Положение об обработке и защите персональных данных

1. Общие положения

1.1. Настоящее Положение определяет порядок обработки и защиты персональных данных индивидуальным предпринимателем Бороухиным А.Е. (далее — Оператор) и применяется ко всем операциям с персональными данными, осуществляемым Оператором.

1.2. Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ), постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — Постановление № 1119) и иными нормативными правовыми актами Российской Федерации.

1.3. Положение является общедоступным локальным актом Оператора. Положение и Политика в отношении обработки персональных данных размещаются на сайте Оператора в сети Интернет по адресу agrotech.plus.

2. Основные понятия

2.1. В настоящем Положении используются следующие основные понятия:

• персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных);
• обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без таковых;
• оператор — индивидуальный предприниматель Бороухин А.Е., самостоятельно организующий и осуществляющий обработку персональных данных, а также определяющий цели и состав обрабатываемых персональных данных;
• информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• иные понятия используются в значениях, установленных Законом № 152-ФЗ.

3. Цели обработки и категории персональных данных

3.1. Оператор обрабатывает персональные данные в следующих целях:

• заключение и исполнение гражданско-правовых договоров поставки клубней растений и иной продукции на основании заявок, оформленных через сайт agrotech.plus;
• доставка приобретённых товаров покупателям;
• связь с покупателем по вопросам оформления, изменения и исполнения заказа, в том числе направление информационных и сервисных сообщений;
• ведение бухгалтерского и налогового учёта в соответствии с законодательством Российской Федерации.

3.2. Категории субъектов персональных данных: физические лица, являющиеся покупателями или потенциальными покупателями Оператора и оформляющие заявки на сайте agrotech.plus.

3.3. Категории обрабатываемых персональных данных:

• фамилия, имя, отчество;
• номер контактного телефона;
• адрес электронной почты;
• почтовый адрес доставки.

3.3.1. Информация, вводимая субъектом персональных данных в поле «Комментарий к заказу» (далее — поле «Комментарий»), предназначена для уточнения условий доставки заказа и иных пожеланий субъекта, относящихся к исполнению заказа, и не относится к категориям персональных данных, систематически обрабатываемых Оператором. Оператор не предлагает и не запрашивает у субъекта внесение в указанное поле персональных данных, и непосредственно у поля размещено соответствующее предупреждение. В случае если субъект персональных данных по собственной инициативе внёс в поле «Комментарий» информацию, относящуюся к иным категориям персональных данных (включая специальные категории и биометрические персональные данные), такая информация не используется Оператором в иных целях, кроме исполнения соответствующего заказа, и подлежит уничтожению одновременно с уничтожением иных персональных данных, относящихся к этому заказу.

3.4. Оператор не обрабатывает специальные категории персональных данных (раса, национальность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь), биометрические персональные данные, а также персональные данные несовершеннолетних в качестве самостоятельных субъектов.

4. Правовые основания обработки

4.1. Правовые основания обработки персональных данных:

• согласие субъекта персональных данных на обработку (пункт 1 части 1 статьи 6 Закона № 152-ФЗ);
• необходимость для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта (пункт 5 части 1 статьи 6 Закона № 152-ФЗ);
• необходимость исполнения обязанностей, возложенных на Оператора законодательством Российской Федерации (пункт 2 части 1 статьи 6 Закона № 152-ФЗ).

5. Принципы и условия обработки

5.1. Обработка персональных данных осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определённых и законных целей.

5.2. Обработке подлежат только персональные данные, отвечающие целям обработки. Объём и содержание обрабатываемых персональных данных соответствуют заявленным целям обработки. Избыточная обработка не допускается.

5.3. Оператор обеспечивает точность и актуальность обрабатываемых персональных данных, а также при необходимости — их обновление.

5.4. Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки.

5.5. При сборе персональных данных, в том числе посредством сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (часть 5 статьи 18 Закона № 152-ФЗ).

5.6. В целях соблюдения принципа минимизации обрабатываемых персональных данных Оператор обеспечивает, чтобы интерфейс информационной системы предупреждал субъекта о недопустимости внесения избыточных персональных данных в свободные текстовые поля (в том числе в поле «Комментарий к заказу»), а длина таких полей была технически ограничена объёмом, необходимым для решения целевой задачи поля.

6. Перечень действий с персональными данными и способы обработки

6.1. Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ) — в случаях, предусмотренных настоящим Положением, обезличивание, блокирование, удаление, уничтожение.

6.2. Обработка персональных данных осуществляется смешанным способом — с использованием средств автоматизации (через информационную систему интернет-магазина agrotech.plus) и без таковых (на материальных носителях, при их образовании).

6.3. Передача персональных данных по сетям общего пользования осуществляется в защищённом виде с использованием протокола TLS (HTTPS).

7. Передача персональных данных третьим лицам

7.1. Персональные данные передаются третьим лицам только в следующих случаях:

• перевозчикам и службам доставки — в объёме, необходимом для доставки товара (фамилия, имя, отчество получателя, номер контактного телефона, почтовый адрес);
• оператору платёжной системы (платёжному агрегатору) — при оплате заказа, в объёме, необходимом для проведения расчётов;
• в государственные органы и должностным лицам — при поступлении мотивированных запросов в случаях, предусмотренных законодательством Российской Федерации;
• иным лицам — на основании прямо выраженного согласия субъекта персональных данных.

7.2. Трансграничная передача персональных данных Оператором не осуществляется.

8. Сроки хранения и условия прекращения обработки

8.1. Персональные данные хранятся в течение срока, необходимого для достижения целей обработки, но не дольше:

• 3 (трёх) лет с даты последнего взаимодействия с покупателем — для целей оформления и исполнения заказа;
• сроков, установленных законодательством Российской Федерации о бухгалтерском учёте и налогах и сборах, — для целей бухгалтерского и налогового учёта.

8.2. По истечении сроков обработки, а также при отзыве субъектом персональных данных согласия на обработку (если иные правовые основания обработки отсутствуют), персональные данные подлежат уничтожению. Уничтожение осуществляется не позднее 30 (тридцати) дней с даты возникновения соответствующего основания, если иное не предусмотрено законодательством.

8.3. Факт уничтожения персональных данных подтверждается актом, оформляемым Оператором.

9. Права субъекта персональных данных

9.1. Субъект персональных данных имеет право:

• на получение информации, касающейся обработки его персональных данных;
• на доступ к своим персональным данным;
• требовать уточнения, блокирования или уничтожения своих персональных данных в случаях, предусмотренных Законом № 152-ФЗ;
• отозвать согласие на обработку персональных данных;
• обжаловать действия (бездействие) Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

9.2. Запросы субъектов направляются по адресу электронной почты info@agrotech.plus или почтовому адресу Оператора, указанному в реквизитах. Срок ответа — 10 (десять) рабочих дней с даты получения запроса, с возможностью продления не более чем на 5 (пять) рабочих дней с уведомлением субъекта.

9.3. Учёт обращений субъектов персональных данных ведётся в Журнале учёта обращений субъектов персональных данных.

10. Меры по обеспечению безопасности персональных данных

10.1. Оператор применяет следующие правовые и организационные меры по обеспечению безопасности персональных данных:

• назначение лица, ответственного за организацию обработки и обеспечение безопасности персональных данных;
• издание локальных актов по вопросам обработки и защиты персональных данных, ознакомление с ними лиц, осуществляющих обработку персональных данных;
• определение перечня лиц, доступ которых к персональным данным необходим для выполнения функций Оператора;
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям Закона № 152-ФЗ, принятых в соответствии с ним нормативных правовых актов и локальных актов Оператора;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных и оформление модели угроз;
• определение уровня защищённости персональных данных и состава применяемых мер защиты;
• учёт обращений субъектов персональных данных и реагирование на инциденты безопасности персональных данных.

10.2. Оператор применяет следующие технические меры:

• размещение информационной системы персональных данных на сервере дата-центра, расположенного на территории Российской Федерации, с обеспечением режима безопасности помещений силами поставщика услуг хостинга на основании договора;
• парольная защита и разграничение прав доступа на уровне операционной системы сервера и административных интерфейсов сайта;
• использование межсетевого экрана операционной системы сервера;
• передача персональных данных между сайтом и пользователем по защищённому каналу с использованием протокола TLS (HTTPS);
• регулярное обновление операционной системы и прикладного программного обеспечения, используемого для обработки персональных данных;
• резервное копирование баз данных, содержащих персональные данные.

10.3. Шифровальные (криптографические) средства, подлежащие сертификации в Российской Федерации, Оператором не используются. При появлении необходимости в их использовании настоящее Положение подлежит актуализации.

11. Уведомление о нарушениях

11.1. При установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов персональных данных, Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор):

• в течение 24 часов с момента выявления инцидента — о произошедшем инциденте, его предполагаемых причинах, предполагаемом вреде, нанесённом правам субъектов, и о принятых мерах по устранению последствий, а также сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом;
• в течение 72 часов с момента выявления — о результатах внутреннего расследования и сведения о лицах, действия которых стали причиной инцидента (при их установлении).

11.2. Порядок реагирования на инциденты установлен в Приложении № 6 к приказу № 1.

12. Заключительные положения

12.1. Настоящее Положение вступает в силу с даты его утверждения и действует бессрочно.

12.2. Изменения и дополнения в Положение вносятся приказом Оператора.

12.3. Контроль за соблюдением настоящего Положения осуществляет Оператор.