Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных ИП Тунгусова Д.Г. (далее – Оператор).
Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях Интернет – магазина: https://mcmshop.ru.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных- физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Оператор- государственный орган, муниципальный орган, физическое или юридическое лицо, в том числе ИП Тунгусов Д.Г. самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных».
1.1. При регистрации и/или отправке сообщений с помощью формы обратной связи на сайте Интерент-магазина https://mcmshop.ru, Покупатель предоставляет о себе следующую информацию:
Фамилия, Имя, адрес электронной почты, номер телефона, вариант пароля для доступа к Учетной записи.
Продавец вправе изменять перечень информации, необходимой для регистрации на сайте Интерент-магазина https://mcmshop.ru.
1.2. Использование информации предоставленной Покупателем и получаемой Продавцом:
1.3. Продавец использует полученную от Покупателя информацию:
- для регистрации Покупателя на сайте Интернет – магазина https://mcmshop.ru;
- для выполнения своих обязательств перед Покупателем;
- для оценки и анализа работы сайта Интернет – магазина https://mcmshop.ru.;
1.4. Продавец вправе направлять Покупателю сообщения рекламно-информационного характера при согласии на это Покупателя, о котором он сообщает при подписке на получение таких сообщений. Если Покупатель не желает получать рассылки от Продавца, он должен отказаться от получения такой рассылки.
1.5. Разглашение информации, полученной Продавцом:
1.5.1 Продавец обязуется не разглашать полученную от Покупателя информацию. Не считается нарушением предоставление Продавцом информации агентам и третьим лицам, действующим на основании договора с Продавцом, для исполнения обязательств перед Покупателем.
Не считается нарушением обязательств разглашение информации в соответствии с обоснованными и применимыми требованиями закона.
1.6. Продавец вправе использовать технологию cookies. (cookies - служебная информация, посылаемая веб-сервером на компьютер пользователя, для сохранения в браузере. Применяется для сохранения данных, специфичных для данного пользователя, и используемых веб-сервером для различных целей). Cookies не содержат конфиденциальную информацию и не передаются третьим лицам.
1.7. Продавец получает информацию об ip-адресе (уникальный идентификатор устройства, подключённого к локальной сети и/или сети Интернет) посетителя Сайта. Данная информация не используется для установления личности посетителя.
1.8. Продавец не несет ответственности за сведения, предоставленные Покупателем на Сайте в общедоступной форме.
2.1 НАЗНАЧЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ
2.1.1 Настоящая "Политика по обработке персональных данных в ИП Тунгусов Д.Г. (далее - Политика) является локальным нормативным актом ИП Тунгусова Д.Г. (далее - Оператор).
2.1.2. Настоящая Политика определяет принципы и условия обработки персональных данных, меры по защите персональных данных, а также обязанности Оператора при их обработке.
2.1.3. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности персональных данных, в том числе при их обработке в информационных системах персональных данных.
2.1.4. Действие настоящей Политики по обработке персональных данных распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению. Уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
2.2.1 Обработка персональных данных Оператором осуществляется на основе следующих принципов:
- Обработка персональных данных осуществляется на законной и справедливой основе;
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- Обработка персональных данных, несовместимая с целями сбора персональных данных не допускается;
- Объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой не допускается;
- Обработке подлежат только те персональные данные, которые отвечают целям их обработки;
- Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
- При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
2.2.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.2.4. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию, если иное не предусмотрено федеральным законом.
2.3.1. Обработка персональных данных Оператором осуществляется с соблюдением принципов и правил, установленных Федеральным законом "О персональных данных" для следующих целей:
2.3.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
2.3.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
2.3.4. Обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
2.3.5. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
2.3.6. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
2.3.7. Обработка персональных данных осуществляется для целей опубликования или обязательного раскрытия в соответствии с федеральным законом.
2.4.1. В общем случае обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
2.4.2. Согласие субъекта на обработку его персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения согласия форме, в том числе в электронном виде, если необходимость получения согласия субъекта на обработку персональных данных в письменной форме, не установлена ФЗ №152 "О персональных данных".
2.4.3.. В следующих случаях согласие субъекта на обработку его персональных данных должно быть получено Оператором в письменной форме:
- Включение персональных данных субъекта в общедоступные источники персональных данных;
- Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
- Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных);
- Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных;
- принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
2.4.4. Без согласия субъекта персональных данных осуществляется обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных, либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных).
2.4.5. В статистических или иных исследовательских целях обработка персональных данных осуществляется при условии обязательного обезличивания персональных данных.
2.4.6. С согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, Оператор вправе поручить обработку персональных данных третьему лицу на основании заключаемого с указанным лицом договора (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и ФЗ №152 "О персональных данных".
2.4.7. В случае, если Оператор поручает обработку персональных данных третьему лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
2.5. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.1. Права и обязанности Оператора:
3.1.1 При сборе персональных данных Оператор обязана предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных, установленную ФЗ №152 "О персональных данных".
3.1.2 Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа субъекта предоставить его персональные данные, если предоставление персональных данных субъектом является обязательным в соответствии с федеральным законом.
3.1.3. Оператор обязан уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональных данных были получены не от субъекта персональных данных (за исключением случаев, когда субъект персональных данных уже уведомлен об осуществлении обработки его персональных данных соответствующим оператором).
3.1.4. Оператор обязан до начала обработки персональных данных, полученных не от субъекта персональных данных, и если иное не установлено ФЗ №152 "О персональных данных", предоставить субъекту персональных данных следующую информацию:
3.1.5. Наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
3.1.6. Цель обработки персональных данных и ее правовое основание;
3.1.7. Предполагаемых пользователей персональных данных;
3.1.8.Установленные ФЗ №152 "О персональных данных" права субъекта персональных данных;
3.1.9. Источник получения персональных данных.
3.1.10. Оператор освобождается от обязанности предоставить субъекту персональных данных указанные выше сведения, в случаях, если:
- Субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- Персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- Обработка персональных данных осуществляется для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- Предоставление субъекту персональных данных сведений, полученных не от субъекта персональных данных, нарушает права и законные интересы третьих лиц.
3.1.11. При сборе персональных данных граждан Российской Федерации Оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, установленных ФЗ №152 "О персональных данных".
3.1.12. По требованию субъекта персональных данных Оператор обязан уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки либо обеспечить блокирование, удаление, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора.
3.1.13. Оператор обязан вести учет обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.
3.1.14. В случае достижения цели обработки персональных данных Оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами либо обеспечить уничтожение, обезличивание, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
3.1.15. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных либо обеспечить прекращение обработки персональных данных и их уничтожение, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора и уведомить об уничтожении персональных данных субъекта персональных данных.
3.1.16. В случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке Оператор обязан немедленно прекратить обработку персональных данных либо обеспечить прекращение обработки персональных данных, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора.
3.2. Права и обязанности субъекта персональных данных:
3.2.1. В соответствии с ФЗ № 152 "О персональных данных" субъект Персональных данных имеет право:
Получить следующие информации, касающейся обработки его Персональных данных Компанией:
- подтверждение факта обработки Персональных данных Компанией;
- правовые основания и цели обработки Персональных данных;
- цели и применяемые Компанией способы обработки Персональных данных;
- наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ или которым могут быть раскрыты Персональных данных на основании договора с Компанией или на основании федерального закона;
- обрабатываемые Персональные данные, относящиеся к соответствующему субъекту Персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки Персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом Персональных данных прав, предусмотренных ФЗ № 152 "О персональных данных";
- информацию об осуществленной или предполагаемой трансграничной передаче персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
3.2.2. Потребовать от Оператора уточнения своих Персональных данных, их блокирования или уничтожения в случае, если Персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3.2.3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки Персональных данных.
3.2.4. Отозвать согласие на обработку Персональных данных;
3.2.5. В свободной форме отозвать согласие на включение своих Персональных данных в общедоступные источники.
3.2.6. Для реализации своих прав, указанных в настоящем Порядке, субъекту Персональных данных следует направлять свои сообщения для Компании любым удобным ему способом, а именно:
- в письменной форме на бумажном носителе на почтовый адрес Оператора:
- в электронной форме через форму обратной связи на сайте Интернет – магазина https://mcmshop.ru.
- в электронной форме на адрес электронной почты: info@mcmshop.ru
- вручить лично в офисе по адресу: 690039, г. Владивосток, ул. Станционная, 3, в рабочие часы с 10.00 до 18.00 с понедельника по пятницу включительно.
3.3.1. Обращение субъекта Персональных данных в Компанию в целях реализации своих прав, установленных ФЗ № 152 "О персональных данных", может осуществляться:
- в форме личного обращения (при непосредственном посещении офиса или отделения Компании);
- в виде запроса как в письменной, так и в электронной форме.
3.3.2. При поступлении личного обращения субъекта Персональных данных, Уполномоченным работником Компании субъекту Персональных данных выдаются принятые в Компании формы письменных обращений. Форма обращения заполняется субъектом Персональных данных с проставлением собственноручной подписи в присутствии указанного выше работника Компании. Работник Компании, получив от субъекта Персональных данных заполненное обращение по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта Персональных данных и основания, по которым лицо выступает в качестве законного представителя субъекта Персональных данных, со сведениями, указанными в оригинале указанных документов.
3.3.3 К запросам в письменной форме относятся любые письменные обращения субъектов Персональных данных, направленные в адрес Компании, в том числе обращения, отправленные через отделения почтовой связи.
3.3.4. К запросам в электронной форме относятся обращения (электронные документы) субъектов Персональных данных, направленные на адрес электронной почты Компании. В соответствии с требованиями действующего законодательства Российской Федерации обращение в форме электронного документа должно быть подписано электронной подписью субъекта Персональных данных.
3.3.5. Запрос на отзыв согласия на включение Персональных данных в общедоступные источники подается в письменном виде в свободной форме.
3.3.6. Ответ на обращение направляется субъекту Персональных данных в письменной форме на почтовый адрес, указанный в обращении, вне зависимости от формы запроса.
3.3.7. Срок формирования ответа на обращение субъекта Персональных данных и передачи ответа в почтовое отделение для отправки не может превышать тридцати дней с даты получения Компанией обращения.
3.3.8. Срок внесения необходимых изменений в Персональные данные, являющиеся неполными, неточными или неактуальными не может превышать семи рабочих дней со дня предоставления субъектом Персональных данных или его представителем сведений, подтверждающих, что Персональных данных являются неполными, неточными или неактуальными.
3.3.9. Срок уничтожения Персональных данных, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки не может превышать семи рабочих дней со дня предоставления субъектом Персональных данных или его представителем сведений, подтверждающих, что Персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
3.3.10. Сведения предоставляются субъекту Персональных данных в доступной форме и в них не должны содержаться Персональные данные, относящиеся к другим субъектам Персональных данных.
4.1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.2. Обеспечение безопасности персональных данных достигается, в частности:
- Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; учетом машинных носителей персональных данных;
- Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер для исключения возможности такого доступа в дальнейшем;
- Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
- Контролем за эффективностью принимаемых мер по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
5.1. Право субъекта Персональных данных на доступ к своим Персональных данных ограничивается в случае, если:
- обработка Персональных данных, включая Персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка Персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма;
- доступ субъекта Персональных данных к его Персональным данным нарушает права и законные интересы третьих лиц.
5.2. В случае если сведения, касающиеся обработки Персональных данных, а также обрабатываемые Персональные данные предоставлены для ознакомления субъекту Персональных данных по его запросу, субъект Персональных данных вправе направить повторный запрос в целях получения сведений, касающихся обработки Персональных данных, и ознакомления с такими Персональных данных не ранее чем через тридцать дней с момента первоначального запроса.
5.3. Субъект Персональных данных вправе направить в Компанию повторный запрос в целях получения сведений, касающихся обработки персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 5.2. в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса, при этом повторный запрос должен содержать обоснование его направления.
5.4. Оператор вправе мотивированно отказать субъекту Персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 5.2. и 5.3. настоящего Порядка.
6.1. Основными механизмами для пересмотра и совершенствования настоящей Политики являются внутренние и внешние аудиты информационной безопасности Оператора, а также анализ системы обеспечения информационной безопасности Оператора в сочетании с использованием превентивных и корректирующих мер с интервалом не реже одного раза в два года.