1.1. Настоящее Положение определяет политику Индивидуального предпринимателя Уфимцевой А.А. (далее – Оператор, Продавец) в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений.
1.2. Настоящее Положение об обработке и защите персональных данных (далее - Положение) устанавливает порядок сбора, хранения, передачи и любого другого использования персональных данных, предоставленных субъектами персональных данных (клиенты, пользователи, покупатели, посетители сайта https://smartstory.world, участники партнерской программы) Оператору для целей исполнения гражданско-правовых договоров, заключенных или заключаемых между субъектами персональных данных и Оператором, как следствие информационного обмена между ними, а также гарантии конфиденциальности сведений о субъекте персональных данных, предоставленных им Оператору.
1.3. Положение разработано в соответствии с Конституцией̆ Российской̆ Федерации, ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ.
2.1. Для целей Положения используются следующие понятия:
1) Оператор персональных данных (далее Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего Положения оператором является – ИП Уфимцева А.А.;
2) Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.
3) Субъект – субъект персональных данных.
4) Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
5) Ответственный за организацию обработки персональных данных – должностное лицо Оператора, ответственное за обеспечение соответствия режима персональных данных Оператора требованиям законодательства Российской федерации.
6) Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
7) Использование персональных данных - действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
8) Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи. /p>
9) Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
10) Сайт – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети интернет. Под сайтом в Положении понимается сайт, расположенный в сети Интернет по адресу: https://smartstory.world
3.1. Общие положения об обработке персональных данных:
3.1.1. Оператор может осуществлять обработку следующих персональных данных: фамилия, имя, отчество, дата рождения, серия и номер паспорта или иного документа, удостоверяющего личность физического лица, адрес места жительства или доставки товара, номер телефона, адрес электронной почты, ip-адрес, реквизиты банковских карт, сведения о реквизитах гражданина в платежных системах, использованных им для оплаты товара.
3.1.2. Оператором осуществляется обработка персональных данных с использованием средств автоматизации или без использования таких средств с передачей полученной информации по сети. Информация передается с использованием сети общего доступа Интернет.
3.1.3. В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») Оператором:
1) назначен ответственный за организацию обработки персональных данных (далее - Ответственный);
2) утверждено настоящее Положение, определяющее политику Оператора в отношении обработки персональных данных, изданы локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применены правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
4) осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам Оператора;
5) проводится ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, обучение указанных работников.
3.1.4. В соответствии со ст. 19 Федерального закона «О персональных данных» для персональных данных, собираемых на электронных носителях, безопасность обеспечивается:
1) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных:
- принятие локальных актов, регламентирующих порядок работы с персональными данными;
- назначение должностного лица, ответственного за обеспечение защиты персональных данных;
- защита от несанкционированного физического доступа к информации (организация доступа к помещениям, где установлено оборудование, препятствующая неконтролируемому проникновению и пребыванию в них посторонних лиц);
- защита паролем компьютеров с персональными данными;
- использование системы паролей при работе в сети (на портале);
- ограничение доступа к компьютерной технике для определенных категорий работников.
2) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, когда применение таких средств необходимо для нейтрализации актуальных угроз;
3) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
4) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
6) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3.1.5. Безопасность персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ, обеспечивается:
1) организацией режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
2) обеспечением сохранности носителей персональных данных;
3) утверждением Ответственным документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими обязанностей;
4) использованием средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
5) назначением ответственного за обеспечение безопасности персональных данных в информационной системе.
3.2.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры и обеспечивать их реализацию для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.2.2. Обработка персональных данных может осуществляться исключительно в целях исполнения гражданско-правовых договоров, заключенных между Субъектами персональных данных и Оператором, информационного обмена между Оператором и Субъектом, продвижения Оператором товаров и услуг, проведения электронных и sms-опросов, контроля результатов маркетинговых акций, формирования статистики и оптимизации рекламных сообщений, клиентской поддержки, организации доставки товара Субъектам, а также качества услуг, оказываемых Оператором.
3.2.3. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
3.2.4. При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.2.5. Работники Оператора должны быть ознакомлены под расписку с документами Оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.
3.2.6. Субъекты имеют право ознакомиться с документом Оператора, определяющим его политику в отношении обработки персональных данных.
3.2.7. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.
3.3.1. В качестве субъектов персональных данных могут выступать любые физические лица.
3.3.2. Все персональные данные поступают непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставление своих персональных данных и дает согласие на их обработку Оператором в электронной форме.
3.3.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления в адрес Оператора посредством почтовой связи письменного уведомления, содержащего четко выраженное решение об отзыве своего согласия на обработку персональных данных, или посредством электронного уведомления на адрес электронной почты: info@smartstory.world с темой письма «Отказ от обработки персональных данных».
3.4.1. Хранение персональных данных Субъектов осуществляется Оператором в электронной форме.
3.4.2. Хранение персональных данных в электронной форме осуществляется способом, обеспечивающим возможность их восстановления и исключающим несанкционированный доступ.
3.5.1. В целях, указанных в п. 3.2.2 Положения, Оператор вправе осуществлять передачу (в том числе трансграничную передачу, если необходимость таковой обусловлена исполнением обязательств Оператора) персональных данных лицам, осуществляющим рассылку (в том числе почтовую, электронную и SMS-оповещений) сообщений, организациям связи, службам доставки товаров, а также физическим и/или юридическим лицам, задействованным для обеспечения целей, указанных в п. 3.2.2 Положения, и заключившим гражданско-правовые договоры с Оператором. Право выбора указанных компаний/лиц предоставляется Оператору и дополнительного согласования с Субъектом не требуется. Оператор также вправе использовать технологию «cookies» в соответствии с утвержденной Политикой.
3.5.2. Оператор, за исключением случаев, указанных в п. 3.5.1 Положения, не сообщает персональные данные Субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это предусмотрено федеральными законами.
3.5.3. Все сведения о передаче персональных данных Субъекта в целях, отличных от установленных в п. 3.2.2, регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана.
3.5.4. Внутренний доступ (доступ внутри организации) к персональным данным Субъекта имеют:
1) работники Оператора, ответственные за выполнение гражданско-правовых договоров, для исполнения которых собираются персональные данные;
2) работники Оператора, уполномоченные на работу с персональными данными в соответствии с решением ответственного за организацию обработки персональных данных.
3.5.5. Все работники Оператора, а также любые лица, привлекаемые Оператором для обеспечения целей, указанных в п. 3.2.2 Положения и имеющие доступ к персональным данным Субъектов, обязаны принять на себя обязательства о неразглашении персональных данных.
3.6.1 Персональные данные Субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в их достижении, а также в случае отзыва Субъектом персональных данных согласия на их обработку.
3.6.2. Персональные данные, обрабатываемые в электронной форме, уничтожаются способом, не позволяющим осуществить их восстановление.
4.1.В целях обеспечения защиты персональных данных Субъекты имеют право:
1) получать полную информацию о своих персональных данных и обработке этих данных в порядке, установленном законодательством; 2) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства; 3) при отказе Оператора или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование; 4) обжаловать в суд любые неправомерные действия или бездействие Оператора или уполномоченного им лица при обработке и защите персональных данных Субъекта.
4.2. Субъекты в целях реализации своих прав направляют Оператору письменные обращения посредством почтовой связи на адрес: 119285, Москва, ул. Мосфильмовская, 1, оф. 215 либо электронные сообщения на адрес электронной почты Оператора: info@smartstory.world.
4.3. Субъект персональных данных обязуется предоставлять персональные данные, соответствующие действительности.
4.4. Для защиты персональных данных Субъектов Оператор обязан:
1) за свой счет обеспечить защиту персональных данных Субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
2) предоставить Субъекту возможность ознакомиться с настоящим Положением и его правами в области защиты персональных данных путем размещения Положения в открытом доступе в сети Интернет;
3) по запросу ознакомить Субъекта с настоящим Положением и его правами в области защиты персональных данных;
4) осуществлять передачу персональных данных Субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;
5) по запросу Субъекта предоставить ему полную информацию о его персональных данных и обработке этих данных.
5.1. Ответственный за организацию обработки персональных данных в пределах своих полномочий организует деятельность, направленную на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений:
1) утверждает локальные акты Оператора в области обработки персональных данных.
2) осуществляет текущий контроль за деятельностью работников Оператора, а также иных лиц, указанных в п. 3.5.1 Положения, в части, связанной с доступом к персональным данным, на предмет соответствия деятельности таких лиц требованиям законодательства и локальных актов Оператора в области обработки персональных данных;
3) рассматривает запросы и жалобы Субъектов, предписания государственных органов, уполномоченных в сфере контроля и надзора за соблюдением законодательства о персональных данных, готовит на них ответы;
4) принимает организационные меры, направленные устранение причин и условий, способствующих нарушениям режима персональных данных, а также последствий нарушения законодательства и локальных актов Оператора в области обработки персональных данных;
5) организует защиту от непосредственного физического доступа к информации, составляющей персональные данные;
6) организует применение Оператором техническим мер в области защиты персональных данных;
7) готовит проекты решений о привлечении работников оператора к ответственности за нарушения режима работы с персональными данными.
5.2. В случае выявления угроз безопасности персональных данных Ответственный за организацию обработки персональных данных принимает решение о применении прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
5.3. Работники Оператора, деятельность которых связана с обработкой или использованием персональных данных, предварительно проходят обучение и под роспись знакомятся с обязанностями в сфере персональных данных, которые возлагаются на них Оператором и законодательством Российской Федерации.
5.4. Работники Оператора, которым стало известно о нарушениях режима работы с персональными данными, установленного законодательством Российской Федерации и локальными актами Оператора, фактах несанкционированного доступа к персональным данным обязаны незамедлительно уведомить об этом Ответственного за организацию обработки персональных данных и принять меры, направленные на пресечение нарушений, минимизацию и устранение последствий таких нарушений.
6.1. Ответственный за организацию обработки персональных данных несет персональную ответственность за обеспечение соответствия режима обработки персональных данных Оператором требованиям законодательства Российской Федерации.
6.2. Ответственный за организацию обработки персональных данных, разрешающий доступ работника Оператора к персональным данным, несет персональную ответственность за данное разрешение.
6.3. Работники оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных (включая локальные акты Оператора), привлекаются к ответственности в порядке, установленном законодательством Российской Федерации.
7.1. В случае изменения действующего законодательства Российской Федерации, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие.
7.2. Условия Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления пользователя. С момента размещения на сайте новой редакции Положения предыдущая редакция считается утратившей свою силу.
7.3. В случае отзыва Субъектом согласия на обработку персональных данных в соответствии с п. 3.3.3 Положения и/или уведомления Оператора о несогласии Субъекта с условиями Положения, профиль Субъекта подлежит удалению с Сайта.