(в соответствии с Федеральным законом № 152-ФЗ «О персональных данных»)

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и определяет порядок обработки и защиты персональных данных Индивидуальным предпринимателем Поликарповым Максимом Александровичем (ИНН 781143285003, ОГРНИП 318784700042034), далее — «Оператор».

1.2. Политика распространяется на все персональные данные, которые Оператор получает от субъектов персональных данных (далее — «Пользователи» или «Покупатели») при использовании ими сайта https://evening.store, а также при взаимодействии с Оператором любыми иными способами — как в онлайн-среде, так и в розничных точках продаж.

1.3. Предоставляя свои персональные данные, Субъект персональных данных выражает согласие ИП Поликарпову М.А. на их обработку и вправе в любой момент отозвать это согласие, направив письменное уведомление на адрес электронной почты hello@evening.store.

2. Основные термины и определения, используемые в локальных нормативных актах Оператора, регламентирующих вопросы обработки персональных данных

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Информация – сведения (сообщения, данные) независимо от формы их представления.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Субъект персональных данных — физическое лицо, к которому прямо или косвенно относятся персональные данные.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц..

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Принципы обработки персональных данных

3.1. ИП Поликарпов М.А., являясь оператором персональных данных, осуществляет обработку персональных данных физических лиц, являющихся посетителями сайта https://evening.store, Потребителями товаров/услуг и их законные представители — физические лица и их представители, которые являются покупателями, конечными пользователями, заказчиками товаров/оказания услуг ИП Поликарпова М.А.

3.2. Обработка персональных данных в ИП Поликарпов М.А. осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни на основе следующих принципов:

- обработка персональных данных осуществляется на законной и справедливой основе;

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором принимаются необходимые меры либо обеспечивается их, принятие по удалению или уточнению неполных или неточных персональных данных;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

4. Цели обработки персональных данных

4.1. Персональные данные обрабатываются Оператором исключительно в целях:

- заключения и исполнения договоров купли-продажи товаров, оформляемых дистанционно, либо в розничных магазинах;

- приёма, комплектации, доставки и оплаты заказов;

- связи с Покупателями для подтверждения заказов и предоставления обратной связи;

- направления уведомлений о статусе заказов и иных сервисных сообщений;

- предоставления персонализированных предложений, участия в программах лояльности и начисления бонусов;

- оформления, ведения и администрирования бонусных программ, включая обработку данных, полученных при заполнении анкет в бумажной форме или через электронные устройства в торговых точках;

- проведения маркетинговых акций, рассылок и рекламных кампаний;

- участия Покупателей в опросах, анкетированиях и исследованиях качества сервиса;

- формирования персональных предложений, скидок и поздравлений, приуроченных к дате рождения Покупателя;

- анализа пользовательской активности и повышения качества предоставляемых услуг;

- идентификации личности Покупателя при оформлении возвратов и перечисления денежных средств;

- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению персональных данных в органы государственной власти и иные государственные органы;

- в иных законных целях. 

5. Состав обрабатываемых персональных данных и способы их обработки

5.1. Оператор может собирать и обрабатывать следующие категории персональных данных:

- фамилия, имя, отчество;

- дата рождения;

- контактные данные (номер телефона, адрес электронной почты);

- адрес доставки и проживания;

- сведения о заказах и покупках;

- данные, необходимые для идентификации личности и проведения возврата денежных средств, включая сведения документа, удостоверяющего личность, адрес регистрации (место жительства) и банковские реквизиты, требуемые для перечисления денежных средств.

Кроме того, Оператор может обрабатывать обезличенные данные о посетителях сайта, включая cookie-файлы, сведения о действиях пользователей, дату и время посещения, данные об используемых устройствах и браузерах, а также информацию, предоставляемую аналитическими сервисами (например, Яндекс.Метрика).

5.2. Обработка персональных данных Оператором осуществляется следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

5.3. Оператором не принимаются решения, порождающее юридические последствия в отношении субъектов персональных данных или иным образом затрагивающее их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

5.4. Обработка персональных данных Оператором включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, блокирование, удаление, уничтожение персональных данных.

5.5. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

5.6. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, Оператором не осуществляется.

5.7. Трансграничная передача данных Оператором не осуществляется.

5.8. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется в Компании на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.

6. Способы получения персональных данных

Персональные данные могут быть получены Оператором следующими способами:

- посредством заполнения форм на сайте https://evening.store;

- через переписку с онлайн-консультантами и в мессенджерах;

- при подписке на рассылки и заполнении веб-форм;

- в ходе телефонных звонков и консультаций;

- при участии в опросах, анкетированиях и маркетинговых акциях;

- при оформлении и использовании бонусной карты;

- путём устного предоставления данных сотрудникам Оператора в торговых точках;

- при оформлении заявлений на возврат товаров и предоставлении связанных с этим документов.

 7. Функции Оператора при осуществлении обработки персональных данных

7.1. Оператор при осуществлении обработки персональных данных:

- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных;

- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- назначает лицо, ответственное за организацию обработки персональных данных;

- издает локальные нормативные акты, определяющие вопросы обработки и защиты персональных данных;

- осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных, в том числе требованиями к защите персональных данных;

- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

- сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;

- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;

- совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных. 

8. Передача персональных данных третьим лицам

8.1. Передача персональных данных третьим лицам (ООО «____» (ИНН ____) ; ООО «____» (ИНН ____) ________ и др.) допускается в следующих случаях:

- для исполнения обязательств Оператора перед Покупателем (включая передачу данных курьерским службам, платёжным операторам и иным подрядчикам);

- для выполнения требований законодательства Российской Федерации;

- для функционирования программ лояльности и бонусных систем, включая начисление и списание бонусов при покупках как онлайн, так и офлайн;

- для проведения совместных маркетинговых и рекламных мероприятий с партнёрами при условии обеспечения ими конфиденциальности и безопасности обрабатываемых данных.
8.2. Передача персональных данных третьим лицам осуществляется на основании заключённых соглашений, обеспечивающих конфиденциальность и надлежащую защиту данных.

9. Хранение и уничтожение персональных данных

9.1. Персональные данные хранятся до достижения целей их обработки либо до момента отзыва согласия субъектом персональных данных.

9.2. По достижении целей обработки либо по отзыву согласия данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законодательством Российской Федерации.

9.3. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

9.4. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных папках (файлообменниках, облачных хранилищах данных) в информационной системе персональных данных.

9.5. После истечения срока нормативного хранения документов на бумажных носителях, которые содержат персональные данные субъектов, документы подлежат уничтожению. Для этого ответственным сотрудником (или сотрудниками) Оператора производится физическое уничтожение бумажных носителей.

9.6. После истечения срока нормативного хранения персональных данных в электронном виде ответственный сотрудник (или сотрудники) Оператора уничтожает с информационных носителей персональные данные путем стирания или форматирования, либо физически уничтожает сами носители, на которых хранится информация.

9.7. Факт уничтожения персональных данных как на бумажном носителе, так и в электронном виде подтверждается документально актом об уничтожении.

10. Права субъектов персональных данных

10.1. Субъект персональных данных имеет право:

- получать информацию о своих персональных данных, об их обработке и целях использования;

- доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;

- уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- отзыв согласия на обработку персональных данных путём направления письменного заявления на адрес электронной почты hello@evening.store.;

- принятие предусмотренных законом мер по защите своих прав;

- обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

- осуществление иных прав, предусмотренных законодательством Российской Федерации.

11. Меры по защите персональных данных

11.1. Оператор принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.
11.2. Доступ к персональным данным предоставляется исключительно уполномоченным сотрудникам Оператора, обязанным соблюдать режим конфиденциальности.

11.3. Меры, необходимые и достаточные для обеспечения защиты, предусмотренные законодательством Российской Федерации в области персональных данных, включают:

- назначение лица, ответственного за организацию обработки персональных данных в Компании;

- принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

- соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

- организацию обучения и проведение методической работы с работниками Оператора, допущенными к работе с персональными данными, в том числе посредством информационных систем;

- получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

- обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;

- обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

- обеспечение безопасности персональных данных при их передаче по открытым каналам связи;

- определение актуальных угроз безопасности персональных данных при их обработке в информационной системе персональных данных и разработка мер и мероприятий по защите персональных данных;

- установление индивидуальных паролей доступа работников в информационную систему в соответствии с производственными обязанностями;

- применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;

- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Оператора;

- иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

11.4. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами Оператора, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Оператора.

12. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

12.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федеральном законе от 27.07.2006 № 152-ФЗ "О персональных данных", предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

12.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

- фамилию, имя, отчество, контактный номер телефона, адрес электронной почты;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (дата заказа и номер заказа), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

- подпись субъекта персональных данных или его представителя.

            Запрос может быть направлен в форме электронного документа и подписан усиленной электронной цифровой подписью в соответствии с законодательством Российской Федерации.

            Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

            Оператор обязан предоставить возможность ознакомления с персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения обращения (запроса) субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

            Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" предоставляются субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

            Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

12.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператором осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

            В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

12.4. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператором осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

13. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных, в том числе требований к защите персональных данных

13.1. Контроль за соблюдением структурными подразделениями Оператора законодательства Российской Федерации и локальных нормативных актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях Оператора законодательству Российской Федерации и локальным нормативным актам Оператора в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

13.2. Внутренний контроль за соблюдением структурными подразделениями Оператора законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных.

13.3. Внутренний контроль соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Оператора осуществляется лицом, ответственным за организацию обработки персональных данных в Компании.

            Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных в структурных подразделениях Компании, а также за обеспечение конфиденциальности и безопасности персональных данных в структурных подразделениях Оператора возлагается на лиц, допущенных к работе с персональными данными, в том числе посредством информационных систем.

14. Заключительные положения

14.1. Настоящая Политика является общедоступным документом и размещается на сайте https://evening.store, а также может быть предоставлена для ознакомления в торговых точках.
14.2. Оператор оставляет за собой право изменять настоящую Политику. Новая редакция вступает в силу с момента её опубликования на сайте.

14.3. Использование сайта, заполнение форм обратной связи, оформление заказов, подписка на рассылки, участие в анкетированиях, устное предоставление данных сотрудникам магазина, оформление бонусных карт и заявлений на возврат денежных средств означает согласие Пользователя с условиями настоящей Политики.

Предоставляя свои персональные данные, Пользователь подтверждает, что ознакомлен с настоящей Политикой и согласен с её условиями.