Политика конфиденциальности

ПОЛИТИКА в отношении обработки и защиты персональных данных

Редакция от 17.10.2025 г.

1. Общие положения

1.1. «Политика индивидуального предпринимателя Набиуллиной Елены Вячеславовны (далее по тексту – Оператор) в отношении обработки персональных данных» (далее – Политика) определяет позицию и намерения Оператора в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Политика распространяется на Посетителей и Покупателей Сайта как они определены ниже.

1.2. Настоящая политика:

1.2.1. разработана с учетом требований Конституции РФ, законодательства Российской Федерации, нормативных правовых актов Российской Федерации в области персональных данных;

1.2.2. определяет основные принципы, цели и способы обработки персональных данных, состав субъектов персональных данных и их права, действия Оператора при обработке персональных данных, меры, принимаемые Оператором по защите персональных данных, а также меры по контролю за соблюдением требований законодательства и данной политики;

1.2.3. является общедоступным документом, которым регулируется деятельность Оператора при обработке персональных данных.

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств.

1.4. В настоящей Политике используются следующие основные понятия:

1.4.1. Сайт - https://ciaocreamo.ru/ (с возможными поддоменами).

1.4.2. Оператор - Индивидуальный предприниматель Набиуллина Елена Вячеславовна, ИНН 183474327068, ОГРНИП 322183200015518, адрес: Удмуртская Республика, г. Ижевск, улица Ворошилова, д. 56, кв./оф. 137.

1.4.3. Посетитель – любое лицо, посещающее Сайт с целью ознакомления с Оператором, его товарами и услугами.

1.4.4. Покупатель - физическое лицо, имеющее намерение заказать или приобрести товар на Сайте исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности.

1.5. Остальные определения используются в Политике в соответствии с их значениями, как они определены в Федеральном Законе «О персональных данных» от 27.07.2006 № 152-ФЗ, иных нормативно-правовых актах.

2. Цели сбора и обработки персональных данных, объем и категории персональных данных, категории субъектов персональных данных, правовые основания обработки

Обработка персональных данных осуществляется Оператором в целях:

2.1. Осуществление информирования об акциях, специальных предложениях, бонусах, услугах и продуктах Оператора.

Категория обрабатываемых персональных данных – иные.

Перечень обрабатываемых персональных данных: имя, дата рождения, месяц рождения, год рождения, телефон, адрес электронной почты.

Категория субъекта – Покупатель.

Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение.

Сроки обработки и хранения: до отзыва согласия на обработку персональных данных либо расторжение договорных отношений с Покупателем.

Порядок уничтожения: согласно пунктам 5.6. и 5.7. настоящей Политики.

2.2. Заключение и исполнение договора.

Категория обрабатываемых персональных данных – иная.

Перечень обрабатываемых персональных данных: имя, телефон, адрес электронной почты, адрес доставки.

Категория субъекта – Покупатель.

Способы обработки: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение персональных данных.

Порядок уничтожения: согласно пунктам 5.6. и 5.7. настоящей Политики.

2.3. Идентификация Посетителя Сайта.

Категория обрабатываемых персональных данных – иные.

Перечень обрабатываемых персональных данных: метаданные Пользователя (данные об IP-адресах и местоположении, технические данные cookies и tokens).

Категория субъекта – Посетитель.

Сроки обработки и хранения: достижение цели обработки.

Порядок уничтожения: согласно пунктам 5.6. и 5.7. настоящей Политики.

2.4. Оператор не допускает обработки персональных данных, которые не отвечают целям обработки.

3. Принципы, порядок и условия обработки персональных данных

3.1. Понимая важность и ценность информации о человеке, а также заботясь о соблюдении конституционных прав граждан Российской Федерации, Оператор обеспечивает надежную защиту их персональных данных.

3.2. Обработка и обеспечение безопасности персональных данных осуществляется Оператором в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов.

3.3. При обработке персональных данных Оператор придерживается следующих принципов:

3.3.1. Оператор осуществляет обработку персональных данных только на законной и справедливой основе;

3.3.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия гражданина (если иное не предусмотрено действующим законодательством Российской Федерации);

3.3.3. Оператор определяет конкретные законные цели до начала обработки (в т.ч. сбора) персональных данных;

3.3.4. Оператор собирает только те персональные данные, которые являются необходимыми и достаточными для заявленной цели обработки;

3.3.5. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

3.3.6. Оператор уничтожает либо обезличивает персональные данные по достижении целей обработки, в случае утраты необходимости в достижении целей или в случае отзыва субъектом персональных данных согласия на их обработку.

3.4. В случаях, установленных законодательством Российской Федерации, Оператор вправе осуществлять передачу персональных данных граждан. Общество вправе поручить обработку персональных данных (с согласия субъекта) третьим лицам, на основании заключаемого с этими лицами договора поручения.

3.5. Лица, осуществляющие обработку персональных данных по поручению Оператора, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого третьего лица в договоре поручения определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, также указываются требования к защите обрабатываемых персональных данных.

3.6. В случае осуществления Оператором трансграничной передачи персональных данных граждан на территорию иностранного государства указанная трансграничная передача должна осуществляться с соблюдением требований действующего законодательства Российской Федерации, а также международно-правовых актов.

3.7. Передача персональных данных осуществляется в соответствии с требованиями законодательства Российской Федерации в части обработки и защиты персональных данных.

4. Права субъектов персональных данных

4.1. Гражданин, чьи персональные данные обрабатываются Оператором, имеет право получать от Оператора:

4.1.1. подтверждение факта обработки персональных данных Оператором;

4.1.2. правовые основания и цели обработки персональных данных;

4.1.3. сведения о применяемых Оператором способах обработки персональных данных;

4.1.4. наименование и место нахождения Оператора;

4.1.5. сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

4.1.6. перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

4.1.7. сведения о сроках обработки персональных данных, в том числе о сроках их хранения;

4.1.8. сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;

4.1.9. информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;

4.1.10. наименование и адрес лица, осуществляющего обработку персональных данных по поручению Оператора;

4.1.11. иные сведения, предусмотренные Федеральным законом «О персональных данных» № 152-ФЗ или другими федеральными законами.

4.2. Гражданин, чьи персональные данные обрабатываются Оператором, имеет право:

4.2.1. требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

4.2.2. отозвать свое согласие на обработку персональных данных;

4.2.3. требовать устранения неправомерных действий Оператора в отношении его персональных данных;

4.2.4. обжаловать действия или бездействие Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;

4.2.5. на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

4.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с действующим законодательством Российской Федерации.

4.4. Для реализации своих прав и законных интересов субъект персональных данных может обратиться к Оператору.

4.5. Оператор рассматривает обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуации в досудебном порядке.

5. Способы обработки данных

5.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных.

5.2. Обработка персональных данных может осуществляться следующими способами:

5.2.1. автоматизированная обработка персональных данных;

5.2.2. неавтоматизированная обработка персональных данных;

5.2.3. смешанная обработка персональных данных.

5.3. В случае обнаружения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Оператором.

5.4. В случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению.

5.5. Субъект персональных данных, в случае необходимости внесения уточнений, исправлений неточностей персональных данных, блокировки персональных данных полученных незаконно, а также в случае отзыва согласия на обработку персональных данных, вправе направить в адрес Оператора официальный запрос в свободной форме с соответствующим требованием на электронную почту Оператора: orders@ciaocreamo.ru/. Запрос должен позволять Оператору установить факт, что запрос исходит от конкретного субъекта.

5.6. После достижения целей обработки персональных данных или после получения требования субъекта персональных данных об удалении его данных, Оператор уничтожает с информационных носителей персональные данные путем стирания или форматирования, либо физически уничтожает сами носители, на которых хранится информация.

5.7. Факт уничтожения персональных данных подтверждается документально актом об уничтожении.

6. Конфиденциальность персональных данных

6.1. Информация, относящаяся к персональным данным, ставшая известной в связи с оказанием Оператором услуг или продажей товаров, является конфиденциальной информацией и охраняется действующим законодательством.

6.2. Лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области защиты персональных данных.

6.3. Лица, получившие доступ к обрабатываемым персональным данным, не имеют права сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия такого субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ.

6.4. Лица, получившие доступ к персональным данным, обязуются не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

7. Меры, направленные на обеспечение выполнения Обществом обязанностей, предусмотренных ст. 18.1, 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

7.1. Оператор самостоятельно отвечает за организацию обработки персональных данных.

7.2. Оператором утверждены локальные акты, устанавливающее процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

7.3. Применяются предусмотренные соответствующими нормативными правовыми актами правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Оператора.

7.4. При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

7.5. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям действующего законодательства Оператором организовано проведение периодических проверок условий обработки персональных данных.

7.6. Производится ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.

7.7. Оператор несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.

8. Ответственность и контроль за соблюдением требований настоящей политики и законодательства в области персональных данных

8.1. Ответственным за соблюдением требований законодательства в области персональных данных и настоящей политики является Оператор.

8.2. Лицо, ответственное за организацию и обеспечение безопасности персональных данных, в рамках выполнения положений настоящей политики и законных актов Российской Федерации в области персональных данных уполномочено:

8.2.1. определять угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

8.2.2. планировать применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для противодействия угрозам безопасности персональных данных и выполнения требований к защите персональных данных;

8.2.3. организовывать контроль и/или аудит соответствия принятых мер защиты при обработке персональных данных Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных», нормативным правовым актам, требованиям нормативных актов к защите персональных данных, локальным актам;

8.2.4. оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных и организовывать мониторинг уровня защищенности персональных данных при эксплуатации информационной системы персональных данных;

8.2.5. проводить анализ по фактам нарушения положений настоящей политики;

8.2.6. разрабатывать и принимать соответствующие меры на поддержание необходимого уровня защищенности персональных данных;

8.2.7. организовывать прием и обработку обращений и запросов регулирующих органов РФ, субъектов персональных данных или их представителей.

8.3. Лица, виновные в нарушении норм действующего законодательства Российской Федерации в области персональных данных могут быть привлечены к дисциплинарной, административной, гражданской и уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.

9. Заключительные положения

9.1. Настоящая политика разработана и утверждена Оператором.

9.2. Настоящая Политика является внутренним документом Оператора, общедоступной и размещена на Сайте.

9.3. Контроль исполнения требований настоящей Политики осуществляется Оператором.

9.4. Пересмотр положений настоящей Политики проводится в случаях:

• при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;

• при изменении целей обработки персональных данных, структуры информационных и/или телекоммуникационных систем (или введении новых);

• при применении новых технологий обработки персональных данных (в т.ч. передачи, хранения);

• при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Оператора;

• по результатам контроля выполнения требований по обработке и защите персональных данных;

• по решению Оператора.

9.5. В случае неисполнения положений настоящей Политики Оператор несет ответственность в соответствии с действующим законодательством Российской Федерации.

9.6. Вне зависимости от предпринимаемых Оператором мер защиты конфиденциальности получаемых персональных данных, Посетитель и Покупатель настоящим считаются должным образом ознакомленными с тем, что любая передача Персональных данных в сети Интернет не может быть гарантировано безопасной, а потому Посетитель и Покупатель осуществляют такую передачу на свой собственный риск.