1. Оператором применяются следующие организационные меры:
  • самостоятельная организация обработки персональных данных индивидуальным предпринимателем;
  • определение перечня персональных данных, обрабатываемых Оператором, и целей их обработки;
  • ограничение доступа к персональным данным посторонних лиц;
  • обеспечение режима конфиденциальности персональных данных;
  • обеспечение хранения документов, содержащих персональные данные, в местах, исключающих несанкционированный доступ;
  • использование персональных данных только в объеме, необходимом для достижения целей их обработки;
  • передача персональных данных третьим лицам только при наличии законных оснований и в объеме, необходимом для достижения целей обработки;
  • принятие мер по актуализации, исправлению, удалению и уничтожению персональных данных в случаях, предусмотренных законодательством Российской Федерации;
  • контроль фактов несанкционированного доступа к персональным данным и принятие мер по устранению последствий таких случаев;
  • рассмотрение обращений субъектов персональных данных по вопросам обработки их персональных данных.
14.3. Технические меры.
14.3.1. Оператором применяются следующие технические меры:
  • использование паролей и иных средств аутентификации при доступе к устройствам, программам и электронным ресурсам, используемым при обработке персональных данных;
  • ограничение доступа к устройствам и электронным ресурсам, содержащим персональные данные;
  • применение настроек доступа в информационных системах, используемых Оператором для обработки персональных данных;
  • использование антивирусного программного обеспечения и иных базовых средств защиты информации;
  • использование актуального программного обеспечения и его своевременное обновление;
  • ограничение физического доступа к бумажным носителям персональных данных;
  • хранение бумажных документов, содержащих персональные данные, в закрытых шкафах, сейфах или иных местах, исключающих доступ посторонних лиц;
  • использование защищенного соединения на сайте Оператора;
  • удаление персональных данных из электронных ресурсов и с электронных носителей при достижении целей обработки либо наступлении иных оснований для прекращения обработки.
14.4. Реагирование на инциденты.
14.4.1. В случае выявления неправомерного доступа к персональным данным либо иных нарушений безопасности персональных данных Оператор принимает меры по прекращению неправомерного доступа, устранению последствий нарушения и недопущению подобных нарушений в дальнейшем.
14.4.2. В случае установления факта неправомерной или случайной передачи, предоставления, распространения персональных данных либо доступа к ним, повлекших нарушение прав субъектов персональных данных, Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных в течение 24 (двадцати четырех) часов с момента выявления такого инцидента, а также в течение 72 (семидесяти двух) часов направляет сведения о результатах внутреннего расследования в порядке, установленном законодательством Российской Федерации.

15. Порядок передачи персональных данных третьим лицам
15.1. Оператор вправе осуществлять передачу персональных данных третьим лицам только при наличии законных оснований и в объёме, необходимом для достижения целей обработки персональных данных, предусмотренных настоящей Политикой.
15.2. В рамках осуществления своей деятельности Оператор может передавать персональные данные следующим категориям третьих лиц:
  • лицам, предоставляющим учетные программы, используемые Оператором для оформления заказов, учета продаж, ведения деятельности и исполнения налоговых обязанностей;
  • лицам, предоставляющим облачные сервисы хранения, обработки и обмена электронными документами;
  • лицам, предоставляющим сервисы веб-аналитики, используемые для обеспечения корректной работы сайта, анализа посещаемости и пользовательской активности посетителей сайта;
  • курьерским и иным службам доставки – в целях организации и осуществления доставки товаров субъекту персональных данных;
  • банкам и иным платежным организациям – в целях осуществления расчетов, возвратов и подтверждения оплаты;
  • государственным органам, органам местного самоуправления, внебюджетным фондам и иным уполномоченным организациям – в случаях и порядке, предусмотренных законодательством Российской Федерации.
15.3. Передача персональных данных третьим лицам осуществляется только в объёме, необходимом для достижения соответствующей цели передачи.
15.4. Третьи лица, получающие доступ к персональным данным, обязаны обеспечивать конфиденциальность и безопасность персональных данных, а также соблюдать требования законодательства Российской Федерации в области персональных данных.

16. Ответственное лицо за организацию обработки персональных данных
16.1. Ответственным за организацию обработки персональных данных у Оператора является индивидуальный предприниматель Карамышев Сергей Юрьевич.
16.2. Оператор самостоятельно осуществляет функции по организации обработки персональных данных и обеспечивает соблюдение требований законодательства Российской Федерации в области персональных данных.

17. Трансграничная передача персональных данных
17.1. Оператор не осуществляет трансграничную передачу персональных данных.

18. Обязанности Оператора
18.1. Оператор обязан:
  • обрабатывать персональные данные в соответствии с требованиями законодательства Российской Федерации; 
  • обеспечивать законность обработки персональных данных и наличие правовых оснований для их обработки; 
  • принимать необходимые и достаточные меры по защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления или распространения; 
  • обрабатывать персональные данные исключительно в целях, определённых настоящей Политикой; 
  • обеспечивать точность, достаточность и актуальность обрабатываемых персональных данных; 
  • прекращать обработку персональных данных и уничтожать их по достижении целей обработки либо при наступлении иных законных оснований; 
  • обеспечивать субъектам персональных данных возможность реализации их прав, предусмотренных законодательством Российской Федерации; 
  • рассматривать обращения субъектов персональных данных и направлять ответы в установленные законодательством сроки; 
  • обеспечивать свободный доступ к настоящей Политике. 

19. Ответственность
19.1. Лица, виновные в нарушении требований законодательства Российской Федерации в области персональных данных, несут ответственность в соответствии с законодательством Российской Федерации.
19.2. Оператор несёт ответственность за организацию обработки и обеспечение безопасности персональных данных в пределах обязанностей, установленных законодательством Российской Федерации.

20. Заключительные положения
20.1. Настоящая Политика вступает в силу с даты её утверждения и действует бессрочно до замены новой редакцией.
20.2. Оператор вправе вносить изменения в настоящую Политику в случае изменения законодательства Российской Федерации, целей или условий обработки персональных данных, а также по собственному решению.
20.3. Актуальная редакция Политики доводится до сведения субъектов персональных данных способом, обеспечивающим возможность ознакомления с её содержанием.
20.4. Во всём, что не урегулировано настоящей Политикой, Оператор руководствуется законодательством Российской Федерации в области персональных данных.