Соглашение на обработку персональных данных

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПЕРЕЧЕНЬ ТЕРМИНОВ И СОКРАЩЕНИЙ

Оператор	-	Общество с ограниченной ответственностью «ТОРГОВЫЙ ДОМ ДРЕВПЛИТ ГРУПП» (ООО «ТД ДРЕВПЛИТ ГРУПП»), ОГРН 1163328060598, ИНН 3327133491, КПП 332701001, юридический адрес: 600033, Владимирская область, г. Владимир, ул. Мостостроевская, д. 9, офис 1.
Политика	-	настоящая Политика обработки персональных данных, расположенная по адресу https://xn--b1acbeqr1adacgwp.xn--p1ai/include/licenses_detail.php.
ПДн	-	персональные данные: любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)
Субъект	-	Субъект ПДн, человек (физическое лицо), которому принадлежат персональные данные и которого по ним можно определить.
ФЗ	-	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Сайт	-	совокупность информации, текстов, графических элементов, дизайна, изображений, фото- и видеоматериалов, иных результатов интеллектуальной деятельности, а также программных средств для ЭВМ, обеспечивающих публикацию информации и данных с общим целевым назначением для всеобщего обозрения посредством технических средств связи сети Интернет; размещен по адресу https://древплитгрупп.рф/.
Автоматизированная обработка ПДн	-	обработка ПДнс помощью средств вычислительной техники.
Биометрические ПДн	-	физиологические данные человека, в том числе его изображение (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта
Блокирование ПДн	-	временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн)
ИСПДн	-	Информационная система ПДн, совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий, и технических средств
Обезличивание ПДн	-	действия, в результате которых невозможно определить без использования дополнительной информации принадлежность ПДн конкретному Пользователю или иному субъекту ПДн.
Обработка ПДн	-	любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств. Обработка ПДн включает в себя в том числе: ·         запись; ·         систематизацию; ·         накопление; ·         хранение; ·         уточнение (обновление, изменение); ·         извлечение; ·         использование; ·         передачу (распространение, предоставление, доступ); ·         обезличивание; ·         блокирование; ·         удаление; ·         уничтожение.
ПДн, разрешенные Субъектом для распространения	-	персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом ПДнпутем дачи согласия на обработку ПДн, разрешенных Субъектом для распространения в порядке, предусмотренном ФЗ.
Пользователь		любое лицо, имеющее доступ к Сайту посредством сети Интернет.
Предоставление ПДн	-	действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Распространение ПДн	-	любые действия, направленные на раскрытие ПДн неопределенному кругу лиц (передача ПДн данных) или на ознакомление с ПДн неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.
Трансграничная передача ПДн	-	передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
Уничтожение ПДн	-	любые действия, в результате которых ПДн уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания ПДн в ИС ПДн и (или) уничтожаются материальные носители ПДн.
Электронный адрес Оператора	-	адрес электронной почты info@drevplitgroup.ru, предназначенный для: ·         отзыва согласий; ·         направления претензий; ·         запросов технической поддержки; ·         направления иных обращений, касающихся обработки ПДн.
IP-адрес	-	уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
Cookie	-	небольшие текстовые файлы, которые после просмотра Пользователем фрагментов Сайта сохраняются на его устройстве. Cookie позволяют определить, был ли конкретный компьютер (и, вероятно, его Пользователь) на Сайте ранее.
CRM-система	-	информационная система, используемая Оператором для управления взаимодействием с клиентами, обработки заявок, хранения данных о сделках и контактах.
Яндекс.Метрика	-	бесплатный интернет-сервис компании Яндекс, предназначенный для оценки посещаемости веб-сайтов и анализа поведения пользователей.
Оператор ЭДО	-	организация, обеспечивающая юридически значимый электронный документооборот между Оператором и его контрагентами.

1.           ОБЩИЕ ПОЛОЖЕНИЯ

1.1.      Настоящий документ (далее – Политика обработки ПДн, Политика) устанавливает цели, принципы и условия обработки ПДн физических лиц- субъектов ПДн.

1.2.      Политика распространяется на все виды обработки ПДн, осуществляемые Оператором, включая, но не ограничиваясь: сбор ПДн через формы обратной связи и подписки на Сайте, получение ПДн через электронную почту, мессенджеры (WhatsApp, VK, Telegram), обработку ПДн для заключения и исполнения договоров, обработку обезличенных данных с помощью сервисов веб-аналитики, осуществление рекламных и маркетинговых рассылок.

1.3.      Политика разработана в соответствии с: 

·         Статьями 23 и 24 Конституции Российской Федерации; 

·         Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

·         Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 

·         Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

·         законодательными и иными нормативно-правовыми актами Российской Федерации в области ПДн.

1.4.      Политика не регулирует обработку ПДн сотрудников, т.к. Оператор обрабатывает ПДн сотрудников в соответствии с отдельными локальными нормативными актами. Политика не охватывает отношения, на которые не распространяется действие ФЗ (п. 2 ст. 1 ФЗ).

1.5.      Использование Сайта признается безусловным согласием Пользователя с условиями настоящей Политики и указанными в ней условиями обработки его персональных данных.

2.           ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПДн

2.1.      Правовыми основаниями обработки ПДн Оператором являются:

·         Гражданский кодекс РФ(Глава 30. Купля-продажа);

·         осуществление прав и обязанностей Оператора в рамках законодательства Российской Федерации;

·         уставные документы Оператора;

·         договоры, заключаемые между Оператором и третьими лицами в целях исполнения обязательств перед Субъектом;

·         согласия Субъектов:

¾    на обработку ПДн;

¾    на использование сервиса Яндекс.Метрика;

¾    на получение рекламных и маркетинговых рассылок;

2.2.      Оператор получает согласие Субъекта на обработку ПДн следующими способами:

·         в электронной форме: через формы на Сайте (регистрация, подписка, обратная связь);

·         путем конклюдентных действий Субъекта: совершение действий, явно свидетельствующих о намерении передать ПДн для обработки в определенных целях (например, заполнение и отправка формы)

2.3.      Согласие считается надлежащим образом предоставленным и действительным с момента совершения Субъектом одновременно следующих действий:

·         проставление специального знака («галочки») в поле принятия Политики конфиденциальности и/или пользовательского соглашения;

·         совершение подтверждающего действия (нажатие кнопки "Подписаться", "Отправить" и т.п.).

2.4.      Перед предоставлением согласия Субъекту в доступной форме предоставляется возможность ознакомиться с полным текстом настоящей Политики. Субъект самостоятельно решает, предоставлять ли свои ПДн, и дает согласие свободно и добровольно.

2.5.      В случае если предоставление ПДн является обязательным в силу закона или необходимо для заключения договора (например, для выставления счета, заключения договора оказания услуг), Оператор обязуется уведомить об этом Субъекта. Если Субъект отказывается предоставить необходимые и достаточные ПДн, Оператор не сможет выполнить необходимые действия для достижения целей обработки. В таком случае Оператор будет вынужден отказать в заключении договора.

2.6.      Оператор получает и начинает обработку ПДн Субъекта с момента возникновения правового основания для обработки.

2.7.      Отдельное, явно выраженное согласие запрашивается Оператором для целей направления рекламных и маркетинговых рассылок.

3.           ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

3.1.      Оператор имеет право:

·         получать от Субъекта достоверные информацию и/или документы, содержащие ПДн;

·         обрабатывать ПДн Субъекта в объеме и для целей, предусмотренных настоящей Политикой и законодательством РФ;

·         в случае отзыва Субъектомсогласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия Субъекта при наличии оснований, указанных в ФЗ;

·         передавать ПДн для обработки третьим лицам, указанным в разделе 9 настоящей Политики, при условии заключения с такими лицами соответствующих соглашений о конфиденциальности и защите ПДн;

·         самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено ФЗ или другими федеральными законами.

3.2.      Оператор обязан:

·         предоставлять Субъектупо его просьбе информацию, касающуюся обработки его ПДн;

·         использовать полученную информацию исключительно для целей, указанных в разделе6 Политики.

·         организовывать обработку ПДн в порядке, установленном действующим законодательством РФ;

·         отвечать на обращения и запросы Субъектов и их законных представителей в соответствии с требованиями ФЗ;

·         сообщать в уполномоченный орган по защите прав Субъектов по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;

·         публиковать или иным образом обеспечивать неограниченный доступ к Политике в отношении обработки ПДн;

·         принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн, в соответствии с требованиями Постановления Правительства РФ №1119 и Приказа ФСТЭК России №21;

·         прекратить обработку и уничтожить ПДн в порядке и случаях, предусмотренных ФЗ;

·         своевременно уведомлять уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, в срок, не превышающий 24 часа с момента обнаружения данного инцидента;

·         исполнять иные обязанности, предусмотренные ФЗ.

 

4.           ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПДн

4.1.      Субъектимеет право:

·         получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются СубъектуОператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлен ФЗ;

·         требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДнявляются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

·         выдвигать условие предварительного согласия при обработке ПДн;

·         на отзыв согласия на обработку ПДн;

·         обжаловать в уполномоченный орган по защите прав Субъектов или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПДн;

·         на осуществление иных прав, предусмотренных законодательством РФ.

4.2.      Субъектобязан:

·         предоставлять Оператору достоверные данные о себе;

·         сообщатьОператору об уточнении (обновлении, изменении) своих ПДн.

4.3.      Оператор не проверяет достоверность ПДн, предоставляемых Субъектом. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом Субъекте ПДн без согласия последнего, несут ответственность в соответствии с законодательством РФ.

4.4.      Субъект ПДн вправе направить Оператору запрос, касающийся обработки его ПДн, включая запрос на отзыв согласия, по электронной почте. Оператор обязан рассмотреть запрос и дать на него ответ в течение 10 (десяти) рабочих дней с момента его получения. В исключительных случаях, связанных с необходимостью предоставления значительного объема информации или проведения сложных процедур проверки, данный срок может быть продлен Оператором, но не более чем на 5 (пять) рабочих дней. О продлении срока Оператор уведомляет Субъекта ПДн.

4.5.      Права субъекта ПДн, предусмотренные разделом 4.1 настоящей Политики, могут быть ограничены в соответствии с федеральными законами. В частности, такие ограничения могут предусматриваться в случаях, если:

·         обработка ПДн осуществляется в целях обеспечения обороны страны и безопасности государства.

·         обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн.

·         доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.

·         обработка ПДн осуществляется на основании иного правового основания, кроме согласия (например, для исполнения договора или закона), и сохранение данных необходимо для реализации целей такой обработки.

5.           ПРИНЦИПЫ ОБРАБОТКИ ПДн

5.1.      Обработка ПДн осуществляется на законной и справедливой основе.

5.2.      При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

5.3.      Хранение ПДн осуществляется в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.4.      Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), удаление, уничтожение ПДнс использованием баз данных, находящихся на территории Российской Федерации. 

6.           ЦЕЛИ ОБРАБОТКИ ПДн

6.1.      Оператор руководствуется конкретными, заранее определенными целями обработки ПДн, в соответствии с которыми ПДн были предоставлены субъектом ПДн.

6.2.      Цели обработки ПДн:

·         подготовка, заключение, исполнение гражданско-правового договора;

·         обработка входящих запросов, направленных через электронную почту, форму обратной связи, онлайн-чат Jivo, мессенджеры, телефонные звонки и иные указанные Оператором каналы связи;

·         сбор статистической информации о действиях пользователей на Сайте с помощью сервиса Яндекс.Метрика.

·         осуществление рекламных и маркетинговых рассылок.

6.3.      Цели обработки ПДн, категория субъектов ПДн, перечень ПДн, способы обработки ПДн, перечень действий с ПДн, сроки обработки и хранения ПДн приведены в табличной части Политики (Приложение № 1).

6.4.      Запрещена обработка ПДн, если она не соответствует целям сбора. Запрещено объединение баз данных, содержащих ПДн, если цели их обработки несовместимы.

6.5.      Содержание обрабатываемых ПДн определяется целями их обработки. Обработка избыточных ПДн относительно установленных целей не допускается.

6.6.          Обработка специальных категорий ПНд, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

6.7.          Обработка ПДн, разрешенных для распространения (указанных в ч. 1 ст. 10 ФЗ) Оператором не осуществляется.

7.           КАТЕГОРИИ СУБЪЕКТОВ ПДн

 

7.1.          К категориям субъектов ПДн относятся физические лица, чьи ПДн обрабатываются Оператором в целях, указанных в разделе 6 настоящей Политики, а именно:

·         физические лица, индивидуальные предприниматели и представители юридических лиц, являющиеся сторонами договоров с Оператором;

·         физические лица – посетители Сайта, направившие запросы через электронную почту, форму обратной связи, онлайн-чат Jivo, мессенджеры, телефонные звонки и иные указанные Оператором каналы связи;

·         исполнение требований налогового, бухгалтерского и иного законодательства Российской Федерации.

·         физические лица – предоставившие согласие на получение рекламных и маркетинговых рассылок;

 

 

8.           СРОК ХРАНЕНИЯ И ОБРАБОТКИ ПДн

8.1.          Условием прекращения обработки ПДн может являться:

·         достижение целей обработки ПДн;

·         отзыв согласия Субъектом;

·         выявление неправомерной обработки ПДн;

·         прекращение деятельности Оператора;

·         истечение установленных законодательством сроков хранения документов, содержащих ПДн (например, для целей налогового учета).

8.2.          Конкретные сроки обработки и хранения ПДн применительно к каждой цели обработки указаны в Приложении №1 к настоящей Политике. По истечении указанных сроков обработка прекращается, и ПДн подлежат уничтожению или обезличиванию, если иное не предусмотрено федеральным законом.

8.3.          Документы, содержащие ПДн, подлежащие хранению в соответствии с законодательством РФ (например, для целей налогового и бухгалтерского учета), хранятся в течение сроков, установленных соответствующими нормативными правовыми актами (как правило, не менее 5 лет после окончания отчетного периода).

9.           СЛУЧАИ ПЕРЕДАЧИ ПДнТРЕТЬИМ ЛИЦАМ

9.1.          Операторможет предоставлять доступ к ПДн третьим лицам с согласия субъектов ПДн, если иное не предусмотрено действующим законодательством Российской Федерации. При этом лицо, которое обрабатывает ПДн по поручению Оператора, соблюдает принципы и правила обработки, а также обеспечивает безопасность ПДн в соответствии с законодательством РФ.

9.2.          Оператор передает ПДн следующим третьим лицам, которые осуществляют их обработку по поручению Оператора на основании заключенных договоров:

·         ООО «Яндекс», юридический адрес: 119021, г. Москва, ул. Льва Толстого, д.16, ИНН 7736207543, ОГРН 1027700229193: сервис Яндекс.Метрика - для анализа поведения пользователей на Сайте с помощью сервиса Яндекс.Метрика;

·         провайдеры CRM-систем – для организации учета клиентов и взаимодействия с ним CRM-система, используемая Оператором (в зависимости от выбора Оператора) – для обработки заявок пациентов, автоматизации и хранения данных;

·         операторы систем электронного документооборота (ЭДО) (в зависимости от выбора Оператора и контрагента) – обеспечение юридически значимого электронного документооборота;

·         провайдеры услуг электронной почты и рассылок – для осуществления рекламных и маркетинговых коммуникаций.

9.3.          Допускается обработка ПДн указанными третьими лицами с использованием и без использования средств автоматизации, а также совершение ими любых действий по обработке ПДн, не противоречащих законодательству РФ.

9.4.          Оператор передает ПДн следующим третьим лицам, которые осуществляют их обработку в качестве самостоятельных операторов:

·         Банки-партнеры и платежные системы – в целях проведения расчетов по договорам, при этом Оператор может получать от банков информацию о расчетных счетах контрагентов (юридических лиц и индивидуальных предпринимателей) для идентификации платежа; 

·         Государственные органы – в случаях, прямо предусмотренных действующим законодательством Российской Федерации.

9.5.          Обработка ПДн, полученных через мессенджеры и электронную почту, осуществляется в рамках предоставленных ими платформ с соблюдением их пользовательских соглашений. Оператор принимает разумные организационные меры для защиты конфиденциальности переписки, однако несет ответственность за безопасность таких данных лишь в пределах, зависящих от его функционала (например, хранение архива переписки на защищенных носителях).

10.            ПЕРЕЧЕНЬ ДЕЙСТВИЙ, ПРОИЗВОДИМЫХ ОПЕРАТОРОМ С ПОЛУЧЕННЫМИ ПДн

10.1.       Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление и уничтожение ПДн.

10.2.       Оператор осуществляет автоматизированную обработку ПДн, включая передачу данных через информационно-телекоммуникационные сети третьим лицам в рамках целей, указанных в Политике.

10.3.       Актуализация ПДн:

Если Пользователь обнаруживает неточности в своих ПДн, он может их исправить, направив запрос на электронную почту Оператора с пометкой «Актуализация ПДн».

10.4.       Блокирование ПДн:

·         при выявлении незаконной обработки Оператор блокирует ПДн с момента получения обращения Субъекта или требования уполномоченного органа. Блокировка действует на время проверки.

·         при обнаружении неточностей Оператор блокирует спорные ПДн до завершения проверки, если это не нарушает права Субъекта или третьих лиц.

10.5.       Уточнение ПДн:

Оператор обязан уточнить ПДн в течение 7 рабочих дней с момента получения подтверждающих документов. После уточнения блокировка снимается

10.6.       Прекращение незаконной обработки ПДн:

Оператор прекращает незаконную обработку в течение 3 рабочих дней с момента выявления нарушения. Если исправление невозможно, ПДн уничтожаются в течение 10 рабочих дней. Субъект уведомляется о принятых мерах.

10.7.       Прекращение обработки ПДнпо требованию:

Оператор прекращает обработку в течение 10 рабочих дней. Исключение составляют случаи, когда обработка данных разрешена законом без согласия Субъекта.

10.8.       Уничтожение ПДн:

Документы с истекшим сроком хранения уничтожаются по решению экспертной комиссии Оператора. Составляются протокол, акт и опись уничтожаемых дел. Акт утверждается руководителем Оператора. Уничтожение электронных данных производится методами, исключающими методами, исключающими восстановление (гарантированное стирание с использованием специального программного обеспечения, низкоуровневое форматирование). Если уничтожение невозможно, данные блокируются на 6 месяцев.

10.9.       Обработка данных в публичных интересах

Запреты на обработку ПДн не действуют, если обработка требуется для государственных, общественных или иных публичных интересов, установленных законодательством РФ.

10.10.   Отзыв согласия на обработку ПДн:

Субъект вправе отозвать согласие, направив запрос на электронный адрес Оператора с пометкой «Отзыв согласия на обработку ПДн». Обработка прекращается в течение 30 дней. Данные уничтожаются в случае отсутствия иных правовых оснований для хранения.

обязан прекратить рассылку в течение 3 рабочих дней с момента получения отказа.

10.11.   Отзыв согласия на использование сервиса Яндекс.Метрика:

Субъект вправе в любой момент отказаться от использования сервиса Яндекс.Метрикачерез настройки cookie в футере Сайта либо направив запрос Оператору на электронный адрес Оператора. Удаление данных будет произведено не позднее 10 (десяти) рабочих дней с момента получения запроса;

10.12.   Отзыв согласия на обработку cookie

Субъект праве в любой момент отказаться от обработки cookie, нажав кнопку «Отозвать» в футере Сайта или отправить заявку на электронный адрес Оператора с пометкой «Отзыв согласия на cookie». Обработка необязательных cookie прекратится в течение 24 часов. Технически необходимые данные продолжат обрабатываться на законных основаниях (ст. 6 №152-ФЗ).

10.13.   Отказ от рекламных и маркетинговых рассылок:

Субъект праве в любой момент отказаться от получения рекламных рассылок через ссылку «Отписаться» в каждом email или SMS сообщении (при наличии такой ссылки) или путем уведомления на электронный адрес Оператора с пометкой «Отказ от рассылки». Оператор обязан прекратить рассылку в течение 3 рабочих дней с момента получения отказа.

11.            МЕРЫ, ОБЕСПЕЧИВАЮЩИЕ ВЫПОЛНЕНИЕ ОБЯЗАННОСТЕЙ ОПЕРАТОРА, ПРЕДУСМОТРЕННЫХ СТАТЬЯМИ 18.1 И 19 ФЗ

11.1.       Разработана и опубликована на сайте Политика обработки ПДн.

11.2.       Оператором назначено лицо, ответственное за организацию обработки ПДн. Осуществляется внутренний контроль соответствия обработки ПДн и применяемых мер безопасности требованиям ФЗ, подзаконным актам, требованиям к защите ПДн и локальным актам Оператора.

11.3.       Регулярно проводится оценка возможного вреда субъектам ПДн в случае нарушения ФЗ. Определяются актуальные угрозы безопасности ПДн при их обработке в информационных системах и на материальных носителях.

11.4.       На основе оценки подбираются необходимые и достаточные организационные и технические меры защиты, соответствующие требованиям, установленным для 3-го уровня защищенности.

11.5.       Осуществляется контроль за принимаемыми мерами обеспечения безопасности ПДн. Проводится периодическая проверка локальных актов Оператора и процессов обработки ПДн на соответствие требованиям ФЗ.

11.6.       В информационных системах ПДн (ИСПДн) ведется регистрация и учет действий, совершаемых с ПДн, в соответствии с требованиями законодательства.

11.7.       Дополнительные меры защиты при обработке ПДн на бумажных носителях:

·       все бумажные носители, содержащие ПДн, хранятся в специально оборудованных помещениях с ограниченным доступом;

·       ведутся журналы учета движения материальных носителей ПДн;

·       установлен порядок передачи документов между сотрудниками;

·       запрещено оставление документов с ПДн на рабочих местах вне рабочих часов;

12.            ПРИМЕНЯЕМЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПДН:

12.1.       Использование лицензионного программного обеспечения с актуальными обновлениями безопасности.

12.2.       Обеспечение входа в рабочие станции и серверы под уникальными учетными записями с надежными паролями (не менее 8 символов: буквы верхнего/нижнего регистра, цифры, спецсимволы), регулярная смена паролей.

12.3.       Межсетевой экран (брандмауэр): используется для контроля сетевых подключений и блокирования несанкционированного доступа из сети Интернет.

12.4.       Автоматическая блокировка: настроена блокировка сеанса при бездействии (не более 15 мин) с требованием повторного ввода пароля.

12.5.       Шифрование рабочих устройств и съемных носителей, содержащих ПДн.

12.6.       Использование антивирусного программного обеспечения с регулярным обновлением баз сигнатур.

12.7.       Разграничение прав доступа к ПДн сотрудников в соответствии с их должностными обязанностями.

13.            СВЕДЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПДн В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ К ЗАЩИТЕ ПДН, УСТАНОВЛЕННЫМИ ПРАВИТЕЛЬСТВОМ РФ:

13.1.       В части обработки ПДн в информационных системах ПДн (ИСПДн) в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 № 1119, Оператором обеспечен 3-й уровень защищенности ПДн. Меры, реализованные для выполнения данных требований, детально изложены в разделах 11 и 12 настоящей Политики, и включают в себя:

·       назначение лица, ответственного за обеспечение безопасности ПДн;

·       определение перечня лиц, имеющих доступ к ПДн, и мест хранения ПДн;

·       применение необходимых и достаточных организационных и технических мер защиты, включая средства защиты информации, соответствующие законодательству РФ (раздел 12 Политики);

·       организацию режима обеспечения безопасности помещений и сохранности машинных носителей.

13.2.       В части обработки ПДн без использования средств автоматизации (при ведении бумажного документооборота) в соответствии с требованиями Постановления Правительства РФ от 15.09.2008 № 687, Оператором реализованы следующие меры:

·       лицом, ответственным за организацию обработки и обеспечение безопасности ПДн, является назначенное Оператором должностное лицо;

·       обработка таких ПДн осуществляется путем уточнения, использования, распространения, а также хранения материальных носителей;

·       материальные носители (бумажные документы) хранятся в запираемых шкафах и сейфах, исключающих несанкционированный доступ;

·       для обработки ПДн без использования средств автоматизации установлены те же правила, что и для автоматизированной обработки, включая соблюдение принципов и целей обработки, установленных настоящей Политикой. Уничтожение материальных носителей производится способом, исключающим восстановление содержащейся на них информации (шредирование).

14.        ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДн

14.1.       Трансграничная передача ПДнОператором не осуществляется.

15.            КЛАССИФИКАЦИЯ И НАЗНАЧЕНИЕ ФАЙЛОВ COOKIE

15.1.       Технически необходимые (обязательные) файлы cookie

Данные файлы обеспечивают базовую и критически важную функциональность Сайта, включая:

·       авторизацию в Личном кабинете и сохранение сессии;

·       обеспечение безопасности работы Сайта и транзакций, связанных с использованием функций Сайта;

·       корректное выполнение многошаговых процессов создания и редактирования контента.

Использование этих файлов cookie не требует согласия Пользователя согласно п. 2 ст. 6 ФЗ №152-ФЗ, однако блокировка данных файлов приведёт к невозможности использования Пользователем полного функционала Сайта.

15.2.       Функциональные файлы cookie

Предназначены для запоминания пользовательских настроек и персонализации интерфейса без сбора аналитической информации. Они повышают удобство использования посредством хранения:

·       параметров последних запросов к Сайту;

·       настроек интерфейса (например, тема оформления, язык, размер рабочей области);

Обработка таких данных возможна только при наличии явного согласия Пользователя. Отключение функциональных cookie не препятствует работе Сайта, однако потребует повторного ввода предпочтений при каждом посещении.

15.3.       Аналитические файлы сookie

Используются для сбора и обработки обобщенной статистической информации о поведении пользователей с целью повышения качества и эффективности Сайта, включая:

·       анализ посещаемости разделов каталога цифровых проектов для выявления наиболее востребованных категорий и адаптации ассортимента под текущие запросы покупателей и тенденции рынка;

·       оценку взаимодействия пользователей с Сайтом, включая частоту и продолжительность просмотра проектов, переходы между страницами, использование поисковых и фильтрационных инструментов, что позволяет оптимизировать структуру и функциональность площадки;

·       отслеживание эффективности работы функций безопасных сделок и процесса оформления заказов, что способствует выявлению и устранению узких мест, затрудняющих совершение сделок;

·       мониторинг путей навигации пользователей и анализа сценариев их поведения для совершенствования пользовательского интерфейса и повышения удобства пользования сайтом;

·       оценку результативности маркетинговых кампаний и рекламных активностей, реализации рекламных инструментов, включая Яндекс.Метрику, с целью повышения релевантности предлагаемых услуг, а также оптимизации затрат на продвижение;

·       Получение агрегированных данных о географическом распределении аудитории и типичных характеристиках посетителей площадки, что обеспечивает возможность планирования дальнейшего развития проекта и проведения целевых маркетинговых и сервисных инициатив.

Данные агрегируются и обезличиваются. Основная цель – выявление слабых мест интерфейса, оптимизация контента и оценка эффективности маркетинговых активностей. К этой категории относится сервис Яндекс.Метрика. Для активации требуется отдельное согласие.

15.4.       Маркетинговые файлы cookie

Служат для таргетированной рекламы и кроссплатформенного отслеживания. Фиксируют историю просмотров услуг, реакцию на рекламные баннеры, взаимодействие с промоматериалами. Позволяют: показывать релевантные предложения на Сайте и партнерских площадках, (формировать ретаргетинговые аудитории, ограничивать повторный показ одних и тех же объявлений. Собирают информацию о предпочтениях Пользователя в поиске и используются для показа рекламы и контента, соответствующих интересам Пользователя. Они могут ограничивать количество показов рекламы и специальных предложений, а также оценивать эффективность рекламных кампаний (включая измерение конверсии).

16.        СОСТАВ ФАЙЛОВ COOKIE

·       Идентификаторы сессии/устройства;

·       IP-адрес;

·       Тип браузера и ОС;

·       Геолокационные данные (страна, город);

·       Данные о поведении на Сайте (клики, время просмотра);

·       Информация об ошибках (при наличии).

·       Данные о действиях Пользователя на Сайте;

Обработка данных осуществляется в автоматическом режиме без дополнительной верификации. Информация рассматривается «как есть», без изменений со стороны Оператора.

Конкретный состав данных, фиксируемых в cookie, зависит от типа файла cookie, технических характеристик устройства Пользователя, а также от функциональных особенностей используемого программного обеспечения и Сайта

17.        МЕТРИЧЕСКИЕ ПРОГРАММЫ И СЕРВИСЫ АНАЛИТИКИ

17.1.       Оператор информирует Пользователя о применении сервиса Яндекс.Метрика для сбора статистических данных о посещаемости Сайта, анализа поведения Пользователей и улучшения качества работы Сайта.

17.2.       Оператор сервисаЯндекс.Метрика - ООО «Яндекс» (далее — «Яндекс»): Россия, 119021, Москва, ул. Л. Толстого, 16. Информация об использовании Сайта передается Яндексу и хранится на серверах Яндекса в РФ. Правила обработки данных сервисом Яндекс.Метрика можно найти по ссылке https://yandex.ru/support/metrica/ru/.

17.3.       При передаче в Яндекс.Метрику включаются данные, потенциально относящиеся к персональным, в том числе IP-адрес, cookie-идентификаторы и сведения о взаимодействии с Сайтом.

17.4.       ООО «Яндекс» применяет технологии обезличивания (включая хэширование IP-адресов и анонимизацию идентификаторов), что исключает возможность прямой идентификации Пользователя, кроме как с использованием дополнительной информации, находящейся под контролем Яндекса. Политика конфиденциальности Яндекса доступна по ссылке https://yandex.ru/legal/confidential/.

17.5.       Перечень обрабатываемых сервисом Яндекс.Метрика данных доступен по ссылке https://yandex.ru/support/metrica/ru/code/data-collected и включает:

·       технические данные устройства и программного обеспечения (тип браузера, ОС, разрешение экрана и т.д.);

·       IP-адрес устройства;

·       Cookie-идентификаторы и идентификаторы пользователей/сессий;

·       URL источника перехода на Сайт (реферер);

·       данные о поведении пользователя на сайте (просмотренные страницы, клики, время нахождения, пользовательские события);

·       приблизительные географические данные (определяемые по IP-адресу);

·       данные о предполагаемых демографических характеристиках и интересах посетителей Сайта, предоставляемые Яндексом (если такие данные имеются у Яндекса и пользователь дал Яндексу соответствующее согласие).

17.6.       Срок хранения файлов cookie: 26 месяцев;

17.7.       Обработка данных, позволяющих идентифицировать Пользователя, осуществляется исключительно на основании его явного согласия, предоставленного в информационном баннере при первом посещении Сайта.

17.8.       Пользователь имеет право в любой момент отозвать согласие через специальный интерфейс (виджет) управления cookie-файлами в футере Сайта (кнопки «Изменить»»/ «Отозвать»), а также путем отправки запроса на электронный адрес Оператора. Отзыв согласия через настройки браузера не считается надлежащим отзывом согласия и может привести к некорректной работе Сайта.

18.        ОБРАБОТКА ФАЙЛОВ COOKIE

18.1.       Оператор вправе обрабатывать файлы сookie с использованием средств автоматизации посредством осуществления следующих действий (операций) — сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

18.2.       Обработка сookie-файлов осуществляется с момента принятия Пользователем условий настоящей Политики/ начала использования Сайта. Обработка продолжается в течение всего периода достижения заявленных целей либо до момента отзыва Пользователем согласия на обработку, с учетом установленных сроков хранения сookie-файлов.

18.3.       Срокиобработки файлов сookie:

·       основные, обязательные и технические файлы сookie - срок действия сессии.

·       аналитические файлы сookie - период, необходимый для сбора статистики (не более 12 месяцев).

·       маркетинговые файлы сookie - установленный рекламной платформой (например, 30 дней для ретаргетинга).

19.        МЕХАНИЗМ ПОЛУЧЕНИЯ И УПРАВЛЕНИЯ СОГЛАСИЕМ

19.1.       Условия активации информационного баннера:

Баннер запрашивает согласие Пользователя в следующих случаях:

·       при первом посещении Сайта,

·       смене устройства/браузера,

·       истечении 6 месяцев с предыдущего подтверждения,

·       изменении редакции Политики

·       изменение целей обработки (например, подключении новых рекламных инструментов).

После явного отзыва согласия через кнопку «Отозвать» баннер будет показан при следующем визите.

19.2.       Сценарий работы баннера:

·       При нажатии кнопки «ПРИНЯТЬ активируются все категории необязательных cookie (функциональные, аналитические, маркетинговые), включая загрузку скрипта Яндекс.Метрики. Баннер закрывается, в футере появляется статус согласия.

·       Кнопка «ОТКЛОНИТЬ» блокирует необязательные cookie – скрипты метрик не загружаются, ретаргетинг отключается.

·       Кнопка «НАСТРОИТЬ» открывает панель с детализацией по сервисам.

19.3.       Панель настроек и приоритет команд:

·       В панели доступен переключатель для получения согласия на использование Яндекс. Метрики.

·       Кнопка «СОХРАНИТЬ ВЫБОР» применяет только статус переключателя (например, разрешает сервис Яндекс.Метрика при отключенных маркетинговых cookie).

·       Кнопка «РАЗРЕШИТЬ ВСЕ» активирует все необязательные сервисы, кнопка «ЗАПРЕТИТЬ ВСЕ» – блокирует.

·       Действия в панели имеют приоритет над предыдущими настройками.

19.4.       Фиксация и отзыв согласия

После сохранения в футере Сайта отображается текст: «Ваше согласие на использование сервиса Яндекс.Метрика подтверждено «ДАТА».

Кнопка «Изменить» повторно открывает панель настроек, кнопка «Отозвать» – аннулирует все разрешения для необязательных cookie и останавливает сбор данных.

20.        УПРАВЛЕНИЕ ФАЙЛАМИ COOKIE.

20.1.       Через интерфейс Сайта

Виджет в футере (иконка шестеренки или ссылка «Управление cookie») предоставляет постоянный доступ к: статусу согласия по категориям, журналу изменений настроек, кнопкам моментального отзыва. Изменения применяются без перезагрузки страницы. Технически необходимые cookie недоступны для отключения.

20.2.       Через настройки браузера

Пользователь может вручную удалить существующие cookie (раздел «Конфиденциальность» в Chrome, «Защита» в Firefox), настроить правила для отдельных сайтов или активировать режим «инкогнито», где файлы не сохраняются после закрытия вкладки. Предупреждение: блокировка обязательных cookie через браузер нарушит работу форм оплаты, корзины и личного кабинета.

21.            ОТВЕТСТВЕННОСТЬ СТОРОН

21.1.       Оператор несёт ответственность за умышленное разглашение ПДнСубъекта в соответствии с действующим законодательством РФ, за исключением случаев, предусмотренных настоящей Политикой.

21.2.       В случае утраты или разглашения конфиденциальной информации Оператор не несёт ответственность, если данная конфиденциальная информация:

·         стала публичным достоянием до её утраты или разглашения.

·         была получена от третьей стороны до момента её получения Оператором.

·         была разглашена с согласия Субъекта.

22.            ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

22.1.       Субъект может получить любые разъяснения по интересующим вопросам, касающимся обработки его ПДн, обратившись к Оператору с помощью электронной почты, указанной в разделе 23 «Реквизиты Оператора».

22.2.       Политика действует бессрочно до замены ее новой версией. Оператор вправе вносить изменения в настоящую Политику без согласия Субъекта.

22.3.       Текст Политики доступен для ознакомления на Сайте по адресу https://xn--b1acbeqr1adacgwp.xn--p1ai/include/licenses_detail.php.

22.4.       Актуальная редакция размещается в открытом доступе, предыдущие версии утрачивают силу после публикации обновлений. 

23.        РЕКВИЗИТЫ ОПЕРАТОРА

Общество с ограниченной ответственностью «ТОРГОВЫЙ ДОМ ДРЕВПЛИТ ГРУПП» (ООО «ТД ДРЕВПЛИТ ГРУПП»)

Юридический адрес: 600033, Владимирская область, г. Владимир, ул. Мостостроевская,

д. 9, офис 1.

ИНН 3327133491, КПП 332701001,

ОГРН 1163328060598

Тел. +7 (919) 021-04-44

E-mail:info@drevplitgroup.ru

Приложение № 1 к Политике обработки ПДн

ПЕРЕЧЕНЬ ЦЕЛЕЙ, СРОКОВ, СПОСОБОВ ОБРАБОТКИ ПДн, КАТЕГОРИЙ СУБЪЕКТОВ И ОБРАБАТЫВАЕМЫХ ПДн

№ п/п	Цель обработки ПДн	Правовое основание обработки ПДн	Категории субъектов ПДн	Перечень ПДн	Способы обработки ПДн	Перечень действий с ПДн	Срок обработкии хранения ПДн	Порядок уничтожения
1.	Подготовка, заключение, исполнение гражданско-правового договора	Заключение и исполнение договора, стороной которого является субъект ПДн	·     клиенты ·     контрагенты	·     фамилия, имя, отчество; ·     адрес электронной почты; ·     номер телефона; ·     адрес места жительства; ·     адрес регистрации ·     данные документа, удостоверяющего личность ·     ИНН ·     номер расчетного счета	смешанная	·     сбор ·     запись ·     систематизация ·     накопление ·     хранение ·     уточнение (обновление, изменение), ·     извлечение ·     использование ·     передача (предоставление, доступ), ·     обезличивание ·     блокирование ·     удаление ·      уничтожение	По достижении целей обработки, но не позднее 5 лет с момента полного исполнения обязательств по договору (в соответствии со сроком исковой давности по ГК РФ). Для целей налогового учета – 5 лет в соответствии с НК РФ.	Путем стирания (удаления) цифровых копий без возможности восстановления; уничтожение бумажных носителей шредированием
2.	Обработка входящих запросов и обращений, направленных через электронную почту, форму обратной связи, онлайн-чат Jivo, мессенджеры, телефонные звонки и иные указанные Оператором каналы связи	Согласие субъекта ПДн на обработку его ПДн	посетители сайта	·     фамилия, имя, отчество; ·     адрес электронной почты; ·     номер телефона; ·     идентификатор в мессенджере	смешанная	·      сбор ·      запись ·      систематизация ·      накопление ·      хранение ·      уточнение (обновление, изменение), ·      извлечение ·      использование ·      передача (предоставление, доступ), ·      обезличивание ·      блокирование ·      удаление уничтожение	По достижении целей обработки, но не позднее 6 месяцев с момента завершения работы с обращением.	Путем стирания без возможности восстановления
3.	Сбор статистической информации о действиях пользователей на Сайте с помощью сервиса Яндекс.Метрика.	Согласие субъекта ПДн на обработку его ПДн	посетители сайта	·     технические данные (браузер, ОС, разрешение экрана, настройки JavaScript/Flash) ·     сетевые данные (обезличенный IP-адрес, интернет-провайдер). ·     идентификаторы (cookie, ID пользователей и сессий в Яндекс.Метрике). ·     данные о посещении (реферер, просмотренные страницы, время на сайте, клики, события (формы, видео). ·     геолокация (страна, регион, город (по IP, без точных координат).	автоматизированная	·     сбор ·     запись ·     систематизация ·     накопление ·     хранение ·     уточнение (обновление, изменение), ·     извлечение ·     использование ·     передача (предоставление, доступ), ·     обезличивание ·     блокирование ·     удаление ·      уничтожение	Обработка прекращается путем автоматического обезличивания данных по истечении 26 месяцев с момента их сбора.	Автоматическое обезличивание и удаление по истечении срока хранения сервисом Яндекс.Метрика.
4.	Осуществление рекламных и маркетинговых рассылок	Согласие субъекта ПДн на обработку его ПДн	·     посетители сайта	·     имя (псевдоним); ·     адрес электронной почты; ·     номер телефона ·     идентификатор в мессенджере (WhatsApp, VK, Telegram);	Смешанная	·     сбор ·     запись ·     систематизация ·     накопление ·     хранение ·     уточнение (обновление, изменение), ·     извлечение ·     использование ·     передача (предоставление, доступ), ·     обезличивание ·     блокирование ·     удаление уничтожение	По достижении целей обработки, но не позднее 1 года с момента предоставления согласия на рекламные и маркетинговые рассылки.	Путем стирания (удаления) ПДн из базы данных Сайта без возможности восстановления.