Условия обработки персональных данных на сайте Мебельный базар

Назначение и область действия документа.
1. Политика ООО «МБ» (ОГРН 1061655072302, ИНН 1655120830, индекс 420021, Россия, г. Казань, ул. Нариманова д. 44 оф. 1) (далее по тексту также — «Общество») в отношении персональных данных (далее по тексту также — «Политика») определяет позицию и намерения Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, и семейную тайну, защиту своей чести и доброго имени.
2. Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений, филиалов и представительств Общества.
3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств.
4. К настоящей Политике имеет доступ любой субъект персональных данных, в том числе с использованием сети «Интернет».
5. Общество имеет право вносить изменения в Политику. Новая редакция документа о Политике вступает в силу с момента ее размещения на сайте mebelnijbazar.ru
6. Во всем ином, что не предусмотрено настоящей Политикой, Общество руководствуется положениями действующего законодательства Российской Федерации.
Определения.
1. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности, можно отнести: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другую информацию, позволяющую по совокупности определить (идентифицировать) субъекта персональных данных.
2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3. Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются.
4. Оператор — лицо, самостоятельно или совместно с иными лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Для целей настоящей Политики Общество, обрабатывая персональные данные, является оператором, если иное прямо не указано в Политике.
5. Обработчик — любое лицо, которое на основании договора с оператором осуществляет обработку персональных данных по поручению такого оператора, действуя от имени и (или) в интересах последнего при обработке персональных данных. Оператор несет ответственность перед субъектом персональных данных за действия или бездействия обработчика. Обработчик несет ответственность перед оператором.
6. Файлы Cookie — это небольшие фрагменты данных, сохраняемые на устройстве субъекта персональных данных по инициативе веб-сервера (например, сайта Оператора) или самого браузера. Эти данные могут использоваться как сервером (при получении запросов от браузера), так и самим браузером (например, для хранения пользовательских настроек). В зависимости от содержания, cookie могут включать как персональные данные (например, идентификаторы пользователя), так и обезличенную техническую информацию (например, язык интерфейса или параметры отображения сайта).
7. Услуга — любые услуги, которые Оператор оказывает физическим лицам и юридическим лицам в соответствии с действующим законодательством РФ.
8. Товары — любые товары, которые предлагаются Оператором к продаже физическим лицам и юридическим в соответствии с действующим законодательством РФ.
9. Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
10. Прочие термины используются в настоящей Политике в соответствии со значениями, определяемыми действующим законодательством Российской Федерации, если иное прямо не указано в Политике.
Цели обработки персональных данных.
1. Целями обработки персональных данных пользователей сайта и иных сервисов Общества (при их наличии), а именно покупателей, продавцов и пр. является использование, в том числе посещение, сайта Общества (далее по тексту – «Сайт) в соответствии с предоставляемой функциональностью, включая регистрацию и авторизацию на Сайтах и в таких сервисах. Для достижения цели, оператором запрашиваются следующие сведения: ID пользователя; ФИО; Контактная информация (номер телефона, адрес электронной почты, никнеймы и ID в мессенджерах, социальных сетях и пр.); Сведения об оформленных и доставленных заказах («история заказов»), а также сведения об использовании функционала Сайта (например, о приобретенных услугах и пр.); Иные данные, самостоятельно предоставленные лицами в адрес Общества (в рамках заполнения сведений в личных кабинетах на Сайте Общества) – например, пол и возраст; Сведения, собираемые посредством метрических программ, в том числе технические сведения о пользовательских устройствах и идентификаторы (cookies, геолокация устройства, метаданные и пр.).
2. Целями обработки персональных данных лиц, оформляющих и (или) получающих (возвращающих) заказы (в том числе представители юридических лиц и индивидуальные предприниматели) является соблюдение процедуры оформления заказа (товара) на Сайте и их последующего возврата (доставки) в пределах Российской Федерации. Для достижения цели, оператором запрашиваются следующие сведения: ID пользователя; ФИО; Адрес доставки; Контактная информация (номер телефона, адрес электронной почты, никнеймы и ID в мессенджерах, социальных сетях и пр.); Записи звонков (разговоров); Банковские реквизиты, включая данные платежной карты; ОГРНИП и ИНН (если лицо оформляет заказ как индивидуальный предприниматель); Иные данные, самостоятельно предоставленные лицами в адрес Общества (в рамках оформления и доставки (возврата) заказа) – например, пол и возраст; Сведения, собираемые посредством метрических программ, в том числе технические сведения о пользовательских устройствах и идентификаторы (cookies, геолокация устройства, метаданные и пр.).
3. Целью обработки персональных данных участников акций, конкурсов, мероприятий является организация и проведение Обществом акций, конкурсов и мероприятий, включая последующие вручение призов и выплату вознаграждений победителям. Для достижения цели оператором обрабатываются следующие данные: ID пользователя; ФИО; Адрес доставки приза (в случае выигрыша); Контактная информация (номер телефона, адрес электронной почты, никнеймы и ID в мессенджерах, социальных сетях и пр.); Банковские реквизиты для перечисления вознаграждения (в случае выигрыша); Иные данные в соответствии с условиями акций и конкурсов (при необходимости).
4. Целью обработки персональных данных получателей рекламы (выразивших согласие на такое получение) является направление и получение рекламной информации. Для достижения целей, оператором обрабатываются следующие данные: ID пользователя; ФИО; Контактная информация (номер телефона, адрес электронной почты, никнеймы и ID в мессенджерах, социальных сетях и пр.); Иные данные, самостоятельно предоставленные лицами в адрес Общества (в рамках выражения согласия на получения рекламы) – например, конкретные предпочтения и интересы для персонализации получаемой рекламы; Сведения, собираемые посредством метрических программ, в том числе технические сведения о пользовательских устройствах и идентификаторы (cookies, геолокация устройства, метаданные и пр.).
5. Целью обработки персональных данных физических лиц, с которыми Общества вступает в гражданско-правовые отношения или имеет намерение установить деловые отношения является проверка благонадежности контрагентов, с которыми Общество намеревается установить деловые отношения (например, заключить гражданско-правовой договор), заключение, исполнение и расторжение иных гражданско-правовых договоров с третьими лицами. Для достижения цели, оператором обрабатываются следующие данные: ID пользователя (если договоры заключаются с использованием Сайтов или иных сервисов Общества); Гражданство; ФИО; реквизиты доверенности (при предоставлении такой информации); Контактная информация (номер телефона, адрес электронной почты, никнеймы и ID в мессенджерах, социальных сетях и пр.); Адрес регистрации по месту жительства и адрес фактического проживания; Банковские реквизиты (только для возмездных договоров); Номер регистрации в качестве индивидуального предпринимателя и прочие данные, содержащиеся в ЕГР и иных открытых (публичных) реестрах (если физическое лицо также является индивидуальным предпринимателем); Иные данные в соответствии с условиями договоров (при необходимости).
Порядок и условия обработки персональных данных.
1. Общество обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
  1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  2. обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации, иными нормативно-правовыми актами Общество функций, полномочий и обязанностей;
  3. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  4. обработка персональных данных необходима для осуществления прав и законных интересов на Общество или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  5. осуществляется обработка персональных данных, доступ неограниченного круга лик к которым предоставлен субъектом персональных данных либо по его просьбе;
  6. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
2. Общество вправе поручить обработку персональных данных с согласия субъектов персональных данных третьим лицам, на основании заключаемого с этими лицами договора.
3. Лица, осуществляющие обработку персональных данных по поручению Общества, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных». Для каждого лица определены перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
4. Если иное не предусмотрено законодательством Российской Федерации, Общество прекращает обработку персональных данных (в отношении любой из заявленных выше целей) и уничтожает их в случаях:
  - ликвидации Общества;
  - реорганизации Общества, влекущей прекращение его деятельности;
  - отпадения правовых оснований обработки персональных данных и/или достижения целей обработки персональных данных.
5. В ряде случаев, как это описано ниже, Общество получает и обрабатывает персональные данные автоматически с помощью метрических программ, используемых на веб-сайтах и в онлайн-сервисах Общества. Для работы с такими данными Общество использует cookies.
  Cookies — это небольшие текстовые файлы, содержащие некоторую информацию, которые загружаются на пользовательское устройство (ПК, смартфон и т.д.) во время просмотра веб-страницы.
  Cookies позволяют сайтам распознавать пользовательские устройства, определять и сохранять пользовательские предпочтения, формировать корзину и заказы, персонализировать рекламу, а также собирать и анализировать статистику того, как пользователи взаимодействуют с сайтами, для улучшения опыта использования такого сайта технических нужд и корректировки работы сервиса. При этом перечень целей, для достижения которых необходимы cookies, не является исчерпывающим и зависит от конкретного сайта, который пользователь посещает или иным образом использует.
6. Общество при осуществлении обработки персональных данных:
  1. принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации, внутренних документов и локальных нормативных актов Общества в области персональных данных;
  2. принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  3. назначает лицо, ответственное за организацию обработки персональных данных в Обществе;
  4. издает внутренние документы, определяющие политику Общества в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  5. осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации, внутренних документов и локальных нормативных актов Общества в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
  6. осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства Российской Федерации и принятым в соответствии с ним нормативным правовым актам, иным требованиям к защите персональных данных, настоящей Политике, внутренним документам и локальным нормативным актам Общества в области персональных данных;
  7. публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
  8. прекращает обработку персональных данных и уничтожает их в случаях, предусмотренных законодательством Российской Федерации;
  9. совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
Права и обязанности субъекта персональных данных
1. Лицо, персональные данные которого обрабатываются Обществом, имеет:
  1. право на отзыв ранее данного им согласия на обработку персональных данных*;
  2. право на получение информации, касающейся обработки персональных данных;
  3. право требовать уточнения своих персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки, а также требовать прекращения обработки персональных данных, если цель такой обработки достигнута Обществом.
    * Согласно ч. 2 ст. 9, ч. 4 и 5 ст. 21 Федерального закона «О персональных данных» Общество вправе продолжить обработку персональных данных при наличии иных правовых оснований.
2. Если иной порядок взаимодействия Общества и субъекта персональных данных не предусмотрен соответствующим документом между ними (например, договором или текстом согласия на обработку персональных данных), для реализации указанных прав субъекту персональных данных необходимо направить Обществу заявление в письменной форме и подписанное собственноручной подписью — по адресу индекс 420021, Россия, г. Казань, ул. Нариманова д. 44 оф. 1; либо в виде электронного документа, подписанного электронной подписью — на электронную почту irena270@mail.ru.
3. Заявление, указанное в п. 5.2 должно в обязательном порядке содержать описание требований субъекта персональных данных, а также следующие сведения:
  1. ФИО субъекта персональных данных;
  2. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе либо иные данные, позволяющие однозначно идентифицировать субъекта персональных данных;
  3. сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, либо сведения, иным способом подтверждающие факт обработки персональных данных Обществом;
  4. подпись субъекта персональных данных или его представителя.
4. Субъект персональных данных также вправе обжаловать действия (бездействия) и решения Общества, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и в суд в порядке, установленном законодательством Российской Федерации.
5. Субъекты персональных данных обязаны:
  1. предоставлять Оператору достоверные данные о себе;
  2. сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
6. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
Основные права и обязанности Оператора.
1. Оператор имеет право:
  1. получать, в установленном Законом о персональных данных порядке, от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
  2. в случае отзыва субъектом персональных данных согласия на обработку персональных данных, а также, направления обращения с требованием о прекращении обработки персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
  3. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
2. Оператор обязан:
  1. предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;/или документы, содержащие персональные данные;
  2. организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
  3. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
  4. сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;
  5. публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
  6. принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  7. исполнять иные обязанности, предусмотренные Законом о персональных данных.
Меры по обеспечению безопасности персональных данных и ответственность.
1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Общество регулярно пересматривает и актуализирует принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных – такие меры описываются в настоящей Политике, внутренних документах и локальных нормативных актах Общества. К таким мерам, в частности, относится:
  1. назначение сотрудников, ответственных за организацию обработки персональных данных;
  2. разработка моделей угроз;
  3. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  4. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  5. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  6. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  7. обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
  8. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  9. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  10. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
  11. обеспечение физической безопасности помещений;
  12. применение технических средств обеспечения безопасности персональных данных (антивирусных средств, средств криптографической защиты), прошедших процедуру оценки соответствии в установленном порядке.
2. В случае неисполнения положений настоящего документа, Общество несет ответственность в соответствии с действующим законодательством Российской Федерации.