3. Порядок и условия обработки персональных данных
3.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
3.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
3.3. Согласие на обработку персональных данных предоставляется субъектом персональных данных (далее — Пользователь) путём совершения действий, выражающих его волю, в том числе:
· проставление отметки (чекбокса) в форме на Сайте при оформлении заказа, заявки, подписки на рассылку или обратной связи;
· подписание договора гражданско-правового характера с Оператором (включая договор с самозанятым лицом), при этом согласие на обработку персональных данных оформляется отдельно в письменной форме и прилагается к договору;
· иное предоставление согласия на обработку персональных данных в соответствии с требованиями законодательства.
Предоставляя такие данные, Пользователь подтверждает, что ознакомлен с условиями настоящей Политики, согласен с ними и предоставляет согласие на обработку своих персональных данных.
3.4.
Оператор может обрабатывать следующие персональные данные Пользователя:3.4.1. Пользователи Сайта:
· Имя.
· Номер телефона.
· Адрес электронной почты.
· Город проживания.
3.4.2. Физические лица и самозанятые граждане при оформлении договора гражданско-правового характера с Оператором:
· Фамилия, имя, отчество.
· Номер телефона.
· Адрес электронной почты.
· Инн.
· Паспортные данные.
· Адрес регистрации.
Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.
Оператор может также обрабатывать иные персональные данные, предоставленные Пользователем в целях, установленных в настоящей Политике.
Передача таких данных третьим лицам осуществляется только в случаях, предусмотренных настоящей Политикой и действующим законодательством.
3.5. Оператор защищает Данные, которые автоматически передаются при посещении страниц:
· IP адрес;
· информация из cookies;
· информация о браузере;
· время доступа;
· реферер (адрес предыдущей страницы).
· Отключение cookies может повлечь невозможность доступа к частям сайта, требующим авторизации.
Оператор осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью предотвращения, выявления и решения технических проблем, а также для анализа пользовательской статистики.
Указанные данные не хранятся и не обрабатываются Оператором в целях индивидуальной идентификации пользователя, а используются исключительно для улучшения функциональности сайта.
3.5.1. Оператор использует сервис Яндекс.Метрика, предоставляемый ООО «Яндекс», для анализа поведения пользователей на сайте, улучшения его структуры, содержания и пользовательского опыта.
В рамках работы Яндекс.Метрики автоматически собираются обезличенные данные о действиях пользователей на сайте с использованием файлов cookie, а также информация о:
– IP-адресе устройства пользователя,
– типе и версии браузера,
– времени доступа,
– адресе посещённой страницы и предыдущей страницы (реферере),
– данных о кликах, прокрутках и переходах по страницам.
Данные обрабатываются в обезличенном виде, в соответствии с политикой конфиденциальности Яндекс.Метрики и не используются для индивидуальной идентификации пользователей Оператором.
Сбор и анализ обезличенных данных осуществляется на основании согласия пользователя через cookie-баннер Оператора (п. 6 ч. 1 ст. 6 ФЗ-152) для статистических целей, а также с согласия пользователя на использование cookie-файлов, предоставленного при первом заходе на сайт.
Пользователь может отключить передачу данных в Яндекс.Метрику, установив дополнение для браузера «Яндекс.Метрика: блокировка» в настройках своего браузера.
3.6. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
3.7. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Закона о персональных данных, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 Закона о персональных данных.
3.8. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
3.9. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональныхданных.
3.10. Оператор обязан в срок не позднее трех рабочих дней с момента получения указанного согласия Пользователя опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
3.11. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.
3.12. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору соответствующего требования.
3.13. Оператор осуществляет
смешанную обработку персональных данных, включая:
– автоматизированную обработку с использованием программных средств (Bitrix24, 1С:УТ, облачные CRM и др.);
– неавтоматизированную обработку на бумажных носителях и в электронных таблицах, реестрах, заполняемых вручную.
Обработка персональных данных в неавтоматизированной форме осуществляется в соответствии с требованиями ч. 2 ст. 1 и ст. 19 Федерального закона № 152-ФЗ.
3.14. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.15. Пользователь соглашается с тем, что Оператор вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи (в том числе электронной), операторам электросвязи, исключительно в целях выполнения заказа Пользователя, оформленного на Сайте, включая доставку документации или e-mail сообщений.
3.16. Оператор вправе поручать обработку персональных данных сервисам, обеспечивающим функционирование Сайта, включая платформу Tilda Publishing, на основании заключенных договоров и при условии соблюдения требований законодательства РФ о персональных данных.
3.17. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
3.18.
Защита персональных данных.Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключаетсянеправомерный доступ к ним;
- для обеспечения безопасности персональных данных применяются программно-технические средства (в том числе установленное антивирусное ПО);
- обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- разработаны документы по обработке персональных данных, с которыми ознакомлены лица, имеющие доступ к персональным данным, назначено лицо, ответственное за обработку персональных данных;
- лица, допущенные к обработке данных, ознакомлены с требованиями конфиденциальности и обработки.
3.18.1. При обработке персональных данных в облачных сервисах (Bitrix24 – в облачном хранилище netangel, 1С - в RT-Cloud) Оператор заключил договоры, предусматривающие соблюдение требований ст. 18.1 и ст. 19 ФЗ-152, включая:
– использование дата-центров на территории Российской Федерации;
– разграничение доступа пользователей;
– регулярное резервное копирование и аудит безопасности;
– ограничение прав на экспорт данных за пределы Российской Федерации.
3.18.2. В случае неавтоматизированной обработки персональных данных (например, при оформлении бумажных договоров, заявок, распечаток заказов) Оператор применяет следующие меры:
– ведение учёта бумажных носителей, содержащих персональные данные;
– ограничение физического доступа к документам;
– хранение таких документов в закрытых шкафах или помещениях;
– уничтожение по окончании срока хранения согласно внутреннему регламенту и с составлением акта.
3.18.3. В целях предотвращения несанкционированного доступа к сайту и автоматизированного сбора персональных данных Оператор применяет следующие меры защиты:
– использование встроенных механизмов защиты, предоставляемых CMS Bitrix, включая защиту от SQL-инъекций, XSS-атак и другие меры на уровне платформы;
– реализация антибот-фильтрации с помощью сервиса
Antibot (anti-bot.cloud), который позволяет идентифицировать и блокировать автоматические запросы и сканеры, не имеющие признаков человеческого поведения;
– отслеживание подозрительной активности и ограничение доступа по IP-адресам при необходимости;
– использование защищённого протокола передачи данных
HTTPS (SSL-сертификат) на всех страницах сайта.
3.19. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.
3.20. При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
3.21. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства, либо прямо указанных в Политике или согласии субъекта, либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
3.22. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомления на адрес электронной почты Оператора info@studiowe.ru с пометкой «Актуализация персональных данных».
3.23. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора на адрес электронной почты Оператора info@studiowe.ru
с пометкой «Отзыв согласия на обработку персональных данных».3.24. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
3.25. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.
3.26. Хранение персональных данных.3.26.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение в электронном или бумажном виде.
3.26.2. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.26.3. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках).
3.26.4. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижениицелей обработки или в случае утраты необходимости в их достижении.
3.26.5. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных, ликвидация Оператора.
3.27.
Сроки хранения персональных данныхПерсональные данные, обрабатываемые Оператором, подлежат хранению в течение сроков, необходимых для достижения целей обработки, если иное не предусмотрено действующим законодательством Российской Федерации, в частности (если иное не указано в согласии Пользователя или согласие не было им отозвано):
·
Пользователи Сайта:Персональные данные хранятся в течение 3 лет с момента последнего взаимодействия Пользователя с Сайтом (например, оформления заказа, подписки или запроса), если иное не предусмотрено законодательством или не обосновано иными законными целями (например, защитой прав Оператора).
·
Физические лица и самозанятые при оформлении договора ГПХ:Персональные данные хранятся в течение срока действия договора, а также в течение 4 лет после его завершения в целях налоговой отчетности, разрешения споров и соблюдения требований законодательства.
3.27.1. Персональные данные, собираемые через сайт Оператора при оформлении заявок, обрабатываются с использованием:
·
CRM-системы Битрикс24, размещённой в облачном дата-центре провайдера
NetAngels (г. Екатеринбург);
·
учётной системы 1С:Управление торговлей, размещённой в облачной инфраструктуре
RT-Cloud (г. Новосибирск).
· встроенной CRM-платформы Tilda Publishing (Tilda CRM), используемой для сбора и первичной обработки заявок, направленных через формы на Сайте. Данные хранятся в инфраструктуре сервиса Tilda, размещённой в дата-центрах, обеспечивающих защиту персональных данных в соответствии с применимым законодательство
Оператор использует указанные сервисы для автоматизации обработки заказов, учёта клиентов и выполнения договорных обязательств. Передача персональных данных между системами осуществляется по защищённым каналам связи с применением технических и организационных мер защиты.
3.28. Уничтожение персональных данных3.28.1. Уничтожение персональных данных осуществляется в случаях:
· достижения целей обработки;
· отзыва согласия субъектом персональных данных (если нет иных правовых оснований для хранения);
· истечения установленных сроков хранения;
· выявления факта неправомерной обработки данных;
· ликвидации Оператора.
3.28.2. Персональные данные, хранящиеся на электронных носителях, подлежат уничтожению путём полного и безвозвратного удаления (стирания) или физического форматирования носителя. В случае хранения данных в облачных сервисах, уничтожение осуществляется посредством встроенных механизмов удаления и подтверждается закрытием доступа и выгрузкой журнала действий.
3.28.3. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей, составленным в произвольной форме, с указанием даты, перечня уничтоженных данных и ответственного лица.