Положение об обработке персональных данных пользователей интернет-магазина
https://www.lavka-bm.ru
«Лавка Блаженны Милостивые»
город Москва, 2025 год
1. Настоящее Положение, разработанное в соответствии с законодательством Российской Федерации в области обработки и защиты персональных данных, и другими нормативными документами Интернет-магазина магазина https://www.lavka-bm.ru «Лавка «Блаженны Милостивые»» (далее - ИНТЕРНЕТ-МАГАЗИН), устанавливает единые корпоративные требования к обработке и обеспечению режима защиты персональных данных пользователей ИНТЕРНЕТ-МАГАЗИНА.
2. Требования настоящего Положения обязательны для выполнения ИНТЕРНЕТ-МАГАЗИНОМ и всеми пользователями ИНТЕРНЕТ-МАГАЗИНА.
3. В настоящем Положении используются следующие понятия и термины:
1) допуск к обработке персональных данных - процедура оформления права на доступ к персональным данным;
2) доступ к персональным данным - возможность обработки персональных данных;
3) разглашение персональных данных - действия (бездействие), в результате которых персональные данные в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становятся известными третьим лицам без письменного согласия субъекта персональных данных;
4) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
5) удаление персональных данных - действия, в результате которых становится невозможным ознакомиться с их содержанием в информационной системе персональных данных;
6) вымарывание персональных данных - действия, исключающие дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе;
7) уполномоченный орган по защите прав субъектов персональных данных - федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);
8) СНИ - съемные машинные носители информации, используемые для хранения информации вне ПЭВМ (флэш-накопители, внешние жесткие диски, CD-диски и иные устройства).
9) материальный носитель - бумажный или машинный носитель, предназначенный для фиксирования, передачи и хранения персональных данных;
10) машинный носитель - материальный носитель информации, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами (внутренние жесткие диски, флэш-накопители, внешние жесткие диски, CD-диски и иные устройства);
11) электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах ИНТЕРНЕТ-МАГАЗИНА и привлеченных им курьерских службах;
12) ПЭВМ - персональная электронная вычислительная машина;
Регистрацией в Личном кабинете, а также оплатой Товара (в зависимости от того, что произошло ранее) Покупатель подтверждает, что для заключения Договора-оферты в соответствии со статьей 9 федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» принял(а) решение о предоставлении своих персональных данных и дает согласие на обработку ИП Миносян Арсен Робертович (ИНН: 231908259117 ОГРНИП: 325237500082812, Юридический адрес: 354073, РОССИЯ, Краснодарский, Сочи, Село Верхний Юрт, Улица Абовяна, д. 60/15), ООО "СДЭК-Глобал" (адрес: 630007, г. Новосибирск, ул. Кривощековская, д. 15, корп. 1, эт. 1,2, ОГРН 1157746448463, ИНН 7722327689), предоставленных Покупателем его персональных данных, необходимых для продажи Товара Пользователю с использованием и без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных в целях ведения бухгалтерского, налогового, статистического учета, оказания Покупателю услуг по доставке, осуществления расчетов с Покупателем, выполнения требований налогового, гражданского и иного законодательства РФ. Перечень персональных данных, передаваемых на обработку указан в Согласии Пользователя сайта заказанные в интернет-магазине https://www.lavka-bm.ru «Лавка «Блаженны Милостивые» на обработку персональных данных, которое является приложением к Положению об обработке персональных данных Положение об обработке персональных данных пользователей интернет-магазина https://www.lavka-bm.ru «Лавка «Блаженны Милостивые»».
Права Покупателя, в целях обеспечения защиты персональных данных, хранящихся у ИП Миносян Арсен Робертович, в том числе право отозвать данное согласие на обработку своих персональных данных, письменно уведомив об этом ИП Миносян Арсен Робертович, (письмо на имя ИП Миносян Арсен Робертович, врученное ему лично или отправленное по почте с описью вложении и уведомлением о вручении), юридические последствия отказа предоставлять персональные данные в виде невозможности осуществить продажу Товара дистанционным способом, а также ответственность за предоставление ложных сведений о себе, и возможность обратиться за дополнительной информацией к ИП Миносян Арсен Робертович, разъяснены Покупателю путем размещения на Сайте настоящих Правил. С «Политикой в отношении обработки персональных данный ИП Миносян Арсен Робертович, размещенной на Сайте, Покупатель считается ознакомленным и давшим свое согласие на использование его персональных данных с момента оформления Заказа на Сайте или оплате Товара (в зависимости от того, что произошло ранее).
4. Основанием для допуска работника ИНТЕРНЕТ-МАГАЗИНА к обработке персональных данных является приказ о назначении его на должность, должностная инструкция, предусматривающая обработку персональных данных, обязательство о неразглашении персональных данных.
5. Руководитель ИНТЕРНЕТ-МАГАЗИНА или уполномоченное им лицо:
1) назначает приказом ответственного за организацию обработки персональных данных;
2) утверждает список работников ИНТЕРНЕТ-МАГАЗИНА, уполномоченных на обработку персональных данных. Уполномоченные пользователи имеют право обрабатывать только те персональные данные, которые необходимы для выполнения конкретных функций в определенных целях;
3) до предоставления доступа к обработке персональных данных ответственного за организацию обработки персональных данных обеспечивает:
а) ознакомление таких лиц с настоящим Положением;
б) подписание сотрудниками ИНТЕРНЕТ-МАГАЗИНА обязательства о неразглашении персональных данных.
6. Представители сторонних организаций (при возникновении такой необходимости) допускаются к обработке персональных данных на основании заключаемых договоров в соответствии с требованиями, изложенными в пункте 13 настоящего Положения.
7. Требования к обработке персональных данных, устанавливаемые настоящим Положением, распространяются на персональные данные, состав и категории которых, а также перечень документов, их содержащих, определены на сайте ИНТЕРНЕТ-МАГАЗИНА.
Обработка персональных данных, не отвечающая целям обработки, запрещается.
8. Перед заключением Договора-оферты пользователь должен дать согласие на обработку его персональных данных, в том числе на передачу персональных данных курьерской службе.
9. Пользователь ИНТЕРНЕТ-МАГАЗИНА вправе отозвать согласие на обработку персональных данных, направив в ИНТЕРНЕТ-МАГАЗИНА отзыв в произвольной форме.
10. В случае отзыва пользователем ИНТЕРНЕТ-МАГАЗИНА согласия на обработку персональных данных ИНТЕРНЕТ-МАГАЗИН вправе продолжить обработку персональных данных без его согласия только при наличии оснований, предусмотренных законодательством Российской Федерации.
11. ИНТЕРНЕТ-МАГАЗИНА не вправе запрашивать у третьих лиц даже с согласия субъекта персональных данных информацию, не имеющую отношения к целям обработки персональных данных.
12. ИНТЕРНЕТ-МАГАЗИНА вправе поручить обработку персональных данных субъектов персональных данных с их согласия другому лицу на основании заключаемого с ним договора.
13. Договор должен содержать перечень действий (операций) с персональными данными, цели обработки, обязанность лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с законодательством Российской Федерации, настоящим Положением и иными нормативными документами ИНТЕРНЕТ-МАГАЗИНА.
14. Если при обращении пользователя ИНТЕРНЕТ-МАГАЗИНА либо уполномоченного органа по защите прав субъектов персональных данных выявлены неточные персональные данные или неправомерная обработка персональных данных, ИНТЕРНЕТ-МАГАЗИН обязан осуществить блокирование таких персональных данных с момента обращения на период проверки.
При подтверждении факта неточности персональных данных ИНТЕРНЕТ-МАГАЗИН обязан уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
При выявлении неправомерной обработки персональных данных ИНТЕРНЕТ-МАГАЗИН обязан прекратить их обработку в срок, не превышающий 3 рабочих дней с даты выявления. В случае если обеспечить правомерность обработки персональных данных невозможно, ИНТЕРНЕТ-МАГАЗИН обязан уничтожить такие персональные данные в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных.
Об устранении допущенных нарушений или об уничтожении (невозможности уничтожить) персональных данных ИНТЕРНЕТ-МАГАЗИН обязан письменно уведомить пользователя ИНТЕРНЕТ-МАГАЗИНА или устно и приобщить копию уведомления или справку об уведомлении к материалам расследования (проверки).
В случае если обращение пользователя ИНТЕРНЕТ-МАГАЗИНА либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, ИНТЕРНЕТ-МАГАЗИН обязан уведомить указанный орган.
15. Обезличивание персональных данных, обрабатываемых в информационных системах ИНТЕРНЕТ-МАГАЗИНА , в случае необходимости осуществляется с учетом требований и методов по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, установленных действующим законодательством РФ.
16. Сроки хранения, комплектования, учета, передачи и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов регламентируются Федеральным законом "Об архивном деле в Российской Федерации", Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Минкультуры России от 25 августа 2010 г. N 558.
17. Безопасность персональных данных обеспечивается реализацией комплекса мер, определенных федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, приказами ФСТЭК России, ФСБ России, Роскомнадзора, в том числе включающих:
1) организацию работы с персональными данными, обеспечивающей сохранность носителей персональных данных и средств защиты информации;
2) размещение информационных систем ИНТЕРНЕТ-МАГАЗИНА и специального оборудования в помещениях, исключающих возможность неконтролируемого пребывания в них посторонних лиц;
3) учет документов, информационных массивов, содержащих персональные данные;
4) регистрацию действий работников информационных систем ИНТЕРНЕТ-МАГАЗИНА;
5) контроль действий и недопущение несанкционированного доступа к персональным данным третьих лиц;
6) хранение и использование материальных носителей, исключающих их хищение, подмену и уничтожение;
7) необходимое резервирование технических средств и дублирование массивов и носителей информации, содержащей персональные данные.
18. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
19. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
20. При использовании типовых форм документов, в которые предполагается или допускается включение персональных данных, должны соблюдаться условия, предусмотренные пунктом 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687.
21. Уточнение персональных данных производится путем их обновления или изменения на материальном носителе, а если это не допускается особенностями материального носителя - путем изготовления нового материального носителя с уточненными персональными данными.
22. При работе с документами, содержащими персональные данные, должны быть приняты меры, исключающие возможность ознакомления с этими документами посторонних лиц, в том числе пользователей, не уполномоченных на обработку персональных данных.
23. Документы, содержащие персональные данные, должны храниться в специальном шкафу или помещении, обеспечивающем защиту от несанкционированного доступа.
24. Дела, содержащие персональные данные, должны находиться в рабочих кабинетах или в специально отведенных для их хранения помещениях, располагаться в запираемых шкафах, обеспечивающих их полную сохранность.
25. Средства защиты информации, обеспечивающие защиту персональных данных, должны удовлетворять требованиям, утвержденным постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также нормативным правовым актам в области обработки и защиты персональных данных Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю.
26. Автоматизированная обработка персональных данных разрешается при условии применения средств защиты информации, обеспечивающих нейтрализацию актуальных угроз, определенных частью 5 статьи 19 Федерального закона "О персональных данных".
27. Во время эксплуатации средств вычислительной техники, предназначенных для обработки персональных данных, должны быть предусмотрены меры по исключению случаев несанкционированного подключения к внешним информационным системам, внешним информационно-телекоммуникационным сетям, а также несанкционированного доступа к этим средствам при проведении ремонтных, профилактических и других видов работ.
28. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
29. Во время перерывов в работе, а также после окончания работы с документами, содержащими персональные данные, необходимо:
убирать документы с поверхности рабочих столов в запирающееся хранилище (сейф, шкаф);
блокировать средство вычислительной техники с помощью защищенной паролем экранной заставки;
принимать необходимые меры по недопущению использования средства вычислительной техники другими пользователями и посторонними лицами.
30. Требования к подготовке, оформлению, обработке, прохождению (согласованию), регистрации и хранению бумажных носителей персональных данных определяются настоящим Положением.
31. Персональные данные пользователей хранятся на бумажных носителях и/или в электронном виде (в информационных системах ИНТЕРНЕТ-МАГАЗИНА, на ПЭВМ, а также на съемных магнитных, оптических и других цифровых носителях), с соблюдением условий, обеспечивающих их защиту от несанкционированного доступа.
32. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
33. Копирование и печатание документов, содержащих персональные данные, должно осуществляться в Положении, исключающем возможность нарушения конфиденциальности персональных данных.
34. Машинные носители в случае прекращения обработки персональных данных должны быть уничтожены.
35. Все находящиеся на хранении и в обращении СНИ с персональными данными подлежат учету.
36. Запрещается: хранить СНИ, содержащие персональные данные, на рабочих местах ненадлежащим образом или передавать на хранение другим лицам;
выносить СНИ, содержащие персональные данные, из рабочих помещений без служебной необходимости.
37. Работники ИНТЕРНЕТ-МАГАЗИНА осуществляют систематический мониторинг персональных данных, цели обработки которых достигнуты или сроки хранения которых истекли, с последующим уничтожением документов, иных материальных носителей, содержащих персональные данные, а также удалением персональных данных, содержащихся в информационных системах ИНТЕРНЕТ-МАГАЗИНА файлах, хранящихся на ПЭВМ или на внешних перезаписываемых СНИ, в соответствии с законодательством Российской Федерации или при наступлении иных законных оснований.
38. Персональные данные подлежат уничтожению в следующих случаях и в указанные сроки:
1) по достижении целей обработки персональных данных - в срок, предусмотренный действующим законодательством или (если он не определён) в течение 1 года;
2) в случае утраты необходимости в достижении целей обработки персональных данных - в 30-дневный срок;
3) в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных - в 30-дневный срок, если иной срок не предусмотрен договором или соглашением между ИНТЕРНЕТ-МАГАЗИНА и субъектом персональных данных либо если ИНТЕРНЕТ-МАГАЗИНА не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами;
4) при выявлении неправомерной обработки персональных данных - в срок, не превышающий 10 рабочих дней с даты выявления, в следующих случаях:
а) персональные данные являются неполными, устаревшими, неточными (при условии, что уточнение персональных данных невозможно);
б) персональные данные получены незаконно;
в) персональные данные не являются необходимыми для заявленной цели обработки.
39. В процессе уничтожения дел и документов необходимо исключить возможность ознакомления посторонних лиц с содержащимися в них персональными данными.
40. Уничтожение не вошедших в дела документов (копий документов), содержащих персональные данные, должно производиться в подразделении ИНТЕРНЕТ-МАГАЗИНА с помощью бумагорезательной машины. При этом должна быть исключена возможность прочтения текста уничтоженного документа.
41. Уничтожение персональных данных, хранящихся в информационных системах, производится в соответствии с настоящим Положением.
42. Уничтожение персональных данных, хранящихся на ПЭВМ и (или) на перезаписываемых СНИ, производится с использованием штатных средств информационных и операционных систем.
43. Уничтожение СНИ производится путем механического нарушения целостности СНИ, не позволяющего произвести считывание или восстановление содержания персональных данных (надлом, физическое деформирование). В журнале учета машинных носителей персональных данных производится соответствующая запись об уничтожении, заверенная подписями исполнителя и уполномоченного работника ИНТЕРНЕТ-МАГАЗИНА, который осуществляет регистрацию СНИ.
44. Уничтожение или обезличивание части персональных данных, если это допускает материальный носитель, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
45. Передача персональных данных субъектов персональных данных без их согласия допускается, если это необходимо для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве, по мотивированным запросам правоохранительных органов и иных органов государственной власти в рамках установленных полномочий, а также в иных случаях, предусмотренных федеральными законами.
46. Передача персональных данных субъектов персональных данных третьим лицам осуществляется с их письменного согласия за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных Федеральным законом «О персональных данных» и иными федеральными законами.
47. Пересылка материальных носителей организациям, государственным органам, производится в запечатанных конвертах (пакетах) с сопроводительным документом, в котором указывается о наличии персональных данных и требование о соблюдении конфиденциальности персональных данных.
48. Пересылка конвертов (пакетов) с документами, содержащими персональные данные, может производиться фельдъегерской связью, заказными или ценными почтовыми отправлениями. Допускается передача документов, содержащих персональные данные, нарочным (работником ИНТЕРНЕТ-МАГАЗИНА или работником организации - адресата) с распиской о получении документов в реестре.
49. Передача персональных данных при их обработке в информационных системах ИНТЕРНЕТ-МАГАЗИНА осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных и технических мер, обеспечивающих нейтрализацию актуальных угроз безопасности согласно части 5 статьи 19 Федерального закона "О персональных данных".
50. Запрещается передача персональных данных субъектов персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и через сеть международного информационного обмена (сети связи общего пользования, Интернет) без применения соответствующих организационных и технических мер защиты.
51. Пересылка материальных носителей, непосредственная их передача сторонним адресатам осуществляется только с письменного указания ИП ИП Миносян Арсен Робертович.
52. Трансграничная передача персональных данных субъектов персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, перечень которых утвержден уполномоченным органом по защите прав субъектов персональных данных, ИНТЕРНЕТ-МАГАЗИНОМ НЕ ОСУЩЕСТВЛЯЕТСЯ.
53. Передача персональных данных через сеть международного информационного обмена (сети связи общего пользования, Интернет) должна осуществляться с использованием сертифицированных средств криптографической защиты информации и в соответствии с нормативными документами Федеральной службы безопасности Российской Федерации.
54. Пользователи ИНТЕРНЕТ-МАГАЗИНА имеют право получать информацию, касающуюся обработки их персональных данных в ИНТЕРНЕТ-МАГАЗИНЕ в соответствии с частями 1-7 статьи 14 Федерального закона "О персональных данных".
55. Сведения предоставляются субъекту персональных данных в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
56. Сведения предоставляются пользователю ИНТЕРНЕТ-МАГАЗИНА или его представителю при обращении либо при получении запроса ИНТЕРНЕТ-МАГАЗИНОМ.
57. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с ИНТЕРНЕТ-МАГАЗИНОМ (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ИНТЕРНЕТ-МАГАЗИНОМ, подпись субъекта персональных данных или его представителя.
Запрос может быть также направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
В случае если в обращении (запросе) субъекта персональных данных не отражены указанные сведения, то ему направляется мотивированный отказ.
58. В случае если запрашиваемые сведения были предоставлены для ознакомления субъекту персональных данных по его запросу, он вправе обратиться повторно в ИНТЕРНЕТ-МАГАЗИН или направить повторный запрос в целях получения этих сведений и ознакомления с ними не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса.
До истечения этого срока субъект персональных данных вправе обратиться повторно в ИНТЕРНЕТ-МАГАЗИН или направить повторный запрос в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в предыдущем пункте, должен содержать обоснование направления повторного запроса.
59. ИНТЕРНЕТ-МАГАЗИН вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктом 58 настоящего Положения. Такой отказ должен быть мотивированным.
60. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона "О персональных данных" в том случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
61. Ответы на письменные запросы субъектов персональных данных и организаций даются в письменной форме в объеме, обеспечивающем конфиденциальность персональных данных. Мотивированный отказ в предоставлении запрашиваемой информации направляется, если субъект персональных данных или организация не обладает правами доступа к запрашиваемой информации или запрос не соответствует требованиям Федерального закона "О персональных данных".
62. В случае выявления утраты материальных носителей, разглашения или неправомерной обработки персональных данных в ИНТЕРНЕТ-МАГАЗИНЕ должны быть осуществлены действия, направленные на обеспечение законных прав и свобод субъектов персональных данных, а также приняты исчерпывающие меры по локализации условий, способствовавших нарушению режима защиты персональных данных, и минимизации ущерба.
63. О фактах утраты материальных носителей, разглашения персональных данных либо неправомерной обработки персональных данных информируется письменно руководитель и ответственный за организацию обработки персональных данных подразделения ИНТЕРНЕТ-МАГАЗИНА, в котором допущено нарушение, а также Управление по защите персональных данных.
64. Для расследования обстоятельств утраты материальных носителей, разглашения либо неправомерной обработки персональных данных назначается комиссия по расследованию нарушений обработки персональных данных (далее - комиссия), в состав которой включается ответственный за организацию обработки персональных данных в ИНТЕРНЕТ-МАГАЗИНЕ. При необходимости в состав комиссии могут быть включены представители Управления по защите персональных данных и иных подразделений ИНТЕРНЕТ-МАГАЗИНА.
65. При проведении служебного расследования обстоятельств утраты материальных носителей, разглашения либо неправомерной обработки персональных данных комиссия выполняет следующие функции:
1) определяет обоснованность отнесения разглашенной либо утраченной информации к персональным данным;
2) устанавливает обстоятельства утраты материальных носителей, разглашения либо неправомерной обработки персональных данных (время, место, способ);
3) устанавливает лиц, которые допустили утрату материальных носителей, разглашение либо неправомерную обработку персональных данных;
4) принимает меры к определению местонахождения материальных носителей;
5) устанавливает причины и условия, которые привели к утрате материальных носителей, разглашению либо неправомерной обработке персональных данных;
6) оценивает причиненный или возможный вред субъекту персональных данных вследствие утраты материальных носителей, разглашения либо неправомерной обработки персональных данных;
7) составляет заключение о результатах проведенного служебного расследования.
66. Служебное расследование проводится в возможно короткие сроки (не более 20 календарных дней) со дня установления факта утраты материальных носителей, разглашения либо неправомерной обработки персональных данных.
67. Заключение о результатах проведенного служебного расследования должно содержать следующие сведения:
1) дата и место проведения служебного расследования;
2) состав комиссии, проводившей служебное расследование;
3) основания для проведения служебного расследования;
4) установленные факты о времени, месте и обстоятельствах нарушения;
5) правильность отнесения разглашенной либо утраченной информации к персональным данным;
6) о виновных лицах и степени их вины;
7) наличие умысла в действиях виновных лиц;
8) выводы по результатам определения материального или иного вреда, причиненного субъекту персональных данных вследствие утраты материальных носителей, разглашения либо неправомерной обработки персональных данных;
9) предложения о прекращении поиска материального носителя и списании его в учетных формах;
10) другие сведения, имеющие отношение к служебному расследованию;
11) выводы о причинах и условиях совершения нарушений, рекомендации по их устранению.
68. Заключение о проведении служебного расследования должно быть подписано всеми членами комиссии. При несогласии с выводами или содержанием отдельных положений член комиссии подписывает заключение и приобщает к нему свое особое мнение (в письменном виде).
69. По окончании служебного расследования комиссия обязана представить на рассмотрение ИП Миносян Арсен Робертович, следующие документы:
1) заключение о результатах проведенного служебного расследования;
2) письменные объяснения пользователей, которых опрашивали члены комиссии (при необходимости);
3) другие документы, имеющие отношение к служебному расследованию.
70. По окончании служебного расследования ИП Миносян Арсен Робертович в установленном законодательством Российской Федерации и нормативными документами ИНТЕРНЕТ-МАГАЗИНА, должен принять решение:
1) о привлечении виновных к дисциплинарной и (или) материальной ответственности;
2) об обращении в правоохранительные органы с заявлением о привлечении работников ИНТЕРНЕТ-МАГАЗИНА, допустивших утрату материальных носителей, разглашение либо неправомерную обработку персональных данных, к административной или уголовной ответственности;
3) о принятии мер по устранению причин и условий, способствовавших нарушению режима защиты персональных данных.
71. Копии заключений по результатам служебного расследования, а также информация о мерах, принятых к пользователям, допустившим утрату материальных носителей, разглашение либо неправомерную обработку персональных данных, направляются в Управление по защите персональных данных.
72. Ответственные за организацию обработки персональных данных обязаны руководствоваться в своей деятельности законодательством Российской Федерации в области обработки и защиты персональных данных, настоящим Положением.
73. Уполномоченные пользователи обязаны:
1) знать и выполнять законодательные и иные нормативные правовые акты Российской Федерации, а также нормативные документы ИНТЕРНЕТ-МАГАЗИНА в области обработки и защиты персональных данных;
2) выполнять все требования настоящего Положения и других нормативных документов, устанавливающих режим защиты персональных данных в ИНТЕРНЕТ-МАГАЗИНЕ;
3) не разглашать информацию, содержащую персональные данные пользователей;
4) обеспечивать конфиденциальность персональных данных, использовать предусмотренные в ИНТЕРНЕТ-МАГАЗИНЕ меры для защиты персональных данных от неправомерных действий;
5) во время работы с информацией и (или) документами, содержащими персональные данные, исключать возможность ознакомления с ними пользователей, не имеющих права обработки персональных данных;
6) при увольнении сдавать все имеющиеся в распоряжении материальные носители лицу, ответственному за организацию обработки персональных данных ИНТЕРНЕТ-МАГАЗИНА;
Приложение: согласие Пользователя сайта заказанные в интернет-магазине https://www.lavka-bm.ru «Лавка «Блаженны Милостивые»» на обработку персональных данных
Приложение
к Положению об обработке персональных данных пользователей
интернет-магазина https://www.lavka-bm.ru «Лавка «Блаженны Милостивые»»
СОГЛАСИЕ
Пользователя сайта заказанные в интернет-магазине https://www.lavka-bm.ru «Лавка «Блаженны Милостивые»» на обработку персональных данных
Настоящим свободно, своей волей и в своем интересе даю согласие ИП Миносян Арсен Робертович (ИНН: 231908259117 ОГРНИП: 325237500082812; Юридический адрес: 354073, РОССИЯ, Краснодарский, Сочи, Село Верхний Юрт, Улица Абовяна, д. 60/15) (далее – Интернет-магазину), на автоматизированную и неавтоматизированную обработку моих персональных данных, в том числе с использованием интернет-сервисов веб-аналитики в соответствии со следующим перечнем:
ü Фамилия, имя, отчество;
ü Источник захода на сайт Интернет-магазина и информация поискового или рекламного запроса;
ü Адрес местожительства;
ü Адрес электронной почты;
ü Идентификатор пользователя, хранимый в cookie;
ü Контактный телефон;
ü Информация о банковской карте;
ü Сведения о приобретённых товарах;
ü Сведения об оказанных услугах.
для целей соблюдения норм законодательства РФ; заключения и исполнения договоров; доставки товаров; оплаты товаров и услуг; осуществления деятельности в соответствии с учредительными документами; осуществления деятельности по продвижению товаров и услуг, рассылка новостей и исполнения обязанностей, возложенных на Общество законами РФ и иными правовыми актами в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Интернет-магазин вправе осуществлять обработку моих персональных данных следующими способами: включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление (доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, как с использованием средств автоматизации, так и без использования таких средств.
Передача персональных данных осуществляется ограниченному кругу лиц: Интернет-магазину, ООО «СДЭК-Глобал» (адрес: 630007, г. Новосибирск, ул. Кривощековская, д. 15, корп. 1, эт. 1,2, ОГРН 1157746448463, ИНН 7722327689) - исключительно с целью исполнения обязанностей, возложенных на Общество законами и иными правовыми актами РФ, и в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Настоящее согласие действует в течение сроков, установленных действующим законодательством РФ.
Мои права, в целях обеспечения защиты персональных данных, хранящихся в ИП Миносян Арсен Робертович (ИНН: 231908259117 ОГРНИП: 325237500082812, Юридический адрес: 354073, РОССИЯ, Краснодарский, Сочи, Село Верхний Юрт, Улица Абовяна, д. 60/15), в том числе право в соответствии с положениями части 2 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» отозвать данное согласие на обработку своих персональных данных, письменно уведомив об этом ИП Миносян Арсен Робертович (ИНН: 231908259117 ОГРНИП: 325237500082812, Юридический адрес: 354073, РОССИЯ, Краснодарский, Сочи, Село Верхний Юрт, Улица Абовяна, д. 60/15) (письмо направленное по электронной почте Адрес электронной почты: lavka-bm.online@rambler.ru или в мессенджере what’s up: +7 985 118 11 97), а также право обрабатывать (в том числе и передавать) часть моих персональных данных без моего согласия в соответствии с законодательством Российской Федерации мне известны.
Я подтверждаю, что принял (а) решение о предоставлении своих персональных данных и дал (а) согласие на их обработку свободно, и что данное согласие является конкретным, предметным, информированным, сознательным и однозначным.
Во всем остальном, что не предусмотрено настоящим Согласием, Интернет-магазин и Пользователи руководствуются Политикой конфиденциальности и Положением об обработке персональных данных пользователей интернет-магазина https://www.lavka-bm.ru «Лавка «Блаженны Милостивые»» и применимыми нормами действующего законодательства РФ. В случае противоречия условий настоящего Согласия условиям Положения подлежат применению условия Положения.
