Индивидуальный предприниматель Ширшова Екатерина Сергеевна
ОГРНИП 321370200021442
Юридический адрес: 153000, г. Иваново, пер. Конспиративный, д.14, корп.1
_________________________________________________________________________________
Редакция от 01.10.2023 г.
Политика обработки персональных данных ИП Ширшова Е.С. («ХОЧУ БОРЩА»)
1. Общие положения1.1. Индивидуальный предприниматель Ширшова Екатерина Сергеевна, ОГРНИП 321370200021445, Юридический адрес: 153000, г. Иваново, пер. Конспиративный, д.14, корп.1 является Оператором персональных данных (далее по тексту – Оператор), осуществляющим обработку персональных данных пользователей Сайтов и Мобильных приложений, а также определяющим цели обработки и состав персональных данных, подлежащих обработке.
1.2. Политика Оператора в отношении обработки персональных данных (далее по тексту - Политика) определяет условия и цели сбора, хранения, защиты, обработки и передачи информации о пользователях и применяется ко всей информации, которую Оператор может получить о пользователях Сайта https://хочуборща.рф, а также иных сайтов Оператора и Мобильных приложений «ХОЧУ БОРЩА». Персональные данные обрабатывается в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ (далее также – Закон о персональных данных).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.5. Оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.6. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным
законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных);
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;
- иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
1.7. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
1.8. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том
числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.9. Оператор персональных данных вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
1.10. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных.
1.11. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных.
2. Основные используемые понятия:2.1. Сайт - совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://хочуборща.рф, а также по иным сетевым адресам Оператора;
2.2. Мобильное приложение «ХОЧУ БОРЩА» (Мобильное приложение) - программное обеспечение, предназначенное для работы на смартфонах, планшетах и других мобильных устройствах, разработанное для платформ iOS и Android.
2.3. Оператор – Индивидуальный предприниматель Ширшова Е.С.;
2.4. Пользователь – любой посетитель Сайта и/или Мобильного приложения;
2.5. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.6. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
2.8. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.10. Предоставление персональных данных – любые действия, результатом которых является раскрытие персональных данных определенному кругу лиц;
2.11. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.12. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных3.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 4 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.2. Оператор в рамках настоящей Политики может обрабатывать персональные данные следующих категорий субъектов персональных данных: Клиенты, Пользователи Сайта и Мобильного приложения.
3.3. Оператором не осуществляется обработка биометрических (сведений, которые характеризуют
физиологические и биологические особенности человека, на основании которых можно установить его личность) и специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
4. Цели сбора и обработки персональных данных4.1. Персональные данные Пользователя – фамилия (при необходимости), имя, отчество (при необходимости), номер телефона, дата рождения, пол, адрес электронной почты, фактический адрес доставки - обрабатываются в следующих целях:
- оформление заказа, уточнение деталей и доставка заказа Пользователю;
- с целью заключения договора розничной купли-продажи Товара(-ов) по инициативе Пользователя и исполнения вышеуказанного договора, стороной которого является Пользователь;
- информирование Пользователя о новостях Оператора, проводимых маркетинговых акциях и специальных предложениях;
- наличие возможности направления рекламных уведомлений Пользователю о новых продуктах и услугах, специальных предложениях;
- проведение статистических исследований и анализ полученной статистики;
- усовершенствование работы Сайта и качества обслуживания Пользователей.
4.2. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на электронный адрес borshch37@yandex.ru.
5. Правовые основания обработки персональных данных Оператором5.1. Оператор обрабатывает персональные данные Пользователя только в случае их отправки Пользователем через формы, расположенные на Сайте и/или в Мобильном приложении, а также
предоставления их оператору Контактного центра при осуществлении заказа. Предоставляя свои персональные данные Оператору, Пользователь выражает свое согласие на обработку персональных данных в соответствии с данной Политикой.
5.2. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе Конституция Российской Федерации; Гражданский кодекс Российской Федерации, Закон РФ от 07.02.1992 N 2300-1 "О защите прав потребителей", Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
5.3. Правовым основанием обработки персональных данных также являются договоры, заключаемые между Оператором и субъектами персональных данных, а также согласие субъектов персональных данных на обработку их персональных данных (Приложение № 1 настоящей Политике).
6. Основные права и обязанности Оператора6.1. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.
6.2. Оператор обязан:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение установленного законом срока.
7. Основные права субъекта персональных данных7.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных
- Перечень информации и порядок ее получения установлен Законом о персональных данных;
- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
- обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
8. Порядок и условия обработки персональных данных:8.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
8.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, (Приложение № 1 к настоящей Политике) а также без такового в случаях, предусмотренных законодательством Российской Федерации.
8.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных (при необходимости).
8.4. Обработка персональных данных осуществляется путем: получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных; получения персональных данных из общедоступных источников; внесения персональных данных в информационные системы Оператора; использования иных способов обработки персональных данных.
8.5. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.
8.6. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе определяет угрозы безопасности персональных данных при их обработке; принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных; назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора; создает необходимые условия для работы с персональными данными; организует работу с информационными системами, в которых обрабатываются персональные данные; хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним, а также иные меры по обеспечению безопасности персональных данных при их обработке, установленные действующим законодательством РФ.
8.7. Оператор Персональных данных вправе поручать обработку персональных данных Пользователя третьим лицам в целях обработки персональных данных, указанных в разделе 4 настоящей Политики. Без согласия Пользователя Оператор вправе передавать Персональные данные Пользователя третьим лицам в целях исполнения Оператором требований действующего законодательства Российской Федерации.
8.8. Лица, осуществляющие обработку персональных данных по поручению Оператора, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Законом о персональных данных. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их в личном кабинете Пользователя на Сайте и/или в Мобильном приложении Оператора, либо направив Оператору уведомление с помощью электронной почты на электронный адрес Оператора borshch37@yandex.ru, либо на почтовый адрес Оператора: 153000, г. Иваново, пер. Конспиративный, д.14, корп.1, с пометкой «Актуализация персональных данных».
8.9. Срок обработки персональных данных – 5 лет со дня заключения последнего договора с Оператором. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору письменное заявление об отзыве согласия на обработку персональных данных на электронный адрес Оператора: borshch37@yandex.ru, либо на почтовый адрес Оператора: 153000, г. Иваново, пер. Конспиративный, д.14, корп.1 с пометкой «Отзыв согласия на обработку персональных данных». Обработка персональных данных в случае отзыва согласия Пользователя прекращается, за исключением случаев, когда обязанность Оператора по обработке персональных данных установлена действующим законодательством Российской Федерации.
8.10. Оператор не несет ответственность ни за какие последствия нарушения безопасности, в том числе потерю или порчу данных, произошедшие в результате авторизованного доступа третьих лиц на Сайт и/или Мобильное приложение с помощью логина и пароля Пользователя.
9. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным9.1 Оператор обязан сообщить в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение установленного законом срока с даты получения запроса субъекта персональных данных или его представителя.
9.2 Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
9.3 В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9.4 Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:
- в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
- в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
9.5 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
9.6 В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Законом о персональных данных.
9.7 Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.8 После истечения срока нормативного хранения документов, содержащих персональные данные субъекта, или при наступлении иных законных оснований документы подлежат уничтожению.
9.9 Оператор для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.
9.10 По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению:
- на бумажном носителе - уничтожаются путем использования шредера (устройство для измельчения бумаги в очень мелкие полоски или крошечные кусочки);
- в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
10. Заключительные положения.10.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся
обработки его персональных данных, обратившись к Оператору с помощью электронной почты borshch37@yandex.ru, либо на почтовый адрес Оператора: 153000, г. Иваново, пер. Конспиративный, д.14, корп.1.
10.2. Оператор имеет право внести любые изменения и дополнения в настоящую Политику в любой момент по своему усмотрению.
10.3. Изменения и дополнения вступают в силу с момента размещения на Сайте Политики с
изменениями и дополнениями.
10.4. Используя Сайт и/или Мобильное приложение и направляя через расположенные на нем формы персональные данные, Пользователь принимает все положения данной Политики и обязуется сам следить за её возможными изменениями. В случае существенных изменений в Политике, Пользователю может быть выслана информация на указанный им электронный адрес.
10.5. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ИП Ширшова Е.С. в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.