Политика конфиденциальности в области обработки и обеспечения безопасности персональных данных

Политика конфиденциальности в области обработки и обеспечения безопасности персональных данных

Политика конфиденциальности
в области обработки и обеспечения безопасности персональных данных

1. Термины и определения
1.1. Оператор — Общество с ограниченной ответственностью «Вкусные технологии» ИНН 2465359759 ОГРН 1242400003780 Юридический адрес: 426006, Удмуртская Республика, г Ижевск, проезд Им Дерябина, зд. 3, офис 221/2
Оператор организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
1.2. Сервис – ресурсы Оператора в сети «Интернет», доступ к которым осуществляется по доменному имени https://sushiwok.ru, либо с использованием мобильного приложения «Суши Wok».
1.3. Пользователь — физическое дееспособное лицо, пользующееся Сервисом (субъект персональных данных).
1.4. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу - Пользователю Сервиса (субъекту персональных данных).
1.5. Конфиденциальность персональных данных — обязательное для соблюдения Оператором требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.6. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.7. Обработка персональных данных с использованием средств автоматизации — сбор, хранение и передача персональных данных с помощью средств вычислительной техники.
1.8. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.9. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.10. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.11. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.12. Сookie-файл — это небольшие файлы с данными, которые размещаются (хранятся) на устройстве Пользователя и / или Зарегистрированного пользователя, когда он посещает Сервис, и могут содержать идентификатор Пользователя и / или Зарегистрированного пользователя, сведения об устройстве, браузере, версии приложения. Сookie-файлы могут быть как «сеансовые», так и «постоянные».

2. Общие положения
2.1. Настоящие Положения о политике конфиденциальности (далее — Положение) является официальным документом общества с ограниченной ответственностью «Вкусные технологии», и определяет порядок обработки и защиты информации о физических лицах (далее — Пользователи), пользующихся сервисами, информацией, услугами, программами (в т.ч. программами лояльности) и продуктами интернет-магазина, расположенного на доменном имени sushiwok.ru (далее — Сайт), а также в мобильных приложениях Суши Wok (далее - Приложение). Деятельность, связанная с обработкой персональных данных и информацией о пользователях Сайта и Приложения, регулируются настоящим Положением, иными официальными документами Компании и действующим законодательством РФ.
2.2. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), иных федеральных законов, регулирующих вопросы обработки персональных данных, а также принятых во их исполнение подзаконных нормативных правовых актов.
2.3. Целью настоящей Политики конфиденциальности является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, от несанкционированного доступа и разглашения.
2.4. Настоящая Политика вступает в силу с момента ее опубликования и действует бессрочно, до замены ее новой Политикой. Оператор вправе в одностороннем порядке изменять условия Политики.
2.5. Действие Политики распространяется на все персональные данные субъектов персональных данных, указанных в Разделе 4 Политики, обрабатываемые в Операторе с применением средств автоматизации и без применения таких средств
2.6. Обработка персональных данных пользователей осуществляется с согласия субъекта персональных данных на обработку его персональных данных, а также без получения согласия в случаях, предусмотренных законодательством Российской Федерации. В случае, если субъект персональных данных возражает против обработки персональных данных Оператором в соответствии с Политикой, субъект персональных данных вправе отказаться от использования Сервиса и / или Сервиса и / или направить соответствующее обращение в адрес Оператора. В таком случае предоставление функционала Сервиса и / или Сервиса, включая регистрацию личного кабинета, осуществляться не будет
2.7. Ввиду того, что текст Политики находится в свободном доступе в сети «Интернет», субъекту персональных данных необходимо самостоятельно следить за изменениями, вносимыми в Политику. В случае противоречия общедоступная версия Политики имеет приоритет
2.8. Настоящая Политика распространяется на персональные данные, полученные как до, так и после ввода в действие настоящей Политики.
2.9. Внутренний контроль за исполнением требований Политики осуществляется лицом назначенным Оператором ответственным за организацию обработки персональных данных.
2.10. Заполняя соответствующие веб-формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с Политикой конфиденциальности.
2.11. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом.
2.12. Порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах персональных данных, разрабатывается в соответствии с Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» и закрепляется в Правилах по уничтожению и обезличиванию персональных данных Оператора.

3. Цели обработки персональных данных
3.1. Сервис собирает и хранит только те персональные данные Пользователя, которые необходимы для предоставления сервисов или исполнения соглашений и договоров с Пользователем, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональных данных в течение определенного законом срока.
3.2. Персональные данные Пользователя Сервис обрабатывает в следующих целях:
- Оказание Услуг Пользователю, в том числе в целях получения Пользователем таргетированной рекламы;
- Регистрации Пользователя на Сервисе;
- Идентификация Пользователя;
- Взаимодействие с Пользователем;
- Направление Пользователю (при получении его согласия) рекламных материалов, информации и запросов, в том числе push-уведомлений;
- Проведение статистических и иных исследований
3.3. Обработка персональных данных Оператором также может осуществляться для целей, указываемых в согласии на обработку персональных данных в форме сбора данных или в интерфейсе Сервиса при получении такого согласия, например, для целей направления маркетинговых сообщений или для связи с Пользователем по его инициативе.

4. Обрабатываемые персональные данные
4.1. Заполняя соответствующие веб-формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с Политикой конфиденциальности.
4.2. Персональные данные, разрешённые к обработке в рамках Политики конфиденциальности, не являются специальными или биометрическими, предоставляются Пользователем путём заполнения специальных форм на Сервисе. Сервис хранит Персональные данные Пользователей не дольше, чем этого требуют цели обработки Персональных данных. В зависимости от заполняемой Пользователем веб-формы, данные включают в себя следующую информацию:
- фамилию, имя, отчество;
- дата рождения;
- контактный телефон;
- адрес электронной почты (e-mail);
- адрес доставки;
- IP-адрес пользователя,
- идентификатор пользователя или контакт (email/телефон)
- аудиозапись телефонных переговоров (запись голоса);
4.3. В Сервисе может проводиться пассивный сбор статистических данных о пользователе, включая:
- посещенные страницы;
- количество посещений страниц;
- длительность пользовательской сессии;
- точки входа (сторонние сайты, с которых пользователь по ссылке переходит на Сайт Компании);
- точки выхода (ссылки на Сайте и в Приложении Компании, по которым пользователь переходит на сторонние сайты);
- страна пользователя;
- регион пользователя;
- провайдер пользователя;
- браузер пользователя;
- системные языки пользователя;
- ОС пользователя;
- разрешение экрана пользователя;
- количество цветов экрана пользователя;
- Сеансовые cookie-файлы;
4.4. Предоставляя свои персональные данные, Пользователь соглашается с тем, что предоставленные им персональные данные будут обрабатываться Оператором как с использованием средств автоматизации, так и без использования таких средств
4.5. Данные могут быть получены с помощью различных методов, например, файлов cookies и файловых веб-маяков и др. Сервис может использовать сторонние интернет-сервисы для организации сбора статистических персональных данных, сторонние интернет-сервисы обеспечивают хранение полученных данных на собственных серверах. Сервис не несет ответственности за локализацию серверов сторонних интернет-сервисов. Сервис не проводит сопоставление информации, предоставляемой пользователем самостоятельно и позволяющей идентифицировать субъекта персональных данных, со статистическими персональными данными, полученными в ходе применения подобных пассивных методов сбора информации.
4.6. Персональные данные также могут быть использованы для внутренних целей Компании, таких как: проведение аудита, анализ данных и различных исследований в целях улучшения продуктов и услуг Компании, а также взаимодействие с потребителями.
4.7. Сookie-файлы
4.7.1. Сервис вправе использовать технологию «cookie» для сохранения информации об IP-адресе посетителей и Пользователей Сайта. «Cookie» не используются для сохранения конфиденциальной информации о посетителях и Пользователях Сайта и не направлены на установление личности Посетителя и Пользователей Сайта. Вся информация, которая собирается и анализируется, анонимна.
4.7.2. Использование технологии «cookie» представляет собой размещение на Сайте определенного набора символов (знаков), которые сохраняются на Устройстве Пользователей Сайта при доступе к определенным местам Сайта
4.8. Согласие на использование cookie
4.8.1. Управлять cookie-файлами Пользователь может через настройки веб-браузера. Таким образом, у него есть возможность разрешить использование всех cookie-файлов, интегрированных в страницы или заблокировать cookie-файлы, а также включить использование cookie-файлов по запросу, принимать или отклонять cookie-файлы. Управление cookie-файлами различается в зависимости от используемого браузера.
4.8.2. Применяя технологию cookie, Оператор не хранит и не использует никакие конкретные данные о Пользователях Сервиса. Оператор обращает внимание, что Пользователь вправе настроить браузер на отказ от регистрации обращений к Сервису или на предупреждения о запросах на подобную регистрацию.
4.9. Цели применения Сервисом технологии «cookie»:
- аналитическая деятельность по исследованию предпочтений Пользователей Сервиса;
- статистика по активности Пользователей Сервиса;
- повышение производительности и эффективности Сервиса;
- аналитика и исправление ошибок Сервиса, улучшение работы всех ресурсов Сервиса;
- безопасность и целостность ресурсов Сервиса.

5. Условия обработки, хранения и использования персональных данных
5.1. Оператор осуществляет обработку и обеспечивает безопасность персональных данных для осуществления возложенных на Оператор законодательством Российской Федерации функций, полномочий и обязанностей в том числе, но не ограничиваясь, в соответствии с Конституцией Российской Федерации, федеральными законами, в частности Законом, подзаконными актами, другими определяющими случаи и особенности обработки указанных персональных данных федеральными законами Российской Федерации, а также Гражданским кодексом Российской Федерации, Законом РФ № 2300-1 от 7 февраля 1992 г. «О защите прав потребителей», а также уставом и локальными актами Оператора.
5.2. Оператор осуществляет обработку персональных данных с использованием средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ, распространение), обезличивание, блокирование, удаление, уничтожение персональных данных в сроки, необходимые для достижения целей обработки персональных данных.
5.3. Обработка персональных данных Субъектов персональных данных осуществляется на основании пользовательских документов Сервиса, если при их сборе не указано иное, а также если иное не предусмотрено законодательством Российской Федерации, и необходима для исполнения договора (пользовательских документов Сервиса), стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем в соответствии с п. 5 ч. 1 ст. 6 ФЗ № 152-ФЗ от 27.07.2006 «О персональных данных» (далее – Закон) в течение срока использования Сервиса в качестве Пользователя, а также в течение срока исковой давности, т.е. в течение трех (3) лет после удаления личного кабинета на Сервисе на основании п. 7 ч. 1 ст. 6 Закона. После удаления личного кабинета Пользователя иная обработка данных, не связанная с хранением в целях п. 7 ч. 1 ст. 6 Закона, не осуществляется Оператором, а по истечении срока исковой давности при условии отсутствия претензий субъекта и иных основания для обработки персональных данных такие персональные данные уничтожаются.
5.4. Оператор не осуществляет обработку специальных категорий персональных данных и биометрических персональных данных за исключением случаев, когда обработка персональных данных обусловлена текущими задачами бизнеса, при обязательном согласии субъекта персональных данных на обработку персональных данных, или является необходимой в соответствии с требованиями законодательства Российской Федерации.
5.5. Оператор вправе поручить обработку персональных данных третьим лицам — обработчикам — на основании заключаемых с этими лицами договоров и при наличии соответствующего правового основания. В случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность за безопасность персональных данных и выполнение требований Закона перед Оператором.
5.6. Лица, осуществляющие обработку персональных данных на основании заключаемого с Оператором договора (поручения оператора), по условиям заключенных с ними договоров обязуются соблюдать принципы, правила обработки и защиты персональных данных, предусмотренные действующим законодательством.
5.7. Оператор вправе поручить обработку персональных данных, либо осуществить передачу персональных данных, указанных в разделе 3 настоящей Политики, третьим лицам исключительно при наличии надлежащих оснований обработки, а также при условии, что данные будут передаваться в объеме, минимально необходимом для достижения указанных целей, и третьи лица примут меры, направленные на соблюдение требований по обеспечению безопасности персональных данных для достижения целей, указанных в разделе 3 настоящей Политики, в частности для оплаты, доставки и возврата товаров или денежных средств, предоставления возможности заключения соглашений с третьими лицами по инициативе субъекта персональных данных.
5.8. Поручение обработки и передача персональных данных осуществляются на основании договоров, заключаемых Оператором со следующими третьими лицами: юридические лица, оказывающие услуги Оператору, в том числе по обеспечению безопасности, доставке товаров; продавцы товаров и услуг, если это необходимо для получения заказа Пользователем. Поручение обработки и передача персональных данных осуществляются в случаях, предусмотренных договорами, по которым субъект персональных данных является стороной, выгодоприобретателем или поручителем, в частности, согласно Правилам пользования Сервиса, а также — иным пользовательским документам Сервиса, доступным в интерфейсе Сервиса.
5.9. Оператор обязывает лиц, допущенных к обработке персональных данных, не раскрывать третьим лицам и не распространять персональные данные без надлежащих правовых оснований, если иное не предусмотрено федеральным законом.
5.10. Порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах персональных данных, определяются Оператором в своих внутренних документах и локальных нормативных актах.
5.11. Оператор не проверяет (не имеет возможности проверить) актуальность и достоверность предоставляемой субъектами персональных данных сведений, полученных посредством Сервиса. Оператор исходит из того, что субъекты персональных данных предоставляют достоверные и достаточные персональные данные и поддерживают их в актуальном состоянии.
5.12. Оператор не контролирует соблюдение условий конфиденциальности и обработки персональных данных субъектов персональных данных владельцами или пользователями других Сервисов, на которые субъект персональных данных может перейти по ссылкам, доступным на Сервисе, и не несет ответственность за действия или бездействия владельцев или пользователей таких Сервисов в области обработки персональных данных и соблюдения конфиденциальности.
5.13. Представители уполномоченных органов власти (в том числе, контролирующих, надзорных, правоохранительных, дознания и следствия) получают доступ к персональным данным, обрабатываемым в Операторе, в объеме и порядке, установленном законодательством Российской Федерации.
5.14. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с требованиями законодательства Российской Федерации и внутренними документами. Обеспечение безопасности персональных данных и выполнение Оператором обязанностей, в соответствии с Законом достигается, в том числе:
- Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
- Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований по защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
- Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
- Назначением лица, ответственного за организацию обработки персональных данных.
- Изданием Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на Оператор не предусмотренные законодательством Российской Федерации полномочия и обязанности.
- Осуществлением внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политику Оператора в отношении обработки персональных данных, внутренним документам Оператора.
- Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
- Оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.
- Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
- Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
5.15. Оператор прекращает обработку персональных данных и уничтожает их в случаях:
- ликвидации Оператора;
- реорганизации Оператора, влекущей прекращение его деятельности;
- прекращения правовых оснований обработки персональных данных и/или достижения целей обработки персональных данных;
- отзыва согласия субъекта персональных данных на обработку персональных данных.
5.16. Хранение персональных данных осуществляется Оператором в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных и в соответствии с положениями Закона.
5.17. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом.
5.18. Порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах персональных данных, разрабатывается в соответствии с Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» и закрепляется в Правилах по уничтожению и обезличиванию персональных данных Оператора.

6. Права субъектов персональных данных
6.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом;
- требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
- обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
6.2. Контактные данные для обращения субъектов персональных данных: client@delicioustechnology.ru