ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ ЧЕРНОЛЯХОВА ЕВГЕНИЯ ВЛАДИМИРОВИЧА

ред. от 27 мая 2025 года

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее - Политика) определяет порядок, способы, цели, условия, объем, процедуры и организацию обработки персональных данных (далее - ПД), осуществляемой индивидуальным предпринимателем Черноляховым Евгением Владимировичем (ИНН 365101016235, ОГРНИП 309617419500071, юридический адрес: 347386, Ростовская область, г. Волгодонск, ул. Индустриальная, 32) (далее - Оператор).

1.2. Политика разработана в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», Постановлением Правительства РФ № 1119, иными нормативными правовыми актами РФ.

1.3. Политика обязательна для исполнения работниками Оператора и любыми иными лицами, получившими доступ к ПД.

2. Основные термины

2.1. Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Субъект персональных данных - физическое лицо, чьи персональные данные обрабатываются Оператором (клиент, покупатель, сотрудник, подрядчик, представитель контрагента, пользователь интернет-сайта).

2.3. Оператор - индивидуальный предприниматель Черноляхов Евгений Владимирович, осуществляющий обработку персональных данных.

2.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными (с использованием средств автоматизации или без них), включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, распространение, обезличивание, блокирование, удаление и уничтожение.

2.5. Информационная система персональных данных (ИСПДн) - совокупность персональных данных, содержащихся в базах данных, а также технологий и технических средств, обеспечивающих их обработку.

2.6. Автоматизированная обработка ПД - обработка ПД с помощью средств вычислительной техники.

2.7. Неавтоматизированная обработка ПД - обработка ПД без использования средств вычислительной техники.

2.8. Доступ к персональным данным - получение права ознакомления с персональными данными, их обработки, изменения или удаления.

2.9. Блокирование персональных данных - временное прекращение обработки персональных данных, за исключением случаев, если обработка необходима для уточнения персональных данных.

2.10. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных.

2.11. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту без использования дополнительной информации.

3. Принципы обработки персональных данных

3.1. Персональные данные обрабатываются Оператором исходя из следующих принципов:

• законность и справедливость получения и дальнейшей обработки персональных данных;
• ограничение обработки достижением конкретных, заранее определённых и законных целей;
• недопущение объединения баз, обработка которых осуществляется в целях, несовместимых между собой;
• соответствие объёма и характера обрабатываемых персональных данных заявленным целям обработки;
• обеспечение точности, достаточности, актуальности персональных данных, уничтожение или обезличивание их по достижении целей;
• хранение персональных данных в виде, позволяющем определить субъекта, не дольше, чем этого требуют цели обработки;
• обеспечение безопасности персональных данных и принятие всех необходимых организационных и технических мер;
• конфиденциальность, запрет на несанкционированный доступ и незаконное распространение.

3.2. Работники Оператора и лица, допущенные к работе с персональными данными, обязаны:

• соблюдать положения настоящей Политики, внутренних регламентов, требований законодательства;
• проходить обязательное обучение и инструктаж по обработке персональных данных и мерам информационной безопасности;
• подтверждать ознакомление под роспись с требованиями ФЗ № 152-ФЗ и подзаконных актов.

4. Цели, категории субъектов персональных данных и состав персональных данных по категориям субъектов

4.1. Цели, категории субъектов персональных данных и состав персональных данных по категориям субъектов определены в следующей таблице:

4.2. Обработка специальных, биометрических, медицинских данных не осуществляется.

4.3. Объем и состав ПД минимизирован в соответствии с целями.

5. Получение, хранение, учет, исправление, удаление, уничтожение персональных данных

5.1. Получение данных

• ПД клиентов собираются на сайтах https://odekolon-shop.ru и https://whitefoxshop.ru через pop-up формы, при регистрации пользователя, оформлении заказа, заполнении профиля, обратной связи на сайте, через сервисы Unisender (ООО «Юнисендер СМАРТ», 127015, г. Москва, вн.тер.г. Муниципальный Округ Бутырский, Большая Новодмитровская ул., д. 23, э/помещ. 2/46) и Emailtools (ИП Черюкин Дмитрий Владимирович, г. Санкт-Петербург, г. Петергоф, ул. Дашкевича, дом 6, квартира 17), чат-ботах.
• Для подтверждения согласия Субъект ставит «галочку» в всплывающем окне и (или) в соответствующем поле на сайтах;
• Персональные данные контрагентов, соискателей, работников собираются в целях, указанных в п. 4.1., для заключения и исполнения трудовых, гражданско-правовых договоров, соглашений о неразглашении как лично Оператором при подписании соответствующих договоров и соглашений, так и по email Оператора.

5.2. Хранение данных

• Все электронные данные хранятся исключительно на серверах, расположенных на территории РФ:
• odekolon-shop.ru и whitefoxshop.ru (АО «ТаймВэб», 196006, Россия, г. Санкт-Петербург, ул. Заставская, д. 22, корп. 2, лит. А);
• Битрикс24 (ООО «1С-Битрикс», г. Москва, б-р Энтузиастов, д. 2, 13 эт., пом. 8-19);
• Unisender (ООО «Юнисендер СМАРТ», 127015, г. Москва, вн.тер.г. Муниципальный Округ Бутырский, Большая Новодмитровская ул., д. 23, э/помещ. 2/46);
• Emailtools (ИП Черюкин Дмитрий Владимирович, г. Санкт-Петербург, г. Петергоф, ул. Дашкевича, дом 6, квартира 17) (подтвержденная инфраструктура в РФ);
• Revvy (ООО "Ревви", 192019, г.САНКТ-ПЕТЕРБУРГ, ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ НЕВСКАЯ ЗАСТАВА, ул. Седова, д. 11, лит. А, помещ. 6Н, оф. 614/2);
• Wazzup (ООО «Ваззап», 121205, г. Москва, СКОЛКОВО ИННОВАЦИОННОГО ЦЕНТРА ТЕР., БОЛЬШОЙ Б-Р, 42, СТР. 1, ЭТ/ПОМ/РАБ -1/150/17;
• Elama (ООО «СМБ-Сервис», 119021, г. Москва, ул. Льва Толстого, д. 16, помещ. 2106) (официальные российские серверы).
• Все заносимые в электронные таблицы (у сотрудников) данные защищаются паролями, права доступа ограничены, регулярные обновления паролей являются обязательными.
• Бумажные документы (трудовые договоры, кадровые документы, договоры гражданско-правового характера) хранятся в отдельных сейфах (шкафах) с контролируемым доступом. Хранение в отношении бухгалтерских и налоговых документов ведется в течение 5 лет, кадровых документов – 75 лет.
• Отчёт и журнал учета ведется назначенным Оператором лицом, ответственным за организацию и обеспечение безопасности ПД.

5.3. Учет, исправление и удаление

• Исправление или обновление ПД осуществляется по письменному либо электронному заявлению субъекта в течение 10 календарных дней с момента обращения.
• В случае необходимости удаления ПД (по отзыву согласия, истечении срока, выполнении договора), данные удаляются из:
  • электронных сервисов рассылок Unisender (ООО «Юнисендер СМАРТ», 127015, г. Москва, вн.тер.г. Муниципальный Округ Бутырский, Большая Новодмитровская ул., д. 23, э/помещ. 2/46), Emailtools (ИП Черюкин Дмитрий Владимирович, г. Санкт-Петербург, г. Петергоф, ул. Дашкевича, дом 6, квартира 17);
  • внутренних учетных систем сайта (личный кабинет, CRM, журнал заказов);
  • таблиц для сотрудников, подрядчиков.
• Результаты удаления фиксируются в специальном электронном журнале или акте, подтверждение предоставляется заявителю по письменному запросу.

5.4. Уничтожение и обезличивание

• По истечении срока хранения, либо по требованию законодательства или клиента, выполняется уничтожение электронных данных (тотально – средствами информационной системы, согласно протоколу), бумажных документов (шредер, уничтожение формуляров).
• Акт уничтожения подписывает ответственное лицо, хранится не менее 3 лет.
• При необходимости выполняется обезличивание личных данных (удаление привязки к конкретному субъекту), в статистике используется только не персонифицированная информация.

6. Используемые сервисы, технологии, местонахождение серверов

6.1. Оператор использует только сервисы, дата-центры и облачные решения, физически и юридически находящиеся на территории РФ:

• odekolon-shop.ru и whitefoxshop.ru размещены в дата-центре Timeweb (АО «ТаймВэб», 196006, Россия, г. Санкт-Петербург, ул. Заставская, д. 22, корп. 2, лит. А), ООО «ВК», 125167, Москва, Ленинградский проспект, д. 39, стр. 79;
• Битрикс24 (ООО «1С-Битрикс», г. Москва, б-р Энтузиастов, д. 2, 13 эт., пом. 8-19);
• Unisender (ООО «Юнисендер СМАРТ», 127015, г. Москва, вн.тер.г. Муниципальный Округ Бутырский, Большая Новодмитровская ул., д. 23, э/помещ. 2/46), Emailtools (ИП Черюкин Дмитрий Владимирович, г. Санкт-Петербург, г. Петергоф, ул. Дашкевича, дом 6, квартира 17);
• Revvy (ООО "Ревви", 192019, г.САНКТ-ПЕТЕРБУРГ, ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ НЕВСКАЯ ЗАСТАВА, ул. Седова, д. 11, лит. А, помещ. 6Н, оф. 614/2), Wazzup (ООО «Ваззап», 121205, г. Москва, СКОЛКОВО ИННОВАЦИОННОГО ЦЕНТРА ТЕР., БОЛЬШОЙ Б-Р, 42, СТР. 1, ЭТ/ПОМ/РАБ -1/150/17), Elama (ООО «СМБ-Сервис», 119021, г. Москва, ул. Льва Толстого, д. 16, помещ. 2106) - работают исключительно в рамках российских дата-центров;
• Все рассылки, аналитика, учет заказов, CRM интегрированы только с использованием российских IT и коммуникационных площадок;
• Все сервисы доставки (Яндекс.Доставка (ООО «Яндекс.Доставка», 123112, г. Москва, вн. тер. г. муниципальный округ Пресненский, проезд 1-й Красногвардейский, д. 22, стр. 1, этаж 13, помещ. 13-40), Почта России (АО «Почта России», 125252, г. Москва, ул. 3-я Песчаная, д. 2А, СДЭК (ООО «СДЭК-ГЛОБАЛ», 630007, г. Новосибирск, ул. Кривощековская, д. 15, корп. 1, этаж 1, 2), 5post (ООО "ФАЙВ ПОСТ", 109029, г. Москва, ул. Средняя Калитниковская, дом 28 ст. 4) обрабатывают и хранят сведения только на российских серверах.

7. Третьи лица, порядок передачи и допуска

7.1. Передача или допуск к ПД возможна:

• работникам Оператора;
• подрядчикам по договорам, только с обязательствами по соглашениям о неразглашении персональных данных и соблюдению ФЗ № 152-ФЗ;
• службам доставки (Яндекс.Доставка (ООО «Яндекс.Доставка», 123112, г. Москва, вн. тер. г. муниципальный округ Пресненский, проезд 1-й Красногвардейский, д. 22, стр. 1, этаж 13, помещ. 13-40), Почта России (АО «Почта России», 125252, г. Москва, ул. 3-я Песчаная, д. 2А, СДЭК (ООО «СДЭК-ГЛОБАЛ», 630007, г. Новосибирск, ул. Кривощековская, д. 15, корп. 1, этаж 1, 2), 5post (ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ФАЙВ ПОСТ", 109029, г. Москва, ул. Средняя Калитниковская, дом 28 ст. 4), - ограниченно, исключительно сведения, необходимые для отправки и контроля заказа (Фамилия, имя, отчество, контактный телефон, e-mail, адрес доставки).
• государственным органам – только по официальному запросу в объеме, ограниченном действующим законодательством;
• подрядчикам в сфере рекламы и маркетинга - ограниченно, только для осуществления рекламно-информационной рассылки в соответствии с согласием Субъекта;
• иным лицам – лишь при наличии согласия Субъекта.

7.2. Все передачи фиксируются, ведётся журнал обмена, с каждым подрядчиком и сотрудником достигнуто соглашение о неразглашении персональных данных.

8. Обеспечение безопасности ПД, меры по минимизации рисков

8.1. Оператор реализует комплекс мер в соответствии с ФЗ №152-ФЗ, ПП РФ №1119 и иными подзаконными актами:

• Назначен ответственный за организацию и обеспечение безопасности ПД;
• Внутренние положения, регламенты, порядок допуска и разграничения прав доступа утверждены локальными актами Оператора;
• Журналы учета доступа, регистрации операций, фиксации действий сотрудников ведутся постоянно; доступ предоставляется минимально необходимому кругу лиц (принцип минимизации доступа);
• Физическая защита: бумажные носители – отдельные помещения/сейфы, доступ к ним только у уполномоченных лиц;
• Технические меры: антивирусная защита, брандмауэры, фаерволлы, регулярное обновление программ, защищенные каналы связи (HTTPS, сквозное шифрование для облака);
• Хранение резервных копий на отдельном устройстве с паролем;
• Ведение аудита, логирование всех ключевых операций, контроль за несанкционированным доступом, регулярная сверка журналов, анализ попыток несанкционированной обработки;
• Работники проходят обучение и вторичный инструктаж (не реже одного раза в год), подтверждают ознакомление с ФЗ №152-ФЗ, внутренними нормативными актами под роспись;
• Оценка вреда субъектам при возможных инцидентах, пересмотр рисковых зон, корректировка мер и регламентов по итогам инцидентов и предписаний регулятора.

8.2. К внутреннему контролю и мониторингу процесса допускаются только назначенные лица, ответственные за организацию и обеспечение безопасности ПД.

9. Файлы cookie, информационные и аналитические системы

9.1. Сайт Оператора использует только необходимые файлы cookie и технические средства идентификации (далее – cookie-файлы), предназначенные для функционирования сайта, аналитики посещаемости, поддержки сервисной и пользовательской функциональности и обеспечения безопасности пользовательских сессий.

9.2. Обработка cookie-файлов осуществляется в строгом соответствии с ФЗ №152-ФЗ, с учетом принципа минимизации данных. Каждое сохранение и дальнейшее использование cookie основано на цели обеспечения работы сайта, безопасности и анализа поведения пользователей.

9.3. Категории используемых cookie-файлов:

• Технические (системные) cookie: session_id, user_auth, необходимые для авторизации, работы корзины, функционала регистрации/входа пользователя, контроля сессии. Они позволяют сохранять индивидуальные предпочтения пользователя, удерживать сессию, обеспечивать корректную работу интерфейса.
• Аналитические cookie: ya_counter, yandexuid (Яндекс.Метрика). Используются для ведения обезличенной статистики посещений, анализа навигационных и поведенческих метрик на сайте, используются в агрегированной форме для оптимизации работы интерфейса.
• Функциональные cookie: cookie локальных настроек, позволяющие сохранять выбранные пользователем параметры сайта (язык, предпочтения оформления, фильтры).

9.4. Все cookie-файлы и аналогичные идентификаторы технических сессий хранятся исключительно на оборудовании, физически и юридически расположенном на территории Российской Федерации:

• Сервер odekolon-shop.ru и whitefoxshop.ru — Timeweb (АО «ТаймВэб», 196006, Россия, г. Санкт-Петербург, ул. Заставская, д. 22, корп. 2, лит. А);
• Яндекс.Метрика (ООО «Яндекс», 119021, г. Москва, ул. Льва Толстого, 16);
• CRM и рассылки — Unisender (ООО «Юнисендер СМАРТ», 127015, г. Москва, вн.тер.г. Муниципальный Округ Бутырский, Большая Новодмитровская ул., д. 23, э/помещ. 2/46), Emailtools (ИП Черюкин Дмитрий Владимирович, г. Санкт-Петербург, г. Петергоф, ул. Дашкевича, дом 6, квартира 17), Bitrix24 (ООО «1С-Битрикс», г. Москва, б-р Энтузиастов, д. 2, 13 эт., пом. 8-19);
• Revvy (ООО "Ревви", 192019, г.САНКТ-ПЕТЕРБУРГ, ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ НЕВСКАЯ ЗАСТАВА, ул. Седова, д. 11, лит. А, помещ. 6Н, оф. 614/2), Wazzup (ООО «Ваззап», 121205, г. Москва, СКОЛКОВО ИННОВАЦИОННОГО ЦЕНТРА ТЕР., БОЛЬШОЙ Б-Р, 42, СТР. 1, ЭТ/ПОМ/РАБ -1/150/17), Elama (ООО «СМБ-Сервис», 119021, г. Москва, ул. Льва Толстого, д. 16, помещ. 2106) - работают исключительно в рамках российских дата-центров;
• Все ведомственные и иные системы доставки используют только серверы, зарегистрированные в России.

9.5. Сбор и запись cookie-файлов осуществляется только в объеме, необходимом для работоспособности функций сайта, сервисного обслуживания, предотвращения несанкционированного доступа, статистики посещаемости, пользовательской настройки и обратной связи.

9.6. Cookie-файлы, используемые на сайте, не передаются третьим лицам для самостоятельных целей, не используются для создания профилей в сторонних рекламных сетях, не являются основанием для автоматизированного принятия решений, затрагивающих права и интересы пользователя, не экспортируются за пределы инфраструктуры Российской Федерации.

9.7. Каждое посещение сайта сопровождается обязательным информированием пользователя о применении cookie через всплывающее уведомление/баннер, с предложением принять условия использования файлов cookie, ознакомиться с политикой или отказаться (реализуется надпись, ссылка, кнопки «Согласен», «Настройки», «Подробнее/Отказаться» на сайте). Пользователь вправе отказаться от условий использования файлов cookie, нажав на кнопку «Отказаться».

9.8. Пользователь вправе в любой момент отозвать согласие на обработку cookie-файлов путем:

• использования доступных настроек браузера (блокировка, полное удаление всех файлов cookie, ограничение их сохранения), выбора опции «Отказаться» или «Изменить настройки» в cookie-баннере, направления официального обращения по e-mail Оператора glamurni@inbox.ru либо через форму обратной связи сайта.

9.9. Оператор обязан информировать пользователя о возможных последствиях отказа (например, ограничение доступа к отдельным сервисам, невозможность оформления заказа или настройки профиля) при деактивации cookie-файлов.

9.10. Срок хранения cookie определяется их категорией и не превышает срок, необходимый для достижения целей их обработки или исполнения соглашения с пользователем, но во всех случаях не превышает 24 месяцев.

9.11. Вся обработка профильных cookie, аналитических и технических идентификаторов осуществляется с соблюдением принципов конфиденциальности, целостности и минимизации данных, ни одна из этих метрик не используется для целей прямого маркетинга третьих лиц.

9.12. Оператор принимает все необходимые технические и организационные меры для защиты информации и cookie-файлов от несанкционированного доступа, случайной потери, уничтожения, модификации, блокирования и распространения, реализует механизмы аутентификации, сегментирования инфраструктуры, регулярного юридического аудита, обновления технических средств.

9.13. Все вопросы по обработке cookie-файлов, в том числе разъяснения по их составу и назначению, реализуются через e-mail glamurni@inbox.ru, либо по почтовому адресу Оператора. Ответ на обращение предоставляется не позднее 10 календарных дней.

10. Сроки хранения, удаления, архивации, блокировки и уничтожения ПД

10.1. Сроки хранения ПД определяются в соответствии с целями, требованиями законодательства и условиями договоров:

• бухгалтерские и налоговые документы – в течение 5 лет, кадровые документы – до 75 лет;
• текущие заказы, обращения, за исключением архивных – в течение 3 лет с момента исполнения всех обязательств;
• данные рассылок – не более 3 лет.

10.2. Данные, утратившие актуальность или более не нужные для достижения целей обработки, удаляются из информационных систем; уничтожение фиксируется актом.

10.3. Блокировка – по заявлению, на срок проведения проверки по факту обнаружения ошибки, жалобы или иного события, после чего данные либо уточняются, либо удаляются.

11. Права субъектов и порядок реализации

11.1. Субъект ПД имеет право:

• получать сведения о факте, целях и способах обработки своих ПД;
• требовать уточнения, удаления или блокировки своих ПД при наличии оснований, предусмотренных законом;
• отзывать в любой момент согласие на обработку;
• требовать уведомления о действиях (уничтожении, блокировке, передаче);
• получать мотивированный ответ в течение 10 календарных дней с даты поступления обращения;
• обжаловать действия или бездействие Оператора в Роскомнадзор либо в судебном порядке.

11.2. Ответ предоставляется в срок, установленный законом, в течение 10 календарных дней.

12. Действия при инциденте

• Фиксация и локализация события, регистрация в отдельном журнале инцидентов.
• Информирование руководителя и ответственного за безопасность ПД с немедленным определением круга затронутых лиц и объема скомпрометированной информации.
• Оценка возможности идентификации/масштаба утечки - фильтрация объектов (какие данные, сколько субъектов затронуто), выявление источника, анализ первопричины, получение объяснений, опрос допущенных лиц.
• В случаях, предусмотренных законом, уведомление субъектов, чьи данные стали доступны или могли быть доступны третьим лицам, в течение 24 часов с момента выявления; уведомление Роскомнадзора по форме - не позднее 24 часов.
• Формирование комиссии для разборки инцидента, выработка и реализация мер по минимизации ущерба (блокирование доступа, устранение уязвимости, внесение изменений в регламенты, повышенное обучение сотрудников).
• Документирование каждого действия по внутреннему расследованию, регламенту реагирования, меры ответственности для виновных, пересмотр внутренней документации.

13. Актуализация политики

13.1. Пересмотр и обновление Политики проводится:

• при изменении законодательства, технологии обработки, изменениях в инфраструктуре сайта или сервисов;
• при появлении новых угроз безопасности или предписаний регуляторов;
• при выявлении несоответствий, инцидентов, жалоб.

13.2. Новая редакция Политики публикуется на официальных ресурсах Оператора и вступает в силу с даты размещения, если не установлено иное.

14. Контактные данные