Термины и определения
В настоящей Политике используются следующие термины:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор — Индивидуальный предприниматель Олина-Митрошкина Полина Андреевна, самостоятельно или совместно с другими лицами организующая обработку персональных данных.
— Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются Оператором (заказчик, контрагент).
Сайт — интернет-ресурс, расположенный по адресу simplement.studio.
Файлы cookie — небольшие текстовые файлы, которые сохраняются на устройстве пользователя при посещении Сайта для обеспечения его работы и анализа использования.
Интернет-эквайринг — технология приема платежей через интернет с использованием платежных систем.
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана Индивидуальным предпринимателем Олиной-Митрошкиной Полиной Андреевной (ИНН 781 603 393 699, ОГРН 322 784 700 356009, адрес: 196 084, г. Санкт-Петербург, пр-кт. Московский, дом 73, корп. 5, кв. 1580), далее — Оператор, в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 года.
1.2. Политика определяет порядок и условия обработки персональных данных заказчиков, обращающихся через сайт simplement.studio (далее — Сайт) или заключающих договор на оказание услуг с Оператором, а также контрагентов, участвующих в деятельности Оператора. Политика разработана и опубликована для обеспечения неограниченного доступа в соответствии со статьей 18.1 Федерального закона № 152-ФЗ.
1.3. Цель Политики — обеспечение защиты прав и свобод субъектов персональных данных при обработке их данных Оператором в соответствии с законодательством Российской Федерации, включая защиту права на неприкосновенность частной жизни, личную и семейную тайну.
2. Законные основания обработки данных
2.1. Обработка персональных данных осуществляется на следующих основаниях в соответствии со статьей 6 Закона № 152-ФЗ:
— согласие субъекта персональных данных на обработку его данных (статья 9);
— исполнение договора, стороной которого является субъект персональных данных (пункт 5 части 1);
— выполнение обязанностей, возложенных на Оператора законодательством Российской Федерации (пункт 2 части 1).
2.2. Обработка также может осуществляться для осуществления правосудия, исполнения судебных актов или в иных случаях, предусмотренных законодательством РФ, если это необходимо для защиты прав Оператора или третьих лиц при условии ненарушения прав субъекта.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.2. Обработка ограничивается достижением конкретных, заранее определенных и законных целей; несовместимая с этими целями обработка не допускается.
3.3. Объединение баз данных, содержащих персональные данные для несовместимых целей, не допускается.
3.4. Обрабатываются только те данные, которые соответствуют целям их обработки; избыточность данных не допускается.
3.5. Обеспечивается точность, достаточность и актуальность данных; неточные или неполные данные уточняются или удаляются.
3.6. Хранение данных осуществляется не дольше, чем требуют цели обработки, если иное не установлено законом или договором.
4. Цели обработки персональных данных
4.1. Оператор обрабатывает персональные данные в следующих целях:
— предоставление консультаций и обратной связи по запросам заказчиков, оставленным через форму на Сайте;
— заключение и исполнение договоров на оказание услуг по разработке дизайн-проектов интерьеров с заказчиками;
— формирование и предоставление заказчикам платежных ссылок для оплаты услуг через интернет-эквайринг;
— обработка платежей за оказанные услуги с участием третьих лиц (платежных систем);
— связь с заказчиками для уточнения деталей заказа, согласования условий договора и предоставления информации об услугах;
— заключение и исполнение договоров с контрагентами (например, исполнителями, поставщиками), участвующими в реализации услуг Оператора;
— выполнение требований законодательства Российской Федерации, включая ведение бухгалтерского и налогового учета;
— анализ посещаемости и улучшение работы Сайта с использованием файлов cookie через сервис Яндекс.Метрика.
5. Перечень обрабатываемых персональных данных
5.1. Оператор обрабатывает следующие персональные данные:
— фамилия, имя, отчество заказчиков и контрагентов;
— номер телефона заказчиков и контрагентов;
— адрес электронной почты заказчиков и контрагентов;
— адрес доставки или иной адрес заказчиков (при необходимости для исполнения договора);
— данные об оплате заказчиков (включая реквизиты платежных средств, предоставленные через платежные системы);
— данные, предоставленные контрагентами для заключения и исполнения договоров (например, паспортные данные, банковские реквизиты);
— иные данные, добровольно предоставленные субъектом через форму обратной связи или при заключении договора;
— технические данные, собираемые с помощью файлов cookie (IP-адрес, тип устройства, браузер, данные о поведении на Сайте).
5.2. Обработка осуществляется в объеме, необходимом для достижения целей, указанных в пункте 4 настоящей Политики.
6. Порядок и условия обработки персональных данных
6.1. Обработка персональных данных включает следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
6.2. Обработка осуществляется:
— автоматизированным способом (например, через Сайт, платежные системы, аналитические сервисы);
— неавтоматизированным способом (например, вручную на бумажных носителях или в электронных файлах без использования внутренней сети, с передачей данных по сети Интернет, такой как отправка платежных ссылок или документов по электронной почте).
6.3. Персональные данные собираются:
— через форму обратной связи на Сайте от заказчиков;
— при предоставлении данных заказчиками для заключения договора и оплаты услуг;
— при предоставлении данных контрагентами для заключения и исполнения договоров;
— автоматически с использованием файлов cookie при посещении Сайта.
6.4. Специфика расчетов: Оператор формирует платежные ссылки для оплаты услуг на основе данных, предоставленных заказчиком, и передает их через интернет-эквайринг (например, через ООО «Банк Точка») по сети Интернет.
7. Использование файлов cookie
7.1. Сайт использует файлы cookie — небольшие текстовые файлы, сохраняемые на устройстве пользователя для улучшения работы Сайта и анализа его использования.
7.2. Категории cookie:
— Обязательные: необходимы для работы Сайта (например, сохранение сессии).
— Аналитические: используются для сбора статистики через Яндекс.Метрику в обезличенной форме.
— Функциональные: улучшают удобство использования (например, запоминание предпочтений).
7.3. Данные, собираемые через cookie: IP-адрес, тип устройства, операционная система, браузер, страницы, посещенные на Сайте, время и дата посещения.
7.4. Пользователь может отключить cookie в настройках браузера, что может ограничить функциональность Сайта. Продолжая использовать Сайт без изменения настроек, пользователь соглашается с использованием cookie.
8. Передача персональных данных третьим лицам
8.1. Оператор вправе передавать персональные данные следующим третьим лицам на территории Российской Федерации:
— платежным системам и банкам (например, ООО «Банк Точка») для обработки платежей по договору с заказчиками;
— курьерским службам (при необходимости доставки документов или результатов работы заказчикам);
— аналитическим сервисам Яндекс.Метрика (ООО «Яндекс», РФ) для обработки данных о посещаемости Сайта в обезличенном виде;
— контрагентам, участвующим в исполнении договоров с заказчиками или Оператором (например, исполнителям дизайн-проектов).
8.2. Передача данных осуществляется при условии соблюдения третьими лицами требований законодательства РФ о защите персональных данных и заключения соглашений о конфиденциальности.
8.3. Трансграничная передача персональных данных за пределы Российской Федерации не осуществляется.
9. Срок обработки и хранения персональных данных
9.1. Персональные данные обрабатываются и хранятся в течение срока, необходимого для достижения целей обработки, либо до отзыва согласия субъектом, если иное не предусмотрено законодательством РФ.
9.2. Данные, собранные через Яндекс.Метрику, хранятся до 24 месяцев, после чего обезличиваются или удаляются.
9.3. После достижения целей обработки или отзыва согласия данные уничтожаются в течение 30 дней путем стирания с электронных носителей и уничтожения бумажных копий, за исключением случаев, когда хранение требуется законом (например, 4 года для налоговых документов согласно статье 23 НК РФ).
10. Права и обязанности Оператора
10.1. Оператор имеет право:
— получать от субъекта достоверные данные;
— продолжать обработку данных без согласия при наличии оснований, указанных в Законе № 152-ФЗ (например, исполнение договора или закона);
— определять меры для выполнения обязанностей по защите данных.
10.2. Оператор обязан:
— предоставлять субъекту информацию об обработке его данных по запросу;
— организовать обработку в соответствии с законодательством РФ;
— отвечать на запросы субъектов и их представителей в течение 10 рабочих дней (статья 14 Закона № 152-ФЗ);
— сообщать в Роскомнадзор необходимую информацию по запросу в течение 10 дней;
— обеспечивать неограниченный доступ к Политике;
— принимать меры для защиты данных;
— прекратить обработку и уничтожить данные при отзыве согласия или достижении целей, если иное не предусмотрено законом.
11. Права и обязанности субъектов персональных данных
11.1. Субъекты имеют право:
— получать информацию об обработке своих данных (статья 18 Закона № 152-ФЗ);
— требовать уточнения, блокирования или уничтожения данных, если они неточны, неполны или незаконны (статья 14);
— отозвать согласие на обработку;
— обжаловать действия Оператора в Роскомнадзоре или суде (статья 17).
11.2. Субъекты обязаны:
— предоставлять достоверные данные;
— сообщать об уточнении своих данных.
12. Меры по защите персональных данных
12. Меры по защите персональных данных
12.1. Оператор принимает следующие меры, предусмотренные статьей 19 Федерального закона № 152-ФЗ «О персональных данных», для обеспечения безопасности персональных данных при их обработке:
— издание Оператором документов, определяющих политику в отношении обработки персональных данных, включая настоящую Политику, которая публикуется на Сайте для обеспечения неограниченного доступа;
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с законодательством Российской Федерации;
— осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам;
— определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее — ИСПДн);
— обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, включая обнаружение, предупреждение и ликвидацию последствий компьютерных атак на ИСПДн, а также реагирование на компьютерные инциденты в них;
— контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.
12.2. Средства обеспечения безопасности персональных данных включают:
— определение угроз безопасности персональных данных при их обработке в ИСПДн с использованием моделей актуальных угроз и выполнение мер по их нейтрализации (например, ограничение доступа к данным, регулярное обновление программного обеспечения);
— учет машинных носителей персональных данных (например, регистрация используемых устройств и внешних накопителей);
— контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн путем периодической проверки процессов обработки;
— ограничение доступа посторонних лиц в помещения, предназначенные для обработки персональных данных, путем физической защиты рабочего пространства Оператора.
Шифровальные (криптографические) средства для защиты данных не применяются, так как обработка осуществляется с использованием общедоступных средств защиты, соответствующих уровню угроз.
12.3. Ответственным за организацию обработки персональных данных является Оператор — Олина-Митрошкина Полина Андреевна, которая:
— обеспечивает выполнение требований законодательства РФ в области персональных данных;
— организует разработку и реализацию мер по защите персональных данных;
— контролирует соблюдение порядка обработки данных третьими лицами, которым данные передаются в соответствии с пунктом 8 настоящей Политики.
12.4. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации:
— Обработка персональных данных осуществляется в соответствии с Постановлением Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», с учетом уровня значимости обрабатываемых данных и актуальных угроз;
— Оператор применяет меры, обеспечивающие безопасность персональных данных на уровне, соответствующем категории ИСПДн, определяемой в зависимости от объема данных и потенциального вреда субъектам;
— Применяемые меры включают использование сертифицированного программного обеспечения (при необходимости), ограничение доступа к данным, учет носителей и контроль за соблюдением требований, что исключает необходимость применения шифровальных средств для данного уровня обработки;
— Оператор обеспечивает регулярное обновление мер защиты при изменении характера угроз или законодательства РФ.
12.5. Оператор и иные лица, получившие доступ к персональным данным, обязаны обеспечивать их конфиденциальность и не раскрывать данные третьим лицам без согласия субъекта, за исключением случаев, предусмотренных законодательством РФ или настоящей Политикой.
13. Отзыв согласия на обработку персональных данных
13.1. Субъект вправе отозвать согласие, направив уведомление по адресу: 196 084, г. Санкт-Петербург, пр-кт. Московский, дом 73, корп. 5, кв. 1580, или на email: welcome@simplement.studio с пометкой «Отзыв согласия».
13.2. Обработка прекращается в течение 30 дней, если иное не требуется законом.
14. Контакты и надзорный орган
14.1. Контакты Оператора:
— Email: welcome@simplement.studio
— Адрес: 196 084, г. Санкт-Петербург, пр-кт. Московский, дом 73, корп. 5, кв. 1580
14.2. Надзорный орган: Роскомнадзор, адрес: 109 074, Москва, Китайгородский пр-д, д. 7, стр. 2, сайт: rkn.gov.ru.
15. Заключительные положения
15.1. Использование Сайта или предоставление данных для договора означает согласие с Политикой там, где требуется явное согласие.
15.2. Отказ от предоставления данных или отзыв согласия может сделать невозможным исполнение договора или консультации через Сайт.
15.3. Оператор вправе вносить изменения в Политику, публикуя новую версию на Сайте. Продолжение использования Сайта означает принятие изменений.
15.4. Политика действует с момента размещения на Сайте и бессрочна, если не заменена новой версией.