ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ И СУБЪЕКТЫ НАСТОЯЩЕЙ ПОЛИТИКИ
(А) «Политика конфиденциальности» (далее — «Политика») — это документ, который определяет порядок обработки персональных данных и меры по обеспечению их безопасности.
(Б) «Персональные данные» (далее – «ПДн») - любая информация, относящаяся к прямо или косвенно определенному или определяемому субъекту персональных данных.
(В) ООО «КРИСТИ КОСМЕТИКС» (ИНН 9725005531, ОГРН 1197746206723) юридический адрес: 115191, г. Москва, ул. Серпуховский вал, д. 21, корпус 4, пом. XXXIII
(далее — «Оператор / Компания»)» - юридическое лицо, самостоятельно и совместно с другими лицами организующее и / или осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
(Г) «Обработка персональных данных» – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
(Д) «Пользователь» / «Клиент»- субъект персональных данных.
(Е) «Субъект персональных данных» - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
(Ж) «Конфиденциальность персональных данных» – обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
(З) «Сайт» – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети интернет и расположенной по адресу: https://kristishop.ru/. На Сайте могут находится ссылки на другие интернет-ресурсы.
Фактический вид деятельности: розничная и онлайн-продажа косметики и парфюмерии через сайт https://kristishop.ru/.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика конфиденциальности публикуется ООО «КРИСТИ КОСМЕТИКС» для информирования об осуществляемой Оператором политике в отношении обработки ПДн Пользователей Сайта Оператора.
1.2. Политика обработки персональных данных в Компании определяется в соответствии со следующими нормативными правовыми актами:
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон № 152-ФЗ»);
- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – «Постановление 1119»);
- Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- ГОСТ Р 58976-2020/ISO/TR 80002-2:2017. Национальный стандарт Российской Федерации. Изделия медицинские. Программное обеспечение. Часть 2. Валидация программного обеспечения, используемого в системах качества медицинских изделий" (утв. и введен в действие Приказом Росстандарта от 27.08.2020 N 566-ст)
- Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
1.3. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
1.4. Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», является общедоступным документом.
1.5. Для поддержания в актуальном состоянии документов, определяющих политику Оператора в отношении обработки персональных данных, Оператор вправе в любой момент изменить настоящую Политику, опубликовав соответствующие изменения. Настоящая Политика не может быть изменена, кроме как посредством опубликования измененного документа на Сайте.
1.6. Оператор имеет 21 структурное подразделение.
Головной офис расположен по адресу: 115191, Россия, г. Москва, ул. Серпуховский вал, д. 21, корпус 4, пом. XXXIII.
Политика распространяется на все персональные данные, обрабатываемые в структурных подразделениях Компании.
2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка основана на принципах: законности, целевой ограниченности, минимизации данных, точности, ограничения хранения, конфиденциальности.
2.2. Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
- Обработка персональных данных осуществляется с согласия субъекта персональных данных;
- Обработка персональных данных необходима для достижения целей осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей; Пользователь подтверждает, что внесение Пользователем своего номера телефона и числового кода, пришедшего в SMS, означает согласие Пользователя со всеми положениями настоящей Политики;
- Обработка персональных данных осуществляется на основании договора розничной купли-продажи в соответствии п. 5 ч. 1 ст. 6 Закона № 152-ФЗ;
- Обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
- Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных.
2.3. Оператор не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих права и законные интересы субъектов, на основании исключительно автоматизированной обработки персональных данных. Данные, имеющие юридические последствия или затрагивающие права и законные интересы субъекта персональных данных, подлежат перед их использованием проверке со стороны уполномоченных работников Оператора.
-
- Специфика бьюти-сферы:
- Не обрабатываются специальные категории ПДн (состояние здоровья, биометрия) без отдельного согласия
- Обработка данных несовершеннолетних происходит только с согласия родителей.
2.4. Оператор НЕ осуществляет передачу ПДн иностранным государствам, не обеспечивающим должную и всестороннюю защиту. Обработка данных пользователей Сайта и Клиентов осуществляется на территории Российской Федерации. Сервера расположены на территории Российской Федерации.
2.5. Меры безопасности. Меры безопасности соответствуют требованиям ст. 19 Закона, Постановления Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – «Постановление № 1119»).
Меры безопасности также включают шифрование (SSL/TLS) на Сайте, контроль доступа, антивирусную защиту, регулярный аудит.
3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Субъект ПДн имеет право (ст. ст. 14, 20, 21 Закона № 152-ФЗ):
- Получать информацию об обработке его ПДн (ст. 14 Закона № 152-ФЗ);
- Требовать уточнения, блокирования, уничтожения ПДн;
- Отозвать согласие на обработку (особенно актуально для маркетинга);
- Требовать прекращения обработки, в т.ч. в целях продвижения товаров/услуг;
- Обжаловать действия / бездействие Оператора в Роскомнадзор или суд.
3.2. Реализация прав. Запрос направляется Оператору:
- По почте на юридический адрес;
- По e-mail.
- Через форму обратной связи на сайте https://kristishop.ru/ (с пометкой «Запрос субъекта ПДн»);
- Оператор рассматривает запрос в срок не позднее 30 (тридцати) дней с момента получения и подтверждения личности субъекта.
4. ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПДН, СУБЪЕКТОВ И ЦЕЛЕЙ ОБРАБОТКИ (С УЧЕТОМ ОНЛАЙН-ДЕЯТЕЛЬНОСТИ И СПЕЦИФИКИ БЬЮТИ-СФЕРЫ)
4.1. Согласно ст. 18.1 Закона № 152-ФЗ Оператор выделяет следующие цели и перечень обрабатываемых ПДн.
4.1.1 Цель № 1: Заключение и исполнение договоров на оказание услуг реализации косметической продукции (в т.ч. доставка, обслуживание в магазине).
- Категории субъектов: Клиенты (физические лица), получатели заказов, посетители магазинов косметики;
- Категории ПДн: ФИО, номер телефона, адрес электронной почты (e-mail), адрес доставки, данные о заказе (вкл. время, предпочтения), история заказов.
4.1.2. Цель № 2: Продвижение товаров и услуг (маркетинг, реклама).
- Категории субъектов: Клиенты, Потенциальные клиенты, Подписчики рассылок;
- Категории ПДн: ФИО, e-mail, номер телефона, история заказов/просмотров (для персонализации предложений). Обработка происходит ТОЛЬКО с согласия субъекта.
4.1.3. Цель № 3: Функционирование и безопасность сайта https://kristishop.ru/.
- Категории субъектов: Пользователи Сайта (посетители);
- Категории ПДн: Технические данные (IP-адрес, данные о браузере и ОС, тип устройства, время доступа, адреса посещенных страниц), файлы cookie (см. п. 5.4), данные о взаимодействии с Сайтом.
4.1.4. Цель № 4: Обратная связь и поддержка клиентов.
- Категории субъектов: Клиенты, Пользователи Сайта;
- Категории ПДн: ФИО, e-mail, номер телефона, текст обращения / отзыва.
4.1.5. Цель № 5: Выполнение требований законодательства (бухучет, налоги, отчетность).
- Категории субъектов: Клиенты (при оплате безналом), Контрагенты-физлица;
- Категории ПДн: ФИО, данные о платежах (сумма, дата), реквизиты договора/заказа.
4.1.6. Цель № 6: Обеспечение соблюдения трудового законодательства РФ.
4.1.6.1. Цель № 6.1 Подбор персонала (соискателей) на вакантные должности оператора.
- Категории субъектов: Соискатели как на должности, имеющие доступ к персональным данным, так и линейному персоналу;
- Категории ПДн: Фамилия, Имя, Отчество (при наличии), Документ, подтверждающий смену имени, фамилии (при смене), дата и место рождения, адрес электронной почты, адрес места жительства, номер телефона, сведения об образовании, сведения о близких родственниках, ИНН, СНИЛС, справка НДФЛ-2.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Способы обработки. Автоматизированная (с использованием Сайта, CRM-систем, систем бронирования, программ лояльности) и неавтоматизированная (обработка заказов по телефону и т.д.).
5.2. Сроки хранения:
- Данные для Цели № 1. Хранятся в течении 5 лет с момента последнего заказа/посещения или до исполнения договора, если иное не установлено законом;
- Данные для Цели № 2. Хранятся до отзыва согласия субъектом;
- Данные для Цели № 3 (технические, cookies). Хранятся 6 мес. или до достижения цели обработки (сессионные cookies удаляются после сеанса).
По истечении сроков ПДн уничтожаются или обезличиваются.
5.3. Передача ПДн третьим лицам. Оператор вправе передавать ПДн для достижения целей обработки:
- Курьерским службам (для доставки заказов);
- Платежным агрегаторам (для обработки платежей онлайн);
- IT-провайдерам (хостинг, поддержка Сайта, CRM);
- Маркетинговым агентствам (только при наличии согласия субъекта на маркетинг).
5.4. Использование Сайта и файлов cookie.
- Сайт https://kristishop.ru/ использует файлы cookie и аналогичные технологии.
- Типы cookie:
- Необходимые (essential). Обеспечивают работу Сайта (корзина, авторизация). Не требуют согласия.
- Предпочтений (preferences). Запоминают выбор пользователя (язык, валюта).
- Маркетинговые (marketing). Используются для таргетированной рекламы (сайт https://kristishop.ru/).
- Статистические (analytics). Собирают обезличенные данные о посещаемости (Google Analytics, Яндекс.Метрика).
Для получения дополнительных сведений о сборе данных сервисом Яндекс.Метрика ознакомьтесь с документом «Условия использования сервиса Яндекс.Метрика» по адресу http://legal.yandex.ru/metrica_termsofuse/, а также «Политикой конфиденциальности персональной информации» этой компании по адресу: http://legal.yandex.ru/confidential/.
-
-
- Программы, которые используются в мобильном приложении
-
AppMetrica - программа для отслеживания аналитики мобильных приложений, разработанная ООО «ЯНДЕКС» (Политика конфиденциальности https://yandex.com/legal/metrica_termsofuse/) c помощью которого осуществляется сбор анонимных (без привязки к персональным данным посетителей мобильного приложения) данных, связанных с:
- Действиями, предшествующими оформлению заказа (выбор города, просмотр Товара, добавление Товара в корзину, добавление дополнительных позиций в Товар, просмотр / добавление рекомендованных Товаров в корзине, применение промокода и время совершения этих действий;
- Характеристиками заказа (состав заказа, его стоимость и время оформления, способ доставки (курьер / самовывоз) и адреса доставки, способ оплаты, время оформления заказа);
- Отменой заказа и ошибками, возникающими во время оформления Товара (время показа ошибки и ее текст);
- Иные данные: название платформы и ее версия.
-
- При первом посещении Сайта пользователь видит баннер с запросом согласия на использование файлов cookie (кроме необходимых). Пользователь может управлять настройками cookies через браузер или интерфейс Сайта. Отключение cookies может ограничить функциональность Сайта.
-
Сбор технических данных (IP, User-Agent) необходим для безопасности Сайта, анализа ошибок и трафика.
5.5. Онлайн-формы. Все формы на Сайте (заказ, обратная связь, оформление заявки на оказание услуг содержат ссылку на настоящую Политику и поле для явного согласия на обработку ПДн).
6. СВЕДЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных Закона № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.
6.2. Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:
6.2.1. Устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;
6.2.2. Производит оценку вреда, который может быть причинен Пользователям в случае нарушения Закона № 152-ФЗ;
6.2.3. Производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
6.2.4. Применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;
6.2.5. Осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6.2.6. Производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;
6.2.7. Осуществляет внутренний контроль соответствия обработки персональных данных Закона № 152-ФЗ, принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора.
7. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ
Оператор: ООО «Кристи Косметикс»
- Юридический адрес: 115191, г. Москва, ул. Серпуховский вал, д. 21, корпус 4, пом. XXXIII
7.2. Официальный сайт: https://kristishop.ru/
Раздел Политики конфиденциальности. Полный URL: https://kristishop.ru/pages/politika-konfidentsialnosti.
7.3. Уведомление Роскомнадзора: Оператор внесен в реестр операторов, осуществляющих обработку ПДн (Реестр доступен: https://pd.rkn.gov.ru/operators-registry/; (https://pd.rkn.gov.ru/operators-registry/)).
База данных, содержащая персональные данные Пользователей – граждан Российской Федерации, находится на территории Российской Федерации.
7.4. Оператор имеет право вносить изменения в Политику. Положения Политики подлежат актуализации в случае изменения законодательства Российской Федерации о персональных данных. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.
7.5 Оператор вправе вносить изменения в Политику без уведомления субъектов персональных данных, в частности Пользователей.
7.6. Политика действует бессрочно до ее замены новой редакцией. Политика пересматривается ежегодно для поддержания в актуальном состоянии.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Настоящая Политика является общедоступной и размещена на сайте https://kristishop.ru/.
8.2. Контроль исполнения Политики осуществляет ответственный за обработку ПДн.
8.3. Сотрудники Оператора, работающие с ПДн, ознакомлены с положениями настоящей Политики и законодательства под подпись.
8.4. Политика пересматривается не реже одного раза в три года, а также при изменении законодательства (особенно в области ПДн) или процессов обработки в Компании.
8.5. Актуальная редакция Политики всегда доступна по ссылке: [https://kristishop.ru/pages/politika-konfidentsialnosti];
8.6. Оператор регулярно проводит мониторинг законодательных рисков и отслеживает изменения законодательства о ПДн;
8.7. Оператор осуществляет обработку персональных данных после заполнения Согласия (см. Приложение № 1 к настоящей Политике).