Политика конфиденциальности и обработки персональных данных клиентов интернет-магазина marmocer.masterdom.ru (ООО «АРТДЕКОРИУМ»)
1. Общие положения
1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее – «Политика») разработана и утверждена ООО «АРТДЕКОРИУМ» (ИНН 9728136130), являющимся оператором персональных данных интернет-магазина marmocer.masterdom.ru (далее – «Оператор»). Политика составлена в соответствии с требованиями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции, действующей на 2024–2025 гг.) и иных нормативных актов РФ в области защиты персональных данных. Оператор обеспечивает защиту персональных данных и соблюдает права и свободы человека и гражданина при их обработке.
1.2. Сфера действия Политики: Настоящая Политика применяется к персональным данным клиентов и пользователей сайта marmocer.masterdom.ru, предоставляемым ими при использовании сайта и сервисов интернет-магазина. Политика не распространяется на отношения, связанные с обработкой персональных данных сотрудников Оператора (Оператор обрабатывает данные только клиентов). Документ предназначен для размещения на официальном сайте marmocer.masterdom.ru в открытом доступе, а также может быть адаптирован в форматах HTML/PDF для удобства пользователей.
1.3. Оператор персональных данных: ООО «АРТДЕКОРИУМ», ОГРН 1247700460260, ИНН 9728136130, юридический адрес: 117335, г. Москва, пр-кт Нахимовский, д. 59А. Контактная информация Оператора для вопросов, связанных с персональными данными: эл. почта shop@masterdom.ru, тел. 8 800 350-32-43. На данный момент ответственное должностное лицо за организацию обработки персональных данных (ст. 18.1 ч.1 п.1 152-ФЗ) не назначено отдельно, однако Оператор самостоятельно выполняет необходимые функции и требования законодательства по защите данных.
1.4. Принципы обработки: Обработка персональных данных осуществляется Оператором на законной и справедливой основе, с соблюдением принципов и правил, предусмотренных законодательством. Не допускается обработка избыточных персональных данных по отношению к заявленным целям их обработки; объединение баз данных, содержащих персональные данные, которые обрабатываются для несовместимых между собой целей, не производится. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки, если иное не установлено законом или договором; по достижении целей обработки данные подлежат уничтожению или обезличиванию (если иное не предусмотрено законодательством).
2. Категории собираемых и обрабатываемых персональных данных
Оператор осуществляет сбор и дальнейшую обработку следующих категорий персональных данных клиентов (субъектов персональных данных):
Идентификационные данные: фамилия, имя, отчество клиента;
Контактные данные: адрес электронной почты (E-mail), номер контактного телефона;
Адресные данные: почтовый адрес, адрес доставки заказов (город, улица, номер дома/квартиры и пр.);
Платежные реквизиты: информация, необходимая для оплаты заказов (например, реквизиты платежной карты или банковского счета). (Примечание: Оператор не хранит полные данные платежных карт – обработка платежей может осуществляться через аккредитованных платежных агентов, в соответствии с требованиями платежных систем.);
Данные учетной записи: логин/имя пользователя и пароль для доступа к личному кабинету на сайте (при регистрации аккаунта);
Информация о заказах: сведения о приобретенных товарах, история заказов, выбранные способы доставки и оплаты;
Данные обратной связи: информация, содержащаяся в обращениях клиента в службу поддержки, отзывах или комментариях (например, текст сообщения, приложенные файлы);
Технические данные (собирательно): файлы cookie, IP-адрес устройства, данные о браузере, времени доступа, настройках и действиях на сайте. Данные этого типа не позволяют Оператору однозначно идентифицировать личность пользователя, однако при их объединении с другими данными пользователя они могут рассматриваться как персональные данные. Оператор использует cookie и аналогичные технологии согласно отдельной Политике использования файлов cookie (размещена на сайте).
Оператор не осуществляет сбор или обработку специальных категорий персональных данных (касающихся расовой, национальной принадлежности; политических взглядов; религиозных или философских убеждений; состояния здоровья; интимной жизни), а также биометрических персональных данных клиентов. Персональные данные несовершеннолетних (младше 18 лет) сознательно не собираются и не обрабатываются, за исключением случаев предоставления таких данных самим законным представителем ребенка для исполнения заказа (что рассматривается как согласие представителя).
3. Цели обработки персональных данных
Персональные данные клиентов интернет-магазина marmocer.masterdom.ru обрабатываются строго в установленных целях. Каждая категория данных используется Оператором только для тех целей, которые необходимы и соотносимы с функциями интернет-магазина. Основные цели обработки персональных данных включают:
Оформление и исполнение заказов, договоров купли-продажи товаров: персональные данные (имя, контактные и адресные данные, информация о заказе) используются для приема и обработки заказов, резервирования товаров, оформления счетов, организации доставки товара по указанному адресу, предоставления сопутствующих услуг, связи с клиентом по вопросам заказа. Обработка данных в этих целях необходима для исполнения договора купли-продажи, стороной которого является клиент (ст. 6 ч.1 п.5 Федерального закона № 152-ФЗ), а также для принятия мер по запросу самого клиента до заключения договора.
Предоставление клиентского сервиса и обратной связи: Оператор обрабатывает персональные данные для реагирования на запросы клиентов (по электронной почте, телефону, через формы на сайте), информирования об этапах обработки заказа, условиях доставки и оплаты, рассмотрения претензий и вопросов по товару, выполнения обязанностей по возврату товара и денежных средств и т.п. Данные используются с целью эффективного исполнения обязательств перед клиентом, повышения качества обслуживания и обеспечения поддержки пользователей.
Исполнение требований законодательства: персональные данные могут обрабатываться для выполнения предусмотренных законом обязанностей Оператора, в том числе требований бухгалтерского учета, налоговой отчетности, соблюдения правил дистанционной торговли, предоставления отчетности контролирующим органам. Например, данные о продажах и клиентах хранятся в течение установленных законом сроков для целей налогового контроля и возможного гарантийного обслуживания товара. Такая обработка осуществляется на основании требований законодательства РФ (ст. 6 ч.1 п.2 152-ФЗ – обработка необходима для исполнения обязанностей, возложенных на Оператора законом).
Маркетинг и информирование (с согласия клиента): при отдельном согласии субъекта персональных данных Оператор может обрабатывать электронную почту или номер телефона для рассылки рекламно-информационных материалов: уведомлений о скидках, специальных акциях, новостях ассортимента, персональных предложений и т.д. Клиент всегда вправе отказаться от получения таких материалов, отозвав свое согласие (см. раздел 5 ниже). Обработка данных в маркетинговых целях осуществляется только при наличии предварительного согласия субъекта (ст. 6 ч.1 п.1 152-ФЗ). Отсутствие согласия на рекламу не влияет на выполнение прочих обязательств Оператора перед клиентом.
Улучшение работы сайта и сервисов: Оператор может использовать обезличенные и агрегированные данные о поведении пользователей на сайте (включая cookie, данные веб-аналитики) для улучшения работы интернет-магазина, анализа спроса на товары, удобства навигации, персонализации контента и сервисов. При этом Оператор руководствуется законными интересами по улучшению качества своих услуг (ст. 6 ч.1 п.7 152-ФЗ – осуществление законных интересов Оператора при условии, что при этом не нарушаются права и свободы субъекта данных). Такие данные анализируются в обобщенном виде и не используются для принятия решений, затрагивающих права субъекта персонально.
Обеспечение безопасности и предотвращение мошенничества: персональные данные (в том числе технические сведения, IP-адреса, данные о совершаемых действиях) могут обрабатываться в целях обеспечения информационной безопасности сайта и пользователей, предотвращения мошеннических действий и несанкционированного доступа к аккаунтам. Такая обработка основана на законном интересе Оператора в защите своего бизнеса и пользователей (ст. 6 ч.1 п.7 152-ФЗ) и на выполнении требований закона по обеспечению безопасности персональных данных (ст. 19 152-ФЗ).
Оператор не осуществляет обработку персональных данных в целях, не совместимых с вышеперечисленными. Обработка в статистических или иных исследовательских целях осуществляется только в обезличенном (анонимизированном) виде.
4. Правовые основания обработки персональных данных
Оператор обрабатывает персональные данные клиентов на законных основаниях, предусмотренных статьей 6 Федерального закона № 152-ФЗ, а именно:
Согласие субъекта персональных данных. Обработка осуществляется с согласия клиента на обработку его персональных данных (ст. 6 ч.1 п.1 152-ФЗ). Клиент дает свое согласие добровольно при оформлении заказа на сайте, регистрации учетной записи, подписке на новости или в иных случаях явного предоставления данных (например, отметкой о согласии с условиями Политики). Согласие может охватывать такие цели, как получение рекламы, если оно отдельно выражено.
Исполнение договора с субъектом. Обработка необходима для исполнения договора купли-продажи или оказания услуг, стороной которого является клиент, а также для заключения договора по инициативе клиента (ст. 6 ч.1 п.5 152-ФЗ). Например, обработка данных для доставки оплаченного товара, либо для совершения действий по запросу клиента до заключения договора (предварительный счет, резервация товара).
Выполнение требований закона. Обработка необходима для исполнения обязанностей, возложенных на Оператора законодательством РФ (ст. 6 ч.1 п.2 152-ФЗ). К таким обязанностям относятся, в частности, требования законодательства о бухгалтерском учете, налогах, защите прав потребителей (например, хранение кассовых чеков и сведений о продажах в установленные сроки, обработка обращений потребителей в установленные законом сроки и пр.).
Реализация законных интересов Оператора. В отдельных случаях Оператор может обрабатывать персональные данные в целях реализации своих законных интересов или интересов третьих лиц (ст. 6 ч.1 п.7 152-ФЗ) – при условии, что при этом не нарушаются права и свободы субъекта данных. Такой основой могут служить, например, обеспечение безопасности сайта и предотвращение мошенничества, улучшение качества обслуживания, защита прав Оператора в случае споров. Перед началом такой обработки Оператор проводит оценку возможного вреда правам субъектов и убеждается, что их интересы не страдают.
Оператор не осуществляет обработку персональных данных на основаниях, не предусмотренных действующим законодательством. В случаях, когда для обработки требуется отдельное письменное согласие или иное разрешение субъекта (например, при обработке специальных категорий данных или биометрических данных), Оператор запрашивает его в порядке, установленном законом (ст. 9, 11 152-ФЗ). В настоящей деятельности такие данные, как указано, не запрашиваются.
5. Порядок получения согласия субъекта и его отзыва
5.1. Получение согласия: В случаях, когда обработка персональных данных основывается на согласии субъекта, такое согласие собирается Оператором в свободной, конкретной, информированной и сознательной форме. При регистрации на сайте, оформлении заказа или заполнении соответствующих форм клиенту предлагается ознакомиться с настоящей Политикой и выразить согласие с обработкой его персональных данных. Как правило, согласие предоставляется путем проставления отметки (галочки) в поле формы («Согласен с политикой конфиденциальности») либо иным явно подтверждающим действием, свидетельствующим о волеизъявлении субъекта (нажатие кнопки «Оформить заказ» после заполнения данных и ознакомления с Политикой и офертой, равно как фактическое предоставление своих данных для указанных целей). Содержание получаемого согласия охватывает все виды действий с персональными данными, необходимые для достижения целей их обработки, указанных в Политике. Если требуется согласие на получение рекламных рассылок, оно запрашивается отдельно (например, путем отдельного чекбокса на подписку).
5.2. Форма согласия: Согласие субъекта может быть получено в электронной форме (через интерфейс сайта) или в письменной форме, если этого требует закон для отдельных видов данных. Согласие в электронной форме приравнивается к письменному согласию в соответствии с п.4 ст.9 Закона о персональных данных, когда способ подтверждения позволяет достоверно установить факт его получения от данного субъекта. Оператор хранит доказательства получения согласия (лог-файлы, отметки системы) в течение всего срока обработки данных, а также не менее трех лет с даты прекращения обработки (если иное не предусмотрено законодательством).
5.3. Отзыв согласия: Субъект персональных данных вправе в любой момент отозвать ранее предоставленное согласие на обработку своих персональных данных. Оператор предоставляет возможность простого и понятного отзыва согласия. Для этого клиент может направить Оператору письменное заявление об отзыве согласия по почте (на адрес: 117335, г. Москва, пр-кт Нахимовский, д. 59А, ООО «АРТДЕКОРИУМ») либо в виде электронного сообщения с темой «Отзыв согласия» на адрес электронной почты shop@masterdom.ru. В заявлении (сообщении) об отзыве необходимо указать ФИО субъекта и контактные данные, чтобы Оператор мог идентифицировать его и найти соответствующие персональные данные в системе, а также выражается требование прекратить обработку.
5.4. Действия Оператора при отзыве: После получения отзыва согласия Оператор прекратит обработку персональных данных, основанную исключительно на данном согласии, и, при отсутствии иных законных оснований для обработки (например, необходимости исполнения договора или требования закона), уничтожит или обезличит соответствующие персональные данные в срок не позднее 30 (тридцати) дней с момента поступления отзыва. Если на момент отзыва у клиента имеется активный аккаунт на сайте, отзыв согласия повлечет удаление учетной записи пользователя и всех связанных с ней персональных данных (кроме данных, которые необходимо сохранить в соответствии с законом или для исполнения договора, например, сведения о уже выполненных сделках до истечения установленных сроков хранения). Оператор уведомит субъекта о завершении уничтожения его данных либо о законных основаниях, препятствующих уничтожению (если таковые имеются), в установленном порядке. Обращаем внимание, что отзыв согласия не влияет на законность обработки, осуществленной до получения такого отзыва.
6. Сроки хранения персональных данных
6.1. Оператор хранит персональные данные в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если более длительный срок хранения не установлен законодательством РФ или договором с субъектом персональных данных. В частности:
Данные учетной записи (профиль клиента) хранятся в течение всего периода использования клиентом аккаунта на сайте. Если аккаунт не используется и клиент не осуществлял вход в течение длительного времени (более 3 лет), Оператор вправе удалить аккаунт и связанные с ним данные, предварительно уведомив об этом субъекта на электронную почту.
Данные о заказах и платежах сохраняются в течение срока, необходимого для исполнения договора купли-продажи и гарантийных обязательств. После исполнения заказа основная информация о нем может храниться для целей исполнения требований законодательства о бухгалтерском учете и налогах (например, 5 лет – общий срок хранения первичных бухгалтерских документов в соответствии с законодательством РФ). Документы (акты, накладные, кассовые чеки) с персональными данными хранятся в пределах требуемых сроков хранения.
Контактные данные для маркетинга (e-mail, телефон для рассылок) обрабатываются до момента отзыва согласия на их использование в маркетинговых целях либо до прекращения соответствующей маркетинговой программы, но не дольше 5 лет с момента последней активности клиента. При отказе клиента от рассылок эти данные незамедлительно удаляются (или их использование прекращается для рекламы).
Логи и технические данные (IP-адреса, файлы журнала работы сайта) хранятся в течение времени, необходимого для обеспечения безопасности и функционирования сайта, а также в сроки, установленные политикой безопасности Оператора (как правило, не более 1 года со дня записи, если более длительный срок не требуется для расследования инцидентов).
6.2. По достижении целей обработки или при утрате необходимости в их достижении персональные данные подлежат уничтожению или обезличиванию (если иное не предусмотрено федеральным законом). Уничтожение (удаление) персональных данных производится путем их полного удаления из электронных систем (с безвозвратным стиранием файлов) и/или уничтожения носителей, содержащих персональные данные, с составлением соответствующего акта. Обезличивание (анонимизация) производится таким образом, что исключается возможность без использования дополнительной информации соотнести обезличенные данные с конкретным субъектом.
6.3. Если субъект персональных данных отзывает свое согласие или направляет требование о прекращении обработки и уничтожении персональных данных (в случаях, когда он имеет на это право), Оператор прекращает хранение и иное обработку соответствующих данных, за исключением необходимого минимального набора сведений, подлежащих хранению в течение установленных законом сроков (например, факт обращения и отзыва согласия; данные, необходимые для исполнения обязательств по уже заключенному договору до полного их исполнения; сведения, которые необходимо сохранить по требованию закона). Такие данные будут храниться только для указанных целей и будут уничтожены по истечении предусмотренных сроков.
7. Обязанности и меры Оператора по защите персональных данных
7.1. Выполнение требований 152-ФЗ: Оператор принимает необходимые и достаточные меры для обеспечения выполнения своих обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним подзаконными актами. Оператор самостоятельно определяет состав этих мер исходя из актуальных рисков, характерa обрабатываемых данных и деятельности компании. Основные обязанности Оператора включают: организацию законной обработки персональных данных; обеспечение конфиденциальности персональных данных; предотвращение несанкционированного доступа к данным; рассмотрение обращений субъектов персональных данных и пресечение нарушений их прав.
7.2. Внутренняя документация: В соответствии со ст. 18.1 152-ФЗ Оператор разработал и внедрил локальные акты, определяющие политику Оператора в отношении обработки персональных данных. Внутренние документы Оператора устанавливают для каждой цели обработки перечень обрабатываемых персональных данных, категории субъектов, способы и сроки обработки и хранения, порядок уничтожения данных по достижении целей или при наступлении законных оснований. Также утверждены документы, регламентирующие меры по предотвращению и выявлению нарушений законодательства о персональных данных и устранению последствий таких нарушений. Указанные документы регулярно пересматриваются и актуализируются по мере изменения требований законодательства или процессов обработки.
7.3. Назначение ответственных лиц: Оператор, являясь юридическим лицом, обязан назначить лицо, ответственное за организацию обработки персональных данных. На данный момент функции ответственного осуществляются непосредственно руководством ООО «АРТДЕКОРИУМ», и отдельный ответственный специалист не назначен. Тем не менее, Оператор обеспечивает распределение обязанностей между сотрудниками, допущенными к обработке данных, и контроль за выполнением ими требований безопасности. Все сотрудники, непосредственно работающие с персональными данными, до начала работы ознакамливаются с положениями законодательства о персональных данных и внутренними политиками, а также проходят обучение при необходимости.
7.4. Конфиденциальность и ограничение доступа: Все персональные данные клиентов рассматриваются Оператором как конфиденциальная информация. Оператор и его сотрудники не раскрывают и не распространяют третьим лицам персональные данные без законных оснований и согласия субъекта. Доступ к персональным данным имеют только те сотрудники и уполномоченные лица Оператора, которым это необходимо для выполнения служебных обязанностей и указанных в Политике целей. Для каждой категории сотрудников определен перечень данных, к которым они могут иметь доступ, в соответствии с их функциями. Сотрудники, получившие доступ к персональным данным, несут предусмотренную законом и внутренними регламентами ответственность за соблюдение режима конфиденциальности.
7.5. Контроль и аудит: Оператор осуществляет внутренний контроль соответствия обработки персональных данных требованиям 152-ФЗ, нормативных актов и собственной Политики. Периодически проводится проверка условий и способов обработки (в том числе аудит безопасности информационных систем персональных данных), оценка применяемых мер защиты на предмет их эффективности и достаточности. Выявленные несоответствия устраняются в кратчайшие сроки. При изменении процессов обработки или введении новых информационных систем проводится оценка риска для персональных данных и при необходимости корректируются меры защиты (вплоть до приостановки отдельных операций, если требования безопасности не могут быть обеспечены).
7.6. Оценка вреда и рисков: Оператор оценивает возможный вред, который может быть причинен субъектам персональных данных в случае нарушения 152-ФЗ, и соотносит данный потенциальный вред с применяемыми мерами защиты. На основе методических рекомендаций уполномоченного органа определяются актуальные угрозы безопасности данных и уровень защищенности информационных систем. Такой анализ проводится на постоянной основе (не реже 1 раза в год, а также при планировании новых процессов обработки).
8. Меры по обеспечению безопасности персональных данных (технические и организационные)
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Обеспечение безопасности персональных данных достигается, в частности, следующими мерами:
Разграничение прав доступа. Внедрены правила доступа к информационным системам персональных данных: каждому пользователю (сотруднику) присваиваются индивидуальные учетные записи; права доступа распределяются согласно должностным обязанностям и принципу минимально необходимого доступа. Доступ к папкам и базам данных с персональными данными защищен паролями, известными только уполномоченным лицам.
Защита информационных систем. Персональные данные хранятся в защищенных информационных системах, расположенных на серверах на территории Российской Федерации (соблюдается требование о локализации баз данных на территории РФ). Серверы и программное обеспечение настроены в соответствии с актуальными требованиями к защите персональных данных, обеспечивающими необходимый уровень безопасности. Используются современные средства защиты информации (сертифицированные средства шифрования, межсетевые экраны, антивирусные программы с регулярным обновлением баз, системы обнаружения вторжений и пр.). Перед вводом в эксплуатацию новых систем проводится оценка их безопасности и соответствия требованиям защиты данных.
Шифрование и хранение данных. При передаче конфиденциальных данных через интернет используются протоколы шифрования (SSL/TLS) для предотвращения перехвата или искажения информации. Хранение наиболее чувствительных данных (например, паролей) осуществляется в зашифрованном (хэшированном) виде. Физические носители, содержащие резервные копии баз данных, хранятся в защищенных помещениях с ограниченным доступом.
Учет и контроль действий. В информационных системах ведется журнал (лог) операций с персональными данными: регистрируются все действия, совершаемые с данными (создание, изменение, удаление, чтение, передача) с указанием ответственного лица и времени операции. Это позволяет в случае инцидента установить его причины и виновных. Периодически логи анализируются для выявления подозрительной активности.
Обнаружение и реагирование на инциденты. Оператор внедрил процедуры мониторинга несанкционированного доступа к персональным данным. Автоматические средства безопасности и ответственные специалисты отслеживают попытки неавторизованного проникновения в системы, атаки на сайт, нарушения прав доступа. В случае выявления инцидента немедленно принимаются меры по его пресечению, устранению последствий (включая восстановление целостности данных) и предотвращению подобных случаев в будущем. При необходимости Оператор взаимодействует со специализированными службами реагирования на компьютерные инциденты.
Резервирование и восстановление. Для предотвращения потери данных вследствие сбоев или аварий регулярно создаются резервные копии баз данных персональных данных. Резервные копии хранятся в зашифрованном виде на защищенных носителях. Периодически проводится тестирование процедур резервного копирования и восстановления, чтобы гарантировать возможность своевременно восстановить персональные данные, модифицированные или уничтоженные из-за несанкционированного доступа или технического сбоя.
Антивирусная защита и обновление ПО. На серверах и рабочих станциях, задействованных в обработке персональных данных, установлено актуальное антивирусное программное обеспечение; регулярно применяются обновления безопасности операционных систем и приложений. Это снижает уязвимость инфраструктуры для вредоносных программ и хакерских атак.
Защита в офисе. Помещения, в которых ведется работа с персональными данными (офис, серверная), оборудованы средствами физической защиты (система контроля доступа, сигнализация). Бумажные документы, содержащие персональные данные клиентов (например, накладные, соглашения), хранятся в шкафах, запираемых на ключ, доступ к которым имеет ограниченный круг сотрудников. При уничтожении документов используется шредирование или услуги специализированных компаний.
Оператор постоянно актуализирует применяемые меры безопасности с учетом развития технологий, появляющихся новых угроз, а также на основе требований Правительства РФ к уровням защищенности персональных данных и другим обязательным мерам (в соответствии со ст. 19 152-ФЗ и постановлениями, принимаемыми в ее развитие). Информация об основных реализуемых требованиях к защите персональных данных (без раскрытия технических и технологических подробностей, составляющих служебную тайну) публикуется Оператором в открытом доступе вместе с настоящей Политикой, в исполнение ч.2 ст.18.1 Закона.
9. Трансграничная передача персональных данных
9.1. Отсутствие трансграничной передачи: Оператор не осуществляет трансграничную передачу персональных данных клиентов marmocer.masterdom.ru. Вся обработка персональных данных осуществляется на территории Российской Федерации, а базы данных, содержащие персональные данные граждан РФ, локализованы на серверах, расположенных в РФ, в соответствии с требованиями ст. 18.1 ч.5 Закона № 152-ФЗ. Персональные данные не передаются в иностранные государства, международные организации, иностранным физическим или юридическим лицам.
9.2. Будущая передача (при необходимости): В случае если в будущем возникнет необходимость трансграничной передачи персональных данных (например, для выполнения заказа с доставкой за пределы РФ или использования зарубежных сервисов-партнеров), Оператор обязуется предварительно убедиться, что государство-получатель включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый уполномоченным органом РФ (Роскомнадзором), либо обеспечить получение отдельного письменного согласия субъекта на такую трансграничную передачу в соответствии со ст. 12 Закона. Также, если планируется регулярная трансграничная передача, Оператор выполнит требование законодательства о предварительном уведомлении Роскомнадзора о намерении осуществлять трансграничную передачу (ч.3 ст.12 152-ФЗ). На текущий момент подобная необходимость и практика отсутствует.
10. Права субъекта персональных данных
Субъекты персональных данных (клиенты интернет-магазина) обладают всеми правами, предоставленными им законодательством о персональных данных и потребительским законодательством. Оператор гарантирует реализацию следующих основных прав субъекта:
Право на доступ к своим персональным данным. Субъект вправе получить от Оператора информацию, касающуюся обработки его персональных данных: подтверждение факта обработки; правовые основания и цели обработки; обрабатываемые категории данных; сведения об источнике их получения (если они не были предоставлены самим субъектом); сведения о лицах, которые имеют доступ к данным или которым они могут быть раскрыты на основании договора или закона; сроки обработки (в том числе хранения) данных; информация об осуществленной или предполагаемой трансграничной передаче; наименование и адрес Оператора, сведения о лицах, осуществляющих обработку по поручению Оператора; иные сведения, перечисленные в ст. 14 ч.7 Закона № 152-ФЗ. По запросу субъекта Оператор предоставляет копии любых записей, содержащих персональные данные, за исключением случаев, предусмотренных законом (например, если предоставление сведений нарушит права другого субъекта).
Право на уточнение (обновление, исправление) персональных данных. Если субъект обнаружил, что его персональные данные являются неточными, неполными или неактуальными, он вправе потребовать от Оператора их уточнения, обновления или исправления. Оператор обязан внести необходимые изменения в данные или, если обеспечить актуализацию невозможно, уничтожить такие данные. Пользователь может самостоятельно актуализировать часть своих данных, отредактировав информацию в личном кабинете на сайте (если функционал позволяет). Также можно направить уведомление с корректной информацией на электронный адрес Оператора с пометкой «Актуализация персональных данных».
Право на блокирование и приостановление обработки. В случаях, предусмотренных ст. 15 152-ФЗ, субъект может потребовать временно приостановить обработку (блокировать) его персональных данных, например, при оспаривании их точности или законности обработки. Блокирование осуществляется на период проверки по обращению субъекта либо по запросу Роскомнадзора. На время блокировки Оператор лишь хранит такие данные и не выполняет иных операций, кроме необходимых для уточнения.
Право на уничтожение персональных данных. Субъект имеет право потребовать от Оператора уничтожения своих персональных данных, если данные обрабатываются незаконно, избыточны либо утратили необходимость для заявленной цели обработки, или если истек срок хранения данных. Также субъект вправе требовать удаления своих данных при отзыве согласия на обработку, если нет иных оснований для их обработки. По получении соответствующего требования Оператор обязан уничтожить персональные данные в срок, не превышающий 30 дней (если иной срок не установлен законом), и уведомить субъекта об исполнении требования.
Право на отзыв согласия. Как указано в разделе 5, субъект может в любой момент отозвать свое согласие на обработку персональных данных, и Оператор обязан прекратить обработку таких данных (если нет иных законных оснований для продолжения). Отзыв согласия также включает право запретить использование данных для целей прямого маркетинга.
Право на обжалование действий Оператора. Если субъект считает, что Оператор осуществляет обработку его персональных данных с нарушением требований закона или иным образом нарушает его права и свободы, он вправе обратиться с жалобой в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебные инстанции. Субъект также вправе обжаловать действия или бездействие Оператора сначала путем направления обращения самому Оператору – Оператор обязуется рассмотреть такое обращение в установленные сроки и предоставить мотивированный ответ.
Иные права. Субъект персональных данных также обладает другими правами, предусмотренными законодательством РФ: право требовать от Оператора уведомления обо всех произведенных изменениях, внесенных в персональные данные; право на защиту своих прав и законных интересов, в том числе на возмещение убытков и морального вреда в судебном порядке; иные права согласно ст. 14, 17 и 18 Закона № 152-ФЗ и Закона РФ «О защите прав потребителей». Оператор неукоснительно соблюдает все законные права субъектов.
Оператор разъясняет, что предоставление доступа к персональным данным субъекта третьим лицам (партнерам, курьерским службам, платежным системам) производится только с согласия субъекта или на основании закона, и субъект вправе получить информацию о любом таком факте. Конфиденциальность данных при этом обеспечивается на основании заключаемых соглашений.
11. Порядок рассмотрения запросов и обращений субъектов персональных данных
11.1. Обращение к Оператору: Субъект персональных данных может обратиться к Оператору с запросом, связанным с обработкой его персональных данных (далее – Запрос), в том числе для реализации своих прав, перечисленных в разделе 10. Запрос может быть направлен одним из следующих способов:
в письменной форме по почтовому адресу Оператора: 117335, г. Москва, пр-кт Нахимовский, д. 59А, ООО «АРТДЕКОРИУМ»;
в электронной форме на официальный электронный адрес Оператора: shop@masterdom.ru;
через форму обратной связи на сайте marmocer.masterdom.ru (если такая форма реализована) либо через личный кабинет пользователя (для зарегистрированных клиентов).
Запрос, поступивший от субъекта, должен содержать информацию, позволяющую однозначно идентифицировать самого субъекта и суть его требования. Например, в письменном запросе необходимо указать ФИО, реквизиты документа, удостоверяющего личность, либо иные сведения, подтверждающие, что запрос исходит именно от данного субъекта или его законного представителя (ст. 14 ч.3 152-ФЗ требует указать номер основного документа, сведения о дате выдачи и выдавшем органе, либо иные данные, подтверждающие участие субъекта в отношениях с Оператором). В электронном обращении рекомендуется указывать адрес электронной почты и/или номер телефона, ранее предоставленные Оператору, либо прикладывать электронную подпись, чтобы подтвердить свою личность.
11.2. Сроки ответа: Оператор рассматривает обращения субъектов персональных данных в кратчайшие сроки, но не позднее 10 рабочих дней с момента поступления запроса либо получения дополнительных сведений от субъекта, если они необходимы. В исключительных случаях, когда предоставление информации в 10-дневный срок невозможно (например, запрос связан с большим объемом данных, требующих обработки), Оператор может продлить срок рассмотрения не более чем на 5 рабочих дней, уведомив об этом субъекта с указанием причин продления. Ответ на запрос предоставляется в той же форме, в которой поступил запрос (письмо – почтой, электронный запрос – электронной почтой), если иное не оговорено субъектом.
11.3. Удовлетворение запросов: Если по результатам рассмотрения запроса выясняется, что обрабатываемые персональные данные являются неполными, неточными, неактуальными или обрабатываются незаконно, Оператор по требованию субъекта вносит необходимые изменения, блокирует или уничтожает такие персональные данные. В случае устранения нарушений Оператор уведомляет субъекта о внесенных изменениях в отношении его персональных данных. Если какое-либо требование субъекта не может быть выполнено (например, удаление данных невозможно в силу требований закона), в ответе Оператор разъясняет мотивированные причины отказа со ссылкой на нормы законодательства.
11.4. Взаимодействие с уполномоченным органом: Если Оператор получает от Роскомнадзора запрос, предписание или направленную жалобу субъекта, касающуюся обработки персональных данных, Оператор обязан предоставить необходимые разъяснения и сведения в установленный срок. В таких случаях Оператор может обратиться к субъекту за дополнительной информацией либо, при необходимости, приостановить спорную обработку до разрешения ситуации.
11.5. Регистрация обращений: Оператор ведет учет (журнал) поступивших обращений и запросов субъектов персональных данных, фиксируя дату поступления, данные заявителя, суть запроса и дату/содержание ответа. Данные этого учета хранятся не менее 3 лет с момента регистрации обращения. Это необходимо для контроля своевременности и полноты исполнения требований субъектов, а также для возможности проверок со стороны Роскомнадзора.
12. Уведомление об обработке и регистрация в Роскомнадзоре
12.1. Уведомление уполномоченного органа: В соответствии со ст. 22 Федерального закона № 152-ФЗ, Оператор до начала осуществления деятельности по обработке персональных данных обязан уведомить уполномоченный орган (Роскомнадзор) о своем намерении осуществлять такую обработку. ООО «АРТДЕКОРИУМ» выполнило указанную обязанность: направлено уведомление о начале обработки персональных данных в Роскомнадзор и компания внесена в реестр зарегистрированных операторов персональных данных. В уведомлении Оператор указал все предусмотренные законом сведения (цели обработки, категории данных, меры безопасности, наличие шифровальных средств, отсутствие трансграничной передачи и др.).
12.2. Регистрация в реестре операторов: Сведения об Операторе внесены в официальный реестр операторов, осуществляющих обработку персональных данных, ведемый Роскомнадзором. Данные реестра (наименование юридического лица, адрес, ИНН, цель обработки, категории данных и пр.) являются общедоступными согласно законодательству и при необходимости могут быть проверены любым заинтересованным лицом на сайте Роскомнадзора.
12.3. Обновление сведений: В случае изменения сведений, ранее представленных в уведомлении (например, изменение адреса Оператора, целей обработки, введение трансграничной передачи и т.п.), Оператор в установленном порядке уведомит Роскомнадзор об изменениях (не позднее чем до 15-го числа месяца, следующего за месяцем, в котором произошли изменения, если иное не установлено порядком уведомления).
12.4. Исключения из обязанности уведомления: В настоящее время законодательство не освобождает Оператора от подачи уведомления, поскольку Оператор осуществляет автоматизированную обработку персональных данных клиентов. Исключения, перечисленные в ч.2 ст.22 152-ФЗ (в редакции после 14.07.2022), Оператору не применимы. В частности, обработка осуществляется с использованием средств автоматизации и не подпадает под случаи, связанные исключительно с ручной обработкой или специальными сферами (госбезопасность, транспортная безопасность и т. п.). Таким образом, требование об уведомлении полностью соблюдается.
12.5. Ответственность за отсутствие уведомления: Оператор осознает, что осуществление обработки персональных данных без надлежащего уведомления уполномоченного органа в случаях, когда оно требуется, является административным правонарушением. Поэтому политика компании направлена на строгое соблюдение порядка уведомления. При реорганизации, изменении наименования либо иных изменениях, требующих подачи нового уведомления, Оператор обеспечит своевременное внесение соответствующих сведений в Роскомнадзор.
13. Реестр операций по обработке персональных данных
13.1. Ведение Оператором внутреннего реестра операций по обработке персональных данных (регистрационной записи обо всех осуществляемых процессах обработки) не требуется в силу характера деятельности и объема обрабатываемых данных. Согласно действующему законодательству РФ, коммерческие организации не обязаны вести формальный реестр всех операций с персональными данными, за исключением внутренней документации, предусмотренной ст. 18.1 152-ФЗ (Политики и локальные акты, описывающие процессы обработки – они Оператором разработаны, см. п.7.2.).
13.2. Несмотря на отсутствие обязанности по ведению специализированного реестра операций, Оператор фактически осуществляет учет основных процессов обработки в рабочих документах и постоянно обновляет сведения о категориях данных, целях, основаниях, сроках и мерах защиты по каждому направлению обработки. Эти сведения доступны для предоставления контролирующим органам по запросу (в соответствии с ч.4 ст.18.1 152-ФЗ, Оператор должен уметь подтвердить принятие необходимых мер и наличие актуальной документации).
13.3. Таким образом, отдельный реестр операций обработки, аналогичный требуемому по законодательству иных юрисдикций (например, ЕС GDPR), Оператором не ведется ввиду отсутствия прямого требования в российском законодательстве для нашего случая. Вместе с тем все процессы учтены и описаны во внутренних актах, и при расширении деятельности или изменении требований закона вопрос о ведении детализированного реестра может быть пересмотрен.
14. Заключительные положения
14.1. Размещение и доступность Политики: Настоящая Политика конфиденциальности утверждена приказом генерального директора ООО «АРТДЕКОРИУМ» и вступает в силу с момента ее опубликования на официальном сайте marmocer.masterdom.ru. Актуальная редакция Политики действует бессрочно до замены новой версией. Политика размещается в открытом доступе на сайте marmocer.masterdom.ru (раздел «О компании» – «Политика конфиденциальности») и доступна для ознакомления неограниченному кругу лиц в любое время. Также пользователи могут запросить копию Политики в электронном или печатном виде по контактам, указанным в разделе 11.
14.2. Изменение Политики: Оператор оставляет за собой право вносить изменения в настоящую Политику в случае изменения применимого законодательства или появлении новых процессов обработки персональных данных. При внесении изменений в шапке Политики указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено самой новой редакцией. Существенные изменения (например, расширение перечня данных или целей обработки) могут доводиться до сведения субъектов путем отдельного уведомления (через электронную почту или информационное сообщение на сайте). Продолжение использования сервиса marmocer.masterdom.ru после публикации обновленной Политики означает согласие с внесенными изменениями.
14.3. Иные документы: В целях комплексного регулирования вопросов конфиденциальности на сайте могут действовать и другие политики/документы, дополняющие настоящую Политику (например, Политика использования cookie-файлов, Пользовательское соглашение). В случае если положения таких документов будут противоречить настоящей Политике в части обработки и защиты персональных данных, приоритет имеет настоящая Политика.
14.4. Обратная связь и вопросы: Все вопросы, комментарии и предложения по поводу настоящей Политики или обработки ваших персональных данных Оператором можно направлять по электронной почте shop@masterdom.ru или по адресу ООО «АРТДЕКОРИУМ» (указан в разделе 1.3). Оператор постарается предоставить ответ в разумный срок. Если пользователь не удовлетворен ответом, он вправе обратиться в Роскомнадзор либо уполномоченный судебный орган для защиты своих прав.
14.5. Ответственность Оператора: Оператор, его должностные лица и сотрудники несут ответственность за соблюдение условий настоящей Политики и требований законодательства РФ о персональных данных. В случае нарушения этих требований Оператор и виновные лица могут быть привлечены к дисциплинарной, административной, гражданско-правовой или уголовной ответственности в порядке, установленном законом.
14.6. Заключение: Клиент, предоставляя свои персональные данные посредством сайта marmocer.masterdom.ru или иными указанными способами, подтверждает, что ознакомлен(а) с условиями настоящей Политики, понимает их и принимает. Оператор, со своей стороны, гарантирует добросовестное исполнение принятых на себя обязательств по защите полученных персональных данных. Защита вашей конфиденциальности и персональных данных – приоритет Оператора, и мы постоянно работаем над совершенствованием мер безопасности и практик обработки данных в соответствии с лучшими отраслевыми стандартами и требованиями закона.
1. Общие положения
1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее – «Политика») разработана и утверждена ООО «АРТДЕКОРИУМ» (ИНН 9728136130), являющимся оператором персональных данных интернет-магазина marmocer.masterdom.ru (далее – «Оператор»). Политика составлена в соответствии с требованиями Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции, действующей на 2024–2025 гг.) и иных нормативных актов РФ в области защиты персональных данных. Оператор обеспечивает защиту персональных данных и соблюдает права и свободы человека и гражданина при их обработке.
1.2. Сфера действия Политики: Настоящая Политика применяется к персональным данным клиентов и пользователей сайта marmocer.masterdom.ru, предоставляемым ими при использовании сайта и сервисов интернет-магазина. Политика не распространяется на отношения, связанные с обработкой персональных данных сотрудников Оператора (Оператор обрабатывает данные только клиентов). Документ предназначен для размещения на официальном сайте marmocer.masterdom.ru в открытом доступе, а также может быть адаптирован в форматах HTML/PDF для удобства пользователей.
1.3. Оператор персональных данных: ООО «АРТДЕКОРИУМ», ОГРН 1247700460260, ИНН 9728136130, юридический адрес: 117335, г. Москва, пр-кт Нахимовский, д. 59А. Контактная информация Оператора для вопросов, связанных с персональными данными: эл. почта shop@masterdom.ru, тел. 8 800 350-32-43. На данный момент ответственное должностное лицо за организацию обработки персональных данных (ст. 18.1 ч.1 п.1 152-ФЗ) не назначено отдельно, однако Оператор самостоятельно выполняет необходимые функции и требования законодательства по защите данных.
1.4. Принципы обработки: Обработка персональных данных осуществляется Оператором на законной и справедливой основе, с соблюдением принципов и правил, предусмотренных законодательством. Не допускается обработка избыточных персональных данных по отношению к заявленным целям их обработки; объединение баз данных, содержащих персональные данные, которые обрабатываются для несовместимых между собой целей, не производится. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки, если иное не установлено законом или договором; по достижении целей обработки данные подлежат уничтожению или обезличиванию (если иное не предусмотрено законодательством).
2. Категории собираемых и обрабатываемых персональных данных
Оператор осуществляет сбор и дальнейшую обработку следующих категорий персональных данных клиентов (субъектов персональных данных):
Идентификационные данные: фамилия, имя, отчество клиента;
Контактные данные: адрес электронной почты (E-mail), номер контактного телефона;
Адресные данные: почтовый адрес, адрес доставки заказов (город, улица, номер дома/квартиры и пр.);
Платежные реквизиты: информация, необходимая для оплаты заказов (например, реквизиты платежной карты или банковского счета). (Примечание: Оператор не хранит полные данные платежных карт – обработка платежей может осуществляться через аккредитованных платежных агентов, в соответствии с требованиями платежных систем.);
Данные учетной записи: логин/имя пользователя и пароль для доступа к личному кабинету на сайте (при регистрации аккаунта);
Информация о заказах: сведения о приобретенных товарах, история заказов, выбранные способы доставки и оплаты;
Данные обратной связи: информация, содержащаяся в обращениях клиента в службу поддержки, отзывах или комментариях (например, текст сообщения, приложенные файлы);
Технические данные (собирательно): файлы cookie, IP-адрес устройства, данные о браузере, времени доступа, настройках и действиях на сайте. Данные этого типа не позволяют Оператору однозначно идентифицировать личность пользователя, однако при их объединении с другими данными пользователя они могут рассматриваться как персональные данные. Оператор использует cookie и аналогичные технологии согласно отдельной Политике использования файлов cookie (размещена на сайте).
Оператор не осуществляет сбор или обработку специальных категорий персональных данных (касающихся расовой, национальной принадлежности; политических взглядов; религиозных или философских убеждений; состояния здоровья; интимной жизни), а также биометрических персональных данных клиентов. Персональные данные несовершеннолетних (младше 18 лет) сознательно не собираются и не обрабатываются, за исключением случаев предоставления таких данных самим законным представителем ребенка для исполнения заказа (что рассматривается как согласие представителя).
3. Цели обработки персональных данных
Персональные данные клиентов интернет-магазина marmocer.masterdom.ru обрабатываются строго в установленных целях. Каждая категория данных используется Оператором только для тех целей, которые необходимы и соотносимы с функциями интернет-магазина. Основные цели обработки персональных данных включают:
Оформление и исполнение заказов, договоров купли-продажи товаров: персональные данные (имя, контактные и адресные данные, информация о заказе) используются для приема и обработки заказов, резервирования товаров, оформления счетов, организации доставки товара по указанному адресу, предоставления сопутствующих услуг, связи с клиентом по вопросам заказа. Обработка данных в этих целях необходима для исполнения договора купли-продажи, стороной которого является клиент (ст. 6 ч.1 п.5 Федерального закона № 152-ФЗ), а также для принятия мер по запросу самого клиента до заключения договора.
Предоставление клиентского сервиса и обратной связи: Оператор обрабатывает персональные данные для реагирования на запросы клиентов (по электронной почте, телефону, через формы на сайте), информирования об этапах обработки заказа, условиях доставки и оплаты, рассмотрения претензий и вопросов по товару, выполнения обязанностей по возврату товара и денежных средств и т.п. Данные используются с целью эффективного исполнения обязательств перед клиентом, повышения качества обслуживания и обеспечения поддержки пользователей.
Исполнение требований законодательства: персональные данные могут обрабатываться для выполнения предусмотренных законом обязанностей Оператора, в том числе требований бухгалтерского учета, налоговой отчетности, соблюдения правил дистанционной торговли, предоставления отчетности контролирующим органам. Например, данные о продажах и клиентах хранятся в течение установленных законом сроков для целей налогового контроля и возможного гарантийного обслуживания товара. Такая обработка осуществляется на основании требований законодательства РФ (ст. 6 ч.1 п.2 152-ФЗ – обработка необходима для исполнения обязанностей, возложенных на Оператора законом).
Маркетинг и информирование (с согласия клиента): при отдельном согласии субъекта персональных данных Оператор может обрабатывать электронную почту или номер телефона для рассылки рекламно-информационных материалов: уведомлений о скидках, специальных акциях, новостях ассортимента, персональных предложений и т.д. Клиент всегда вправе отказаться от получения таких материалов, отозвав свое согласие (см. раздел 5 ниже). Обработка данных в маркетинговых целях осуществляется только при наличии предварительного согласия субъекта (ст. 6 ч.1 п.1 152-ФЗ). Отсутствие согласия на рекламу не влияет на выполнение прочих обязательств Оператора перед клиентом.
Улучшение работы сайта и сервисов: Оператор может использовать обезличенные и агрегированные данные о поведении пользователей на сайте (включая cookie, данные веб-аналитики) для улучшения работы интернет-магазина, анализа спроса на товары, удобства навигации, персонализации контента и сервисов. При этом Оператор руководствуется законными интересами по улучшению качества своих услуг (ст. 6 ч.1 п.7 152-ФЗ – осуществление законных интересов Оператора при условии, что при этом не нарушаются права и свободы субъекта данных). Такие данные анализируются в обобщенном виде и не используются для принятия решений, затрагивающих права субъекта персонально.
Обеспечение безопасности и предотвращение мошенничества: персональные данные (в том числе технические сведения, IP-адреса, данные о совершаемых действиях) могут обрабатываться в целях обеспечения информационной безопасности сайта и пользователей, предотвращения мошеннических действий и несанкционированного доступа к аккаунтам. Такая обработка основана на законном интересе Оператора в защите своего бизнеса и пользователей (ст. 6 ч.1 п.7 152-ФЗ) и на выполнении требований закона по обеспечению безопасности персональных данных (ст. 19 152-ФЗ).
Оператор не осуществляет обработку персональных данных в целях, не совместимых с вышеперечисленными. Обработка в статистических или иных исследовательских целях осуществляется только в обезличенном (анонимизированном) виде.
4. Правовые основания обработки персональных данных
Оператор обрабатывает персональные данные клиентов на законных основаниях, предусмотренных статьей 6 Федерального закона № 152-ФЗ, а именно:
Согласие субъекта персональных данных. Обработка осуществляется с согласия клиента на обработку его персональных данных (ст. 6 ч.1 п.1 152-ФЗ). Клиент дает свое согласие добровольно при оформлении заказа на сайте, регистрации учетной записи, подписке на новости или в иных случаях явного предоставления данных (например, отметкой о согласии с условиями Политики). Согласие может охватывать такие цели, как получение рекламы, если оно отдельно выражено.
Исполнение договора с субъектом. Обработка необходима для исполнения договора купли-продажи или оказания услуг, стороной которого является клиент, а также для заключения договора по инициативе клиента (ст. 6 ч.1 п.5 152-ФЗ). Например, обработка данных для доставки оплаченного товара, либо для совершения действий по запросу клиента до заключения договора (предварительный счет, резервация товара).
Выполнение требований закона. Обработка необходима для исполнения обязанностей, возложенных на Оператора законодательством РФ (ст. 6 ч.1 п.2 152-ФЗ). К таким обязанностям относятся, в частности, требования законодательства о бухгалтерском учете, налогах, защите прав потребителей (например, хранение кассовых чеков и сведений о продажах в установленные сроки, обработка обращений потребителей в установленные законом сроки и пр.).
Реализация законных интересов Оператора. В отдельных случаях Оператор может обрабатывать персональные данные в целях реализации своих законных интересов или интересов третьих лиц (ст. 6 ч.1 п.7 152-ФЗ) – при условии, что при этом не нарушаются права и свободы субъекта данных. Такой основой могут служить, например, обеспечение безопасности сайта и предотвращение мошенничества, улучшение качества обслуживания, защита прав Оператора в случае споров. Перед началом такой обработки Оператор проводит оценку возможного вреда правам субъектов и убеждается, что их интересы не страдают.
Оператор не осуществляет обработку персональных данных на основаниях, не предусмотренных действующим законодательством. В случаях, когда для обработки требуется отдельное письменное согласие или иное разрешение субъекта (например, при обработке специальных категорий данных или биометрических данных), Оператор запрашивает его в порядке, установленном законом (ст. 9, 11 152-ФЗ). В настоящей деятельности такие данные, как указано, не запрашиваются.
5. Порядок получения согласия субъекта и его отзыва
5.1. Получение согласия: В случаях, когда обработка персональных данных основывается на согласии субъекта, такое согласие собирается Оператором в свободной, конкретной, информированной и сознательной форме. При регистрации на сайте, оформлении заказа или заполнении соответствующих форм клиенту предлагается ознакомиться с настоящей Политикой и выразить согласие с обработкой его персональных данных. Как правило, согласие предоставляется путем проставления отметки (галочки) в поле формы («Согласен с политикой конфиденциальности») либо иным явно подтверждающим действием, свидетельствующим о волеизъявлении субъекта (нажатие кнопки «Оформить заказ» после заполнения данных и ознакомления с Политикой и офертой, равно как фактическое предоставление своих данных для указанных целей). Содержание получаемого согласия охватывает все виды действий с персональными данными, необходимые для достижения целей их обработки, указанных в Политике. Если требуется согласие на получение рекламных рассылок, оно запрашивается отдельно (например, путем отдельного чекбокса на подписку).
5.2. Форма согласия: Согласие субъекта может быть получено в электронной форме (через интерфейс сайта) или в письменной форме, если этого требует закон для отдельных видов данных. Согласие в электронной форме приравнивается к письменному согласию в соответствии с п.4 ст.9 Закона о персональных данных, когда способ подтверждения позволяет достоверно установить факт его получения от данного субъекта. Оператор хранит доказательства получения согласия (лог-файлы, отметки системы) в течение всего срока обработки данных, а также не менее трех лет с даты прекращения обработки (если иное не предусмотрено законодательством).
5.3. Отзыв согласия: Субъект персональных данных вправе в любой момент отозвать ранее предоставленное согласие на обработку своих персональных данных. Оператор предоставляет возможность простого и понятного отзыва согласия. Для этого клиент может направить Оператору письменное заявление об отзыве согласия по почте (на адрес: 117335, г. Москва, пр-кт Нахимовский, д. 59А, ООО «АРТДЕКОРИУМ») либо в виде электронного сообщения с темой «Отзыв согласия» на адрес электронной почты shop@masterdom.ru. В заявлении (сообщении) об отзыве необходимо указать ФИО субъекта и контактные данные, чтобы Оператор мог идентифицировать его и найти соответствующие персональные данные в системе, а также выражается требование прекратить обработку.
5.4. Действия Оператора при отзыве: После получения отзыва согласия Оператор прекратит обработку персональных данных, основанную исключительно на данном согласии, и, при отсутствии иных законных оснований для обработки (например, необходимости исполнения договора или требования закона), уничтожит или обезличит соответствующие персональные данные в срок не позднее 30 (тридцати) дней с момента поступления отзыва. Если на момент отзыва у клиента имеется активный аккаунт на сайте, отзыв согласия повлечет удаление учетной записи пользователя и всех связанных с ней персональных данных (кроме данных, которые необходимо сохранить в соответствии с законом или для исполнения договора, например, сведения о уже выполненных сделках до истечения установленных сроков хранения). Оператор уведомит субъекта о завершении уничтожения его данных либо о законных основаниях, препятствующих уничтожению (если таковые имеются), в установленном порядке. Обращаем внимание, что отзыв согласия не влияет на законность обработки, осуществленной до получения такого отзыва.
6. Сроки хранения персональных данных
6.1. Оператор хранит персональные данные в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если более длительный срок хранения не установлен законодательством РФ или договором с субъектом персональных данных. В частности:
Данные учетной записи (профиль клиента) хранятся в течение всего периода использования клиентом аккаунта на сайте. Если аккаунт не используется и клиент не осуществлял вход в течение длительного времени (более 3 лет), Оператор вправе удалить аккаунт и связанные с ним данные, предварительно уведомив об этом субъекта на электронную почту.
Данные о заказах и платежах сохраняются в течение срока, необходимого для исполнения договора купли-продажи и гарантийных обязательств. После исполнения заказа основная информация о нем может храниться для целей исполнения требований законодательства о бухгалтерском учете и налогах (например, 5 лет – общий срок хранения первичных бухгалтерских документов в соответствии с законодательством РФ). Документы (акты, накладные, кассовые чеки) с персональными данными хранятся в пределах требуемых сроков хранения.
Контактные данные для маркетинга (e-mail, телефон для рассылок) обрабатываются до момента отзыва согласия на их использование в маркетинговых целях либо до прекращения соответствующей маркетинговой программы, но не дольше 5 лет с момента последней активности клиента. При отказе клиента от рассылок эти данные незамедлительно удаляются (или их использование прекращается для рекламы).
Логи и технические данные (IP-адреса, файлы журнала работы сайта) хранятся в течение времени, необходимого для обеспечения безопасности и функционирования сайта, а также в сроки, установленные политикой безопасности Оператора (как правило, не более 1 года со дня записи, если более длительный срок не требуется для расследования инцидентов).
6.2. По достижении целей обработки или при утрате необходимости в их достижении персональные данные подлежат уничтожению или обезличиванию (если иное не предусмотрено федеральным законом). Уничтожение (удаление) персональных данных производится путем их полного удаления из электронных систем (с безвозвратным стиранием файлов) и/или уничтожения носителей, содержащих персональные данные, с составлением соответствующего акта. Обезличивание (анонимизация) производится таким образом, что исключается возможность без использования дополнительной информации соотнести обезличенные данные с конкретным субъектом.
6.3. Если субъект персональных данных отзывает свое согласие или направляет требование о прекращении обработки и уничтожении персональных данных (в случаях, когда он имеет на это право), Оператор прекращает хранение и иное обработку соответствующих данных, за исключением необходимого минимального набора сведений, подлежащих хранению в течение установленных законом сроков (например, факт обращения и отзыва согласия; данные, необходимые для исполнения обязательств по уже заключенному договору до полного их исполнения; сведения, которые необходимо сохранить по требованию закона). Такие данные будут храниться только для указанных целей и будут уничтожены по истечении предусмотренных сроков.
7. Обязанности и меры Оператора по защите персональных данных
7.1. Выполнение требований 152-ФЗ: Оператор принимает необходимые и достаточные меры для обеспечения выполнения своих обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним подзаконными актами. Оператор самостоятельно определяет состав этих мер исходя из актуальных рисков, характерa обрабатываемых данных и деятельности компании. Основные обязанности Оператора включают: организацию законной обработки персональных данных; обеспечение конфиденциальности персональных данных; предотвращение несанкционированного доступа к данным; рассмотрение обращений субъектов персональных данных и пресечение нарушений их прав.
7.2. Внутренняя документация: В соответствии со ст. 18.1 152-ФЗ Оператор разработал и внедрил локальные акты, определяющие политику Оператора в отношении обработки персональных данных. Внутренние документы Оператора устанавливают для каждой цели обработки перечень обрабатываемых персональных данных, категории субъектов, способы и сроки обработки и хранения, порядок уничтожения данных по достижении целей или при наступлении законных оснований. Также утверждены документы, регламентирующие меры по предотвращению и выявлению нарушений законодательства о персональных данных и устранению последствий таких нарушений. Указанные документы регулярно пересматриваются и актуализируются по мере изменения требований законодательства или процессов обработки.
7.3. Назначение ответственных лиц: Оператор, являясь юридическим лицом, обязан назначить лицо, ответственное за организацию обработки персональных данных. На данный момент функции ответственного осуществляются непосредственно руководством ООО «АРТДЕКОРИУМ», и отдельный ответственный специалист не назначен. Тем не менее, Оператор обеспечивает распределение обязанностей между сотрудниками, допущенными к обработке данных, и контроль за выполнением ими требований безопасности. Все сотрудники, непосредственно работающие с персональными данными, до начала работы ознакамливаются с положениями законодательства о персональных данных и внутренними политиками, а также проходят обучение при необходимости.
7.4. Конфиденциальность и ограничение доступа: Все персональные данные клиентов рассматриваются Оператором как конфиденциальная информация. Оператор и его сотрудники не раскрывают и не распространяют третьим лицам персональные данные без законных оснований и согласия субъекта. Доступ к персональным данным имеют только те сотрудники и уполномоченные лица Оператора, которым это необходимо для выполнения служебных обязанностей и указанных в Политике целей. Для каждой категории сотрудников определен перечень данных, к которым они могут иметь доступ, в соответствии с их функциями. Сотрудники, получившие доступ к персональным данным, несут предусмотренную законом и внутренними регламентами ответственность за соблюдение режима конфиденциальности.
7.5. Контроль и аудит: Оператор осуществляет внутренний контроль соответствия обработки персональных данных требованиям 152-ФЗ, нормативных актов и собственной Политики. Периодически проводится проверка условий и способов обработки (в том числе аудит безопасности информационных систем персональных данных), оценка применяемых мер защиты на предмет их эффективности и достаточности. Выявленные несоответствия устраняются в кратчайшие сроки. При изменении процессов обработки или введении новых информационных систем проводится оценка риска для персональных данных и при необходимости корректируются меры защиты (вплоть до приостановки отдельных операций, если требования безопасности не могут быть обеспечены).
7.6. Оценка вреда и рисков: Оператор оценивает возможный вред, который может быть причинен субъектам персональных данных в случае нарушения 152-ФЗ, и соотносит данный потенциальный вред с применяемыми мерами защиты. На основе методических рекомендаций уполномоченного органа определяются актуальные угрозы безопасности данных и уровень защищенности информационных систем. Такой анализ проводится на постоянной основе (не реже 1 раза в год, а также при планировании новых процессов обработки).
8. Меры по обеспечению безопасности персональных данных (технические и организационные)
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Обеспечение безопасности персональных данных достигается, в частности, следующими мерами:
Разграничение прав доступа. Внедрены правила доступа к информационным системам персональных данных: каждому пользователю (сотруднику) присваиваются индивидуальные учетные записи; права доступа распределяются согласно должностным обязанностям и принципу минимально необходимого доступа. Доступ к папкам и базам данных с персональными данными защищен паролями, известными только уполномоченным лицам.
Защита информационных систем. Персональные данные хранятся в защищенных информационных системах, расположенных на серверах на территории Российской Федерации (соблюдается требование о локализации баз данных на территории РФ). Серверы и программное обеспечение настроены в соответствии с актуальными требованиями к защите персональных данных, обеспечивающими необходимый уровень безопасности. Используются современные средства защиты информации (сертифицированные средства шифрования, межсетевые экраны, антивирусные программы с регулярным обновлением баз, системы обнаружения вторжений и пр.). Перед вводом в эксплуатацию новых систем проводится оценка их безопасности и соответствия требованиям защиты данных.
Шифрование и хранение данных. При передаче конфиденциальных данных через интернет используются протоколы шифрования (SSL/TLS) для предотвращения перехвата или искажения информации. Хранение наиболее чувствительных данных (например, паролей) осуществляется в зашифрованном (хэшированном) виде. Физические носители, содержащие резервные копии баз данных, хранятся в защищенных помещениях с ограниченным доступом.
Учет и контроль действий. В информационных системах ведется журнал (лог) операций с персональными данными: регистрируются все действия, совершаемые с данными (создание, изменение, удаление, чтение, передача) с указанием ответственного лица и времени операции. Это позволяет в случае инцидента установить его причины и виновных. Периодически логи анализируются для выявления подозрительной активности.
Обнаружение и реагирование на инциденты. Оператор внедрил процедуры мониторинга несанкционированного доступа к персональным данным. Автоматические средства безопасности и ответственные специалисты отслеживают попытки неавторизованного проникновения в системы, атаки на сайт, нарушения прав доступа. В случае выявления инцидента немедленно принимаются меры по его пресечению, устранению последствий (включая восстановление целостности данных) и предотвращению подобных случаев в будущем. При необходимости Оператор взаимодействует со специализированными службами реагирования на компьютерные инциденты.
Резервирование и восстановление. Для предотвращения потери данных вследствие сбоев или аварий регулярно создаются резервные копии баз данных персональных данных. Резервные копии хранятся в зашифрованном виде на защищенных носителях. Периодически проводится тестирование процедур резервного копирования и восстановления, чтобы гарантировать возможность своевременно восстановить персональные данные, модифицированные или уничтоженные из-за несанкционированного доступа или технического сбоя.
Антивирусная защита и обновление ПО. На серверах и рабочих станциях, задействованных в обработке персональных данных, установлено актуальное антивирусное программное обеспечение; регулярно применяются обновления безопасности операционных систем и приложений. Это снижает уязвимость инфраструктуры для вредоносных программ и хакерских атак.
Защита в офисе. Помещения, в которых ведется работа с персональными данными (офис, серверная), оборудованы средствами физической защиты (система контроля доступа, сигнализация). Бумажные документы, содержащие персональные данные клиентов (например, накладные, соглашения), хранятся в шкафах, запираемых на ключ, доступ к которым имеет ограниченный круг сотрудников. При уничтожении документов используется шредирование или услуги специализированных компаний.
Оператор постоянно актуализирует применяемые меры безопасности с учетом развития технологий, появляющихся новых угроз, а также на основе требований Правительства РФ к уровням защищенности персональных данных и другим обязательным мерам (в соответствии со ст. 19 152-ФЗ и постановлениями, принимаемыми в ее развитие). Информация об основных реализуемых требованиях к защите персональных данных (без раскрытия технических и технологических подробностей, составляющих служебную тайну) публикуется Оператором в открытом доступе вместе с настоящей Политикой, в исполнение ч.2 ст.18.1 Закона.
9. Трансграничная передача персональных данных
9.1. Отсутствие трансграничной передачи: Оператор не осуществляет трансграничную передачу персональных данных клиентов marmocer.masterdom.ru. Вся обработка персональных данных осуществляется на территории Российской Федерации, а базы данных, содержащие персональные данные граждан РФ, локализованы на серверах, расположенных в РФ, в соответствии с требованиями ст. 18.1 ч.5 Закона № 152-ФЗ. Персональные данные не передаются в иностранные государства, международные организации, иностранным физическим или юридическим лицам.
9.2. Будущая передача (при необходимости): В случае если в будущем возникнет необходимость трансграничной передачи персональных данных (например, для выполнения заказа с доставкой за пределы РФ или использования зарубежных сервисов-партнеров), Оператор обязуется предварительно убедиться, что государство-получатель включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый уполномоченным органом РФ (Роскомнадзором), либо обеспечить получение отдельного письменного согласия субъекта на такую трансграничную передачу в соответствии со ст. 12 Закона. Также, если планируется регулярная трансграничная передача, Оператор выполнит требование законодательства о предварительном уведомлении Роскомнадзора о намерении осуществлять трансграничную передачу (ч.3 ст.12 152-ФЗ). На текущий момент подобная необходимость и практика отсутствует.
10. Права субъекта персональных данных
Субъекты персональных данных (клиенты интернет-магазина) обладают всеми правами, предоставленными им законодательством о персональных данных и потребительским законодательством. Оператор гарантирует реализацию следующих основных прав субъекта:
Право на доступ к своим персональным данным. Субъект вправе получить от Оператора информацию, касающуюся обработки его персональных данных: подтверждение факта обработки; правовые основания и цели обработки; обрабатываемые категории данных; сведения об источнике их получения (если они не были предоставлены самим субъектом); сведения о лицах, которые имеют доступ к данным или которым они могут быть раскрыты на основании договора или закона; сроки обработки (в том числе хранения) данных; информация об осуществленной или предполагаемой трансграничной передаче; наименование и адрес Оператора, сведения о лицах, осуществляющих обработку по поручению Оператора; иные сведения, перечисленные в ст. 14 ч.7 Закона № 152-ФЗ. По запросу субъекта Оператор предоставляет копии любых записей, содержащих персональные данные, за исключением случаев, предусмотренных законом (например, если предоставление сведений нарушит права другого субъекта).
Право на уточнение (обновление, исправление) персональных данных. Если субъект обнаружил, что его персональные данные являются неточными, неполными или неактуальными, он вправе потребовать от Оператора их уточнения, обновления или исправления. Оператор обязан внести необходимые изменения в данные или, если обеспечить актуализацию невозможно, уничтожить такие данные. Пользователь может самостоятельно актуализировать часть своих данных, отредактировав информацию в личном кабинете на сайте (если функционал позволяет). Также можно направить уведомление с корректной информацией на электронный адрес Оператора с пометкой «Актуализация персональных данных».
Право на блокирование и приостановление обработки. В случаях, предусмотренных ст. 15 152-ФЗ, субъект может потребовать временно приостановить обработку (блокировать) его персональных данных, например, при оспаривании их точности или законности обработки. Блокирование осуществляется на период проверки по обращению субъекта либо по запросу Роскомнадзора. На время блокировки Оператор лишь хранит такие данные и не выполняет иных операций, кроме необходимых для уточнения.
Право на уничтожение персональных данных. Субъект имеет право потребовать от Оператора уничтожения своих персональных данных, если данные обрабатываются незаконно, избыточны либо утратили необходимость для заявленной цели обработки, или если истек срок хранения данных. Также субъект вправе требовать удаления своих данных при отзыве согласия на обработку, если нет иных оснований для их обработки. По получении соответствующего требования Оператор обязан уничтожить персональные данные в срок, не превышающий 30 дней (если иной срок не установлен законом), и уведомить субъекта об исполнении требования.
Право на отзыв согласия. Как указано в разделе 5, субъект может в любой момент отозвать свое согласие на обработку персональных данных, и Оператор обязан прекратить обработку таких данных (если нет иных законных оснований для продолжения). Отзыв согласия также включает право запретить использование данных для целей прямого маркетинга.
Право на обжалование действий Оператора. Если субъект считает, что Оператор осуществляет обработку его персональных данных с нарушением требований закона или иным образом нарушает его права и свободы, он вправе обратиться с жалобой в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебные инстанции. Субъект также вправе обжаловать действия или бездействие Оператора сначала путем направления обращения самому Оператору – Оператор обязуется рассмотреть такое обращение в установленные сроки и предоставить мотивированный ответ.
Иные права. Субъект персональных данных также обладает другими правами, предусмотренными законодательством РФ: право требовать от Оператора уведомления обо всех произведенных изменениях, внесенных в персональные данные; право на защиту своих прав и законных интересов, в том числе на возмещение убытков и морального вреда в судебном порядке; иные права согласно ст. 14, 17 и 18 Закона № 152-ФЗ и Закона РФ «О защите прав потребителей». Оператор неукоснительно соблюдает все законные права субъектов.
Оператор разъясняет, что предоставление доступа к персональным данным субъекта третьим лицам (партнерам, курьерским службам, платежным системам) производится только с согласия субъекта или на основании закона, и субъект вправе получить информацию о любом таком факте. Конфиденциальность данных при этом обеспечивается на основании заключаемых соглашений.
11. Порядок рассмотрения запросов и обращений субъектов персональных данных
11.1. Обращение к Оператору: Субъект персональных данных может обратиться к Оператору с запросом, связанным с обработкой его персональных данных (далее – Запрос), в том числе для реализации своих прав, перечисленных в разделе 10. Запрос может быть направлен одним из следующих способов:
в письменной форме по почтовому адресу Оператора: 117335, г. Москва, пр-кт Нахимовский, д. 59А, ООО «АРТДЕКОРИУМ»;
в электронной форме на официальный электронный адрес Оператора: shop@masterdom.ru;
через форму обратной связи на сайте marmocer.masterdom.ru (если такая форма реализована) либо через личный кабинет пользователя (для зарегистрированных клиентов).
Запрос, поступивший от субъекта, должен содержать информацию, позволяющую однозначно идентифицировать самого субъекта и суть его требования. Например, в письменном запросе необходимо указать ФИО, реквизиты документа, удостоверяющего личность, либо иные сведения, подтверждающие, что запрос исходит именно от данного субъекта или его законного представителя (ст. 14 ч.3 152-ФЗ требует указать номер основного документа, сведения о дате выдачи и выдавшем органе, либо иные данные, подтверждающие участие субъекта в отношениях с Оператором). В электронном обращении рекомендуется указывать адрес электронной почты и/или номер телефона, ранее предоставленные Оператору, либо прикладывать электронную подпись, чтобы подтвердить свою личность.
11.2. Сроки ответа: Оператор рассматривает обращения субъектов персональных данных в кратчайшие сроки, но не позднее 10 рабочих дней с момента поступления запроса либо получения дополнительных сведений от субъекта, если они необходимы. В исключительных случаях, когда предоставление информации в 10-дневный срок невозможно (например, запрос связан с большим объемом данных, требующих обработки), Оператор может продлить срок рассмотрения не более чем на 5 рабочих дней, уведомив об этом субъекта с указанием причин продления. Ответ на запрос предоставляется в той же форме, в которой поступил запрос (письмо – почтой, электронный запрос – электронной почтой), если иное не оговорено субъектом.
11.3. Удовлетворение запросов: Если по результатам рассмотрения запроса выясняется, что обрабатываемые персональные данные являются неполными, неточными, неактуальными или обрабатываются незаконно, Оператор по требованию субъекта вносит необходимые изменения, блокирует или уничтожает такие персональные данные. В случае устранения нарушений Оператор уведомляет субъекта о внесенных изменениях в отношении его персональных данных. Если какое-либо требование субъекта не может быть выполнено (например, удаление данных невозможно в силу требований закона), в ответе Оператор разъясняет мотивированные причины отказа со ссылкой на нормы законодательства.
11.4. Взаимодействие с уполномоченным органом: Если Оператор получает от Роскомнадзора запрос, предписание или направленную жалобу субъекта, касающуюся обработки персональных данных, Оператор обязан предоставить необходимые разъяснения и сведения в установленный срок. В таких случаях Оператор может обратиться к субъекту за дополнительной информацией либо, при необходимости, приостановить спорную обработку до разрешения ситуации.
11.5. Регистрация обращений: Оператор ведет учет (журнал) поступивших обращений и запросов субъектов персональных данных, фиксируя дату поступления, данные заявителя, суть запроса и дату/содержание ответа. Данные этого учета хранятся не менее 3 лет с момента регистрации обращения. Это необходимо для контроля своевременности и полноты исполнения требований субъектов, а также для возможности проверок со стороны Роскомнадзора.
12. Уведомление об обработке и регистрация в Роскомнадзоре
12.1. Уведомление уполномоченного органа: В соответствии со ст. 22 Федерального закона № 152-ФЗ, Оператор до начала осуществления деятельности по обработке персональных данных обязан уведомить уполномоченный орган (Роскомнадзор) о своем намерении осуществлять такую обработку. ООО «АРТДЕКОРИУМ» выполнило указанную обязанность: направлено уведомление о начале обработки персональных данных в Роскомнадзор и компания внесена в реестр зарегистрированных операторов персональных данных. В уведомлении Оператор указал все предусмотренные законом сведения (цели обработки, категории данных, меры безопасности, наличие шифровальных средств, отсутствие трансграничной передачи и др.).
12.2. Регистрация в реестре операторов: Сведения об Операторе внесены в официальный реестр операторов, осуществляющих обработку персональных данных, ведемый Роскомнадзором. Данные реестра (наименование юридического лица, адрес, ИНН, цель обработки, категории данных и пр.) являются общедоступными согласно законодательству и при необходимости могут быть проверены любым заинтересованным лицом на сайте Роскомнадзора.
12.3. Обновление сведений: В случае изменения сведений, ранее представленных в уведомлении (например, изменение адреса Оператора, целей обработки, введение трансграничной передачи и т.п.), Оператор в установленном порядке уведомит Роскомнадзор об изменениях (не позднее чем до 15-го числа месяца, следующего за месяцем, в котором произошли изменения, если иное не установлено порядком уведомления).
12.4. Исключения из обязанности уведомления: В настоящее время законодательство не освобождает Оператора от подачи уведомления, поскольку Оператор осуществляет автоматизированную обработку персональных данных клиентов. Исключения, перечисленные в ч.2 ст.22 152-ФЗ (в редакции после 14.07.2022), Оператору не применимы. В частности, обработка осуществляется с использованием средств автоматизации и не подпадает под случаи, связанные исключительно с ручной обработкой или специальными сферами (госбезопасность, транспортная безопасность и т. п.). Таким образом, требование об уведомлении полностью соблюдается.
12.5. Ответственность за отсутствие уведомления: Оператор осознает, что осуществление обработки персональных данных без надлежащего уведомления уполномоченного органа в случаях, когда оно требуется, является административным правонарушением. Поэтому политика компании направлена на строгое соблюдение порядка уведомления. При реорганизации, изменении наименования либо иных изменениях, требующих подачи нового уведомления, Оператор обеспечит своевременное внесение соответствующих сведений в Роскомнадзор.
13. Реестр операций по обработке персональных данных
13.1. Ведение Оператором внутреннего реестра операций по обработке персональных данных (регистрационной записи обо всех осуществляемых процессах обработки) не требуется в силу характера деятельности и объема обрабатываемых данных. Согласно действующему законодательству РФ, коммерческие организации не обязаны вести формальный реестр всех операций с персональными данными, за исключением внутренней документации, предусмотренной ст. 18.1 152-ФЗ (Политики и локальные акты, описывающие процессы обработки – они Оператором разработаны, см. п.7.2.).
13.2. Несмотря на отсутствие обязанности по ведению специализированного реестра операций, Оператор фактически осуществляет учет основных процессов обработки в рабочих документах и постоянно обновляет сведения о категориях данных, целях, основаниях, сроках и мерах защиты по каждому направлению обработки. Эти сведения доступны для предоставления контролирующим органам по запросу (в соответствии с ч.4 ст.18.1 152-ФЗ, Оператор должен уметь подтвердить принятие необходимых мер и наличие актуальной документации).
13.3. Таким образом, отдельный реестр операций обработки, аналогичный требуемому по законодательству иных юрисдикций (например, ЕС GDPR), Оператором не ведется ввиду отсутствия прямого требования в российском законодательстве для нашего случая. Вместе с тем все процессы учтены и описаны во внутренних актах, и при расширении деятельности или изменении требований закона вопрос о ведении детализированного реестра может быть пересмотрен.
14. Заключительные положения
14.1. Размещение и доступность Политики: Настоящая Политика конфиденциальности утверждена приказом генерального директора ООО «АРТДЕКОРИУМ» и вступает в силу с момента ее опубликования на официальном сайте marmocer.masterdom.ru. Актуальная редакция Политики действует бессрочно до замены новой версией. Политика размещается в открытом доступе на сайте marmocer.masterdom.ru (раздел «О компании» – «Политика конфиденциальности») и доступна для ознакомления неограниченному кругу лиц в любое время. Также пользователи могут запросить копию Политики в электронном или печатном виде по контактам, указанным в разделе 11.
14.2. Изменение Политики: Оператор оставляет за собой право вносить изменения в настоящую Политику в случае изменения применимого законодательства или появлении новых процессов обработки персональных данных. При внесении изменений в шапке Политики указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено самой новой редакцией. Существенные изменения (например, расширение перечня данных или целей обработки) могут доводиться до сведения субъектов путем отдельного уведомления (через электронную почту или информационное сообщение на сайте). Продолжение использования сервиса marmocer.masterdom.ru после публикации обновленной Политики означает согласие с внесенными изменениями.
14.3. Иные документы: В целях комплексного регулирования вопросов конфиденциальности на сайте могут действовать и другие политики/документы, дополняющие настоящую Политику (например, Политика использования cookie-файлов, Пользовательское соглашение). В случае если положения таких документов будут противоречить настоящей Политике в части обработки и защиты персональных данных, приоритет имеет настоящая Политика.
14.4. Обратная связь и вопросы: Все вопросы, комментарии и предложения по поводу настоящей Политики или обработки ваших персональных данных Оператором можно направлять по электронной почте shop@masterdom.ru или по адресу ООО «АРТДЕКОРИУМ» (указан в разделе 1.3). Оператор постарается предоставить ответ в разумный срок. Если пользователь не удовлетворен ответом, он вправе обратиться в Роскомнадзор либо уполномоченный судебный орган для защиты своих прав.
14.5. Ответственность Оператора: Оператор, его должностные лица и сотрудники несут ответственность за соблюдение условий настоящей Политики и требований законодательства РФ о персональных данных. В случае нарушения этих требований Оператор и виновные лица могут быть привлечены к дисциплинарной, административной, гражданско-правовой или уголовной ответственности в порядке, установленном законом.
14.6. Заключение: Клиент, предоставляя свои персональные данные посредством сайта marmocer.masterdom.ru или иными указанными способами, подтверждает, что ознакомлен(а) с условиями настоящей Политики, понимает их и принимает. Оператор, со своей стороны, гарантирует добросовестное исполнение принятых на себя обязательств по защите полученных персональных данных. Защита вашей конфиденциальности и персональных данных – приоритет Оператора, и мы постоянно работаем над совершенствованием мер безопасности и практик обработки данных в соответствии с лучшими отраслевыми стандартами и требованиями закона.
Свяжемся с вами и обсудим условия сотрудничества
оставьте заявку
с 10 до 21
Мы работаем
8 (800) 707-47-38
Контакты
